Logo der activeMind AG

Das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG)

Inhalt

Am 1. Dezember 2021 trat das TDDDG ursprünglich als Datenschutz-Gesetz für Telekommunikation und Telemedien (TTDSG) in Deutschland in Kraft. Es erhielt durch das am 14. Mai 2024 in Kraft getretene Digitale-Dienste-Gesetz (DDG) seinen neuen Titel – Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei digitalen Diensten (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz – TDDDG).

Inhaltlich hat sich vom TTDSG zum TDDDG nichts Wesentliches geändert. Begrifflich spricht das Gesetz in der aktuellen Fassung nun allerdings von digitalen Diensten und nicht mehr von Telemedien.

Hintergrund des TDDDG

Ein neues Gesetz bringt in aller Regel Veränderungen mit sich – eine neue Norm bedeutet neue Spielregeln, die fortan gelten. Wer mit dieser Erwartungshaltung an das TDDDG herangeht, wird jedoch enttäuscht werden. Denn für die meisten Unternehmen ändert sich in der Praxis nur wenig bis gar nichts.

Mit dem TDDDG werden Telekommunikationsgesetz (TKG) und Telemediengesetz (TMG) teilweise zusammengeführt und überarbeitet. Dabei schafft der Gesetzgeber nur wenig Neues.

Vielmehr setzt er vor allem die europäische ePrivacy-Richtlinie 2002/58/EG, 2009, ergänzt um die Regelungen zu Cookies durch die Richtlinie 2009/136/EG, welche Mindestvorgaben für den Datenschutz in der elektronischen Kommunikation trifft, in nationales Recht um. Ziel war es laut Bundesministerium für Wirtschaft und Energie (BMWI) „mehr Rechtssicherheit und Rechtsklarheit zum Schutz der Privatsphäre in der digitalen Welt“ zu schaffen.

Anders als Verordnungen (wie z.B. die DSGVO), entfalten Richtlinien keine unmittelbare Regelungswirkung. Richtlinien müssen von den Mitgliedsstaaten erst in nationales Recht umgesetzt werden.

In Deutschland war jedoch die Umsetzung der ePrivacy-Richtlinie nicht wie vorgeschrieben erfolgt. Ein formeller Umsetzungsakt der ePrivacy-Richtlinie in der Fassung der Änderung durch die Richtlinie 2009/136/EG war im Telemediengesetz (TMG) nicht inkludiert. Insbesondere fehlte es bisher an einem Umsetzungsakt für Art. 5 Abs. 3 der ePrivacy-Richtlinie (darin geht es um Cookies) im deutschen Recht insgesamt. Der bisherige Streit, ob eine richtlinienkonforme Auslegung des TMG möglich sei oder nicht, wurde vom BGH mit einer sehr kreativen Auslegung (Widerspruchslösung meint Einwilligungserfordernis) für beendet erklärt. Befriedigend war diese Lösung aber nicht. Diese Situation wurde vom Gesetzgeber mit dem TDDDG (bzw. schon mit dem damaligen TTDSG) aufgegriffen.

Gerade was die relevanten Regelungen zum Einsatz von Cookies oder ähnlichen Technologien angeht, ergibt sich daher nichts Neues. Wer solche Technologien bisher nach alter Rechtslage (Wichtig: das schließt die Berücksichtigung der BGH u. EuGH Rechtsprechung mit ein!) einsetzt, wird nichts ändern müssen.

Die wenigen wirklichen Neuerungen sind vor allem:

  • Die Modernisierung des TKG. Erfasst wird nun auch sogenannter over-the-top content (OTT). Das wohl bekannteste Beispiel für einen solchen Dienst ist der Streaming Service Netflix.
  • Die Aufnahme einer Regelung über Dienste zur Einwilligungsverwaltung für Cookies und ähnliche Technologien. Bekannter unter dem Begriff Personal Information Management-Systems (PIMS). Warum es sich dabei aber noch um Zukunftsmusik handelt, wird weiter unten im Text erläutert.

Inhalt des TDDDG

Aufgrund der höheren Relevanz für einen Großteil der Unternehmen, beschränken wir uns hier auf eine Betrachtung des Datenschutzes bei digitalen Diensten und der Regelungen zu Endeinrichtungen aus Teil 3 des Gesetzes und klammern den Datenschutz in der Telekommunikation in diesem Beitrag aus.

