Das Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien („TTDSG“) tritt zum 01.12.2021 in Kraft und vereint die datenschutzrechtlichen Regelungen, die der nationale Gesetzgeber nach Einführung der DSGVO im Jahr 2018 im Telekommunikationsgesetz (TKG) und Telemediengesetz (TMG) verpasst hatte vorzunehmen. Zwei Regelungen wollen wir besondere Beachtung schenken.
“Mit § 25 TTDSG ist die Einwilligungspflicht in Cookies jedoch zum ersten Mal ausdrücklich geregelt.” – Eileen Binder
Das TTDSG richtet sich an alle Anbieter von Telemedien- und Telekommunikationsdiensten und bestimmt, dass und wie Telemedien- und Telekommunikationsanbieter die Daten ihrer Nutzer zu schützen haben. Inhaltlich enthält das TTDSG unter anderem Neuerungen zum Begriff „Telekommunikationsanbieter“, zur Verwendung von Cookies, zu PIMS und zu OTT-Diensten. Insbesondere soll in diesem Beitrag auf den neu definierten Begriff „Telekommunikationsanbieter“ und die Regelungen zur Einwilligungspflicht für Cookies eingegangen werden.
Die Regelungen zur Einwilligungspflicht bei Cookies sind Ausdruck des EuGH-Urteils (vom 01.10.2019, Az.: C‑673/17, „Planet49“), in welchem der EuGH festgestellt hatte, dass die europäische Cookie-Richtlinie in Deutschland nie in nationales Recht umgesetzt wurde.
Telekommunikationsanbieter & Fernmeldegeheimnis, § 3 TTDSG
Manch eine Hoffnung ging dahin, dass das TTDSG die jeher strittige Frage, ob Arbeitgeber Anbieter von Telekommunikationsdiensten sind und damit dem Fernmeldegeheimnis unterliegen oder nicht, lösen würde. Damit würde geklärt werden, ob Arbeitgeber auf private E‑Mails und Daten auf den Rechnern der Mitarbeiter ohne deren Einwilligung zugreifen dürfen, wenn die private Nutzung von E‑Mail- und Internetdiensten im Unternehmen erlaubt oder zumindest geduldet sind. Die Zugriffsmöglichkeit ist immer wieder dann Thema, wenn Arbeitnehmer plötzlich aus dem Unternehmen ausscheiden oder zumindest für längere Zeit ausfallen und ein Zugriff zur Fortführung der Geschäfte erforderlich ist. Erfolgt der Zugriff ohne Einwilligung des Arbeitnehmers, verstößt der Arbeitgeber gegen das Fernmeldegeheimnis und macht sich nach § 206 StGB strafbar (Verletzung des Post- und Fernmeldegeheimnisses).
Leider bietet § 3 TTDSG keine eindeutige Antwort auf die Frage und es lassen sich auch keine verlässlichen Schlüsse darauf ziehen. Aus praktischer Sicht bleibt es daher weiterhin empfehlenswert, die private Nutzung von E‑Mail- und Internetdiensten im Unternehmen nicht einfach zu dulden, sondern explizit zu regeln, und eine Einwilligung der Arbeitnehmer in den Zugriff auf die Endgeräte trotz privater Daten zuzulassen, sofern es der Zweck des Zugriffs erforderlich macht.
Sofern Unternehmen ihre Beschäftigen u.a. auch auf die Wahrung des Fernmeldegeheimnisses verpflichten, sollte die alte Rechtsgrundlage § 88 TKG durch die neue Rechtsgrundlage § 3 TTDSG ersetzt werden.
Cookie- Regelung in § 25 TTDSG
Die Regelungen zur Zulässigkeit von Cookies in § 25 TTDSG orientieren sich unmittelbar an den Vorgaben von Art. 5 Abs. 3 ePrivacy-Richtlinie. Damit hat der Gesetzgeber das EuGH-Urteil (vom 01.10.2019 Az.: C‑673/17, „Planet49“) sowie die Bestätigung durch die Rechtsprechung des BGH (Urteil vom 28.05.2020, Az.: I ZR 7/16, „Cookie-Einwilligung II“) umgesetzt. Die abenteuerliche richtlinienkonforme Auslegung des BGH führt dazu, dass sich zur bisherigen Rechtslage nichts ändert. Mit § 25 Abs. 1 TTDSG ist die Einwilligungspflicht in Cookies jedoch zum ersten Mal ausdrücklich geregelt.
