Blog, Datenschutz & Informationssicherheit, Sven Schüldink,

Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien

Wie in unserer Podcastfolge vom Februar 2021 (Link) angekündigt, hat der Bundestag wie erwartet das Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien (Kurztitel: Telekommunikation-Telemedien-Datenschutz-Gesetz, Abkürzung: TTDSG) verabschiedet. Das TTDSG (https://dserver.bundestag.de/btd/19/298/1929839.pdf) tritt am 1.12.2021 in Deutschland in Kraft und setzt die EU-ePrivacy-Richtlinie – nicht zu verwechseln mit der EU-ePrivacy-Verordnung – aus dem Jahr 2002 um. EU-Richtlinie haben im Gegensatz zu EU-Verordnungen keine direkte Anwendung in den EU-Mitgliedern, sondern müssen stets durch Gesetze in den EU-Mitgliedsstaaten umgesetzt werden. Diese Umsetzung in nationales Recht hatte Deutschland, verspätet, durch Anpassungen des TKG und des UWG durchgeführt. Allerdings sind nun durch das TTDSG die Anforderungen der ePrivacy-Richtlinie zentraler geregelt – die datenschutzrelevanten Bestimmungen in TKG und TMG entfallen ab dem 1.12.21. Ebenfalls wurde das Urteil des Bundesgerichtshofes (BGH) und des Europäischen Gerichtshofes (EuGH) zur Einwilligungspflicht von technisch-nicht-notwendigen Cookies nun in ein Gesetz gegossen.

Cookie-Einwilligungen

Die Regelungen zu den Cookie-Einwilligungen werden zukünftig in § 25 TTDSG wie folgt beschrieben.

„§ 25 TTDSG Schutz der Privatsphäre bei Endeinrichtungen
Abs. 1 Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 zu erfolgen.
Abs. 2 Die Einwilligung nach Absatz 1 ist nicht erforderlich,
Nr. 1 wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder
Nr. 2 wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.“

https://dserver.bundestag.de/btd/19/298/1929839.pdf

Hier wird deutlich, dass die Speicherung von Cookies auf Endgeräten (jedes Gerät mit einer Internetverbindung: z.B. Computer, Smartphones, Tabletts, Smarthome-Geräte) von Nutzern oder das Auslesen von vorhandenen Cookies nur zulässig sind, wenn sich diese Verarbeitungen auf transparente und informierte Einwilligungen, nach Maßgabe der DSGVO richten (Link). Im zweiten Absatz kommt der Erlaubnistatbestand der technisch-notwendigen, hier nun „unbedingt erforderlichen“, Cookies zu tragen. Sollten demnach Cookies unbedingt erforderlich sein, um eine ausdrücklich gewünschte Funktion anzubieten, ist dies auch ohne Einwilligung möglich (z.B. Warenkorbfunktion). Wer sich also seit spätestens der Urteile des EuGH (Planet49-Urteil; Urt. v. 1.10.2019, Az. C-673/17) und BGH (Cookie-Einwilligung II; 28.05.2020 – I ZR 7/16) an die gängige Praxis hält, sollte hier in der Regel keinen Handlungsbedarf haben.

Dienste zur Einwilligungsverwaltung

Nach § 26 TTDSG können nun bestimmte Unternehmen (ohne wirtschaftliches Eigeninteresse) sogenannte PIMS (Personal Information Management Services) anbieten, bei denen sich Nutzer registrieren, einmalig ihre Cookie-Vorlieben hinterlegen können und der Anbieter leitet diese Einstellungen im Hintergrund an die jeweiligen Webseiten. So sollen lästige Cookiebanner überwunden werden.

Nutzungsdaten

Den Strafverfolgungsbehörden und Nachrichtendienste Bundeskriminalamt, Zollkriminalamt, Verfassungsschutzbehörden, Militärischen Abschirmdienst und Bundesnachrichtendienst dürfen Nutzungsdaten und gewissen Umständen übermittelt werden. Für Unternehmen die geschäftsmäßig Telemediendienste erbringen, daran mitwirken oder den Zugang daran vermitteln müssen diese Nutzungsdaten an die o.g. Stellen auf Anfrage übermittelt. Eine etwaige Verschlüsselung bleibt allerdings unberührt.

Fernmeldegeheimnis

Das Fernmeldegeheimnis wird im neuen TTDSG ebenfalls normiert. Hier stellt sich die Frage, ob sich auch Arbeitgeber, die ihren Beschäftigten die Privatnutzung von beispielsweise Internet oder Telefonie erlauben, auf das Fernmeldegeheimnis verpflichten müssen. Nach dem TTDSG fallen „Anbieter von ganz oder teilweise geschäftsmäßig angebotenen Telekommunikationsdiensten“ unter das Fernmeldegeheimnis – ob dies ebenfalls auch für Arbeitgeber gilt, bleibt unklar.

Digitaler Nachlass

Auf das Fernmeldegeheimnis berufen, können sich Diensteanbieter nun für Erben eine digitalen Benutzerkontos nicht mehr. Hier gilt nun explizit eine Ausnahme, sodass Erben nun auch die Wahrnehmung von Rechte des Verstorbenen möglich ist.