Das Gesetz zur Rege­lung des Daten­schut­zes und des Schut­zes der Pri­vat­sphä­re in der Tele­kom­mu­ni­ka­ti­on und bei Tele­me­di­en („TTDSG“) tritt zum 01.12.2021 in Kraft und ver­eint die daten­schutz­recht­li­chen Rege­lun­gen, die der natio­na­le Gesetz­ge­ber nach Ein­füh­rung der DSGVO im Jahr 2018 im Tele­kom­mu­ni­ka­ti­ons­ge­setz (TKG) und Tele­me­di­en­ge­setz (TMG) ver­passt hat­te vor­zu­neh­men. Zwei Rege­lun­gen wol­len wir beson­de­re Beach­tung schenken.

Mit § 25 TTDSG ist die Ein­wil­li­gungs­pflicht in Coo­kies jedoch zum ers­ten Mal aus­drück­lich gere­gelt.” Eileen Bin­der

Das TTDSG rich­tet sich an alle Anbie­ter von Telemedien- und Tele­kom­mu­ni­ka­ti­ons­diens­ten und bestimmt, dass und wie Telemedien- und Tele­kom­mu­ni­ka­ti­ons­an­bie­ter die Daten ihrer Nut­zer zu schüt­zen haben. Inhalt­lich ent­hält das TTDSG unter ande­rem Neue­run­gen zum Begriff „Tele­kom­mu­ni­ka­ti­ons­an­bie­ter“, zur Ver­wen­dung von Coo­kies, zu PIMS und zu OTT-Diensten. Ins­be­son­de­re soll in die­sem Bei­trag auf den neu defi­nier­ten Begriff „Tele­kom­mu­ni­ka­ti­ons­an­bie­ter“ und die Rege­lun­gen zur Ein­wil­li­gungs­pflicht für Coo­kies ein­ge­gan­gen werden.

Die Rege­lun­gen zur Ein­wil­li­gungs­pflicht bei Coo­kies sind Aus­druck des EuGH-Urteils (vom 01.10.2019, Az.: C‑673/17, „Planet49“), in wel­chem der EuGH fest­ge­stellt hat­te, dass die euro­päi­sche Cookie-Richtlinie in Deutsch­land nie in natio­na­les Recht umge­setzt wurde.

Tele­kom­mu­ni­ka­ti­ons­an­bie­ter & Fern­mel­de­ge­heim­nis, § 3 TTDSG

Manch eine Hoff­nung ging dahin, dass das TTDSG die jeher strit­ti­ge Fra­ge, ob Arbeit­ge­ber Anbie­ter von Tele­kom­mu­ni­ka­ti­ons­diens­ten sind und damit dem Fern­mel­de­ge­heim­nis unter­lie­gen oder nicht, lösen wür­de. Damit wür­de geklärt wer­den, ob Arbeit­ge­ber auf pri­va­te E‑Mails und Daten auf den Rech­nern der Mit­ar­bei­ter ohne deren Ein­wil­li­gung zugrei­fen dür­fen, wenn die pri­va­te Nut­zung von E‑Mail- und Inter­net­diens­ten im Unter­neh­men erlaubt oder zumin­dest gedul­det sind. Die Zugriffs­mög­lich­keit ist immer wie­der dann The­ma, wenn Arbeit­neh­mer plötz­lich aus dem Unter­neh­men aus­schei­den oder zumin­dest für län­ge­re Zeit aus­fal­len und ein Zugriff zur Fort­füh­rung der Geschäf­te erfor­der­lich ist. Erfolgt der Zugriff ohne Ein­wil­li­gung des Arbeit­neh­mers, ver­stößt der Arbeit­ge­ber gegen das Fern­mel­de­ge­heim­nis und macht sich nach § 206 StGB straf­bar (Ver­let­zung des Post- und Fernmeldegeheimnisses).

Lei­der bie­tet § 3 TTDSG kei­ne ein­deu­ti­ge Ant­wort auf die Fra­ge und es las­sen sich auch kei­ne ver­läss­li­chen Schlüs­se dar­auf zie­hen. Aus prak­ti­scher Sicht bleibt es daher wei­ter­hin emp­feh­lens­wert, die pri­va­te Nut­zung von E‑Mail- und Inter­net­diens­ten im Unter­neh­men nicht ein­fach zu dul­den, son­dern expli­zit zu regeln, und eine Ein­wil­li­gung der Arbeit­neh­mer in den Zugriff auf die End­ge­rä­te trotz pri­va­ter Daten zuzu­las­sen, sofern es der Zweck des Zugriffs erfor­der­lich macht.

Sofern Unter­neh­men ihre Beschäf­ti­gen u.a. auch auf die Wah­rung des Fern­mel­de­ge­heim­nis­ses ver­pflich­ten, soll­te die alte Rechts­grund­la­ge § 88 TKG durch die neue Rechts­grund­la­ge § 3 TTDSG ersetzt werden.

