Ab dem 01.12.2021 gilt das neue Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG). Es steht in engem Zusammenhang mit dem bereits beschlossenen Entwurf eines Telekommunikationsmodernisierungsgesetzes (TKModG). Beide Vorhaben sollen gemeinsam in Kraft treten.
Ziel des TTDSG ist die erforderliche Anpassung der Datenschutzbestimmungen des Telekommunikationsgesetzes (TKG) und des Telemediengesetzes (TMG) an die Datenschutz-Grundverordnung (DSGVO) sowie die bereits lange ausstehende Umsetzung der ePrivacy-Richtlinie. Zugleich soll mit der Gesetzesänderung die Rechtsunsicherheit beseitigt werden, die durch das bisherige Nebeneinander von DSGVO, TMG und TKG entstand. Die Datenschutzbestimmungen von TKG und TMG werden nun in einem Gesetz zusammengefasst. Doch was ergibt sich hier für eine Relevanz im Beratungsalltag?
Der Anwendungsbereich des TTDSG umfasst nach § 1 Abs. 3 dabei alle Unternehmen und Personen, die im Geltungsbereich dieses Gesetzes eine Niederlassung haben, Dienstleistungen erbringen, daran mitwirken oder Waren auf dem Markt bereitstellen. Der sachliche Anwendungsbereich ergibt sich unmittelbar aus § 1 Abs. 1 TTDSG und umfasst Themen wie das Fernmeldegeheimnis, Abhörverbote, der Umgang mit Cookies oder die Rechte von Erben des Endnutzers von Telekommunikationsdiensten oder Telemedien. Wichtig ist zudem zu erwähnen, dass nicht nur personenbezogene Daten, sondern alle im Wege der Nutzung von Telemedien- und Telekommunikationsdiensten erhobenen Informationen, wie auch bei der ePrivacy-Richtlinie, vom Geltungsbereich des neuen TTDSG betroffen sind.
Was passiert mit den Vorgaben der DSGVO und der ePrivacy-Richtlinie?
Bei der Lektüre der Vorschriften des TTDSG wird recht schnell deutlich, dass gewisse Parallelen zu der DSGVO oder der ePrivacy-Richtlinie existieren. So sieht § 9 Abs. 2 S. 1 TTDSG eine Verarbeitung von Verkehrsdaten nur dann als zulässig an, soweit der Endnutzer nach den Vorgaben der DSGVO eingewilligt hat. Diese Formulierung stellt demnach auf das Verbot mit Erlaubnisvorbehalt nach Art. 6 DSGVO und die Anforderungen an eine Einwilligung nach Art. 7 DSGVO ab und erfüllt demnach auch die Anforderungen des Einwilligungserfordernisses aus Art. 6 Abs. 3 S. 1 der ePrivacy-Richtlinie.
Gilt das Fernmeldegeheimnis weiter?
Das Fernmeldegeheimnis wurde teilweise ohne Änderungen übernommen. Nur die Formulierung des Kreises der auf das Fernmeldegeheimnis verpflichteten Person wurde näher konkretisiert, somit wird für Unternehmen eine eindeutigere Regelung geschaffen, wann das Fernmeldegeheimnis einzuhalten ist.
Außerdem enthält das TTDSG eine Regelung zum Fernmeldegeheimnis im Hinblick auf die Erben eines geschützten Endnutzers (Stichwort: digitaler Nachlass).
Es soll Erben des Endnutzers und andere Personen mit vergleichbarer Rechtsstellung nicht an der Wahrnehmung der Rechte des Endnutzers gegenüber dessen Telekommunikationsanbieter hindern.
Was ist ein Endnutzer und eine Endeinrichtung nach dem TTDSG?
Endnutzer sind Anschlussinhaber bzw. Inhaber von Endeinrichtungen, die einen öffentlichen Telekommunikationsdienst für private oder geschäftliche Zwecke nutzen. Eine Endeinrichtung ist als jede direkt oder indirekt an die Schnittstelle eines öffentlichen Telekommunikationsnetzes angeschlossene Einrichtung zum Aussenden, Verarbeiten oder Empfangen von Nachrichten.
