Am 01. Dezember 2021 trat das neue Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) in Kraft, womit eine neue Rechtslage für Telemedien geschaffen wurde. Der Begriff Telemedien ist ein Oberbegriff für elektronische Informations- und Kommunikationsdienste. Besonders praxisrelevant sind die Auswirkungen des neuen TTDSG auf den Einsatz von Cookies und ähnlichen Technologien.
Anlass und Ziele des TTDSG
Der Anlass für das neue TTDSG war die erforderliche Anpassung der Datenschutzbestimmungen des Telekommunikationsgesetzes (TKG) und des Telemediengesetzes (TMG) an die Datenschutzgrundverordnung (DSGVO). Zudem sollte durch das TTDSG die europäische ePrivacy-Richtlinie in nationales Recht umgesetzt werden.
Da mit dem TTDSG die Datenschutzbestimmungen des TKG und des TMG in einem Gesetz zusammengefasst werden, beseitigt es zudem die Rechtsunsicherheit, die bisher durch das Nebeneinander von TMG, TKG und DSGVO bestand. Sowohl in dem neuen TKG als auch in dem gekürzten TMG finden sich nun keine Datenschutzvorschriften mehr.
Das TTDSG hat insbesondere die Aufgabe, die Privatsphäre bei Nutzung von Endeinrichtungen zu schützen und enthält zudem Vorschriften für von Telemedienanbietern zu beachtende technische und organisatorische Maß- nahmen.
Verhältnis von TTDSG und DSGVO
Grundsätzlich tritt das TTDSG neben die DSGVO, da die beiden Gesetze einen unterschiedlichen Anwendungsbereich haben. Unabhängig davon, ob personenbezogene Daten verarbeitet werden, soll das TTDSG unerwünschte Zugriffe auf die auf Endgeräten gespeicherten Informationen verhindern. Die DSGVO greift hingegen lediglich bei der Verarbeitung personenbezogener Daten.
Unterliegt die Technologie nach § 25 Abs. 1 TTDSG einem Einwilligungserfordernis, werden jedoch keine personenbezogenen Daten verarbeitet, ist die Zulässigkeit der Nutzung daher ausschließlich nach dem TTDSG zu bewerten. Bei einer solchen Technologie sind für das Nichterfordernis einer Einwilligung ebenfalls nur die Voraussetzungen des § 25 Abs. 2 TTDSG zu prüfen.
Unterliegt die Technologie einem Einwilligungserfordernis und werden zudem auch personenbezogene Daten verarbeitet, beispielsweise bei dem Einsatz spezieller Cookies, ist grundsätzlich der Anwendungsbereich von beiden Gesetzen eröffnet. Das Verhältnis der Vorschriften der DSGVO zu denen der ePrivacy-Richtlinie und damit auch zu denen des TTDSG als nationales Umsetzungsgesetz ergibt sich dann aus der Kollisionsregel des Art. 95 DSGVO. Diese besagt, dass die DSGVO dem Verantwortlichen keine zusätzlichen Pflichten auferlegen soll, soweit die ePrivacy-Richtlinie entsprechende Regelungen mit gleicher Zielrichtung vorsieht.
Konkret bedeutet dies, dass die spezifischen Regelungen des TTDSG vorrangig vor den DSGVO Bestimmungen gelten. Der Vorrang erstreckt sich jedoch nicht auf sämtliche Regelungen im Zusammenhang mit der Datenverarbeitung, sondern bezieht sich ausschließlich auf die Rechtmäßigkeit der Verarbeitung und insbesondere das Vorliegen einer Rechtsgrundlage. Andere Regelungen der DSGVO, beispielsweise die Informationspflichten nach Art. 13 und 14 DSGVO, finden weiterhin Anwendung. Bei nachfolgenden Verarbeitungen der personenbezogenen Daten, die von keiner Spezialregelung des TTDSG erfasst werden, sind ebenfalls die allgemeinen DSGVO Vorschriften einschlägig, somit ist für die Weiterverarbeitung beispielsweise Art. 6 Abs. 1 Satz 1 lit. a DSGVO als Rechtsgrundlage zu verwenden.
