TKG und TMG

TTDSG - aus zwei mach eins

25.09.2020
Von   ,  IDG ExpertenNetzwerk und
Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.
Gerrit Feuerherdt ist Rechtsanwalt bei der Luther Rechtsanwaltsgesellschaft mbH und berät schwerpunktmäßig im IT- und Datenschutzrecht und zu Fragen der Digitalisierung. Er studierte Rechtswissenschaften an der Universität zu Köln mit dem Schwerpunkt Geistiges Eigentum und Wettbewerbsrecht. Während seiner Referendarsausbildung war er u. a. bei der Landesbeauftragten für Datenschutz und Informationsfreiheit NRW (LDI NRW) und in der Konzernrechtsabteilung eines führenden DAX-notierten Telekommunikationsunternehmens tätig. Im Jahr 2019 legte er erfolgreich das zweite Staatsexamen ab.
Yvonne Wolski ist Rechtsreferendarin und wissenschaftliche Mitarbeiterin bei Luther Rechtsanwaltsgesellschaft mbH. Ihre Tätigkeitsschwerpunkte liegen im Datenschutz- und IT-Recht.
Ein Referentenentwurf des Bundeswirtschaftsministeriums zielt darauf ab, bestehende Richtlinien und Gesetze zu Datenschutz und Informationspflichten neu zu ordnen. Welche Neuerungen für Unternehmen von Bedeutung sein könnten, lesen Sie in diesem Beitrag.
Ob sich zwei Gesetze genauso einfach verschmelzen lassen, wie Schokolade?
Ob sich zwei Gesetze genauso einfach verschmelzen lassen, wie Schokolade?
Foto: bekirevren - shutterstock.com

Das Bundeswirtschaftsministerium (BMWi) hat einen Referentenentwurf (TTDSG-RefE) erarbeitet, der die datenschutzrechtlichen Regelungen aus dem Telekommunikationsgesetz (TKG) und dem Telemediengesetz (TMG) unter Berücksichtigung der DSGVO in einem einheitlichen Gesetz bündeln soll: dem Telekommunikations-Telemedien-Datenschutz-Gesetz (TTDSG).

Wann kommt das neue TTDSG?

Bei dem TTDSG-E handelt es sich um einen Referentenentwurf, der zudem bislang noch nicht offiziell veröffentlicht, sondern nur "geleakt" wurde. Er befindet sich damit in einem sehr frühen Stadium des Gesetzgebungsverfahrens. Nichtsdestotrotz sieht das BMWi einen ambitionierten Zeitplan vor: das TTDSG soll bereits am 21.12.2020 in Kraft treten. Maßgeblicher Treiber für das beabsichtigte zeitnahe Inkrafttreten dürfte der Ablauf der Umsetzungsfrist der EU-Vorgaben zum 21.12.2020 sein.

Daher sieht der Referentenentwurf auch keine Übergangsregelung vor. Das bedeutet, dass alle Regelungen unmittelbar ab Inkrafttreten gelten und von Unternehmen umgesetzt werden müssen. Es bleibt jedoch abzuwarten, ob die laufende Anhörung von Verbänden sowie das Gesetzgebungsverfahren tatsächlich den beabsichtigten Starttermin zulassen.

Regelwirrwar zu Cookies

Mit dem Inkrafttreten der DSGVO im Jahr 2018 ist das Thema Datenschutz bei Unternehmern und Verbrauchern gleichermaßen ins Blickfeld gerückt. Neben der DSGVO als "Grundregelung" enthalten aber auch viele weitere Gesetze datenschutzrechtlich relevante Vorgaben. Dazu gehören z. B. die datenschutzrechtlichen Bestimmungen für Telemedien und Telekommunikation im TKG und TMG, die jedoch nur gelten, wenn die DSGVO eine entsprechende Öffnung für speziellere Normen vorsieht. Das Nebeneinander einer Vielzahl an gesetzlichen Regelungen sorgt nicht nur bei Juristen, sondern auch bei Verbrauchern, Unternehmen und sogar Aufsichtsbehörden für Rechtsunsicherheit.