Was sind Endnutzerverzeichnisse?
Ein Endnutzerverzeichnis ist nach § 17 Abs. 1 TTDSG also eine Auflistung des Endnutzers von Informationen wie der Rufnummer, dem Namen, der Anschrift mit zusätzlichen Angaben von Beruf und Branche. Dies kann sowohl in gedruckter oder elektronischer Form sein, welches der Öffentlichkeit unmittelbar oder mittelbar über Auskunftsdienste zugänglich gemacht wird, als Beispiel kann hier ein Telefonbuch genannt werden. Weiter wurden dem Anschlussinhaber Auskunfts-, Berichtigungs- und Löschrechte bei der Verarbeitung seiner Endnutzerdaten zugesprochen.
Gibt es Änderungen bei dem Schutz der Privatsphäre bei Endeinrichtungen?
Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Einwilligung muss die Maßstäbe der DSGVO erfüllen, also freiwillig und auf der Grundlage klarer Informationen erteilt und jederzeit widerruflich sein.
Einführung von Diensten zur Einwilligungsverwaltung
Das TTDSG ergänzt das Einwilligungserfordernis um eine Vorschrift über Dienste zur Verwaltung (§26 TTDSG) solcher Einwilligungen, etwa sog. „Personal Information Management Services“ (PIMS) oder Single-Sign-on- Lösungen. Über solche Dienste soll es den Endnutzer ermöglicht werden, Voraussetzungen für ihre Einwilligung oder Ablehnung zum Setzen von Cookies anzugeben und diese Anweisung dann automatisch auf Websites weiterzugeben. Die Umsetzung müsste durch eine unabhängige Stelle erfolgen.
Die Anforderungen an einen solchen Dienst wären z. B. nutzerfreundliche und wettbewerbskonforme Verfahren und technische Anwendungen zur Einholung und Verwaltung der Einwilligung. Außerdem kein wirtschaftliches Eigeninteresse an den verwalteten Daten und der Einwilligung.
Insgesamt setzt diese Regelung die Hürde für eine Anerkennungsmöglichkeit sehr hoch, so dass abzuwarten bleibt, wie relevant die Umsetzung in der Praxis sein wird. Beim Einsatz derartiger Dienste wäre eine Bannereinbindung zur Einholung einer Einwilligung auf jeder einzelnen Webseite jedoch entbehrlich.
Verarbeitung von Verkehrsdaten gemäß dem TTDSG
Bei der Verarbeitung von Verkehrsdaten ist zukünftig eine Verarbeitung nur noch erlaubt, wenn diese zum Aufbau oder der Aufrechterhaltung der Telekommunikation, der Entgeltabrechnung oder zum Aufbau weiterer Verbindungen erforderlich ist. Eine weitere Verarbeitung über die in § 9 Abs. 1 TTDSG genannten Zwecke hinaus schließt der Gesetzgeber in § 17 Abs. 1 S. 3 TTDSG nun ausdrücklich aus. Eine derartige Konkretisierung sah das TKG bis dato nicht vor und begrenzt dadurch den Handlungsspielraum von Dienstanbietern. Die Pflicht zur Verarbeitung von Verkehrsdaten aufgrund von anderen Rechtsvorschriften bleibt von dieser Regelung jedoch unberührt.
Auskunftsverfahren bei Bestands- und Nutzungsdaten
Die Auskunftspflichten für Telemediendienste bei Bestands- und Nutzungsdaten ergeben sich unmittelbar aus § 22 und § 24 TTDSG. Demgemäß müssen Personen, die geschäftsmäßig Telemediendienste erbringen auf Verlangen und unter bestimmten Umständen öffentlichen Stellen Auskunft über die Bestands- und Nutzerdaten erteilen. Dies muss alle unternehmensinternen Datenquellen umfassen. Die Anforderung von Nutzungsdaten muss in der Regel schriftlich oder elektronisch und nur bei Nennung der einschlägigen gesetzlichen Bestimmung erfüllt werden.
