Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Fit für die DSGVO finden Sie jetzt hier
Analyse
09. August 2021

Das TTDSG kommt: ein Überblick

Gratis
Das TTDSG setzt u.a. die Cookie- Regelung der ePrivacy-Richtlinie um
Bild: iStock.com / Guzaliia-Filimonova
4,50 (4)
Inhalte in diesem Beitrag
Ein paar neue und viele alte Anforderungen
Das Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG) regelt die Anforderungen an den Datenschutz im Bereich Telekommunikation und Telemedien – schreibt aber in einigen Bereichen nur die alten Regelungen fort. Das kann Segen und Fluch zugleich sein.

Bereits seit dem Anwendungsbeginn der Datenschutz-Grundverordnung (DSGVO) am 25.05.2018 besteht Bedarf, die speziellen Datenschutzbestimmungen im Telekommunikationsgesetz (§§ 88 ff. TKG) und im Telemediengesetz (§§ 11 ff. TMG) anzupassen. Hinzu kommt, dass das TKG insgesamt im Zuge des Telekommunikationsmodernisierungsgesetzes neu gestaltet wird und es – anders als bisher – zum 01.12.2021 ohne Datenschutzregelungen gelten soll. Gerade die Frage nach der Geltung der TKG-Regelungen für sogenannte OTT-Dienste ist dabei inhaltlich ein wesentlicher treibender Faktor. Die Entscheidung „Cookie-Einwilligung II“, in der der Bundesgerichtshof (BGH) dem deutschen Gesetzgeber attestiert, dass er seit rund zehn Jahren versäumt hat, die Cookie-Regelung umzusetzen, dürfte sich ebenfalls ausgewirkt haben (siehe dazu Eckhardt, Datenschutz PRAXIS Heft 10/2020, S. 4–6). Großer Druck ist aber kein ein Garant für wohlüberlegte Regelungen. Diese Kritik wird sich auch das TTDSG gefallen lassen müssen. Denn im Wesentlichen „alter Wein in neuen Schläuchen“ ist eben keine Modernisierung.

Wichtig

Das TTDSG tritt am 01.12.2021 in Kraft. Eine Übergangsfrist ist nicht vorgesehen. Mit anderen Worten: Das Zeitfenster für Anpassungen ist klein!

Das Verhältnis TTDSG – DSGVO

Die Datenschutzbestimmungen im TTDSG sind zwar fachlich spezieller als die DSGVO. Aber die DSGVO hat als EU-Verordnung dennoch Anwendungsvorrang vor nationalen Datenschutzbestimmungen. Das gilt aufgrund der technologieneutralen Geltung der DSGVO (Erwägungsgrund 15 DSGVO) auch für Telekommunikation und Telemedien.

Die Öffnung ist Art. 95 DSGVO: Die DSGVO „erlegt natürlichen oder juristischen Personen in Bezug auf die Verarbeitung in Verbindung mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in öffentlichen Kommunikationsnetzen in der Union keine zusätzlichen Pflichten auf, soweit sie besonderen in der Richtlinie 2002/58/EG festgelegten Pflichten unterliegen, die dasselbe Ziel verfolgen.“

Mit anderen Worten: Soweit das TTDSG Regelungen der Datenschutzrichtlinie für Elektronische Kommunikationsdienste 2002/58/EG – auch bezeichnet als ePrivacy-Richtlinie – für öffentlich zugängliche elektronische Kommunikationsdienste in öffentlichen Kommunikationsnetzen umsetzt, gilt die DSGVO nicht.

Was auf den ersten Blick nach wenig relevanter „Hintergrundbeleuchtung“ klingt, wird zukünftig in der Praxis des TTDSG immer wieder bedeutsam werden. Denn: Der deutsche Gesetzgeber überschreitet den Spielraum, den Art. 95 DSGVO zwar schafft, aber ausdrücklich auf „öffentlich zugängliche Telekommunikationsdienste“ begrenzt, immer wieder, indem er mit dem TTDSG schlicht an „alten Zöpfen“ festhält. Das wirkt sich etwa bei der Bewertung der privaten TK-Nutzung (siehe unten) und § 19 TTDSG (siehe unten) aus.

