Die Datenschutzbestimmungen des TMG und des TKG, einschließlich der Bestimmungen zum Schutz des Fernmeldegeheimnisses, sind in einem neuen Gesetz Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG) zusammengeführt worden.
Dabei sollen zugleich die erforderlichen Anpassungen an die DSGVO erfolgen, sowie Rechtsklarheit und ein wirksamer Schutz der Privatsphäre von Endnutzern mit Endeinrichtungen (Computer, Smartphone, TV-Geräte, etc. grundsätzlich auch alle anderen mit dem Internet verbundenen Gegenstände). Ein Endnutzer ist jeder Nutzer, der einen öffentlichen Telekommunikationsdienst für private oder geschäftliche Zwecke nutzt, d.h. im Umkehrschluss alle Unternehmen, die einen Webauftritt betreiben, Werbemails versenden, Apps anbieten oder/und Video on Demand anbieten (Aufzählung nicht abschließend) müssen sich an die Regelungen des TTDSG halten.
Das Setzen von Cookies ist ein wichtiger Anknüpfungspunkt dieser Regelung. Grundsätzlich gilt, dass Dritte auf Endeinrichtungen nur dann Informationen wie z. B. Cookies speichern dürfen, wenn der betroffene Endnutzer seine Einwilligung erteilt hat. Diese Einwilligung erfolgt nach Maßstab der DSGVO, das heißt freiwillig, auf der Grundlage klarer Informationen und jederzeit widerruflich.
Eine Einwilligung ist nach § 25 Abs. 2 TTDSG lediglich nur noch in zwei Ausnahmen nicht erforderlich:
- wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder
- wenn die Speicherung von Informationen oder der Zugriff auf bereits gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.
Dennoch bestehen weiterhin Unklarheiten zur eindeutigen Kategorisierung notwendiger Cookies. Insbesondere stellt sich die Frage, ob Cookies zur Websiteoptimierung, sog. First-Party-Analyse- Cookies, noch als „unbedingt erforderlich“ i.S.v. § 25 Abs. 2 Nr. 2 TTDSG angesehen werden dürfen. Letzteres dürfte man zumindest für Warenkorb- und Session-Cookies, sowie Identifier zum Vorhalten von Nutzerpräferenzen, wie z.B. Sprach- und Bildschirmeinstellungen, oder zur Gewährleistung der technischen Sicherheit und Integrität der Website annehmen können.
Dass der Einsatz von selbstgehosteten Analysetools wie z.B. Matomo weiterhin auf das berechtigte Interesse gestützt werden kann (Reichweitenmessung), sehen wir mit dem in Kraft treten des TTDSG, als fraglich bzw. eher als nicht mehr möglich an.
Mit dem TTDSG wird darüber hinaus der Weg für Dienste zur Einwilligungsverwaltung, die sogenannten PIMS (Personal Information Management System), freigemacht (§ 26 TTDSG). Die Idee dahinter ist, dass Internetnutzer einmalig gegenüber entsprechend anerkannten Diensten angeben können, ob, wo und unter welchen Voraussetzungen sie ihre Einwilligung oder Ablehnung zum Setzen von Cookies geben. Der Diensteanbieter leitet die Informationen dann anschließend automatisch im Hintergrund an die Webseiten weiter. So sollen lästige Cookiebanner entbehrlich werden. Bevor entsprechende Dienste ihre Anerkennung beantragen können, muss die Bundesregierung aber zunächst noch in Form einer Rechtsverordnung das Anerkennungsverfahren und das Zusammenspiel der verschiedenen Beteiligten (Dienst zur Einwilligungsverwaltung, Telemedienanbieter, Browseranbieter) konkretisieren.
Es bleibt also abzuwarten – Bisher gibt es solche Dienste noch nicht.
Nach § 3 Abs. 1 TTDSG unterliegen dem Fernmeldegeheimnis der Inhalt der Telekommunikation und ihre näheren Umstände, insbesondere die Tatsache, ob jemand an einem Telekommunikationsvorgang beteiligt ist oder war. Wer zur Achtung des Fernmeldegeheimnisses nach Abs. 1 verpflichtet ist, regelt § 3 Abs. 2 TTDSG. Neben Anbietern von öffentlich zugänglichen Telekommunikationsdiensten (§ 3 Abs. 2 S. 1 Nr. 1 TTDSG) gehören hierzu auch Anbieter von ganz oder teilweise geschäftsmäßig angebotenen Telekommunikationsdiensten (§ 3 Abs. 2 S. 1 Nr. 2 TTDSG). Im Rahmen der bisherigen Rechtslage wird auch der Arbeitgeber von der herrschenden Meinung als ein solcher geschäftsmäßiger Anbieter eingestuft, sofern dieser die private Nutzung der betrieblichen Kommunikationsmittel erlaubt und diese seinen Mitarbeitern somit nachhaltig für private Zwecke zur Verfügung stellt. Ein entsprechendes Anbieter- Nutzer-Verhältnis wird sogar bei bloßer Duldung seitens des Arbeitgebers angenommen, sofern der Arbeitgeber die sich eingebürgerte private Nutzung durch die Beschäftigten offensichtlich kennt und über einen längeren Zeitraum ohne Beanstandungen hinnimmt. Bei diesem Umstand kommt es aber auch zu einem Zusammenspiel weiterer Regelungen (DSGVO, ePrivacy Richtlinie, StGB, etc.). Welches Datenschutzrecht für die Privatnutzung betrieblicher Kommunikationsmittel gestattende Arbeitgeber gilt, ist umstritten. Aus praktischer Sicht bleibt vor allem von Bedeutung, eine Privatnutzung betrieblicher Kommunikationsmittel nicht einfach zu dulden, sondern, wenn eine solche erlaubt werden soll, dies explizit zu tun und zugleich klare „Spielregeln“ und Kontrollmechanismen aufzustellen, z.B. per Betriebs-/Dienstvereinbarung und hierauf Bezug nehmender Einwilligungen der einzelnen Mitarbeiter/innen. Aufgrund von bestehenden Unklarheiten und auch hohen Anforderungen empfiehlt Bugl & Kollegen weiterhin eine strikte Trennung privater und geschäftlicher Nutzung.
