Das Bundeskabinett hat den Gesetzentwurf zum Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) am 10. Februar 2021 beschlossen.
Schon wieder ein neues Datenschutzgesetz? Wieso, weshalb, warum? Das Lied der Sesamstraße fasst die Fragen für das TTDSG super zusammen. In diesem Blogartikel wollen wir insbesondere die Fragen klären, was es mit dem neuen TTDSG auf sich hat, für wen es gilt und vor allem welche Inhalte damit geregelt werden.
Inhaltsverzeichnis
Hintergrund und Ziel des TTDSG
Das Bundesministerium für Wirtschaft und Energie begründet den Erlass des TTDSG folgendermaßen:
Mit dem Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) sollen die bisher im Telekommunikationsgesetz (TKG) enthaltenen Bestimmungen zum Schutz des Fernmeldegeheimnisses und des Datenschutzes sowie die im Telemediengesetz enthaltenen Bestimmungen in einem neuen Stammgesetz zusammengeführt werden. Dabei werden die geltenden Bestimmungen an die europäische Datenschutz-Grundverordnung und an die neuen Begriffsbestimmungen des Telekommunikationsgesetzes angepasst. […]
BMWi vom 10.02.2021; BMWi – Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien
Eigentlich sollten das TMG und TKG bis zum Inkrafttreten der DSGVO überarbeitet und ebenfalls am 25.05.2018 mit dem neuen BDSG in Kraft treten. Es zeigte sich in der Vergangenheit immer wieder, dass das TMG und das TKG nicht im Einklang mit der DSGVO stehen. Daher kam es immer wieder zu unterschiedlichen Auslegungen.
Insbesondere die Regelung zu Cookies ist in den bisher geltenden Gesetzten kaum bis gar nicht existent.
Dieses Defizit soll nun das TTDSG beheben und auch gleichzeitig die E-Privacy-Verordnung umsetzen. Das heißt, dass das TTDSG weder das BDSG, noch das TMG oder TKG ersetzt, sondern ergänzt. Aber gibt es nicht schon die E-Privacy-Verordnung?
Die E-Privacy-Verordnung gibt es doch noch gar nicht?
Das ist korrekt. Allerdings greift das TTDSG bereits einige wichtigen Themen (wie z.B. Cookies) von der E-Privacy-Verordnung auf und setzt diese gleiche um.
Wann tritt die E-Privacy-Verordnung in Kraft?
Das ist eine sehr gute Frage, die man aktuell schlecht beantworten kann. Ursprünglich sollte die Verordnung gleichzeitig mit der DSGVO in Kraftreten. Es gab bereits mehrere Verhandlungen und Besprechungen über den Entwurf (zuletzt November 2020). Eine Einigung konnte bis dato noch nicht erzielt werden.
Status des Gesetzes
Am Donnerstag, den 20.05.2021 hat der Bundestag den Entwurf zum TTDSG mit einer Mehrheit angenommen.
Das Gesetz tritt zum 01.12.2021 in Kraft.
In den nachstehenden Absätzen wird auf den Inhalt des TTDSG-Entwurf vom 19.05.2021 eingegangen.
Für wen gilt das TTDSG? Wer muss sich daran halten?
Kurz gesagt, gilt das TTDSG für Anbieter von Telemedien.
„Anbieter von Telemedien“ jede natürliche oder juristische Person, die eigene oder fremde Telemedien erbringt, an der Erbringung mitwirkt oder den Zugang zur Nutzung von eigenen oder fremden Telemedien vermittelt.
§ 2 Abs. 2 TTDSG
Der Begriff Telemedien selbst ist nicht im TTDSG geregelt, weshalb auf § 1 TMG zurückzugreifen ist. Dieses TMG gilt für alle „elektronischen Informations- und Kommunikationsdienste“. Insbesondere fallen Webseiten und Mobile-Apps unter diesen Begriff.