Darüber hinaus soll ein Gleichlauf mit dem europäischen Recht erreicht werden. Auf europäischer Ebene sind die allgemeinen rechtlichen Rahmenbedingungen für elektronische Kommunikationsdienste einerseits und die Regelungen zum Datenschutz und zum Schutz der Privatsphäre andererseits in separaten Regelungswerken enthalten, nämlich in der ePrivacy-Richtlinie und im bis zum 21.12.2020 umzusetzenden europäischen Kodex für die elektronische Kommunikation sowie in der DSGVO. Sie bestehen nebeneinander und werden unabhängig voneinander fortentwickelt, zum Beispiel im Rahmen der laufenden Verhandlungen zur ePrivacy-Verordnung.

Was gilt aktuell für die Verwendung von Cookies?

Aktuell ist das Setzen und Auslesen von Cookies in § 15 Abs. 3 TMG geregelt, der nach seinem Wortlaut eine Widerspruchslösung vorsieht. Das würde bedeuten, dass Cookies ohne explizite Einwilligung des Website-Nutzers bei diesem gespeichert werden dürften. Will der Nutzer Cookies und die Datensammlung darüber verhindern, müsste er selbst tätig werden und aktiv widersprechen.

Dagegen sieht Art. 5 Abs. 3 der ePrivacy-Richtlinie vor, dass eine Speicherung von Informationen auf Endgeräten und der Zugriff auf gespeicherte Informationen, u .a. durch Cookies, grundsätzlich nur erlaubt ist, wenn der Nutzer seine aktive und informierte Einwilligung zur Datenverarbeitung gegeben hat. Um diese beiden Vorgaben miteinander in Einklang zu bringen, hat der Bundesgerichtshof (BGH) im Mai 2020 einen Kunstgriff angewendet: § 15 Abs. 3 TMG sei europarechtskonform dahingehend auszulegen, dass der Widerspruch bereits in der fehlenden Einwilligung zu sehen sei. De facto sei also auch nach dem TMG eine Einwilligung erforderlich.

Für Cookies, mit denen personenbezogene Daten verarbeitet werden, ist zudem grundsätzlich auch der Anwendungsbereich der DSGVO eröffnet. Diese sieht in Art. 95 DSGVO vor, dass die ePrivacy-Richtlinie bzw. deren nationale Umsetzungen vorrangig anzuwenden sind. Die Richtlinie verweist für die Anforderungen an die Einwilligung aber wiederum auf die Bestimmungen der DSGVO, so dass die Vorgaben der DSGVO für die Einwilligung zu beachten sind. Gleiches gilt für § 15 Abs. 3 TMG, der die ePrivacy-Richtlinie umsetzen soll. Die Entscheidung des EuGH im Fall Planet49 gibt Leitlinien für die rechtskonforme Nutzung von Cookies vor. Demnach gilt, unabhängig davon, ob die Cookies Personenbezug haben:

  • Opt-Out-Lösung ist unzulässig: Der Nutzer muss aktiv in das Setzen von Cookies einwilligen. Ein vorangekreuztes Kästchen genügt hierzu nicht.

  • Informierte Einwilligung: Der Nutzer kann nur wirksam einwilligen, wenn er entsprechend informiert ist. Erforderlich sind Angaben zumindest zu Umfang, Zweck und Dauer der Speicherung und ob Dritte Zugriff haben. Weitere Informationspflichten der DSGVO bleiben daneben bestehen.

Was ändert sich für die Verwendung von Cookies?

Der neue Entwurf sieht eine differenzierende Regelung vor. Maßgebliches Ziel der Regelung ist die Umsetzung der ePrivacy-Richtlinie unter Berücksichtigung der Rechtsprechung von EuGH und BGH. Demnach gilt im Grundsatz, dass Cookies nur mit informierter und ausdrücklich erteilter Einwilligung zulässig sind (§ 9 Abs. 1 TTDSG-RefE). Diesbezüglich gelten die vom EuGH aufgestellten Grundsätze.

