Das neue TTDSG ist in Kraft getreten

Inhalt

1. Regelungszweck und Adressaten
    
2. Neues zum Einsatz von Cookies und ähnlichen Technologien
    
3. PIMS – Was ist das?
    
4. Neuerungen im Bereich des Telekommunikationsdatenschutzes
    
5. Das Verhältnis zur ePrivacy-Verordnung und Ausblick

I. Regelungszweck und Adressaten

Zweck des TTDSG ist es, „mehr Rechtssicherheit und Rechtsklarheit zum Schutz der Privatsphäre in der digitalen Welt“ zu schaffen. Es richtet sich an Anbieter von Telemedien und an Anbieter von Telekommunikationsdiensten sowie an der Diensteerbringung mitwirkende natürliche und juristische Personen. Und auch Betreiber öffentlicher Telekommunikationsnetze und Telekommunikationsanlagen, mit denen geschäftsmäßig Telekommunikationsdienste erbracht werden, unterliegen Verpflichtungen nach dem TTDSG.

Anbieter von Telemedien ist nach § 2 Abs. 2 Nr. 1 TTDSG jede natürliche oder juristische Person, die eigene oder fremde Telemedien erbringt, an der Erbringung mitwirkt oder den Zugang zur Nutzung von eigenen oder fremden Telemedien vermittelt. Als Telemediendienste verpflichtet sind z.B. Betreiber einer rein informatorischen Webseite, eines Online-Shops oder von Internetsuchmaschinen.

Als Anbieter von Telekommunikationsdiensten kommen verschiedene Akteure in Betracht (siehe 3 Nr. 61 TKG). Neben Anbietern klassischer Telekommunikationsdienste, wie beispielsweise Internetzugangsdiensten, unterfallen den Neuregelungen auch Anbieter so genannter (nummernunabhängiger) interpersoneller Telekommunikationsdienste. Hierbei handelt es sich beispielsweise um Anbieter von E-Mail- und „Over the Top (OTT)“-Messenger-Diensten, die zum Zwecke der Signalübertragung auf bestehende Telekommunikationsinfrastrukturen zurückgreifen (zur bisherigen Rechtslage und Rechtsprechung zu diesen Diensten siehe hier).

II. Neues zum Einsatz von Cookies und ähnlichen Technologien

Eine der prominentesten Neuerungen findet sich in § 25 TTDSG. Hintergrund dieser Regelung ist die Umsetzung des Einwilligungserfordernisses aus Art. 5 Abs. 3 S. 1 der ePrivacy-Richtlinie. Sie betrifft insbesondere den Einsatz von Cookies und ähnlichen Technologien. § 25 Abs. 1 S. 1 TTDSG stellt den Grundsatz auf: die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Wie der Endnutzer informiert werden muss und was eine wirksame Einwilligung ausmacht, richtet sich nach den Vorgaben der DSGVO. Das bedeutet also, dass der Einsatz von Cookies und ähnlichen Technologien grundsätzlich nur nach Einholung einer informierten und wirksamen Einwilligung zulässig ist.

Dies gilt aber nicht ausnahmslos. Nach § 25 Abs. 2 TTDSG ist eine Einwilligung nicht erforderlich, wenn 1. der alleinige Zweck des Einsatzes von Cookies und ähnlichen Technologien die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder 2. der Einsatzes von Cookies und ähnlichen Technologien unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.

Wirklich Unbekanntes enthält die Regelung des § 25 TTDSG aber nicht – sie war jedenfalls mit Blick auf das Erfordernis einer richtlinienkonformen Auslegung sowie der in den vergangenen Jahren in diesem Zusammenhang ergangenen Rechtsprechung des EuGH (Urteil vom 1. Oktober 2019 – C-673/17 – „Planet49“) sowie BGH (Urteil vom 28. Mai 2020 – I ZR 7/16 – „Cookie-Einwilligung II“) erwartbar. Außerdem bleibt nach wie vor unklar, in welchen Fällen der Zugriff auf eine Endeinrichtung unbedingt erforderlich ist, um dem Nutzer den gewünschten Telemediendienst zur Verfügung zu stellen. Sog. Warenkorb- und Session-Cookies z.B. lassen sich wohl unter „unbedingt erforderlich“ fassen. Ob aber auch weitere Cookies z.B. zur Webseitenoptimierung hierunter fallen, bleibt nach wie vor unklar.

Zu beachten ist zudem, dass § 25 TTDSG nur das Erfordernis einer Einwilligung bzgl. des Zugriffs auf Endeinrichtungen regelt. Inwiefern eine sich daran anschließende Verwendung personenbezogener Daten rechtmäßig ist, richtet sich nach wie vor nach der DSGVO.

