Neue Datenschutzvorgaben für TK-Anbieter sowie Betreiber von Websites und Apps in Planung.
Am 10.02.2021 hat das Bundeskabinett den Entwurf für ein Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG) beschlossen. Mittels des geplanten Gesetzes sollen die Datenschutzvorgaben für Telemedien und Telekommunikationsdienste zusammengeführt (TK-Anbieter sowie Betreiber von Webistes und Apps in Planung) und an das geltende europäische Recht angepasst werden.
Neue Datenschutzvorgaben für TK-Anbieter sowie Betreiber von Websites und Apps in Planung
Mit dem TTDSG soll u.a. das Setzen und Auslesen von Cookies und die Verwendung von vergleichbaren Techniken zur Wiedererkennung von Nutzern, wie z.B. das Browser Fingerprinting, geregelt werden. Anders als noch der vorhergehende Referentenentwurf für ein TTDSG, zu dem die GDD im Rahmen der Verbändeanhörung eine Stellungnahme abgegeben hat, orientiert sich der Regierungsentwurf bezüglich der „Cookie-Regelung“ (§ 24 TTDSG-E) dabei unmittelbar am Wortlaut der ePrivacy-Richtlinie (2002/58/EG).
Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sollen ohne vorherige Einwilligung des Nutzers nur zulässig sein, wenn entweder der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann. Für Cookies, die im Zusammenhang mit dem Webauftritt eines Unternehmens gesetzt werden, ist damit entscheidend, inwieweit diese als „unbedingt erforderlich“ zur Diensteerbringung angesehen werden können. Jedenfalls für technisch erforderliche Cookies, z.B. Warenkorbcookies oder Session Cookies in benutzergeschützten Bereichen, wird man dies annehmen können.
Wichtige Fragen im Zusammenhang mit Cookies und vergleichbaren Verfahren bleiben nach der geplanten Regelung zum Leidwesen der Praxis jedoch ungelöst. Dies gilt etwa im Hinblick auf Cookies, die zur Websiteoptimierung (auch „Reichweitenmessung“ oder „Analytics“) zum Einsatz kommen. An derartigen Verfahren besteht naturgemäß ein großes Interesse der Websitebetreiber. Diese in Abhängigkeit von einer Nutzereinwilligung zu stellen, ist problematisch, weil eine effektive Websiteoptimierung eine möglichst breite Datenbasis, eine wirksam erteilte Einwilligung aber deren Freiwilligkeit bedingt. First-Party-Analysecookies stellen auch kaum ein Datenschutzrisiko dar, wenn sie nur für aggregierte Statistiken des Erstanbieters genutzt und von Websites verwendet werden, die in ihrer Datenschutzrichtlinie bereits unmissverständlich über die Cookies informieren und ausreichende Datenschutzgarantien bieten (Art. 29-Datenschutzgruppe, Stellungnahme 04/2012 zur Ausnahme von Cookies von der Einwilligungspflicht, Stand: 7.6.2012, S. 11 f.).
ePrivacy-RL und Cookies
Aufgrund der engen Vorgaben der ePrivacy-RL, wonach Cookies „unbedingt erforderlich“ für die Diensteerbringung sein müssen, was für Analysecookies zweifelhaft ist, würde allerdings über jeder großzügigeren als der in § 24 TTDSG-E geplanten Regelung das Damoklesschwert potenzieller Europarechtswidrigkeit hängen. Sachgerechte Regelungen für Cookies und Co. schaffen kann letztlich nur der europäische Gesetzgeber. Nach langem Stocken hat zuletzt das Gesetzgebungsverfahren zur ePrivacy-Verordnung nun auch wieder Fahrt aufgenommen, indem sich der Ministerrat auf eine gemeinsame Position verständigt hat und nun mit dem Trilog mit Parlament und EU-Kommission begonnen werden kann.
Anders als noch im Referentenentwurf vorgesehen (§ 3 TTDSG-E alt), soll nach dem Regierungsentwurf auf eine Regelung zu Personal Information Management Services (PIMS) im TTDSG verzichtet werden. Dies wäre bedauerlich. § 3 TTDSG-E alt ging auf eine Empfehlung der Datenethikkommission (DEK) zurück, die Datentreuhandsystemen ein großes Potenzial attestiert hat (Gutachten der Datenethikkommission (2019), Handlungsempfehlung 21). Die Idee ist, dass Nutzer auf Dashboards einmalig Datenschutzeinstellungen vornehmen, die von den Diensteanbietern übernommen werden müssen.
Ein weiterer wesentlicher Unterschied zwischen Referenten- und Regierungsentwurf besteht darin, dass nach dem Referentenentwurf nur Anbieter öffentlicher Telekommunikationsdienste und Betreiber öffentlicher Kommunikationsnetze zur Wahrung des Fernmeldegeheimnisses verpflichtet sein sollten (§ 3 Abs. 2 TTDSG-E alt). Damit wäre klar gewesen, dass Arbeitgeber, welche die private Nutzung der Telekommunikationssysteme durch Beschäftigte zulassen, nicht erfasst sind. Nach dem Regierungsentwurf sind nunmehr auch „Anbieter von ganz oder teilweise geschäftsmäßig angebotenen Telekommunikationsdiensten“ zur Wahrung des Fernmeldegeheimnisses verpflichtet (§ 3 Abs. 2 Nr. 2 TTDSG-E). Da für die Geschäftsmäßigkeit nicht die Gewinnerzielungsabsicht, sondern die Nachhaltigkeit des Angebots entscheidend ist, bliebe es also bei der schon lang andauernden Diskussion um die rechtlichen Konsequenzen der erlaubten Privatnutzung.