Weiterhin enthält das TTDSG eine Regelung zum Fernmeldegeheimnis im Hinblick auf die Erben eines geschützten Endnutzers (Stichwort: digitaler Nachlass). Das Fernmeldegeheimnis soll Erben des Endnutzers und andere Personen mit vergleichbarer Rechtsstellung nicht an der Wahrnehmung der Rechte des Endnutzers gegenüber dessen Telekommunikationsanbieter hindern.
Im Bereich der Telemedien regelt das TTDSG den Datenschutz im Hinblick auf Bestimmungen, die nicht bereits von der DSGVO erfasst werden. Dazu gehören auch die Regelungen zur Bestandsdatenauskunft. Bestandsdaten sind alle Daten, die von Telemedienanbietern nach Maßgabe der DSGVO zu Vertragszwecken erhoben und dauerhaft gespeichert werden dürfen. Die Auskunft über Bestandsdaten hat der Bundestag am 28. Januar 2021 im Gesetz zur Anpassung der Regelungen über die Bestandsdatenauskunft an die Vorgaben aus der Entscheidung des Bundesverfassungsgerichts vom 27. Mai 2020 beschlossen. Diese Regelungen sind im TTDSG berücksichtigt.
Bußgelder
In § 26 TTDSG finden sich Regelungen zu Ordnungswidrigkeiten, wobei sich die Höhe des Bußgeldrahmens nicht an der DSGVO, sondern am Bußgeldrahmen des bisherigen TKG orientiert und damit verhältnismäßig gering ist.
Anbieter von Telemediendiensten müssen sich aber im Klaren sein, dass ein Verstoß gegen § 26 TTDSG nicht den höheren Bußgeldrahmen der DSGVO sperrt, sondern die Regelungen nebeneinander anwendbar sind. Bei einem Verstoß gegen das Einwilligungserfordernis könnte der Anbieter von Telemediendiensten insofern gleich doppelt zur Kasse gebeten werden.
Auch die Technisch-Organisatorischen Maßnahmen betreffend, ist das TTDSG zu berücksichtigen. So heißt es §19 Abs. 1 TTDSG „Anbieter von Telemedien haben durch technische und organisatorische Vorkehrungen sicher zu stellen, dass der Nutzer von Telemedien die Nutzung des Dienstes jederzeit beenden kann und er Telemedien gegen Kenntnisnahme Dritter geschützt in Anspruch nehmen kann“. Eine Vorkehrung hierzu stellt ein entsprechendes Verschlüsselungsverfahren dar.
Ihre Schritte:
- Änderung der Dokumente bzgl. des Fernmeldegeheimnisses, d. h. Richtlinien die einen Verweis auf §88 TKG enthalten, Administratorenverpflichtungen auf die Vertraulichkeit (Datengeheimnis), etc. ⇒ §88 TKG wird zu §3 TTDSG
- Überprüfung der Website-Tools, auch bei selbstgehosteten Reichweitenmessungs-Tools muss beim Nutzer eine Einwilligung abgefragt werden (z. B.: Matomo), anschließende Änderungen der Rechtsgrundlage dieser Tools in den Datenschutzerklärungen ⇒ Art. 6 Abs. 1 f wird zu Art. 6 Abs. 1 a DSGVO und Widerspruch wird zu Widerruf
- Aufnahme der neuen einwilligungspflichtigen Tools in den Cookie-Banner, nicht mehr unter der Kategorie „essentiell“ bzw. „technisch notwendige“
- Überprüfung der TOMs, entsprechende Verschlüsselungsverfahren vorhanden, etc.
- strikte Trennung privater und geschäftlicher Nutzung betrieblicher Endeinrichtungen, Software, etc. (dringende Empfehlung von Ihrer KÜHLEIS GROUP.)