Cookies und Schutz der Onlinekommunikation
15. März 2022
Update 15.03.2022 zum TTDSG
Ab dem 01.12.2021 gilt das neue Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG).
Die
Anbieter von Telemedien
sind im neuen § 2 Abs. 2 Nr. 1 TTDSG definiert. Darunter fallen Onlineangebote mit unmittelbarer Bestellmöglichkeit (Shops, Dienstleistungsseiten), Webseitenbetreiber, App-Anbieter, Video-on-Demand (VoD), Suchmaschinen und Social-Media.
Bei den
Telekommunikationsanbietern
sind nun auch rein internetgestützte von Nummern unabhängige Dienste erfasst (§ 3 TTDSG). Dies sind auch Onlineservices wie bspw. Videokonferenzen (bspw. Zoom), Messengerdienste oder Webmailservices.
Diese sogenannten Over-The-Top-Dienste fallen nun auch unter das Fernmelde- und Kommunikationsgeheimnis aus § 3 TTDSG.
Private Arbeitnehmerkommunikation
fällt auch weiterhin bei der Gestattung oder Duldung der privaten Nutzung durch den
Arbeitgeber
unter das Fernmelde- und Kommunikationsgeheimnis. Aus unserer Sicht gibt es für den Arbeitgeber nur die Alternativen “Verbot der Privatnutzung” oder “Einwilligung der Arbeitnehmer” für den Zugriff auf die private Kommunikation, bspw. zum Zwecke der Gewährung eines sicheren IT-Betriebs durch Kontrollen der Kommunikation (Abwehr von Cyberangriffen), um das für ihn bestehende Spannungsverhältnis zwischen der IT-Sicherheit und dem Fernmeldegeheimnis zu lösen.
Unter
das Fernmeldegeheimnis
fallen die Kommunikationsdaten, wie der Inhalt, aber auch die Metadaten (wer, wann, welches Gerät, Standort, wie “Textnachricht”). Es ist vom Schutzumfang weiter als der Datenschutz, schützt auch Geschäftsgeheimnisse.
Bei einem Verstoß gegen das Fernmeldegeheimnis kommt eine
Strafbarkeit
nach § 206 StGB (Freiheitsstrafe bis zu fünf Jahren oder Geldstrafe) in Betracht. Rechtswidrig erlangte Kommunikationsdaten können bei einer Weiterverarbeitung zu einem weiteren Bußgeld nach der DS-GVO führen, soweit (in Regel) Personenbezug vorliegt.
Neu eingefügt wurde, dass einem
Anspruch der Erben (bspw. auf Auskunft)
nicht das Fernmelde- und Kommunikationsgeheimnis entgegensteht.
Cookies und ähnliche Informationen speichernde Tools
(technologieneutral, bspw. Browserfingerprints, IoT-Produkte) bedürfen unabhängig vom Personenbezug einer Einwilligung (§ 25 TTDSG). Ausnahmen gibt es für die Kommunikation erforderliche Speicherungen oder wenn der Zugriff auf die gespeicherte Information für den gewünschten Telemediendienst unbedingt erforderlich ist (Sessioncookies, Warenkorbfunktion, Cookiewallfunktion von Verlagen, Identifier bspw. für Sprach- und Bildschirmeinstellungen). Damit ist das TTDSG entgegen des Referentenentwurfs enger gefasst worden (siehe unten). Einwilligungsbedürftig sind damit Webanalyse-, Reichweiten- und Trackingcookies.
Bei Verstößen gegen das TTDSG sind Bußgelder bis 300.000 EUR möglich.
_________________________________________________
Während die ePrivacy Verordnung auf der EU-Ebene weiterhin noch in der Diskussionsphase ist, hat das Bundeskabinett einen
Referentenentwurf des Wirtschaftsministeriums zum Thema
“Bestandsdatenauskunft und Cookies”
auf dem Tisch.
Der geleakte Entwurf soll die Onlinekommunikation einheitlich regulieren und in einem “Telekommunikations-Telemedien-Datenschutz-Gesetz” (TTDSG) die verstreuten Regelungen im Telekommunikationsgesetz (TKG) und Telemediengesetz (TMG) DS-GVO-konform und cookierichtlinienkonform zusammenführen.