- 25 Abs. 1 DSGVO: „Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat.“
Hinsichtlich der Datenschutz-Information gegenüber der Nutzer und der Anforderungen an eine Einwilligung wird im zweiten Satz auf die DSGVO verwiesen. Art. 12ff DSGVO und Art. 7 DSGVO sind hier die maßgeblichen Normen.
Wird ganz allgemein von Cookies gesprochen, so umfasst die Formulierung nur den halben Regelungsinhalt. § 25 TTDSG ist neutral gefasst. Cookies werden nicht insbesondere hervorgehoben, vielmehr werden von der Regelung auch vergleichbare Technologien umfasst, wie z.B. Web Beacons (= Zählpixel) oder Fingerprinting. Ebenfalls neutral ist das Endgerät des Nutzers. Neben dem Zugriff auf Browser sind auch Zugriffe auf Autos, TV oder smarte (Haushalts-)Geräte (Internet of Things) in den Regelungszweck der Norm integriert.
Die Verarbeitung von personenbezogenen Daten ist für den Anwendungsbereich des § 25 TTDSG nicht zwingende Voraussetzung. Sinn und Zweck der Regelung ist die generelle Einschränkung von (heimlichen) Zugriffen auf die Endeinrichtungen von Endnutzern. Alle Typen von Cookies und vergleichbaren Technologien fallen unter die Regelung und damit unter die Einwilligungspflicht. Ausnahmen vom generellen Erfordernis der Einwilligung regelt § 25 Abs. 2 TTDSG. Dort werden die sog. technisch erforderlichen Cookies geregelt. Nicht geregelt und damit weiterhin offen ist der Umstand, wann und welche Cookies technisch erforderlich sind.
Eine Kombination der Einwilligungspflicht nach TTDSG mit einer Einwilligung nach DSGVO ist möglich und wird bereits jetzt von vielen Cookie-Banner-Anbietern angeboten.
Fazit
Das TTDSG vereint die bestehenden datenschutzrechtlichen Vorschriften aus dem TKG und dem TMG und setzt darüber hinaus auch die Regelungen ePrivacy-Richtlinie in nationales Recht um. Zur Frage, ob Arbeitgeber geschäftsmäßige Anbieter von Telekommunikationsmitteln sind und sich bei Verstoß gegen das Fernmeldegeheimnis strafbar machen, liefert das TTDSG keine eindeutige Lösung. Es bleibt zunächst bei der alten Rechtslage. Die Einwilligungspflicht für Cookies ist zum ersten Mal ausdrücklich geregelt, wenngleich eine Regelung darüber, welche Cookies erforderlich oder technisch notwendig sind, immer noch ausbleibt. Gewöhnungsbedürftig ist die Anwendung von gleich vier Gesetzen parallel. In einigen Vorschriften verweist das TTDSG auf die Regelungen im TMG und TKG, die DSGVO ist ebenfalls weiterhin an den Stellen anwendbar, an denen eine Konkretisierung des Datenschutzes erforderlich ist, z.B. bei der Frage, wie eine zulässige Einwilligung auszusehen hat. Das TTDSG wird nur übergangsweise Bestand haben. Mittelfristig werden auch diese Regelungen abgelöst werden, nämlich durch die neue ePrivacy-Verordnung.
Was Sie noch interessieren könnte:
Die Haftung von Verantwortlichen, Gemeinsam Verantwortlichen und Auftragsverarbeitern
Die Funktion als Verantwortlicher, gemeinsam Verantwortlicher oder Auftragsverarbeiter ist für Unternehmen vor allem in Haftungssituationen rund um den Datenschutz […]
Die Erstellung eines Löschkonzepts – das gilt es zu beachten!
In der DSGVO finden sich an einigen Stellen Verpflichtungen zur Löschung personenbezogener Daten. Darunter beispielsweise das Recht auf Löschung in […]
Künstliche Intelligenz und Datenschutz – woran Verantwortliche im Unternehmen denken sollten
Laut dem statistischen Bundesamt nutzen Unternehmen Künstliche Intelligenz (KI) am häufigsten zur Spracherkennung, gefolgt von der Automatisierung von Arbeitsabläufen oder […]