Die Struktur des TTDSG

Die endgültige Fassung des TTDSG wurde am 28.06.2021 im Bundesgesetzblatt veröffentlicht. Wer beim Einarbeiten in das TTDSG im Hinterkopf hat, dass der deutsche Gesetzgeber im Wesentlichen nur Datenschutzbestimmungen aus dem bisherigen TKG und dem bisherigen TMG zusammenführt, dem erschließt sich der Aufbau des TTDSG recht gut:

  • Teil 1 und 4 regeln die Allgemeinen Vorschriften und die Straf- und Bußgeldvorschriften sowie die Aufsicht.
  • Teil 2 des TTDSG regelt den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation.
  • Teil 3 regelt den Telemediendatenschutz und Endeinrichtungen.

Kurzum: Beim TTDSG handelt es sich nicht um ein Datenschutzgesetz, das beide Bereiche gemeinsam verzahnt regelt, sondern um ein Gesetz, das zwei verschiedene Gesetze unter einem gemeinsamen Titel zusammenfasst.

Dementsprechend ist die Struktur des TTDSG nicht durchgängig schlüssig. Während sich der persönliche Anwendungsbereich der Telemedien-Datenschutzbestimmungen aus der Definition im Allgemeinen Teil (dort § 2 TTDSG) ergibt, ist der persönlichen Anwendungsbereich der TK-Datenschutzbestimmungen nicht im Allgemeinen Teil, sondern in Teil 2 des TTDSG geregelt. Wenn man’s einmal weiß, ist es nicht mehr kompliziert …

Die Gleichstellung von Daten juristischer Personen mit personenbezogenen Daten und die Einbeziehung in den TK-Datenschutz durch § 1 Abs. 2 TTDSG ist nicht neu. Das ist in § 91 Abs. 1 des bisherigen TKG ebenso gestaltet und trägt dem Umstand des grundrechtlichen Schutzes des Fernmeldegeheimnisses durch Art. 10 Grundgesetz Rechnung. Die Erweiterung ist unionsrechtlich wohl unbedenklich.

Abgrenzung der Regelungsbereiche

Bereits seit die Vorgängerregelungen der Datenschutzbestimmungen des TMG galten – nämlich das Teledienstedatenschutzgesetz (TDDSG) –, war die Abgrenzung der Anwendungsbereiche der Datenschutzbestimmungen von TKG und TMG umstritten und durch den Gesetzgeber nicht geklärt.

Diese Klarstellung erfolgt auch vorliegend nicht (§ 1 TTDSG). Es bleibt beim Nebeneinander von zwei Datenschutzgesetzen. Denn das TTDSG nennt beide Bereich hintereinander als Anwendungsbereich und regelt sie dann eigenständig und voneinander unabhängig in Teil 2 oder in Teil 3.

Praxis-Tipp

Für die Praxis bedeutet das: Der Verantwortliche muss den Dienst, um den es geht, zunächst einordnen: Handelt es sich um einen Telekommunikationsdienst? Dann ist Teil 2 des TTDSG relevant. Geht es um ein Telemedium, ist Teil 3 einschlägig.

§ 1 TTDSG nimmt für die Begriffsbestimmung auf das TKG, das TMG und die DSGVO Bezug mit Ausnahme der in § 2 TTDSG definierten Begriffe. Das TTDSG lässt sich also nicht anwenden, ohne zugleich das (ebenfalls ab 01.12.2021 geltende) TKG und das TMG hinzuzunehmen.

Telekommunikation: „Alter Wein in neuen Schläuchen“

Die zentrale Regelung für den persönlichen Anwendungsbereich der TK-Datenschutzbestimmungen ist § 3 Abs. 1 TTDSG. Er definiert, wer das Fernmeldegeheimnis zu beachten hat. Die weiteren TK-Datenschutzbestimmungen des TTDSG nehmen hierauf Bezug, um die Verpflichteten festzulegen.

Inhaltlich lehnen sich die Regelungen zum TK-Datenschutz von §§ 3 bis 18 TTDSG stark an die bisherigen Datenschutzregelungen im TKG an. Große Veränderungen finden hier nicht statt. Das ist mit Blick auf die kurze Zeitspanne zwischen der Verabschiedung des TTDSG und dessen Geltung auch positiv.

Neu: OTT-Anbieter müssen schärfere Datenschutzregelungen beachten

Eine wesentliche Neuerung soll sein, dass die TK-Datenschutzbestimmungen die sogenannten „Over-The-Top“-(OTT-)Dienste erfassen. Diese Dienste werden über Internetverbindungen angeboten. Der Internetanbieter selbst hat aber keinen Einfluss auf solche Dienste. Der Dienst und die dafür genutzte Infrastruktur sind voneinander getrennt. Beispiele sind etwa gmail oder Messengerdienste.