Cookie- Rege­lung in § 25 TTDSG

Die Rege­lun­gen zur Zuläs­sig­keit von Coo­kies in § 25 TTDSG ori­en­tie­ren sich unmit­tel­bar an den Vor­ga­ben von Art. 5 Abs. 3 ePrivacy-Richtlinie. Damit hat der Gesetz­ge­ber das EuGH-Urteil (vom 01.10.2019 Az.: C‑673/17, „Planet49“) sowie die Bestä­ti­gung durch die Recht­spre­chung des BGH (Urteil vom 28.05.2020, Az.: I ZR 7/16, „Cookie-Einwilligung II“) umge­setzt. Die aben­teu­er­li­che richt­li­ni­en­kon­for­me Aus­le­gung des BGH führt dazu, dass sich zur bis­he­ri­gen Rechts­la­ge nichts ändert. Mit § 25 Abs. 1 TTDSG ist die Ein­wil­li­gungs­pflicht in Coo­kies jedoch zum ers­ten Mal aus­drück­lich geregelt.

  • 25 Abs. 1 DSGVO: „Die Spei­che­rung von Infor­ma­tio­nen in der End­ein­rich­tung des End­nut­zers oder der Zugriff auf Infor­ma­tio­nen, die bereits in der End­ein­rich­tung gespei­chert sind, sind nur zuläs­sig, wenn der End­nut­zer auf der Grund­la­ge von kla­ren und umfas­sen­den Infor­ma­tio­nen ein­ge­wil­ligt hat.“

Hin­sicht­lich der Datenschutz-Information gegen­über der Nut­zer und der Anfor­de­run­gen an eine Ein­wil­li­gung wird im zwei­ten Satz auf die DSGVO ver­wie­sen. Art. 12ff DSGVO und Art. 7 DSGVO sind hier die maß­geb­li­chen Normen.

Wird ganz all­ge­mein von Coo­kies gespro­chen, so umfasst die For­mu­lie­rung nur den hal­ben Rege­lungs­in­halt. § 25 TTDSG ist neu­tral gefasst. Coo­kies wer­den nicht ins­be­son­de­re her­vor­ge­ho­ben, viel­mehr wer­den von der Rege­lung auch ver­gleich­ba­re Tech­no­lo­gien umfasst, wie z.B. Web Bea­cons (= Zähl­pi­xel) oder Fin­ger­prin­ting. Eben­falls neu­tral ist das End­ge­rät des Nut­zers. Neben dem Zugriff auf Brow­ser sind auch Zugrif­fe auf Autos, TV oder smar­te (Haushalts-)Geräte (Inter­net of Things) in den Rege­lungs­zweck der Norm integriert.

Die Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten ist für den Anwen­dungs­be­reich des § 25 TTDSG nicht zwin­gen­de Vor­aus­set­zung. Sinn und Zweck der Rege­lung ist die gene­rel­le Ein­schrän­kung von (heim­li­chen) Zugrif­fen auf die End­ein­rich­tun­gen von End­nut­zern. Alle Typen von Coo­kies und ver­gleich­ba­ren Tech­no­lo­gien fal­len unter die Rege­lung und damit unter die Ein­wil­li­gungs­pflicht. Aus­nah­men vom gene­rel­len Erfor­der­nis der Ein­wil­li­gung regelt § 25 Abs. 2 TTDSG. Dort wer­den die sog. tech­nisch erfor­der­li­chen Coo­kies gere­gelt. Nicht gere­gelt und damit wei­ter­hin offen ist der Umstand, wann und wel­che Coo­kies tech­nisch erfor­der­lich sind.

Eine Kom­bi­na­ti­on der Ein­wil­li­gungs­pflicht nach TTDSG mit einer Ein­wil­li­gung nach DSGVO ist mög­lich und wird bereits jetzt von vie­len Cookie-Banner-Anbietern angeboten.

Fazit

Das TTDSG ver­eint die bestehen­den daten­schutz­recht­li­chen Vor­schrif­ten aus dem TKG und dem TMG und setzt dar­über hin­aus auch die Rege­lun­gen ePrivacy-Richtlinie in natio­na­les Recht um. Zur Fra­ge, ob Arbeit­ge­ber geschäfts­mä­ßi­ge Anbie­ter von Tele­kom­mu­ni­ka­ti­ons­mit­teln sind und sich bei Ver­stoß gegen das Fern­mel­de­ge­heim­nis straf­bar machen, lie­fert das TTDSG kei­ne ein­deu­ti­ge Lösung. Es bleibt zunächst bei der alten Rechts­la­ge. Die Ein­wil­li­gungs­pflicht für Coo­kies ist zum ers­ten Mal aus­drück­lich gere­gelt, wenn­gleich eine Rege­lung dar­über, wel­che Coo­kies erfor­der­lich oder tech­nisch not­wen­dig sind, immer noch aus­bleibt. Gewöh­nungs­be­dürf­tig ist die Anwen­dung von gleich vier Geset­zen par­al­lel. In eini­gen Vor­schrif­ten ver­weist das TTDSG auf die Rege­lun­gen im TMG und TKG, die DSGVO ist eben­falls wei­ter­hin an den Stel­len anwend­bar, an denen eine Kon­kre­ti­sie­rung des Daten­schut­zes erfor­der­lich ist, z.B. bei der Fra­ge, wie eine zuläs­si­ge Ein­wil­li­gung aus­zu­se­hen hat. Das TTDSG wird nur über­gangs­wei­se Bestand haben. Mit­tel­fris­tig wer­den auch die­se Rege­lun­gen abge­löst wer­den, näm­lich durch die neue ePrivacy-Verordnung.

Was Sie noch interessieren könnte:

Autorin des Artikels:

Eileen Binder

Wirtschaftsjuristin LL.B. & Beraterin im Datenschutz