Dies ist tatsächlich überfällig, da zuletzt der Bundesgerichtshof (BGH) geurteilt hatte, dass die Verarbeitung personenbezogener Daten nur bei technisch erforderlichen Cookies ohne Einwilligung erfolgen könne und damit die anderslautende Vorschrift des § 15 Abs. 3 TMG (opt-out für Werbung) entgegen dem Wortlaut auszulegen sei (opt-in für Werbung, BGH, Urteil vom 28.05.2020, Az. I ZR 7/16). Zuvor hatte der Europäische Gerichtshof (EuGH) auf Vorlage des BGH festgestellt, dass es nicht ausreiche, wenn die Einwilligung durch ein voreingestellten Haken im Kästchen (opt-out) abgewählt werden könne (EuGH Planet49, Urteil vom 01.10.2019, Az. C-673/17). Das Bundesverfassungsgericht hatte die Bestandsdatenauskunftspflichten aus dem § 113 TKG für Anschlussinhaberauskünfte oder zugewiesene dynamische IP-Adressen für Vertragskunden der Provider für verfassungswidrig erklärt (Beschluss vom 27.05.2020, Az. 1 BvR 1873/13 sowie 1 BvR 2618/13).
Ҥ 9 Abs. 1 TTDSG-RefE
Das Speichern von Informationen auf Endeinrichtungen des Endnutzers oder der Zugriff auf Informationen, die bereits in seinen Endeinrichtungen des Endnutzers gespeichert sind, ist nur erlaubt, wenn der Endnutzer darüber gemäß der Verordnung (EU) 2016/679 informiert wurde und er eingewilligt hat.“
Der Grundsatz der informierten Einwilligung wird sodann im Referentenentwurf wieder “ausgefranst” und mit Ausnahmen für “technisch erforderliche gewünschte Cookies”, eine “ausdrückliche vertragliche Vereinbarung” oder “gesetzliche Auflagen”.
Ҥ 9 Abs. 2 TTDSG-RefE
Absatz 1 gilt nicht, wenn die Speicherung von Informationen auf Endeinrichtungen oder der Zugriff auf Informationen, die bereits in Endeinrichtungen gespeichert sind,
1. technisch erforderlich ist, um eine Kommunikation über ein elektronisches Kommunikationsnetz zu übermitteln oder um Telemedien bereitzustellen, deren Inanspruchnahme vom Endnutzer gewünscht wird,
2. vertraglich ausdrücklich mit dem Endnutzer vereinbart wurde, um bestimmte Dienstleistungen zu erbringen, oder
3. zur Erfüllung gesetzlicher Verpflichtungen erforderlich ist.“
Browsereinstellungen sollen die Einwilligung ermöglichen.
Ҥ 9 Abs. 4 TTDSG-RefE
Der Endnutzer kann die Einwilligung auch erklären, in dem er eine dafür vorgesehene Einstellung seines Browsers oder eine andere Anwendung auswählt.“
Der EuGH und der BGH haben jedenfalls die Kreativität des Bundeswirtschaftsministeriums zur “Vermeidung von Cookie-Klickarien” beflügelt und die Diskussion um Cookies und die Rechtsgrundlage Einwilligung wird nach 20 Jahren Gesetzgebung und Rechtsprechung weitergeführt.
Standortdaten für Werbung
zu nutzen, soll ohne Einwilligung nicht mehr möglich sein (§ 14 TTDSG-RefE). Geodaten sind zu anonymisieren. App-Entwickler würden dies sicherlich bedauern, da die Push-Mitteilungen dann nicht mehr personalisiert ohne Einwilligung erfolgen dürften.
Der Ball liegt nun beim Bundeskabinett.
Wenn Sie Interesse an einer Fortbildung zu diesem Thema und der
Erfüllung der Weiterbildungspflicht nach § 15b MaBV
haben, nutzen Sie sich doch unser
Seminar- und Webinarangebot für die Wohnungswirtschaft .
Thilo Zachow
Referent für Datenschutz beim vdw Sachsen
Rechtsanwalt
Fachanwalt für Informationstechnologierecht
Fachanwalt für Urheber- und Medienrecht
Datenschutzbeauftragter (TÜV zertifiziert)
Informationssicherheitsbeauftragter (bitkom zertifiziert)