Anzumerken ist, dass rein private Webseiten nicht unter den Anwendungsbereich des TMG und somit auch unter das TTDSG fallen. Was allerdings als rein privat gilt, sollte mit dem Finanzamt geklärt werden. Hier ist der Spielraum relativ gering, ab wann das Finanzamt eine Webseite als Einnahmequelle sieht.
Ist der Arbeitgeber auch Telemedienanbieter?
Folgende Fallkonstellation würde diese Annahme zulassen: Der Arbeitgeber erlaubt seinen Mitarbeitern die private Nutzung der geschäftlichen E-Mail-Adresse. Das führt dazu, dass privat verfasste Mails im Posteingang und -ausgang des Mitarbeiters vorhanden sind. Dadurch wäre es dem Arbeitgeber nicht gestattet, Zugriff auf die Mails zu erhalten. Nur mittels der Einwilligung des Mitarbeiters wäre der Zugriff in bestimmten Ausnahmesituationen möglich.
Hierzu gab es in der Vergangenheit immer wieder Unklarheiten und verschiedene Rechtsaussagen. Die Datenschutzbehörden sehen bei diesem Sachverhalt den Arbeitgeber als Telemedienanbieter, welcher automatisch dem Fernmeldegeheimnis unterliegt.
Sieht man sich den § 3 Abs. 2 TTDSG an, kommt indirekt hervor, dass der Arbeitgeber nicht als Telemedienanbieter anzusehen ist. Denn zur Wahrung des Fernmeldegeheimnisses sind verpflichtet:
- Anbieter von öffentlich zugänglichen Telekommunikationsdiensten
- Anbieter von angebotenen Telekommunikationsdiensten
- Betreiber von öffentlichen Telekommunikationsnetzten und
- Betreiber von Telekommunikationsanlagen, mit denen geschäftsmäßige Telekommunikationsdienste erbracht werden.
Das bedeutet, dass zukünftig keine Einwilligung seitens des Mitarbeiters bei privater Nutzung des geschäftlichen Mail-Accounts nötig ist. Aus Datenschutz-Sicht ist das allerdings kein Freifahrtschein, um unbegründet auf die E-Mails des Mitarbeiters zuzugreifen. Eine Interessensabwägung ist im Vorfeld dennoch nötig.
Das Landgericht Erfurt urteilte jüngst im April 2021, dass der Arbeitgeber kein Telemedienanbieter bei erlaubter Privatnutzung von geschäftlichen E-Mail-Accounts ist.
Zwischenfazit
Der Anwendungsbereich des TTDSG ist sehr umfassend. Das bedeutet, dass sich sämtliche Webseiten- und Appanbieter mit dem TTDSG auseinandersetzen müssen.
Webinar zum TTDSG
Sie möchten wissen, was das neue TTDSG für Sie in der Praxis bedeutet?
Inhalt des TTDSG
In diesem Blogbeitrag wird auf folgende Inhalte des TTDSG eingegangen, da diese vor allem Webseiten- und Appanbieter betreffen:
- Cookies und Einwilligung
- Umgang mit dem digitalen Nachlass
- Verlangen eines Ausweises
- Sanktionen und Bußgelder
Cookies und Einwilligungen
Die e-Privacy-Richtlinie und das EuGH-Urteil (Planet 49, 2019) haben bereits Stellung zu Cookies und Einwilligungen bezogen. Mit dem TTDSG gibt es nun auch in Deutschland endlich eine gesetzliche Regelung zu dieser oft umstrittenen Thematik.
Wann benötigt man eine Einwilligung des Endnutzers?
Zunächst besagt der § 25 Abs. 1 TTDSG, dass man grundsätzlich bei einer Datenspeicherung auf dem Endgerät des Endnutzers immer die Einwilligung benötigt. Glücklicherweise kann man von einer Einwilligung nach Abs. 2 TTDSG absehen, wenn
- der Zweck auf die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz erfolgt
- die Speicherung und der Zugriff unbedingt erforderlich ist, damit der Telemediendienst zur Verfügung gestellt werden kann.
Was bedeutet unbedingt erforderlich?
