Mitgliederbereich

Bitte geben Sie Ihre E-Mail-Adresse und Ihr Passwort ein um sich im Mitgliederbereich anzumelden.
 

Cookies und Schutz der Onlinekommunikation

Telekommunikation-Telemedien-Datenschutzgesetz Update

15. März 2022

Update 15.03.2022 zum TTDSG

Ab dem 01.12.2021 gilt das neue Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG).

Die

Anbieter von Telemedien

sind im neuen § 2 Abs. 2 Nr. 1 TTDSG definiert. Darunter fallen Onlineangebote mit unmittelbarer Bestellmöglichkeit (Shops, Dienstleistungsseiten), Webseitenbetreiber, App-Anbieter, Video-on-Demand (VoD), Suchmaschinen und Social-Media.

Bei den

Telekommunikationsanbietern

sind nun auch rein internetgestützte von Nummern unabhängige Dienste erfasst (§ 3 TTDSG). Dies sind auch Onlineservices wie bspw. Videokonferenzen (bspw. Zoom), Messengerdienste oder Webmailservices.

Diese sogenannten Over-The-Top-Dienste fallen nun auch unter das Fernmelde- und Kommunikationsgeheimnis aus § 3 TTDSG.

Private Arbeitnehmerkommunikation

fällt auch weiterhin bei der Gestattung oder Duldung der privaten Nutzung durch den

Arbeitgeber

unter das Fernmelde- und Kommunikationsgeheimnis. Aus unserer Sicht gibt es für den Arbeitgeber nur die Alternativen „Verbot der Privatnutzung“ oder „Einwilligung der Arbeitnehmer“ für den Zugriff auf die private Kommunikation, bspw. zum  Zwecke der Gewährung eines sicheren IT-Betriebs durch Kontrollen der Kommunikation (Abwehr von Cyberangriffen), um das für ihn bestehende Spannungsverhältnis zwischen der IT-Sicherheit und dem Fernmeldegeheimnis zu lösen.

Unter

das Fernmeldegeheimnis

fallen die Kommunikationsdaten, wie der Inhalt, aber auch die Metadaten (wer, wann, welches Gerät, Standort, wie „Textnachricht“). Es ist vom Schutzumfang weiter als der Datenschutz, schützt auch Geschäftsgeheimnisse.

Bei einem Verstoß gegen das Fernmeldegeheimnis kommt eine

Strafbarkeit

nach § 206 StGB (Freiheitsstrafe bis zu fünf Jahren oder Geldstrafe) in Betracht. Rechtswidrig erlangte Kommunikationsdaten können bei einer Weiterverarbeitung zu einem weiteren Bußgeld nach der DS-GVO führen, soweit (in Regel) Personenbezug vorliegt.

Neu eingefügt wurde, dass einem

Anspruch der Erben (bspw. auf Auskunft)

nicht das Fernmelde- und Kommunikationsgeheimnis entgegensteht.

Cookies und ähnliche Informationen speichernde Tools

(technologieneutral, bspw. Browserfingerprints, IoT-Produkte) bedürfen unabhängig vom Personenbezug einer Einwilligung (§ 25 TTDSG). Ausnahmen gibt es für die Kommunikation erforderliche Speicherungen oder wenn der Zugriff auf die gespeicherte Information für den gewünschten Telemediendienst unbedingt erforderlich ist (Sessioncookies, Warenkorbfunktion, Cookiewallfunktion von Verlagen, Identifier bspw. für Sprach- und Bildschirmeinstellungen). Damit ist das TTDSG entgegen des Referentenentwurfs enger gefasst worden (siehe unten). Einwilligungsbedürftig sind damit Webanalyse-, Reichweiten- und Trackingcookies.

Bei Verstößen gegen das TTDSG sind Bußgelder bis 300.000 EUR möglich.

_________________________________________________

Während die ePrivacy Verordnung auf der EU-Ebene weiterhin noch in der Diskussionsphase ist, hat das Bundeskabinett einen

Referentenentwurf des Wirtschaftsministeriums zum Thema

„Bestandsdatenauskunft und Cookies“

auf dem Tisch.

Der geleakte Entwurf soll die Onlinekommunikation einheitlich regulieren und in einem „Telekommunikations-Telemedien-Datenschutz-Gesetz“ (TTDSG) die verstreuten Regelungen im Telekommunikationsgesetz (TKG) und Telemediengesetz (TMG) DS-GVO-konform und cookierichtlinienkonform zusammenführen.

