Seit Ende Juli ist ein Leak eines Referentenentwurfs des Bundesministeriums für Wirtschaft und Energie (BMWi) für ein „Gesetz über den Datenschutz und den Schutz der Privatsphäre in der elektronischen Kommunikation und bei Telemedien sowie zur Änderung des TKG, des TMG und weiterer Gesetze” im Umlauf.
Laut der in diesem Referentenentwurf angegebenen Begründung führt das aktuelle Nebeneinander von DSGVO, TMG und TKG zu Rechtsunsicherheiten bei Verbrauchern, Diensteanbietern und Aufsichtsbehörden. Der Referentenentwurf soll daher für Rechtsklarheit sorgen. Dies soll er bewirken, indem Datenschutz und der Schutz der Privatsphäre in der Telekommunikation und bei Telemedien zukünftig einheitlich aus einem Stammgesetz heraus geregelt werden. Außerdem soll der Entwurf „mit Blick auf die bisherigen Diskussionen zur Einwilligung bei Endeinrichtungen“ für Rechtsklarheit sorgen – also in Bezug auf die sog. Cookie-Regelung in § 15 Abs.3 TMG, die von der h.M. als ungenügende Umsetzung der zugrundeliegenden Bestimmung in Art. 5 Abs. 3 der E-Privacy-RL angesehen wird. Zuletzt hatte der BGH in seiner „Planet49”-Entscheidung (Urteil vom 28.05.2020, I ZR 7/16) § 15 Abs. 3 TMG richtlinienkonform ausgelegt, allerdings entgegen seinen Wortlaut.
Schließlich soll der Entwurf die Aufsicht über bestimmte Teile des TTDSG, nämlich „die Bestimmungen zum Schutz personenbezogener Daten”, ausschließlich auf den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) übertragen.
Die zentralen Regelungen des Referentenentwurfs finden sich in Artikel 1 des Referentenentwurfs, der die Neueinführung des TTDSG regelt.
Das neue TTDSG soll dabei die sektorspezifischen Bestimmungen zum Datenschutz und dem Fernmeldegeheimnis, die bisher im TKG enthalten waren (§ 88 – 107 TKG), in ein neues Stammgesetz (d.h. das TTDSG) überführen. Auch die Datenschutzbestimmungen für Telemedien, bisher in den §§ 11 ff. TMG enthalten, sind künftig im TTDSG geregelt.
Der Anwendungsbereich des TTDSG-E umfasst nun auch die sogenannten Over-the-Top (OTT) Dienste, d.h. solche Kommunikationsdienste, die von einem Anbieter über das offene Internet erbracht werden (z.B. E-Mail, Chat- und VoIP-Dienste). Dies ergibt sich aus der Definition des „interpersonellen Telekommunikationsdienstes“ in § 2 Nr. 15 TTDSG-E. Ein „interpersoneller Telekommunikationsdienst“ ist danach „ein gewöhnlich gegen Entgelt erbrachter Dienst, der die Übermittlung von Informationen über elektronische Kommunikationsnetze an vom Absender bestimmte Personen ermöglicht. […]“ Die Definition in § 2 Nr. 15 TTDSG-E übernimmt damit die Definition des „interpersonellen Kommunikationsdiensts“ aus Art. 2 Nr. 5 Europäischer Kodex für Elektronische Kommunikation (EECC – RL 2018/1972/EU).
Indem die Definition an die Funktionalität des Dienstes anknüpft, erfasst sie auch OTT-Dienste. Damit unterwirft der TTDSG-E auch Anbieter von OTT-Diensten dem Geltungsbereich des Telekommunikationsdatenschutzes.