Dies ist im TTDSG nicht definiert. Bei dem Begriff hat muss man sich auf die Rechtsprechung des EuGH berufen und auf die Vorgaben und Hilfestellungen der Datenschutzaufsichtsbehörden zurückgreifen.
Technisch notwendige Cookies sind z.B. Warenkorb-Cookies oder Session-Cookies. Die Session-Cookies werden nach dem Schließen des Browser automatisch gelöscht.
Welche Vorgaben gibt es zu Einwilligungslösungen?
Grundsätzlich ändert sich nichts an den bereits bekannten Vorgaben zur Einholung einer Einwilligung durch den Webseitennutzer. Allerdings ist die „Cookie-Banner-Flut“ bereits in der Vergangenheit immer wieder von Datenschützern, Politikern und Webseitenbetreibern kritisiert worden. Auch für die Nutzer selbst ist die Erteilung und Verwaltung der Einwilligung auf manchen Webseiten nicht so einfach wie gewünscht.
Sofern Verkehrsdaten (z.B. Beginn und das Ende der jeweiligen Verbindung nach Datum und Uhrzeit, der in Anspruch genommene Telekommunikationsdienst etc.) nach § 9 TTDSG zu Marketingzwecken verarbeitet werden, ist ebenfalls die Einwilligung des Endnutzers zwingende Voraussetzung.
Lösung: PIMS und Single-Sign-On
An diesem Punkt zur Einwilligungslösung setzt auch das TTDSG an. Die Einholung und Verwaltung Einwilligung soll nun durch sog. Personal Information Management Systems (PIMS) oder durch das Single-Sign-On (SSO) erleichtert werden.
Was sind PIMS?
Auf der Webseite des European Data Protection Supervisor wird das PIMS folgendermaßen beschrieben:
Das PIMS-Konzept bietet einen neuen Ansatz, bei dem Einzelpersonen die „Besitzer“ ihrer eigenen persönlichen Daten sind. PIMS ermöglichen es Einzelpersonen, ihre persönlichen Daten in sicheren, lokalen oder Online-Speichersystemen zu verwalten und sie zu teilen, wann und mit wem sie wollen. Der Einzelne kann entscheiden, welche Dienste seine Daten nutzen können und welche Dritten sie weitergeben dürfen. Dies ermöglicht einen menschenzentrierten Umgang mit persönlichen Daten und neuen Geschäftsmodellen und schützt vor unrechtmäßigen Tracking- und Profiling-Techniken, die darauf abzielen, wichtige Datenschutzprinzipien zu umgehen.
EUROPEAN DATA PROTECTION SUPERVISOR, TechDispatch #3/2020 – Personal Information Management Systems, 06.01.2021; TechDispatch #3/2020 – Personal Information Management Systems | European Data Protection Supervisor (europa.eu); Übersetzt mit deepl.com
Webseitenbetreiber müssen dann zukünftig die PIMS-Einstellungen bei der Programmierung ihrer Webseite mit beachten. Wie das technisch genau realisiert werden kann, bleibt bisher aus meiner Sicht noch offen.
Wer ein solches PIMS anbietet muss sich zukünftig nach § 26 Abs. 2 TTDSG akkreditieren lassen. Für die Zulassung müssen verschiedene Voraussetzungen wie z.B. ein entwickeltes Sicherheitskonzept, kein wirtschaftliches Eigeninteresse an den Daten etc. erfüllt werden.
Was bedeutet SSO?
Auf diese Frage wird gehe ich nur kurz ein, da SSO (kurz für Single Sign on) bereits vielfältig vor allen in Unternehmen genutzt wird. Kurz gesagt: Beim Single Sign on meldet sich der Nutzer einmal mit seiner Kennung an einem zentralen System an. Weitere Berechtigungssteuerungen (also Drittsysteme) fragen diese Anmeldung ab. Dies erspart vor allem die erneute Eingabe von den Zugangsdaten und den Passwörtern. Wie das SSO funktioniert, welche Vor- und Nachteile es mit sich bringt, kann im Digital Guide von IONOS nachgelesen werden.