Im Folgenden erläutern wir kurz die wichtigsten Normen. Wer sich nur für das Thema Cookies und ähnliche Technologien interessiert, kann direkt zum Kapitel Schutz der Privatsphäre bei Endeinrichtungen (§ 25 TDDDG) springen.

Hinweis: Wir haben den Volltext des TDDDG übersichtlich für Sie aufbereitet.

Datenschutz bei digitalen Diensten (§§ 19 – 24 TDDDG)

  • § 19 TDDDG: Dieser Paragraph enthält nicht auf den Datenschutz bezogene technische und organisatorische Maßnahmen (im TDDDG Vorkehrungen genannt) für Anbieter von digitalen Diensten. Diese haben unter anderem sicherzustellen, dass
    • der Nutzer von digitalen Diensten die Nutzung des Dienstes jederzeit beenden und er digitale Dienste gegen Kenntnisnahme Dritter geschützt in Anspruch nehmen kann,
    • die Nutzung von digitalen Diensten und ihre Bezahlung anonym oder unter Pseudonym möglich ist, soweit dies technisch möglich und zumutbar ist und
    • kein unerlaubter Zugriff auf die für ihre angebotenen digitalen Diensten genutzten technischen Einrichtungen möglich ist und diese gegen Störungen gesichert sind, auch soweit solche durch äußere Angriffe bedingt sind.
  • § 20 TDDDG: Daten, die zum Zweck des Jugendschutzes erhoben werden, dürfen nicht für andere, kommerzielle Zwecke, verarbeitet werden. In dieser Regelung besteht kein Mehrwert zur Zweckbindung nach DSGVO, womit sie im Grunde obsolet ist.
  • § 21-24 TDDDG: Herausgabepflichten bei Bestands- und Nutzungsdaten an Behörden oder nach gerichtlicher Anordnung (z.B., wenn es um Rechte des geistigen Eigentums oder um rechtswidrige Inhalte geht).

Schutz der Privatsphäre bei Endeinrichtungen (§ 25 TDDDG)

  • § 25 TDDDG ist die wohl wichtigste Norm des neuen TDDDG, da hier das Einwilligungserfordernis für Cookies und ähnliche Technologien geregelt wird. Wie weiter oben schon geschrieben, ergibt sich im Grunde nichts Neues zur bisherigen Rechtslage, die sich auf höchstrichterliche Rechtsprechung gestützt hat. Die nachstehenden Ausführungen sind daher im Kern eine Wiederholung der vor dem Inkrafttreten des TDDDG schon geltenden Rechtslage.

Die Norm ist technologieneutral formuliert („Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind“). Das heißt, dass nicht nur Cookies erfasst sind, sondern zum Beispiel auch Fingerprint-Tracking. Es kommt auch nicht auf einen Personenbezug an. Erfasst sind alle Informationen, auch wenn sie nicht der Identifizierung einer Person dienlich sind. Anknüpfungspunkt der Norm ist die Endeinrichtung. Dabei ist Endeinrichtung ein sehr weiter Begriff, unter den nicht nur der klassische Computer, sondern auch Smartphones und andere smarte Geräte fallen. Letzteres kann vom mit dem Internet verbundenen Auto, über den smarten Kühlschrank und die Uhr bis zum Toaster reichen (Stichwort: Internet of Things).

  • § 25 TDDDG statuiert in diesem Anwendungsbereich ein explizites Einwilligungserfordernis, erlaubt aber zwei Ausnahmen. Vor allem die zweite Ausnahme ist dabei von hoher Relevanz. Nach dieser besteht kein Einwilligungserfordernis, „wenn die Speicherung […] oder der Zugriff […] unbedingt erforderlich ist, damit der Anbieter eines digitalen Dienstes einen vom Nutzer ausdrücklich gewünschten digitalen Dienst zur Verfügung stellen kann.“

Erforderlich heißt in diesem Kontext technisch erforderlich. Für eine Nützlichkeits- oder Bequemlichkeitsabwägung bleibt kein Raum. Ein klassisches Beispiel für eine Fehlannahme wäre hier der Google Tag Manager. Dieser ist technisch nicht erforderlich, wird aus Bequemlichkeit aber gerne verwendet und von Websitebetreibern dann kurzerhand als essenziell eingestuft. Hier drohen Bußgelder – und das nicht erst seit Inkrafttreten des TDDDG (bzw. des TTDSG in 2021).