Ihre Einbindung erfolgt dadurch, dass die Definition von Telekommunikationsdienst in § 3 Nr. 61 des zukünftigen TKG auch sogenannte interpersonelle Telekommunikationsdienste (definiert in § 3 Nr. 24 des zukünftigen TKG) umfasst. Das modernisiert tatsächlich den TK-Datenschutz.

In Bezug auf OTT-Dienste bedeutet das für die Praxis: Anbieter von OTT-Diensten müssen sich ab dem 01.12.2021 an die Vorgaben des TTDSG halten, die in einigen Aspekten strenger sind als die DSGVO.

Rechtsunsicherheit bei privater E-Mail- und Internetnutzung im Unternehmen

Weiterhin sollen die TK-Datenschutzbestimmungen auch geschäftsmäßige Erbringer von Telekommunikationsdiensten umfassen (§ 3 Abs. 2 Nr. 2 TTDSG). Nach zutreffender und überzeugender Ansicht fallen Arbeitgeber, die ihren Mitarbeiterinnen und Mitarbeitern die private Nutzung der Telekommunikation gestatten – oder dulden – hierunter. Der praktische Unterschied besteht darin, dass nach der DSGVO eine Lösung über die Interessenabwägung in Betracht kommt, aber der TK-Datenschutz im TTDSG das nicht vorsieht.

Allerdings ist diese Ausdehnung der Anwendung der TK-Datenschutzbestimmungen nicht mit Art. 95 DSGVO vereinbar (siehe oben). Denn eine Öffnung der DSGVO besteht nur für „öffentlich zugängliche“ Dienste, auf die sich § 2 Abs. 2 Nr. 1 TTDSG bezieht. In diesem Punkt schreibt der deutsche Gesetzgeber schlicht die bisherige Regelung im TKG-Datenschutz (§§ 88, 91 des bisherigen TKG) fort, ohne die notwendige inhaltliche Anpassung an die DSGVO vorzunehmen.

In Bezug auf private Nutzung von Telekommunikation im Unternehmen bedeutet das für die Praxis: Formal gilt die Vorgabe des TTDSG. Tatsächlich ist aber davon auszugehen, dass die DSGVO diese Gestaltung verdrängt und die Datenschutzbestimmungen des TTDSG nicht maßgeblich sind. Bis zur Klärung durch den Europäischen Gerichtshof schafft das TTDSG also Rechtsunsicherheit.

Achtung
Rechtslage bei der privaten TK-Nutzung

Zur Rechtslage in Bezug auf die private Telekommunikationsnutzung in Unternehmen siehe Eckhard, Datenschutz PRAXIS Heft 04/2020, S. 1–4: Private TK-Nutzung: Zugriff auch ohne Einwilligung? Hieran hat sich aufgrund von Art. 95 DSGVO nichts dadurch geändert, dass der deutsche Gesetzgeber dasselbe wieder in das TTDSG hineinschreibt

Neu: Rechte der Erben

Neu ist auch eine Klarstellung der Rechte der Erben des Endnutzers und anderer berechtigter Personen in § 4 TTDSG.

Das Fernmeldegeheimnis steht der Wahrnehmung von Rechten gegenüber dem Anbieter des Telekommunikationsdienstes nicht entgegen, wenn ein Erbe oder eine andere berechtigte Person diese Rechte wahrnimmt. Es stellt sich jedoch die Frage, ob es nicht sinnvoller gewesen wäre, die Regelung im Interesse der Rechtsklarheit auch auf Telemedien auszudehnen.

Telemedien: Was ist neu?

Für was und wen die Regelungen in Teil 3 (§§ 19–24) des TTDSG gelten, ergibt sich aus der Definition für „Anbieter von Telemedien“ in § 3 Abs. 2 Nr. 1 TTDSG. Was ein Telemedium ist, ergibt sich durch die Verweisung von § 2 Abs. 1 TTDSG auf die Begriffsbestimmungen des TMG. Der Anwendungsbereich wird damit gegenüber dem bisherigen § 11 TMG neu geregelt.

Die Bestimmungen von §§ 19 bis 23 TTDSG sind aus dem bisherigen TMG übernommen und dienen überwiegend dazu, staatliche Auskunftsverfahren zu regeln. Soweit § 19 TTDSG Regelungen von § 13 des bisherigen TMG übernimmt, liegt nahe, dass sie durch den Anwendungsvorrang der DSGVO verdrängt werden.

