Der deutsche Gesetzgeber beabsichtigt, neben dem Gesetzgebungsverfahren zur ePrivacy-VO das nationale Recht zum Online-Datenschutz zu novellieren. Bereits Mitte letzten Jahres kursierte ein Entwurf zum Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG). Nunmehr hat das Bundeskabinett den Gesetzentwurf am 10. Februar 2021 beschlossen – am gleichen Tag übrigens, an dem es auch auf EU-Ebene innerhalb des Rates zu einer Einigung in Bezug auf einen finalen Standpunkt zur vorgeschlagenen ePrivacy-VO gekommen ist. Ziel des TTDSG ist es, die bisherigen datenschutzrechtlichen Bestimmungen des Telekommunikationsgesetzes (TKG) und des Telemediengesetzes (TMG) zusammenzuführen und für Rechtsklarheit zu sorgen. Das betrifft alt bekannte Vorschriften wie das Fernmeldegeheimnis, aber auch neue Bestimmungen wie zum Beispiel solchen zum Digitalen Erbe. Daraus ergeben sich auch neue Fragen zum Verhältnis zur Datenschutz-Grundverordnung (DS-GVO) sowie zum Anwendungsbereich bei Webseiten, Apps, dem Internet der Dinge und weiteren Online-Diensten. Aus Sicht der Diensteanbieter ist vor allem relevant, in welchen Fällen künftig eine Einwilligung eingeholt werden und wie diese technisch gestaltet sein muss. Praktiker wünschen sich rechtssichere und handhabbare Anforderungen.
Ob das TTDSG diesen Erwartungen entsprechen kann und wie die angesprochenen Fragestellungen einer Umsetzung zugeführt werden, diskutierten Referenten und Teilnehmer am 24. Februar 2021 in dem vom EMR organisierten Seminar zum Online-Datenschutz, das wir Ihnen hiermit nun auch als Video auf Abruf zur Verfügung stellen.
Nach einer Begrüßung durch Prof. Dr. Stephan Ory, Direktor des EMR, und einer Einführung durch Kristin Benedikt, Richterin am Verwaltungsgericht und Mitglied des Vorstandes des EMR, lieferte Rolf Bender, zuständiger Referent im Referat VIB2, einen Sachstandsbericht aus dem BMWi. Bender ordnete den Gesetzesentwurf dabei sowohl inhaltlich als auch zeitlich in das Gesetzgebungsumfeld ein. Im Hinblick auf Fragen des Inkrafttretens der vorgeschlagenen Regeln wies er vor allem darauf hin, dass zwar nun mit dem Beschluss des Bundeskabinetts der weitere Prozess ins Rollen gebracht wäre und mit einer finalen Lesung im Bundesrat im Mai zu rechnen sei. Allerdings müsse das TTDSG mit auch einem anderen laufenden Gesetzgebungsverfahren in Einklang gebracht werden, dessen Inkrafttreten mit dem TTDSG verwoben sei: dem Telekommunikationsmodernisierungsgesetz, mit dem insbesondere der Europäische Kodex für die Elektronische Kommunikation umgesetzt werden soll. Im Hinblick darauf verwies Bender auch darauf, dass die Regeln der DS-GVO die aktuellen Regeln des TMG und des TKG bereits jetzt verdrängen, sofern sich diese nicht als Umsetzung der ePrivacy-Richtlinie darstellen. Mit einer Verabschiedung der vorgeschlagenen ePrivacy-Verordnung, die in diesem Bereich für mehr Klarheit sorgen würde, sei realistisch nicht vor 2024 zu rechnen, sodass ein möglichst baldiges Inkrafttreten des TTDSG zu befürworten sei. Hierfür stellte er Herbst 2021 in Aussicht. In inhaltlicher Hinsicht sprach Bender vor allem die Regeln zur Bestandsdatenspeicherung in TK-Vertragsverhältnissen (bislang §95 TKG) an, die durch die neuen Regeln entfallen und durch die Geltung der allgemeinen Regeln der DS-GVO ersetzt würden, Bestimmungen zu technischen und organisatorischen Schutzmaßnahmen, zum Digitalen Erbe und schließlich zur Rechtmäßigkeit der Speicherung von Daten in Endeinrichtungen an. Letztere Regeln, die vorwiegend unter dem Stichwort Cookies diskutiert würden, aber nach Betonung von Bender einen sehr viel weiteren Anwendungsbereich (alle Informationen die in Endeinrichtungen gespeichert sind) haben, stünden dabei im Zentrum der Debatte und seien auch im Rahmen der Schaffung des Entwurfs besonders kritisch begleitet worden. Im Ergebnis habe man sich mit dem TTDSG stark an den Vorgaben von Art. 5 Abs. 3 der ePrivacy-Richtlinie orientiert, also eine offene Formulierung gewählt, deren Auslegung nun von den Aufsichtsbehörden und Gerichten vorgenommen werden müsse. Im Bereich der Aufsicht habe man sich für einen weitestgehenden Gleichklang mit der DS-GVO entschieden: Im Bereich Telekommunikation führe der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit die Aufsicht in Bezug auf personenbezogene Daten und ansonsten die Bundesnetzagentur. Die Ausgestaltung der Aufsicht im Bereich der Telemedien liege weiter bei den Ländern.