Die Regelung erlaubt jedoch in drei Fällen eine Ausnahme von dem grundsätzlichen Informations- und Einwilligungserfordernis. Die Ausnahmen gelten dabei generell für die Speicherung von Informationen auf Endgeräten und den Zugriff auf gespeicherte Informationen und sind nicht zwingend nur auf Cookies als eine Methode von vielen beschränkt:

  1. Keine Einwilligung bei technisch erforderlichen Cookies: Soweit das Setzen und Auslesen von Cookies unbedingt erforderlich ist, um Telemedien (z. B. Webseiten) bereitzustellen, deren Inanspruchnahme vom Endnutzer gewünscht wird, muss keine Einwilligung eingeholt werden. Diese Ausnahme ist bereits in der ePrivacy-Richtlinie vorgesehen. Hierunter dürften insbesondere technische Cookies fallen, z. B. zur korrekten Darstellung der Website oder auch zur Gewährleistung der IT-Sicherheit.

  2. Keine Einwilligung bei vertraglicher Vereinbarung: Die zweite Ausnahme erfasst die Nutzung von Cookies, die vertraglich ausdrücklich mit dem Endnutzer vereinbart wurde, um bestimmte Dienstleistungen zu erbringen. Andernfalls könnten Anbieter solcher Dienstleistungen keine zuverlässigen Verträge erhalten, da die Einwilligung nach Art. 7 Abs. 3 DSGVO jederzeit widerrufen werden kann. Der Referentenentwurf räumt damit der vertraglichen Vereinbarung Vorrang ein und begründet dies damit, dass nicht davon auszugehen sei, dass die ePrivacy-Richtlinie dem Endnutzer einen anlasslosen Ausstieg aus vertraglichen Verpflichtungen in die Hand geben wollte. Eine entsprechende Regelung findet sich in der Richtlinie jedoch nicht. Eine gewisse Rechtsunsicherheit bleibt damit bestehen, da streng genommen die Richtlinie (erneut) nicht richtig umgesetzt würde. Kritisch könnte zudem sein, dass durch diese Ausgestaltung auch die datenschutzrechtlichen Anforderungen an die Einwilligung auf der Vertragsebene umgangen werden könnten, da dort ggf. andere datenschutzrechtliche Vorgaben gelten als für Cookies.

  3. Keine Einwilligung bei Erfüllung gesetzlicher Verpflichtungen: Die dritte Ausnahme beruht auf dem Gedanken, dass eine gesetzlich auferlegte Pflicht nicht von der jederzeit widerruflichen Einwilligung des Endnutzers abhängen dürfe. Sie soll wirtschaftliche und technologische Entwicklungen berücksichtigen, die der europäische Gesetzgeber bei Verabschiedung der Richtlinie möglicherweise nicht vor Augen hatte. Zu nennen sind: das Internet der Dinge, die zunehmende Maschine-Maschine-Kommunikation, Industrie 4.0 und künstliche Intelligenz. Die Begründung zum Entwurf nennt hierfür Beispiele wie Smartmeter und andere Geräte zur Versorgung mit Elektrizität, Gas, Wasser oder Wärme sowie die Ausführung sicherheitsrelevanter Funktionen und Software-Updates, etwa beim automatisierten und vernetzten Fahren oder in der Gesundheitsversorgung. Die Relevanz dieses Ausnahmetatbestandes für die Verwendung von Cookies dürfte zwar eher gering sein, entsprechende Digitalisierungsprojekte dürften von dieser Ausnahme jedoch profitieren. Durch die Beschränkung auf gesetzliche Pflichten dürfte jedoch eine potenziell ausufernde Datenverarbeitung verhindert werden.