Cookie-Regelung im TTDSG

  • § 25 TTDSG setzt erstmals die Cookie-Regelung von Art. 5 Abs. 3 der ePrivacy-Richtlinie in der Fassung der Richtlinie 2009/136/EG um. Der BGH hat dieser Regelung faktisch bereits durch seine Entscheidung „Cookie-Einwilligung II“ Geltung verschafft. Die Umsetzung erfolgt eng an der Vorgabe der Richtlinie. Sie lässt sich vereinfacht auf die folgende Formel bringen:
  • Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer eingewilligt hat (ausführlicher in § 25 Abs. 1 TTDSG).
  • Ausnahmen: Es sei denn,
    • es ist der alleinige Zweck, eine Nachricht über ein öffentliches Telekommunikationsnetz zu übertragen (ausführlicher in § 25 Abs. 2 Nr. 1 TTDSG), oder
    • es ist unbedingt erforderlich, damit der Anbieter eines Telemediendienstes einen Telemediendienst zur Verfügung stellen kann, den der Nutzer ausdrücklich wünscht (ausführlicher in § 25 Abs. 2 Nr. 2 TTDSG).

Die Regelung zeigt, dass die Vorgabe nicht nur für Cookies in der bisherigen Form gilt, sondern auch für sogenannte Fingerprints oder zukünftige Tracking-Technologien. § 25 TTDSG gilt dabei unabhängig davon, ob die Dienste personenbezogene Daten enthalten oder damit personenbezogene Daten verarbeitet werden.

Die Zulässigkeit der Verarbeitung personenbezogener Daten regelt das Gesetz nicht. Hierfür und insbesondere für ein Profiling sowie für Analysen gelten die Anforderungen der DSGVO.

Dienste zur Einwilligungsverwaltung

§ 26 TTDSG führt sogenannte Anerkannte Dienste zur Einwilligungsverwaltung und Endnutzereinstellungen ein. Die Idee ist, vereinfacht gesagt, eine vertrauenswürdige Instanz, der die betroffene Person ihre Einwilligungen mitteilt und die diese dann an die Datenverarbeiter „verteilt“.

Sanktionen

Der Sanktionsrahmen für Verstöße ist ebenfalls dem TKG entnommen und damit – abweichend von der DSGVO – auf 300.000 € begrenzt. In bestimmten Konstellationen lässt sich der Bußgeldrahmen über Bestimmungen des Ordnungswidrigkeitengesetzes (OWiG) verzehnfachen.

Für Sanktionen wird es in der Praxis dann sehr genau darauf ankommen, ob gemäß § 28 TTDSG gegen eine Regelung des TTDSG oder der DSGVO verstoßen wurde.

Fazit: wenig Neues

Die Gesamtschau zeigt, dass das Gesetz praktisch keine materiellen Regelungen zum Datenschutz oder zu formellen Anforderungen vorsieht. Die Anforderungen an die Verarbeitung personenbezogener Daten durch Anbieter von Telemedien bestimmen sich damit im Kern nach der DSGVO. Damit greift auch für Telemedien anders als nach dem bisherigen TMG-Datenschutz die Interessenabwägungsregelung.

In der Praxis neu ist dies nicht wirklich. Denn es hat sich bereits durchgesetzt, dass die DSGVO die TMG-Datenschutzbestimmungen verdrängt. Das zeigt sich z.B. bei der Zulässigkeit von Reichweitenmessungen auf der Grundlage von Art. 6 Abs. 1 Buchst. f DSGVO.

Das TTDSG zeigt wenig Innovationen und schreibt im Wesentlichen bestehende Regelungen fort. Einerseits macht das die kurze Zeitdauer bis zum Anwendungsbeginn handhabbar. Andererseits löst es bestehende Unklarheiten nicht und schreibt sie fort. Es kann schon jetzt als sicher gelten, dass dies Gegenstand von Entscheidungen des Europäischen Gerichtshofs werden wird.

Dr. Jens Eckhardt

Dr. Jens Eckhardt
Verfasst von
Jens Eckhardt
Dr. Jens Eckhardt
Dr. Jens Eckhardt ist Rechtsanwalt und Fachanwalt für IT-Recht, Datenschutz-Auditor (TÜV) und Compliance Officer (TÜV) bei Derra, Meyer & Partner Rechtsanwälte in Düsseldorf.
0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.