Auch wenn die Technologie gemäß § 25 Abs. 2 TTDSG keiner Einwilligung bedarf, aber dennoch gleichzeitig personenbezogene Daten verarbeitet, gilt die Kollisionsregel des Art. 95 DSGVO, womit für die Nutzung der Technologie keine weitere Rechtsgrundlage (wie etwa Art. 6 DSGVO) erforderlich ist. Die anschließende Weiterverarbeitung der personenbezogenen Daten richtet sich jedoch auch in dieser Konstellation nach den Vorschriften der DSGVO.
Adressaten und räumlicher Anwendungsbereich des TTDSG
Neben Anbieter*innen von Telekommunikationsdiensten sind vor allem Anbieter*innen von Telemediendiensten gemäß § 2 Abs. 2 Nr. 1 TTDSG die Adressaten des TTDSG. Gemäß § 1 Abs. 3 TTDSG unterliegen dem räumlichen Anwendungsbereich des TTDSG alle Adressaten, die in dem Geltungsbereich des Gesetzes eine Niederlassung haben, Dienstleistungen erbringen oder daran mitwirken oder Waren auf dem Markt bereitstellen (Marktortprinzip).
Wesentliche Regelungen des TTDSG
In den §§ 3 bis 18 TTDSG finden sich Vorschriften für den Schutz der Privatsphäre und zum Datenschutz in der Telekommunikation.
Vorschriften für die Anbieter von Telemedien und Endeinrichtungen befinden sich in §§ 19 bis 26 TTDSG. Vor allem gilt es Vorschriften zu technischen und organisatorischen Maßnahmen, zur Verarbeitung von Daten zum Jugendschutzzweck und zur Auskunftserteilung zu beachten.
Für Endeinrichtungen ist insbesondere § 25 TTDSG relevant, mit dem die Cookie-Regelung aus Art. 5 Abs. 3 ePrivacy-Richtlinie umgesetzt wurde.
Insbesondere: § 25 TTDSG
Der zentrale § 25 TTDSG schützt Endnutzer* innen davor, dass Dritte unbefugt auf deren Endeinrichtung Infor mationen speichern oder auslesen und dadurch ihre Privatsphäre verletzen.
In § 25 Abs. 1 Satz 1 TTDSG wird der Grundsatz der Einwilligungsbedürftigkeit für die Speicherung von oder den Zugriff auf Informationen in Endeinrichtungen von Nutzer*innen normiert.
Endeinrichtungen werden in § 2 Abs. 2 Nr. 6 TTDSG legaldefiniert, es wurde bewusst ein weiter Anwendungsbereich gewählt. Neben Smartphones, Tablets und Laptops wird auch der Bereich des Internets der Dinge erfasst, beispielsweise Smarthome-Anwendungen wie Küchengeräte.
Ein weiteres Tatbestandsmerkmal des § 25 TTDSG ist die Speicherung von oder der Zugriff auf Informationen. § 25 TTDSG ist bewusst technikneutral formuliert, sodass alle Techniken und Verfahren erfasst werden, mittels derer das Speichern und Auslesen von Informationen möglich ist. Ein Zugriff liegt vor, wenn eine gezielte und nicht durch die Endnutzer*innen veranlasste Übermittlung der Browser-Informationen stattfindet.
§ 25 Abs. 1 TTDSG fordert eine Einwilligung unabhängig von einem Personenbezug der Daten, denn die Nutzer*innen sollen vor jedem Eingriff in die Privatsphäre geschützt werden, womit die Vorschrift über den Anwendungsbereich der DSGVO hinausgeht.
Eine Bündelung von Einwilligungen ist möglich, wenn bei der Abfrage eindeutig erkennbar ist, dass mit einer einzelnen Handlung mehrere Einwilligungen erteilt werden.
→ Anforderungen an die Einwilligung
Das TTDSG enthält keine telekommunikations- oder telemedienspezifischen Vorgaben für die Einwilligung der Nutzer*innen der Endeinrichtungen, sondern § 25 Abs. 1 S. 2 TTDSG verweist bezüglich der formalen und inhalt- lichen Anforderungen auf die Vorschriften der DSGVO.