III. PIMS – Was ist das?

Neu sind auch sog. PIMS, also Personal Information Management Services, oder anerkannte Dienste zur Einwilligungsverwaltung. Über PIMS soll es Nutzern ermöglicht werden, ihre Entscheidung über den Einsatz von Cookies einmalig für eine Vielzahl von Webseiten zu treffen und so nicht mehr mit der Flut von Cookie-Bannern im Internet konfrontiert zu werden. Die nach § 26 TTDSG anerkannten Dienste sollen dann die Entscheidung der Nutzer im Hintergrund an die jeweiligen Webseitenbetreiber weitergeben. Die Einführung des § 26 TTDSG war eines der umstrittensten Themen im Gesetzgebungsverfahren.

§ 26 Abs. 1 TTDSG sieht ein konkretes Verfahren für die Anerkennung dieser PIMS vor. Die dort aufgezählten Voraussetzungen müssen kumulativ vorliegen und dienen insbesondere dazu, die Unabhängigkeit der PIMS zu wahren. Weitere Einzelheiten zu den Anforderungen sind gemäß § 26 Abs. 2 TTDSG in einer durch die Bundesregierung zu erlassenden Rechtsverordnung näher zu bestimmen. Doch solange diese Rechtsverordnung nicht erlassen ist, können PIMS im Cookie-Banner-Wirrwarr auch noch keine Abhilfe schaffen.

Weitere Informationen zum Telemediendatenschutz nach dem TTDSG finden Sie hier.

IV. Neuerungen im Bereich des Telekommunikationsdatenschutzes

Neben §§ 25 und 26 hält das TTDSG weitere Neuerungen bereit. Beachtenswert sind dabei die Bestimmungen in Teil 2 (§§ 3 bis 18 TTDSG). Diese treffen Anordnungen zum Datenschutz und zum Schutz der Privatsphäre in der Telekommunikation, zum Fernmeldegeheimnis, zur Verarbeitung von Verkehrs- und Standortdaten, zu Endnutzerverzeichnissen sowie zur Rufnummernunterdrückung und -anzeige.

Der 2. Teil des TTDSG enthält überwiegend keine neuen materiellen Regelungen, sondern überträgt die Vorschriften aus §§ 88 ff. TKG unter Vornahme erforderlicher Anpassungen an die DSGVO in das TTDSG. Eine tatsächliche Neuerung besteht in der Ausdehnung des Anwendungsbereichs des Fernmeldegeheimnisses und des speziellen Telekommunikationsdatenschutzes, die seit dem 1. Dezember 2021 auch für sog. „Over the Top (OTT)“-Kommunikationsdienste Geltung beanspruchen. Anbieter solcher Dienste müssen seit dem 1. Dezember 2021 die speziellen fernmelde- und datenschutzrechtlichen Vorgaben des TTDSG beachten. Dies gilt wiederum nicht für Dienste, die eine interpersonelle und interaktive Telekommunikation lediglich als untrennbar mit einem anderen Dienst verbundene untergeordnete Nebenfunktion ermöglichen (siehe § 2 Abs. 1 TTDSG i.V.m. § 3 Nr. 24 TKG).

Erwähnenswert ist weiter die gesetzgeberische Klarstellung zum digitalen Nachlass in § 4 TTDSG, die die entsprechende Rechtsprechung des Bundesgerichtshofs (siehe BGH, Urteil vom 12. Juli 2018, III ZR 183/17; BGH, Beschluss vom 27. August 2020 III ZB 30/20) gesetzlich verankert.

Nähere Informationen zu diesen und weiteren Änderungen im Bereich des Fernmeldegeheimnisses und des Telekommunikationsdatenschutzes finden Sie hier.

V. Das Verhältnis zur ePrivacy-Verordnung und Ausblick

Ursprünglich sollte vom 25. Mai 2018 an die ePrivacy-VO zusammen mit der DSGVO Geltung erlangen. Doch bis heute steht auf europäischer Ebene eine Einigung auf einen gemeinsamen Gesetzesentwurf aus. Das TTDSG soll vor diesem Hintergrund als Lösung für die Übergangszeit bis zum Inkrafttreten der ePrivacy-VO dienen und mittelfristig durch diese abgelöst bzw. entsprechend angepasst werden. Vollumfängliche Rechtssicherheit mit Blick auf den Einsatz von Cookies und anderen Technologien bringt das TTDSG aber auch für diese Übergangszeit nicht. Zu interpretationsoffen sind z.B. Begriffe wie „untergeordnete Nebenfunktion“ in § 2 Abs. 1 TTDSG i.V.m. § 3 Nr. 24 TKG oder „unbedingt erforderlich“ in § 25 TTDSG.

Trotz des neuen TTDSG gilt es nach wie vor die weitere Entwicklung auf europäischer Ebene im Blick zu behalten. Beachtet man die mögliche Übergangszeit von 24 Monaten ab Inkrafttreten, wird die ePrivacy-VO jedoch nicht vor 2025 Geltung erlangen. Das TTDSG dürfte uns also eine Weile erhalten bleiben. Nähere Informationen finden Sie auch auf unserer Insight-Seite zur ePrivacy-VO.