Das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) und seine Bedeutung für die Praxis

Regelung des Datenschutzrechts für Anbieter von Telemedien- und Telekommunikations-Dienstleistungen

Ziel dieses Gesetzes ist es, das Datenschutzrecht in Deutschland zu konsolidieren. Die 2002 verabschiedete und 2009 erweiterte ePrivacy-Richtlinie der EU wurde damit in nationales Recht umgesetzt. Zudem wurden datenschutzrechtliche Vorschriften aus dem TKG und dem TMG zusammengefasst und an die DS-GVO angeglichen. Rechtsunsicherheiten, die durch das bisherige Nebeneinander von drei Gesetzen (TKG, TMG, DS-GVO) entstanden sind,  sollten so ausgeräumt werden. Die Rechtsanwendung wird nunmehr durch ein einheitliches Gesetz erleichtert.

Für die Praxis bringt das Gesetz eine wesentliche Neuerung: Es kodifiziert die bisher von der Rechtsprechung vorgegebenen Grundsätze zur Einwilligung in die Speicherung von Informationen auf Endeinrichtungen und regelt die Zulässigkeit des Zugriffs auf vorhandene Informationen.

Technologieneutraler Anwendungsbereich des TTDSG

Das TTDSG ist technologieneutral gefasst, d.h. es erfasst sämtliche Endeinrichtungen. Darunter fallen klassische Endgeräte wie Smartphones und Tablets, aber auch Haushaltsgeräte vom smarten Kühlschrank bis zur Beleuchtung mit Anschluss an das heimische WLAN.

Der Anwendungsbereich des TTDSG ist weit. Er umfasst z.B. auch OTT-Dienstleister als Anbieter von Telemedien- und Telekommunikations-Dienstleistungen. OTT-Kommunikationsdienste sind Dienste, die über eine Internetverbindung angeboten werden, ohne dass der Internetanbieter selbst Einfluss auf oder Kontrolle über den Content hat.

Zentrale Norm des TTDSG: Die Einwilligung nach § 25 TTDSG am Beispiel von Tracking Cookies

Die zentrale Norm des Gesetzes ist § 25 TTDSG, der das Erfordernis einer Einwilligung des Endnutzers regelt und für die Modalitäten der Einwilligung auf die DS-GVO verweist. Besonders praxisrelevant ist dies für die Zulässigkeit von Tracking Cookies. Tracking Cookies verfolgen das Verhalten eines Nutzers beim Aufruf von Websites. Dabei wird eine Cookie-ID an den Nutzer vergeben, mittels der ihm alle seine Interaktionen zugeordnet werden können.

Anforderungen an eine wirksame Einwilligung

Die Einwilligung muss vom Nutzer des Geräts vor dem Zugriff der Website bzw. der App auf das Endgerät eingeholt werden.

Der Einwilligende muss hinreichend informiert sein. Dafür ist entscheidend, dass bei Einwilligung jegliche Speicher- und Ausleseaktivitäten für den Nutzer transparent und nachvollziehbar sind.

In der Praxis wird häufig mit der sog. Banner-Lösung gearbeitet. Bereits im Banner müssen folgende Informationen dem Nutzer angezeigt werden: Wer greift in welcher Form, zu welchem Zweck und über welche Dauer auf die Endeinrichtung zu? Erhalten auch Dritte Zugriff bzw. werden Daten an Dritte weitergeben? Ein Hinweis, wie beispielsweise „Wir verwenden Cookies, um ihr Nutzungserlebnis zu verbessern“, reicht nicht aus. Nicht ausreichend ist auch, wenn erst eine ausklappbare Detailansicht zu den erforderlichen Informationen führt. Die Ablehnung von Cookies muss direkt möglich sein. Von einem Button „weitere Informationen" ist daher abzuraten.

Außerdem muss der Nutzer über einen möglichen Widerruf der Einwilligung aufgeklärt werden. Ein Widerruf muss genau so einfach möglich sein, wie die Einwilligung erteilt wurde.