Entsprechend Art. 4 Nr. 11 DSGVO muss die Einwilligung daher freiwillig, für den bestimmten Fall, in informierter Weise und unmissverständlich in Form einer Erklärung oder sonstigen eindeutigen bestätigenden Handlung ab- gegeben werden. Art. 7 und 8 DSGVO stellen weitere Bedingungen auf, insbesondere muss die Möglichkeit zum Widerruf der Einwilligung ebenso einfach wie die Erteilung sein. Die Einwilligung muss bereits erteilt sein, bevor der einwilligungsbedürftige Zugriff auf die Endeinrichtung stattfindet.
→ Ausnahmen von der Einwilligungsbedürftigkeit
§ 25 Abs. 2 TTDSG normiert zwei Ausnahmen von dem Grundsatz der Einwilligungsbedürftigkeit.
Zum einen ist eine Einwilligung gemäß § 25 Abs. 2 Nr. 1 TTDSG nicht erforderlich, wenn der alleinige Zweck der Speicherung von oder Zugriff auf Informationen in der Endeinrichtung die Durchführung der Übertragung einer Nachricht über ein öffentlichen Telekommunikationsnetz ist.
Außerdem ist eine Einwilligung gemäß § 25 Abs. 2 Nr. 2 TTDSG entbehrlich, wenn die Speicherung von oder der Zugriff auf Informationen in der Endeinrichtung unbedingt erforderlich ist, um einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung zu stellen. Die Tatbestandsmerkmale „unbedingt erforderlich“ und „ausdrücklich gewünscht“ sind auslegungsbedürftig.
→ ausdrücklich gewünscht
Dem Zweck der Norm entsprechend ist eine differenzierte Betrachtung einer Webseite oder App notwendig. Der jeweilige Basisdienst ist grundsätzlich als der von den Nutzer*innen gewünschte Telemediendienst anzusehen, wenn diese den Dienst bewusst aufrufen. Welcher Funktionsumfang bezüglich des Zusatzumfangs des Dienstes gewünscht ist, muss im Einzelfall aus der Perspektive durchschnittlich verständiger Nutzer*innen beurteilt wer den. Zusatzdienste und -funktionen werden in der Regel erst gewünscht, wenn sie explizit in Anspruch genommen werden. Sind in Webseiten oder Apps zusätzliche allgemeine Funktionen integriert, die die Nutzer*innen regelmäßig nicht bewusst wahrnehmen und somit nicht aktiv auswählen, beispielsweise die Analyse von Besucherzahlen, kommt es bei der Bewertung darauf an, ob die Zwecke der Funktionen nutzerorientiert erfolgen.
→ unbedingt erforderlich
Auch bei ausdrücklich gewünschten Diensten sind nur solche Zugriffe von der Ausnahme erfasst, die technisch erforderlich sind, um den Dienst bereitzustellen. Das Kriterium der unbedingten Erforderlichkeit hat neben dem
„ob“ noch eine zeitliche, inhaltliche und personelle Dimension.
Zeitlich darf der Speicher- und Auslesevorgang von Informationen auf dem Endgerät erst beginnen, wenn die konkrete Funktion des Telemediendienstes von Nutzenden tatsächlich in Anspruch genommen wird. Der Zeitraum der Speicherung darf nur so lang sein, wie für die Umsetzung der differenzierten Funktionen des Telemediendienstes erforderlich ist. Bei Cookies ist die Laufzeit von vornherein festzulegen, grundsätzlich sind Session- Cookies eher erforderlich als langlebige Cookies.
Inhaltlich dürfen nur die unbedingt erforderlichen Informationen ausgelesen und gespeichert werden.
Personell muss sichergestellt werden, dass Informationen nachträglich nur von den Betreiber*innen der jeweiligen Webseite ausgelesen werden können. Da dies bei Third-Party-Cookies gerade nicht der Fall ist, muss sichergestellt werden, dass Drittdienstleister die ausgelesenen Informationen ausschließlich für die von Nutzenden aufgerufene Webseite verwenden.
Fazit zum TTDSG
Insgesamt ist festzuhalten, dass die Regelungen des TTDSG zum Einwilligungserfordernis bei Cookies weitestgehend den Vorgaben entsprechen, die bereits in der Vergangenheit umgesetzt werden mussten. Die gesetzliche Festschreibung im TTDSG ist jedoch aus Gründen der Rechtsklarheit zu begrüßen. Aus denselben Gründen begrüßenswert ist die durch das TTDSG erreichte Bündelung der Datenschutzvorschriften in einem einheitlichen Gesetz.