Aus § 1 TTDSG-E ergibt sich, dass die in Teil 2 des TTDSG-E enthaltenen Vorschriften, die den TK-Datenschutz regeln, allein bei öffentlichen elektronischen Kommunikationsnetzen Anwendung finden. Das heißt, nicht-öffentlich zugängliche Kommunikationsnetze wie etwa Unternehmensnetze sowie TK-Dienste, die nicht über öffentliche Netze erbracht werden, fallen demnach nicht in den Anwendungsbereich des TTDSG. Zu beachten ist zudem, dass der in dem Entwurf verwendete Begriff „elektronische Kommunikation“ gleichbedeutend ist mit der bisherigen Verwendung des Begriffs „Telekommunikation“ im deutschen Recht.
Neu geschaffen wird eine Rahmenvorschrift für die Tätigkeit von Diensten zu Verwaltung persönlicher Informationen (sog. „Personal Information Management Systems“ – PIMS). PIMS sollen Endnutzern dabei helfen, die Einwilligung zur Verarbeitung ihrer persönlichen Daten besser und differenzierter kontrollieren zu können. Betroffen sind laut Gesetzentwurf die Verarbeitung von Verkehrs- und Standortdaten und das Speichern und Abrufen von Informationen auf Endeinrichtungen der Endnutzer (im Wesentlichen also Cookies und vergleichbare Technologien). Vorgesehen ist, dass die PIMS gegenüber der/dem BfDI ein Sicherheitskonzept vorlegen, das von dieser/m anerkannt werden muss. Voraussetzung für die Anerkennung ist insbesondere, dass die jeweiligen Dienste kein Eigeninteresse an der Datenverarbeitung haben dürfen. Sie dürfen auch nicht mit Unternehmen verbunden sein, die ein solches Interesse haben könnten.
Gemäß der Gesetzesbegründung des Referentenentwurfs besteht derzeit Klarstellungsbedarf im Hinblick auf unterschiedliche Auffassungen zum Anwendungsbereich der E-Privacy-RL im Allgemeinen und das Einwilligungserfordernis der sog. Cookie-Regelung (Art. 5 Abs. 3 E-Privacy-RL) im Besonderen. Die Vorschrift betrifft allerdings nicht nur Cookies, sondern allgemein die Rechtmäßigkeit des Speicherns von Informationen in Endgeräten und des Zugriffs auf Informationen, die dort bereits gespeichert sind. Dieser Klarstellungsbedarf besteht laut der Begründung insbesondere hinsichtlich der Frage, in welchen Fällen keine Einwilligung erforderlich ist und der Frage, wie die Anforderungen, die die DSGVO an die Einwilligung stellt, im Rahmen von Art. 5 Abs. 3 E-Privacy-RL erfüllt werden können.
Vor diesem Hintergrund verankert § 9 Abs. 1 TTDSG-E den Grundsatz, dass ein Zugriff auf Endgeräte des Endnutzers, um dort Informationen zu speichern oder gespeicherte Informationen auszulesen, nur mit dessen Einwilligung erfolgen darf. § 9 Abs. 2 TTDSG-E regelt die Ausnahmen zu diesem Einwilligungserfordernis. Danach ist eine Einwilligung dann entbehrlich, wenn eine Speicherung von Informationen auf Endeinrichtungen oder der Zugriff auf bereits gespeicherte Informationen
Eine Spezialregelung für Telemedien findet sich in § 9 Abs. 3 TTDSG-E, durch die der Referentenentwurf letztlich die Voraussetzungen einer wirksamen Einwilligung nach der DSGVO wiederholt, und mit der insbesondere die Vorgaben aus dem Planet49 Urteil des EuGH (C-673/17) umgesetzt werden sollen. Diese Vorschrift ist inhaltlich auf Telemedien beschränkt, was angesichts der Tatsache, dass die zugrundeliegende Vorschrift aus Art. 5 Abs. 3 E-Privacy-RL eine solche Beschränkung nicht enthält, fragwürdig erscheint.