Zwischenfazit
Es ist mir leider nicht klar, weshalb der Gesetzgeber nun diese bürokratische Hürde für die PIMS eingebaut hat. Weiterhin kann ich mir zum aktuellen Zeitpunkt noch nicht genau vorstellen, wie die Berücksichtigung der PIMS auf Webseiten genau von statten gehen soll.
Zumindest ist nun endlich gesetzlich geregelt, wenn auch etwas schwammig, wann es einer Einwilligung seitens des Nutzer bzw. Endverbrauchers bedarf.
Auskunftsverfahren von Bestands- und Nutzungsdaten gegenüber Dritten (§ 22, 24 TTDSG)
In unserem Datenschutz-Alltag kommt es immer wieder vor, dass Strafverfolgungsbehörden bei unseren Kunden nach bestimmten Daten von deren Nutzern oder Kunden anfragen. Es stellt sich immer wieder die Frage, ob und inwieweit die Daten herausgegeben werden dürfen. Das TTDSG schließt nun diese Lücke.
Was sind Bestandsdaten?
Nach § 2 Abs. 2 Nr. 2 handelt es sich bei Bestandsdaten um „personenbezogenen Daten, deren Verarbeitung zum Zweck der Begründung, inhaltlichen Ausgestaltung oder Änderung eines Vertragsverhältnisses zwischen
dem Anbieter von Telemedien und dem Nutzer über die Nutzung von Telemedien erforderlich ist.“
Was sind Nutzungsdaten?
Nach § 2 Abs. Nr. 3 handelt es sich bei Nutzungsdaten, um „die personenbezogenen Daten eines Nutzers von Telemedien, deren Verarbeitung erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und
abzurechnen; dazu gehören insbesondere
a) Merkmale zur Identifikation des Nutzers,
b) Angaben über Beginn und Ende sowie Umfang der jeweiligen Nutzung und
c) Angaben über die vom Nutzer in Anspruch genommenen Telemedien.“
Über welche Daten darf keine Auskunft erteilt werden?
Grundsätzlich ist die Herausgabe von Passwörtern, mit denen z.B. Datenträger oder Endgeräte geschützt werden, von der Auskunftsanfrage ausgeschlossen. Nur in bestimmten Einzelfällen nach § 23 TTDSG (z.B. Vorgaben der Strafprozessordnung) dürfen Passwörter und Zugangsdaten herausgeben werden.
Ansonsten sind sämtliche unternehmensinterne Datenquellen bei der Beantwortung der Auskunftsanfrage zu berücksichtigen.
Welchen Stellen darf man Auskunft erteilen?
Hier listet das TTDSG folgende Stellen auf:
- Strafverfolgungsbehörden / Behörden für Ordnungswidrigkeiten
- Behörden für die öffentliche Sicherheit
- Bundeskriminalamt
- Zollkriminalamt
- Behörden der Zollverwaltung
- Verfassungsschutzbehörde
- Militärischer Abschirmdienst
- Bundesnachrichtendienst
Die Auskunft darf natürlich nur erteilt werden, wenn z.B. eine Verfolgung von Straftaten vorliegt, die öffentliche Sicherheit gefährdet ist oder zur Vermeidung von Straftaten etc. In Abs. 4 sind die Erlaubnistatbestände konkreter definiert.
Das bedeutet, dass man auch dennoch weiterhin das Anliegen und die Anfrage zu prüfen hat und man nicht „einfach“ so die Daten herausgeben darf, nur weil eine Behörde eine Auskunftsanfrage stellt.
Umgang mit dem digitalen Erbe (§ 4 TTDSG)
Bereits der Bundesgerichtshof hat hierzu bereits im Jahr 2018 ein Urteil gesprochen. In dem Fall ging es um die Daten (insbesondere Nachrichten) der verstorbenen Tochter bei Facebook. Der BGH urteilte, dass auch der digitale Nachlass an die Erben übergeht. Eine gesetzliche Grundlage zum digitalen Nachlass war bisher nicht vorhanden. Das BGB kann analog zwar herangezogen werden, eine explizite Definition von digitalen Nachlass ist nicht erkennbar.