Dies ist tatsächlich überfällig, da zuletzt der Bundesgerichtshof (BGH) geurteilt hatte, dass die Verarbeitung personenbezogener Daten nur bei technisch erforderlichen Cookies ohne Einwilligung erfolgen könne und damit die anderslautende Vorschrift des § 15 Abs. 3 TMG (opt-out für Werbung) entgegen dem Wortlaut auszulegen sei (opt-in für Werbung, BGH, Urteil vom 28.05.2020, Az. I ZR 7/16). Zuvor hatte der Europäische Gerichtshof (EuGH) auf Vorlage des BGH festgestellt, dass es nicht ausreiche, wenn die Einwilligung durch ein voreingestellten Haken im Kästchen (opt-out) abgewählt werden könne (EuGH Planet49, Urteil vom 01.10.2019, Az. C-673/17). Das Bundesverfassungsgericht hatte die Bestandsdatenauskunftspflichten aus dem § 113 TKG für Anschlussinhaberauskünfte oder zugewiesene dynamische IP-Adressen für Vertragskunden der Provider für verfassungswidrig erklärt (Beschluss vom 27.05.2020, Az. 1 BvR 1873/13 sowie 1 BvR 2618/13).

㤠9 Abs. 1 TTDSG-RefE

Das Speichern von Informationen auf Endeinrichtungen des Endnutzers oder der Zugriff auf Informationen, die bereits in seinen Endeinrichtungen des Endnutzers gespeichert sind, ist nur erlaubt, wenn der Endnutzer darüber gemäß der Verordnung (EU) 2016/679 informiert wurde und er eingewilligt hat.“

Der Grundsatz der informierten Einwilligung wird sodann im Referentenentwurf wieder „ausgefranst“ und mit Ausnahmen für „technisch erforderliche gewünschte Cookies“, eine „ausdrückliche vertragliche Vereinbarung“ oder „gesetzliche Auflagen“.

㤠9 Abs. 2 TTDSG-RefE

Absatz 1 gilt nicht, wenn die Speicherung von Informationen auf Endeinrichtungen oder der Zugriff auf Informationen, die bereits in Endeinrichtungen gespeichert sind,

1. technisch erforderlich ist, um eine Kommunikation über ein elektronisches Kommunikationsnetz zu übermitteln oder um Telemedien bereitzustellen, deren Inanspruchnahme vom Endnutzer gewünscht wird,

2. vertraglich ausdrücklich mit dem Endnutzer vereinbart wurde, um bestimmte Dienstleistungen zu erbringen, oder

3. zur Erfüllung gesetzlicher Verpflichtungen erforderlich ist.“

Browsereinstellungen sollen die Einwilligung ermöglichen.

㤠9 Abs. 4 TTDSG-RefE

Der Endnutzer kann die Einwilligung auch erklären, in dem er eine dafür vorgesehene Einstellung seines Browsers oder eine andere Anwendung auswählt.“

Der EuGH und der BGH haben jedenfalls die Kreativität des Bundeswirtschaftsministeriums zur „Vermeidung von Cookie-Klickarien“ beflügelt und die Diskussion um Cookies und die Rechtsgrundlage Einwilligung wird nach 20 Jahren Gesetzgebung und Rechtsprechung weitergeführt.

Standortdaten für Werbung

zu nutzen, soll ohne Einwilligung nicht mehr möglich sein (§ 14 TTDSG-RefE). Geodaten sind zu anonymisieren. App-Entwickler würden dies sicherlich bedauern, da die Push-Mitteilungen dann nicht mehr personalisiert ohne Einwilligung erfolgen dürften.

Der Ball liegt nun beim Bundeskabinett.

 

Wenn Sie Interesse an einer Fortbildung zu diesem Thema und der

Erfüllung der Weiterbildungspflicht nach § 15b MaBV

haben, nutzen Sie sich doch unser

Seminar- und Webinarangebot für die Wohnungswirtschaft .

Thilo Zachow

Referent für Datenschutz beim vdw Sachsen

Rechtsanwalt

Fachanwalt für Informationstechnologierecht

Fachanwalt für Urheber- und Medienrecht

Datenschutzbeauftragter (TÜV zertifiziert)

Informationssicherheitsbeauftragter (bitkom zertifiziert)