§ 9 Abs. 4 TTDSG-E stellt klar, dass die Einwilligung auch durch Browsereinstellungen oder andere Online-Verfahren zum Einwilligungsmanagement (z.B. über Datentreuhänder) vorgenommen werden kann. Auch in diesem Punkt hat die Vorschrift keine Basis in der E-Privacy-RL und birgt damit das Risiko eines Verstoßes gegen zwingende Vorgaben des vorrangigen EU-Rechts.
Insgesamt wirkt § 9 TTDSG wie eine sehr freie Interpretation des Art. 5 Abs. 3 E-Privacy-RL und läuft dadurch Gefahr, die Fehler der Vorgängerregelung (§ 15 Abs. 3 TMG) zu wiederholen. Diese hatte zu großer Rechtsunsicherheit geführt, da der Wortlaut der deutschen Regelung nicht mit der des vorrangigen EU-Rechts vereinbar war – was dazu führte, dass der BGH die Vorschrift letztlich in seiner „Planet49“-Entscheidung wortlauterweiternd auslegte.
§ 27 Abs. 1 TTDSG-E soll im TK-Bereich die behördlichen Zuständigkeiten neu ordnen. Zukünftig soll die Aufsicht über TK-Vorschriften „zum Schutz der personenbezogenen Daten“ durch den BfDI erfolgen. Die Zuständigkeit der BNetzA im Übrigen soll unberührt bleiben. Der BfDI soll also die zuständige Aufsichtsbehörde für die Einhaltung der in Teil 1 und Teil 2 des TTDSG-E enthaltenen Bestimmungen zum Schutz personenbezogener Daten sein; die BNetzA soll über die Einhaltung der Bestimmungen in Teil 1 und 2 des TTDSG-E wachen, die nicht dem Schutz personenbezogener Daten natürlicher Personen dienen. Wie die beiden Vorschriftengruppen voneinander abgegrenzt werden sollen, regelt der Gesetzesentwurf selbst nicht. In der Begründung des Entwurfs wird eine Einteilung nach Paragrafen genannt, die allerdings nicht vollständig nachvollziehbar und auch unvollständig ist. In Hinblick auf den Telemediendatenschutz (Teil 3 TTDSG-E) erfolgt keine Regelung der Aufsicht. Hier liegt die Gesetzesausführung wie bisher überwiegend bei den Landesdatenschutzbehörden.
Angestrebtes Datum für das Inkrafttreten des neuen TTDSG ist der 21. Dezember 2020. Dies ist der Tag, an dem die Vorgaben des EECC umgesetzt sein müssen (einen Überblick zum Stand der Implementierung in den einzelnen Mitgliedstaaten finden Sie hier in unserem EECC-TRACKER). Bis dahin sollten sich Diensteanbieter hinreichend mit den Änderungen und Neuregelungen des TTDSG vertraut gemacht haben – eine weitere Umsetzungsfrist ist nicht vorgesehen.
Die weitestgehenden Änderungen bedeutet das TTDSG voraussichtlich für die Anbieter sog. OTT-Dienste. Diese Dienste waren von den deutschen Regelungen zum Fernmeldegeheimnis und TK-Datenschutz bisher nicht erfasst. Durch das TTDSG wird sich dies nun absehbar ändern.
Bereits jetzt lässt sich absehen, dass das TTDSG die Rechtslage in den kommenden Jahren prägen wird. Zwar soll dieses Gesetz mittelfristig durch die sog. E-Privacy-VO abgelöst werden. Es lässt sich aktuell aber nicht abschätzen, wann es auf EU-Ebene zu einer Einigung hinsichtlich dieser E-Privacy-VO kommt (vgl. hierzu auch die Ausführungen auf S. 33 des Referentenentwurfs). Selbst wenn es zu einer schnellen Verabschiedung kommen würde – was möglich, aber nicht überwiegend wahrscheinlich ist - wird eine Umsetzungsfrist von ein bis zwei Jahren gelten, bis die Regelungen der neuen Verordnung wirksam werden. Sowohl TK- als auch Telemediendienstanbieter werden also in den kommenden Jahren die Regelungen des TTDSG zu beachten haben.