Nach § 4 TTDSG steht dem Fernmeldegeheimnis nichts entgegen, wenn die Wahrnehmung von Rechten durch die Erben der betroffenen Person wahrgenommen werden.
Aus meiner Sicht eine wichtige und längst überfällige Regelung zum Umgang mit digitalen Daten nach dem Tod der betroffenen Person.
Verlangen eines amtlichen Ausweises (§ 7 TTDSG)
Ein für mich spannender Punkt, der mit dem TTDSG geregelt wird. Wer kennt nicht die Banner die die Bestätigung des Alters z.B. ab 16 Jahren einholen. Einmal geklickt und damit hat sich die Sache. Zuvor war unklar, ob diese Bestätigung ausreichend ist oder die Vorlage eines Ausweises nötig ist. Diese Unsicherheit ändert sich nun mit dem TTDSG.
Anbieter, die dem Fernmeldegeheimnis unterliegen, dürfen zur Begründung des Vertragsverhältnisses die Vorlage des Personalausweises verlangen. Der Anbieter darf auch eine Kopie des Ausweises anfertigen, muss diese jedoch unverzüglich nach Identitätsfeststellung wieder löschen. Aus Datenschutzsicht wurde hier eine Rechtsgrundlage und gleichzeitig eine Löschfrist definiert.
Die Vorlage des Ausweises kann in physischer Form erfolgen. Der Nutzer hat aber auch die Möglichkeit einen elektronischen Identitätsnachweis einzureichen.
Sanktionen und Bußgelder (§ 27 TTDSG)
Nach § 27 TTDSG erhält jemand eine Freiheitsstrafe bis zu zwei Jahren oder eine Geldstrafe, wenn dieser eine Nachricht abhört oder eine Mitteilung mach (§ 5) oder einen Missbrauch von Telekommunikationsanlagen (§ 8) vornimmt.
Die Höhe eines Bußgeldes richtet sich je nach Verstoß (z.B. unerlaubte Werbung für eine Telekommunikationsanlage) nach § 28 TTDSG und kann bis zu 300.000,00 € ausfallen. Behörden und andere öffentliche Stellen können mit keinem Bußgeld belangt werden.
Zentrale Zuständigkeit
Der Bundesbeauftragte für Datenschutz und Informationssicherheit ist als zuständige Stelle für den Schutz von personenbezogener Daten im Sinne des TTDSG benannt.
Was können und müssen Telemedienanbieter tun?
Bis zum Inkrafttreten des Gesetzes ist zwar noch etwas Zeit, allerdings ist es sinnvoll, wenn man sich bereits jetzt mit der Thematik auseinandersetzt. Das verhindert ein „böses“ Erwachen, wie damals bei der DSGVO 🙂
Aus Datenschutz-Sicht sind folgende Maßnahmen zu treffen:
Cookies und Einwilligungen
- Prüfen, ob auf der Webseite oder in den Apps einwilligungsbedürftige Datenspeicherungen vorgenommen werden. Wie Sie Ihre Webseite auf Cookies und Plugins prüfen, haben wir in einem Blogartikel behandelt.
- Verarbeitungsvorgänge prüfen und im Verfahrensverzeichnis einpflegen
- Einwilligung mittels Einwilligungsbanner einholen, der die Vorgaben der Aufsichtsbehörde umsetzt und zukünftig Berücksichtigung der PIMS
- Datenschutzerklärung bezüglich einwilligungsbedürftiger Cookies / Tools ergänzen
Prozesse für Auskunftsbegehren
- Allgemein sind die Prozesse rund um die Betroffenenrechte und Datenschutzvorfälle intern zu definieren
- Es bietet sich an, wenn ein eigener Prozess für Behördenanfragen erstellt und intern kommuniziert wird. Folgende Fragen sind u.a. im Prozessablauf zu klären:
- Welche Stelle (Polizei, Staatsanwaltschaft) hat angefragt?