Die Einwilligung muss ausdrücklich erteilt werden. Das Aufrufen einer Website allein stellt noch keine Einwilligung dar. Es ist möglich, die Einwilligung nach dem TTDSG und die nach DS-GVO, gleichzeitig einzuholen. Jedoch muss erkennbar sein, dass beide Einwilligungen gleichzeitig erteilt werden.

Für eine echte Wahlmöglichkeit muss der Nutzer die Möglichkeit haben, Cookies abzulehnen. Die Wahlmöglichkeit muss websiteintern gegeben sein. Es genügt nicht, wenn darauf verwiesen wird, dass ein Endnutzer die gleiche Dienstleistung auf einer anderen Website „ohne Cookies“ in Anspruch nehmen könnte. Die Wahl, eine Einwilligung zu erteilen oder nicht, darf sich also nur auf eine Website beziehen und nicht das Angebot anderer Websites als Rechtfertigung dafür anführen, dass die Cookies auf der eigenen Website zwingend sind.

Wann muss keine Einwilligung des Nutzers eingeholt werden?

In zwei Fällen muss keine Einwilligung eingeholt werden:

• (1.) beim Speichern von Daten, die zur Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz gespeichert werden und
• (2.) bei unbedingt erforderlichen Zugriffen, um vom Endnutzer ausdrücklich gewünschte Telemediendienste zur Verfügung zu stellen. „Unbedingt erforderlich“ bedeutet: Der Auslese-/Speichervorgang darf erst dann erfolgen, wenn die durch ihn ermöglichte Funktion benutzt wird. Es dürfen nur Auslese-/Speichervorgänge stattfinden, die technisch notwendig sind und die Speicherung darf nur so lange erfolgen, wie sie zur technischen Umsetzung der Funktion gebraucht wird.

Was droht bei einem Verstoß?

Bei einem Verstoß gegen datenschutzrechtliche Vorgaben des TTDSG und der DS-GVO drohen Bußgelder. Auch eine doppelte Verhängung eines Bußgelds nach TTDSG und DS-GVO ist nach Gesetzeslage möglich. Das stellt eine Änderung durch das neue Gesetz dar. Es bleibt abzuwarten, wie die Datenschutzbehörden dies praktisch handhaben.

Ausblick und Einordnung: Quo vadis Datenschutz?

Auch in Zukunft bleibt es spannend im Datenschutzrecht. Perspektivisch zeichnen sich zwei weitere Änderungen ab, mit denen Anbieter von Telemedien und TK-Dienstleistungen in absehbarer Zeit rechnen sollten:

Zum einen wird die sog. Einwilligungsverwaltung, die bereits in § 26 TTDSG vorgesehen ist, zunehmend praktisch relevant werden. Personal Information Management Systems (kurz: PIMS) sollen dem Nutzer ermöglichen, einen Überblick über seine Einwilligungen zu behalten und im konkreten Einzelfall die Einwilligung zu Cookies zu erteilen. Die PIMS würden nach vorheriger, genereller Auswahl des Endnutzers eine Einwilligung automatisiert erteilen. Für die Umsetzung in der Praxis bedarf es aber nach. § 26 Abs. 2 TTDSG einer Verordnung der Bundesregierung, die ein Anerkennungsverfahren für solche PIMS-Dienstleister statuiert und das Zusammenspiel aller Beteiligten regelt. Diese gibt es bis dato noch nicht.

Zudem wird auf EU-Ebene weiterhin an einer ePrivacy-Verordnung gearbeitet. Auch wenn die Verhandlungen noch andauern, zeichnen sich bereits gewisse Tendenzen ab: Geplant ist u.a. eine erweiterte Reichweitenmessung ohne Einwilligungserfordernis. Daneben sollen auch Einwilligungsverwaltungen ermöglicht werden.

Durch das TTDSG ist das Einwilligungserfordernis für Cookies nun gesetzlich geregelt. Unternehmen sollten ihre Websites entsprechend anpassen, wenn sie Tracking Cookies verwenden. Andernfalls könnte es teuer werden.