Telekommunikation-Telemediendatenschutz-Gesetz (TTDSG) in Kraft getreten

01.12.2021

Zugleich soll mit der Gesetzesänderung die Rechtsunsicherheit beseitigt werden, die durch das bisherige Nebeneinander von DS-GVO, TMG und TKG entstand. Die Datenschutzbestimmungen von TKG und TMG werden hierzu in einem Gesetz zusammengefasst.

Die Regelungen des TTDSG gelten nicht nur für TK-Anbieter für die Öffentlichkeit. Zwar treffen TK-Anbieter für die Öffentlichkeit weitergehende Rechtspflichten als solche Stellen, die TK-Angebote lediglich für geschlossene Benutzergruppen machen. Das Fernmeldegeheimnis haben nach § 3 Abs. 2 S. 1 Nr. 2 TTDSG aber bereits Anbieter von „ganz oder teilweise geschäftsmäßig angebotenen Telekommunikationsdiensten“ zu achten. Dasselbe gilt für die speziellen Datenschutzbestimmungen in §§ 9 bis 12 TTDSG. Unter der bisherigen Rechtslage wurden von der herrschenden Meinung auch Arbeitgeber als geschäftsmäßige TK-Anbieter eingestuft, sofern diese die private Nutzung der betrieblichen Kommunikationsmittel erlauben. Ein Anbieter-Nutzer-Verhältnis wird sogar bei bloßer Duldung seitens des Arbeitgebers angenommen, sofern der Arbeitgeber die sich eingebürgerte private Nutzung durch die Beschäftigten offensichtlich kennt und über einen längeren Zeitraum ohne Beanstandungen hinnimmt.

Praktische Relevanz haben die neuen Bestimmungen für „normale“ Unternehmen und öffentliche Stellen zudem, sofern diese Cookies einsetzen im Rahmen des Websitebetriebs. § 25 TTDSG macht die Speicherung von Informationen in der Endeinrichtung des Endnutzers bzw. den Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, im Grundsatz von der Einwilligung des Endnutzers abhängig. Ein Anwendungsfall von § 25 TTDSG ist das Setzen und Auslesen von Cookies. Die Regelung ist jedoch technologieneutral. Auch andere Verfahren, die mit einem Zugriff auf die Endeinrichtung verbunden sind, wie z.B. das sog. Browserfingerprinting, werden erfasst.

Ausnahmen vom Einwilligungserfordernis sieht § 25 TTDSG nur zu Zwecken der Nachrichtenübertragung vor oder wenn der Zugriff auf die Endeinrichtung „unbedingt erforderlich“ ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann. Unbedingt erforderlich in diesem Sinne sind z.B. Warenkorbcookies oder das Setzen von Session Cookies, wenn sich der Nutzer in einen Onlineaccount einloggt.

Die Datenschutzaufsichtsbehörden haben teilweise bereits angekündigt, die Ausnahmen vom Einwilligungserfordernis nach § 25 TTDSG eng auslegen zu wollen. Teilweise wird Verantwortlichen gar geraten, „im Zweifelsfall und in Anbetracht der wachsenden Einwilligungsmüdigkeit vieler Nutzerinnen und Nutzer zu erwägen, auf bestimmte Techniken zu verzichten“.

Hierzu sei darauf hingewiesen, dass bereits die Zuständigkeit der Datenschutzaufsichtsbehörden für den Vollzug des TTDSG zweifelhaft ist. Jedenfalls gehört es nicht zu den Befugnissen einer Aufsichtsbehörde, von gesetzlich erlaubten Datenverarbeitungen abzuraten. Die nationalen Datenschutzaufsichtsbehörden sollten im Hinblick auf die Interpretation des TTDSG keinen „Alleingang“ unternehmen, sondern sich mit den anderen europäischen Behörden abstimmen, um eine uneinheitliche Rechtsanwendung in den Mitgliedstaaten und Nachteile für deutsche Unternehmen zu vermeiden. § 25 TTDSG ist eine nahezu wortgetreue Umsetzung der Vorgaben aus Art. 5 Abs. 3 e-Privacy-Richtlinie, mit dessen Umsetzung die Aufsichtsbehörden in anderen europäischen Mitgliedstaaten bereits Erfahrung haben. So ist etwa die Interpretation der französischen Aufsichtsbehörde CNIL eher pragmatisch. Nach Ansicht der CNIL können Cookies im Fall rein aggregierter Web-Analyse zum Zweck der Reichweitenmessung und Websiteoptimierung als essenziell und damit einwilligungsfrei angesehen werden.

Die Neuregelungen führen nicht zwingend zu einem Erfordernis, die Datenschutzerklärung der Website anzupassen. Zwar ist nach Art. 13 DS-GVO der betroffenen Person bei Datenerhebung auch die Rechtsgrundlage der Verarbeitung anzugeben. Die Nennung von konkreten Normen ist insofern aber ohnehin nicht zielführend, da die meisten Nutzer datenschutzrechtliche Laien sind. Besser ist es, die Rechtsgrundlage abstrakt zu bezeichnen, also z.B. „zur Erbringung des Dienstes“. Im Übrigen ist § 25 TTDSG keine Rechtsgrundlage für die Verarbeitung personenbezogener Daten. § 25 TTDSG schützt – unabhängig davon, ob natürliche oder juristische Personen betroffen sind – die Integrität des Endgeräts. Die Verarbeitung personenbezogener Daten im Zusammenhang mit dem Zugriff auf das Endgerät regelt die DS-GVO. Bezugspunkt der Datenschutzerklärung ist somit nicht das Setzen oder Auslesen von Cookies als solches, sondern die personenbezogene Datenverarbeitung, die hiermit ggf. einhergeht.

>> Weiterführende Informationen zum TTDSG finden sich in der GDD-Praxishilfe „Das neue TTDSG im Überblick“, die hier abgerufen werden kann.