- Auf welche Rechtsgrundlage basiert die Anfrage (Gesetz, Sachverhalt)?
- Welche Daten werden konkret angefragt (Nutzungsdaten / Bestandsdaten)?
- Wer ist für die Prüfung der Anfrage zuständig und an wen ist ist diese weiterzuleiten (z.B. Abteilungsleiter mit Weiterleitung an DSB)
Vorlage Ausweis
- Im Verfahrensverzeichnis ist zu dokumentieren, zu welchem Zweck die Vorlage des Ausweises dient,
- auf welcher Rechtsgrundlage dies basiert und
- welche Sicherheitsmaßnahmen (TOMs) intern getroffen wurden, damit nicht mehr Daten verarbeitet werden, als nötig.
Brauche ich als Arbeitgeber noch eine Einwilligung der Mitarbeiter bei Privatnutzung der geschäftlichen E-Mails?
Nach Auslegung des Gesetztes unterliegt der Arbeitgeber nicht dem Fernmeldegeheimnis und benötigt somit keine Einwilligung der Mitarbeiter bei Privatnutzung des geschäftlichen E-Mail-Accounts. Die Aussage wird auch von einigen Urteilen unterstützt. Das heißt: Auch ohne Einwilligung hat der Arbeitgeber in begründeten Fällen und unter Wahrung des Datenschutzes das Recht zur Prüfung.
Allerdings sind die Mitarbeiter im Rahmen der Informationspflicht nach Art. 13 DSGVO über den möglichen Zugriff in Einzelfällen zu informieren.
Letztendlich warte ich noch gespannt auf die Aussage und Einschätzung der Datenschutzbehörden, ob sie dieser Annahme letztendlich auch folgen. Sofern hier neue Informationen vorhanden sind, ergänzen wir den Artikel.
Kennen Sie schon unsere Gesetzes-Plattform?
Alle Gesetze rund um Informationssicherheit in einer Übersicht mit Änderungsdienst
[Hier geht’s zur Gesetzesplattform]
Fazit
Vorweg: Kein Gesetz wird jemals perfekt sein und alle Unklarheiten oder offenen Punkten schließen können! Das ist das Schöne an der Juristerei, was mir so gefällt 🙂 Gesetze lassen sich auslegen und interpretieren. Mit dem TTDSG hat der Gesetzgeber, wie er selbst betitelt, ein „Stammgesetz“ geschaffen, das bisher unklare und offene Lücken weitmöglichst schließt.
Es bleibt abzuwarten, wie die Integrierung der PIMS vor allem in der Bevölkerung angenommen und genutzt wird.
Welche Inhalte und weiteren Regularien hätten Sie sich noch vom TTDSG gewünscht? Welche Vor- und Nachteile sehen sie im TTDSG? Schreiben Sie es uns gerne in die Kommentare!
Vielen Dank für den guten Überblick.
Ich bin nicht sicher, ob meine Verständnis hier richtig (bin kein IT-Anwalt).
Nach meinem Verständnis kommt es für die Frage, ob ein AG dem Fernmeldegeheimnis unterliegt nicht darauf an, ob er Telemedienanbieter sondern ob er (TK-)Diensteanbieter ist. Diese Unterscheidung war auch wichtig für Anwendung von TKG oder TMG. Ändert sich hier etwas an den Begriffen durch teilweise Regelung in einem gemeinsamen Gesetz TTDSG?
Hallo Ole, vielen Dank für das Feedback, das freut mich sehr.
Nach meiner Auffassung nach ändert sich nichts an den Begrifflichkeiten Telemedienanbieter und Telekommunikationsdienstleister. Das TMG und TKG haben ja weiterhin Bestand und auch im TTDSG wird auf die Begrifflichkeit Telemedienanbieter aus dem TMG zurückgegriffen.
Ich hoffe, ich konnte mit meiner Antwort etwas mehr Klarheit schaffen.
Viele Grüße,
Jasmin