Lesetipp: Machine-to-Machine-Kommunikation - Vernetzte Kühe

Die Regelungstechnik ist nicht unproblematisch, da bei Vorliegen einer der Ausnahmen nicht nur das Erfordernis der Einwilligung wegfällt; der Nutzer müsste nach dem Entwurf schon nicht informiert werden. Sollte diese Regelung im finalen Gesetzesentwurf übernommen werden, ist die Vereinbarkeit mit den Vorgaben der ePrivacy-Richtlinie (erneut) fraglich.

PIMS: Weg mit Cookie-Bannern?

Der Referentenentwurf sieht vor, dass die Einwilligung auch über alternative Verfahren zum derzeit gängigen Cookie-Banner bzw. Consent-Management erteilt werden kann. Das Ziel dieser Regelung ist die größtmögliche Nutzerfreundlichkeit: der Endnutzer solle sein Recht auf einfachste Weise wahrnehmen können. Die Regelung geht ebenfalls auf europäische Vorgaben zurück und erlaubt z. B. die Erteilung von Einwilligungen über die Browsereinstellungen (§ 9 Abs. 4 TTDSG-RefE) oder Datentreuhänder.

Es bleibt jedoch abzuwarten, ob dies zu einem Verzicht auf die allseits unbeliebten Cookie-Banner führen kann. Denn der Website-Betreiber muss weiterhin den Nutzer über den Einsatz von Cookies rechtzeitig, d. h. beim ersten Setzen eines Cookies, über die Einzelheiten der Datenverarbeitung informieren. Hierzu bietet sich auch bei alternativen Einwilligungsmöglichkeiten grundsätzlich ein Cookie-Banner mit entsprechenden Informationen an - nicht zuletzt auch, weil manche Nutzer möglicherweise auf solche Alternativen verzichten oder sie schlichtweg nicht kennen und weiterhin Cookie-Banner nutzen werden.

Es soll außerdem die Möglichkeit geben, die Einwilligung über anerkannte Dienste zur Verwaltung persönlicher Informationen, sog. Personal Information Management Services (PIMS) zu erteilen. Diese sollen dem Endnutzer die zentrale Verwaltung seiner datenschutzrechtlichen Einwilligungen ermöglichen und ihm die Kontrolle seiner Online-Identität erleichtern (z. B. durch Geltendmachung von Auskunftsrechten). Datenschützer sehen das PIMS jedoch auch kritisch, da damit das Risiko der interessenwidrigen Beeinflussung, Fremdbestimmung oder sogar eine weitere kommerzielle Verwertung für personenbezogene Daten einhergehen könne ("Daten für Geld").

Das TTDSG soll diese Risiken abmindern, indem die Anforderungen an Vereinbarungen zwischen Endnutzern und PIMS-Anbietern, die Unabhängigkeit von wirtschaftlichen Interessen an der Verarbeitung von Daten und die Anforderungen an die Qualität und Zuverlässigkeit von PIMS geregelt werden (§ 3 TTDSG-RefE). PIMS-Anbieter sollen insbesondere durch ein Sicherheitskonzept nachweisen, dass sie zur Einhaltung der gesetzlichen Anforderungen an Datenschutz und Datensicherheit in der Lage sind. Zukünftig soll der oder die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) für die Anerkennung von PIMS zuständig sein.

Lesetipp: WannaCry und Co. - Rechtliche Verpflichtungen nach einem Cyber-Security-Vorfall

Unternehmen müssen sich damit zukünftig - neben Cookie-Bannern - auch mit diesen alternativen Einwilligungsmöglichkeiten auseinandersetzen. Hier ist insbesondere zu beachten, dass der Nutzer weiterhin ausreichend und transparent informiert wird und die Einwilligung zwecks Nachweis dokumentiert wird.

Weitere geplante Änderungen?