Etwas offener – und wohl nicht immer trennscharf – zu beantworten ist die Frage nach der ausdrücklichen Erwünschtheit eines Dienstes vom Nutzer. Man wird sich dabei aber auf die bisherige behördliche und gerichtliche Einschätzung stützen dürfen. Demnach wären zum Beispiel der Warenkorb eines Onlineshops oder der Login auf einer Website oder in einer App gewünschte Funktionen, für die folglich Cookies auch ohne Einwilligung verwendet werden dürfen. Auch das Cookie für einen auf einer Website eingebundenen Videoplayer kann darunterfallen, wenn der Nutzer mit dem Player interagiert hat. Jedoch nicht davor. Hier ist eine Zwei-Klick-Lösung essentiell.

Nicht unter gewünschte Dienste fallen ganz klar und unstrittig jegliche Tracking- und Marketingtools. Sei es über Cookies oder über andere Technologien wie Fingerprinting. Dass solche Funktionen ausdrücklich vom Nutzer gewünscht werden, darf nicht angenommen werden. Es bedarf daher in solchen Fällen immer einer ausdrücklich erteilten Einwilligung.

Dienste zur Einwilligungsverarbeitung (§ 26 TDDDG)

In seinem § 26 regelt das TDDDG die sog. Personal Information Management Systems (PIMS). Die oben unter § 25 TDDDG beschriebene Einwilligung in das Speichern oder Auslesen von Informationen, z.B. zu Marketingzwecken, soll gegenüber bestimmten Diensten (Datentreuhändern) erteilt werden können, die diese dann für den Nutzer verwaltet. Vereinfacht kann man sich darunter ein alle oder zumindest sehr viele Websites umfassendes Cookie-Consent-Banner vorstellen.

Der Grundgedanke hinter der Regelung ist einleuchtend und das Vorgeben eines solchen Systems erscheint an sich sinnvoll. Die Umsetzung im TDDDG ist jedoch kritikwürdig. Zum einen wäre da der Umstand, dass es zunächst einer Rechtsverordnung bedarf, die die genaueren Umstände regelt. Zum anderen die Unklarheit bezüglich der technischen und damit praktischen Umsetzung eines solchen Systems. Wir haben es hier daher mit Zukunftsmusik zu tun. Momentan und in absehbarer Zeit ist die Regelung noch nicht von Relevanz. Was angesichts dessen, dass hier eine Lösung für die allseits ungeliebten Cookie-Consent-Banner, die einem auf fast jeder Website begegnen, geboten wäre, schade ist.

Fazit: Kein großer Wurf und ein Gesetz mit Ablaufdatum

Das TDDDG bringt, wie aufgezeigt, wenig Neues. Wer in Bezug auf den Einsatz von Cookies oder ähnlichen Technologien, wie z.B. dem Fingerprint-Tracking, bisher schon konform war, wird das auch unter dem TDDDG sein und hat keinen Handlungsbedarf. Für alle anderen sollte das TDDDG ein Weckruf sein. Spätestens jetzt ist damit zu rechnen, dass die Aufsichtsbehörden den mit dem TDDDG erweiterten Bußgeldrahmen ausschöpfen werden.

Schade ist, dass der Gesetzgeber die Chance vertan hat, neue sinnvolle Regelungen von Relevanz zu schaffen. Der Ankündigung von mehr Rechtssicherheit und Rechtsklarheit durch das TTDSG bzw. das TDDDG wurde der Gesetzgeber in unseren Augen nicht gerecht. Klarheit bestand in vielen Punkten schon durch die verbindlichen Vorgaben der höchstrichterlichen Rechtsprechung.

Vor allem aber bleibt das, was vorher unklar war, immer noch unklar. Normadressaten müssen sich nach wie vor auf eine Konkretisierung durch Rechtsprechung und Aufsichtsbehörden verlassen.

Bei aller Kritik muss man aber fairerweise berücksichtigen, dass das neue Gesetz nur eine Übergangslösung sein wird. Wenn die sich seit längerem in Brüssel im Entwurf befindliche ePrivacy Verordnung in absehbarer Zeit finalisiert wird, kann es gut sein, dass ein Großteil der Regelungen des TDDDG, insbesondere in Bezug auf Cookies und ähnliche Technologien, überholt sein wird.

Vermutlich wird das jetzt bestehende Schutzniveau des TDDDG dann sogar unterlaufen werden. Darauf deuten die momentan verfügbaren Informationen zur Entwicklung der Verordnung hin. Vor diesem Hintergrund erscheint der pragmatische Ansatz des Gesetzgebers wiederum sehr verständlich.

Weiterlesen

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.