Im Falle von Gefahr im Verzug kann jedoch eine Rechtsgrundlage nachgereicht werden, wo das Risiko der Zulässigkeit nicht der Anbieter selbst, sondern die Auskunft ersuchende Stelle trägt. Generell erstreckt sich die Auskunftspflicht nicht auf Passwörter oder anderen Daten, mit denen ein Zugriff auf Endgeräte oder Speichereinrichtungen ermöglicht werden würde.
Cookie-Regelungen
Für den zukünftigen Einsatz von Cookies sind die §§ 25 ff. TTDSG von Bedeutung. Danach ist das Speichern von Informationen in der Endeinrichtung (Datenverarbeitungsanlage, also der PC, das Smartphone oder Tablet) des Endnutzers oder der Zugriff auf derartige Informationen an das Einholen einer informierten Einwilligung gebunden.
Grundsätzlich gilt, dass Dritte auf Endeinrichtungen nur dann Informationen speichern dürfen, wenn der betroffene Endnutzer seine Einwilligung erteilt hat.
Geldbußen
Anbieter von Telemediendiensten müssen sich im Klaren sein, dass ein Verstoß gegen § 26 TTDSG nicht den höheren Bußgeldrahmen der DSGVO sperrt, sondern die Regelungen nebeneinander anwendbar sind. Bei einem Verstoß gegen das Einwilligungserfordernis könnte der Anbieter von Telemediendiensten insofern gleich doppelt zur Kasse gebeten werden. Ein Verstoß gegen das Einwilligungserfordernis des § 25 Abs. 1 TTDSG erfüllt den Bußgeldtatbestand des § 28 Abs. 1 Nr. 13 TTDSG und kann mit einer Geldbuße bis zu 300.000 EUR geahndet werden.
Worin besteht konkreter Handlungsbedarf für Unternehmen?
Die folgenden Punkte sollten bis Anfang Dezember 2021 umgesetzt werden:
Webseite: Prüfen Sie Ihre einwilligungsbedürftigen Datenverarbeitungen auf Ihrer Webseite. Sind alle Drittdienste in der Einwilligung aufgeführt? Ggf. müssen hierdurch Anpassungen vorgenommen werden.
Geheimhaltungsvereinbarungen: Prüfen Sie, ob Sie Ihre Geheimhaltungsvereinbarungen nach dem §88 TKG anpassen müssen. Das Fernmeldegeheimnis richtet sich zukünftig nach §3 Abs. 2 TTDSG
Dokumentation: Dokumentieren Sie ggf. Änderungen im Verzeichnis der Verarbeitungstätigkeiten (z.B. auf Grund der Änderung der Rechtsgrundlage).
Privatnutzung: Prüfen Sie, ob Sie eine private Nutzung betrieblicher Dienstmittel zulassen oder dulden. Wir empfehlen daher eine Privatnutzung auszuschließen, da die Rechtsgrundlage immer noch unklar ist, inwieweit der Arbeitgeber dann als Telekommunikationsdienstleister eingestuft wird.
Auskunftsbegehren: Passen Sie ihren internen Auskunftsprozess für evtl. Anfragen von Behörden an. Etablieren Sie diesen Prozess in Ihrem Unternehmen.
Was können wir für Sie tun?
Wir behalten für Sie die weiteren Entwicklungen des TTDSG im Blick und verfolgen die Stellungnahmen der deutschen Aufsichtsbehörden und des europäischen Datenschutzausschusses. Auch bei der Einführung der neuen die ePrivacy-Verordnung könnten noch Änderungen auf die Unternehmen zukommen. Ob „Personal Information Management Services“ (PIMS) zur Verwaltung von Einwilligungslösungen im Praxisalltag zum Einsatz kommen, bleibt abzuwarten.
Sollten Sie unsere Unterstützung bei der Überprüfung Ihrer internen Dokumentationen, Formulare und Vereinbarungen im Hinblick auf das TTDSG benötigen, so sprechen Sie uns an.