Einen Blick auf diese vorgeschlagenen Regeln aus der Perspektive der Wirtschaft warf im Anschluss Dr. Stefan Hanloser, Vice President, Data Protection Law, Syndikusrechtsanwalt, ProSiebenSat.1 Media SE. Hanloser betonte dabei zwar, dass die Regeln für denjenigen nicht überraschend kämen, der sich mit den einschlägigen Bestimmungen der ePrivacy-Richtlinie, der vorgeschlagenen ePrivacy-Verordnung und auch der Planet49-Entscheidung des EuGH befasst habe. Allerdings sah der Jurist insbesondere vor dem Hintergrund der aktuell im Verfahren zur ePrivacy-Verordnung diskutierten Regeln Verbesserungsbedarf für das TTDSG und warnte vor der Verabschiedung einer historischen Gesetzgebung, die nicht die Brücke zu aktuellen Entwicklungen schlage. Hierzu zählte Hanloser insbesondere die Erlaubnistatbestände der Reichweitenmessung sowie der Informationssicherheit, die Möglichkeit der Einwilligungserteilung durch speicher- bzw. auslesefreundliche Softwareeinstellungen, der Befolgungspflicht einer Einwilligung im Browser (« bottom-up Berücksichtigung ») sowie einer genaueren Regelung zum Koppelungsverbot, die bislang auf EU-Ebene eher uneinheitlich behandelt wird. Hanloser ging zudem auf das Verhältnis zwischen DS-GVO und ePrivacy-Richtlinie ein, die seiner Auffassung nach strikt zu trennen seien, da erstere personenbezogene Daten schütze und zweitere die Geräteintegrität. Die Rechtsgrundlagen fänden nur dann parallel Anwendung, wenn personenbezogene Informationen aus dem Endgerät ausgelesen werden. Das gelte damit auch für das TTDSG in Zukunft.
Kristin Benedikt betonte aus Perspektive der Aufsicht und Gerichtsbarkeit insbesondere die enorme Bedeutung einer Klarstellung der Regeln im TTDSG zur Notwendigkeit einer Einwilligung für die Speicherung von Informationen auf Nutzerendgeräten bzw. die Ausnahmemöglichkeiten für die reine Übermittlung von Nachrichten oder die technisch notwendige Speicherung. Die Herangehensweise, eine Konkretisierung und Auslegung hier den Aufsichtsbehörden und Gerichten zu überlassen, sei aus zweierlei Hinsicht gefährlich: Zum einen gehe es hier mit dem TTDSG um eine rein nationale Regelung, die allerdings EU-Recht umsetze und zudem praktisch einen Bereich betreffe, der von international agierenden Playern dominiert werde. Kohärenz spiele daher eine besondere Rolle, die zwar im Rahmen der DS-GVO gewährleistet werde, nicht aber innerhalb des TTDSG. Zum anderen bedürfe ein solcher Prozess des Findens einer kohärenten Auslegungslinie, die in der Regel erst mit einer endgültigen Entscheidung des EuGH in der Sache ende, erheblich viel Zeit.
Im Anschluss an die Referentenvorträge wurden mit den Teilnehmern insbesondere Nachfragen und Diskussionsbeiträge zu den Themen des Entfallens von §95 TKG, der Beibehaltung eines speziellen « Datenschutzrechts für Telemedien », des Verbleibs von geschäftsmäßigen Telemedien im Anwendungsbereich, der Möglichkeit nutzerfreundlicher Erlaubnistatbestände, der Unterschiede zwischen browserbasierten und app-basierten Systemen im Hinblick auf datenschutzrechtlichen Regeln sowie der Probleme der gemeinsamen Verantwortlichkeit zwischen DS-GVO und TTDSG diskutiert.