Die datenschutzrechtliche Aufsicht, die momentan von der Bundesnetzagentur (BNetzA, im Bereich des TKG) und dem BfDI wahrgenommen wird, soll neu geordnet werden. Der BfDI ist danach zukünftig die allein zuständige Datenschutzbehörde für Bestimmungen zum Schutz der personenbezogenen Daten, soweit natürliche Personen betroffen sind und der Anwendungsbereich des TTDSG eröffnet ist.
Für die Aufsicht über die Einhaltung der übrigen Bestimmungen, die nicht dem Schutz der personenbezogenen Daten natürlicher Personen dienen, ist die BNetzA zuständig.

Die Gesetzesbegründung stellt zudem klar, dass für Verstöße die Vorgaben der DSGVO gelten: die Geldbußen für Verstöße gegen Datenschutzbestimmungen können bis zu 4 Prozent des weltweiten Jahresumsatzes oder 20 Mio. EUR, je nachdem welcher Betrag höher ist, ausmachen. Für andere Verstöße liegen die Strafgelder immerhin bei 2 Prozent bzw. 10 Mio. EUR. Im Ergebnis ist dieser Verweis auf die DSGVO zwar konsequent mit Blick auf eine Vereinheitlichung der Rechtsfolgen bei Datenschutzverstößen und unterscheidet sich kaum von der Rechtslage, von der die meisten Datenschützer bis zu einem Urteil des BGH ausgegangen sind. Allerdings war es nach diesem Urteil bislang möglich, sich unter Umständen auf die deutlich geringeren Bußgeldvorschriften z. B. des TMG (bis zu 50.000 Euro) zu berufen. Dies wird nach dem Entwurf zukünftig nicht mehr möglich sein.

Lesetipp: DSGVO-Bußgelder - GDPR-Verstöße werden teuer

Das neue TTDSG soll sich zukünftig auch, neben öffentlichen Telekommunikationsdiensten und -netzen sowie Telemedien, an sogenannte Over-the-Top Dienste richten (OTT). Darunter fallen beispielsweise Chat- und E-Mail-Dienste. Anbieter solcher OTT-Dienste sollen nach dem Referentenentwurf nun auch den bisherigen Regelungen des TKG unterfallen. Nicht in den Anwendungsbereich des TTDSG fallen hingegen nicht öffentlich zugängliche Kommunikationsnetze wie etwa Unternehmensnetze sowie Telekommunikationsdienste, die nicht über öffentliche Netze erbracht werden. Der Anwendungsbereich hat insbesondere Auswirkung auf die Geltung der Regelungen zum Fernmeldegeheimnis, den Schutz der Verkehrsdaten und die Einschränkung der Datenspeicherung zur Störungsbeseitigung und zur Missbrauchsbekämpfung.

Empfehlungen mit Blick auf die Privacy-Verordnung

Die derzeit ebenfalls im Entwurfsstadium befindliche ePrivacy-Verordnung soll für den Bereich der Cookie-Nutzung vorrangig vor TTDSG, DSGVO & Co. gelten und damit Abhilfe hinsichtlich der Rechtsunsicherheit schaffen. Derzeit lässt sich jedoch nicht abschätzen, ob und wann es zu einer Einigung bezüglich der ePrivacy-Verordnung kommt und wann die neuen Regelungen gegebenenfalls in Kraft treten werden.

Unternehmen sollten sich daher vorerst weiterhin am TMG, an der DSGVO sowie zukünftig ggf. am neuen TTDSG orientieren. Teilweise wird ein Inkrafttreten der ePrivacy-Verordnung nicht vor 2025 angenommen. Sollte es schlussendlich zu einer Einigung kommen, müsste der Gesetzgeber dann jedoch nur das künftige TTDSG anpassen und könnte sich eine aufwändige Anpassung des TMG und des TKG ersparen. Für Unternehmen hätte dies den Vorteil, dass auch sie nur von einem Gesetz auf ein anderes umstellen und nicht eine Vielzahl von verschiedenen Regelwerken im Blick behalten müssten. (bw)