Das TTDSG ist jetzt anwendbar…

By René Floitgraf

… und bringt Klarheiten und neue Unklarheiten!

Am 01.12.2021 ist das neue „Telekommunikations-Telemedien-Datenschutz-Gesetz (TTDSG)“ in Kraft getreten. Während es im Bereich der Telemedien für etwas mehr Klarheit sorgt, wirbelt es den Bereich der Telekommunikation erneut auf.

Telemedien

Beginnen wir mit dem Bereich der Telemedien. Hier wurde zur Klärung der Rechtslage in Deutschland endlich die e-Privacy-Richtlinie in Bezug auf die Nutzung von Cookies umgesetzt.

Wir erinnern hier nochmals an unsere Informationen zum BGH-Urteil zu Cookies (29.05.2020), der Beschwerde von Max Schrems zu Cookie-Bannern (18.06.2021) und der Überprüfung von Webseiten durch die Aufsichtsbehörden (30.06.2021).

Klargestellt wurde nun endlich in §25 Abs. 1 S. 1 TTDSG, dass die „… Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind …“ nur dann zulässig ist, „…wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat.“

Die einzigen Ausnahmen bestehen in der Speicherung zur Durchführung der Übertragung einer Nachricht oder „wenn die Speicherung … unbedingt erforderlich ist, damit der „… vom Nutzer ausdrücklich …“ gewünschte Telemediendienst zur Verfügung steht.

Damit bestätigt die neue Rechtslage das Urteil des BGH und die Rechtslage ist nun klar. Für alle Mandanten, die bisher unseren Empfehlungen zu Cookies und Einwilligungen gefolgt sind und die Einwilligungen korrekt einholen, ändert sich durch die geänderte Rechtslage eigentlich nichts. Bitte prüfen Sie im eigenen Interesse die Umsetzung nochmals und ermitteln Sie ggf. notwendigen Handlungsbedarf.

Zulässig ist nur die Speicherung „notwendiger Cookies“!

Kern: Zulässig (ohne Einwilligung) bleiben Speicherungen von Informationen auf den Endgeräten des Benutzers („Cookies“, „Session-Storage“, „Local Storage“), wenn dies zum Betrieb der Webseite notwendig ist. Dazu zählen Cookies für angemeldete Benutzer in Foren, Shops etc., aber auch Cookies für Warenkörbe. Unzulässig ohne Einwilligung sind daher alle Speicherungen, die durch den Webseitenbetreiber (oder einen Dritten, der in die Webseite eingebunden wurde) auf dem Endgerät vorgenommen worden und die nicht zum Betrieb der Webseite notwendig sind.

Verantwortung des Webseitenbetreibers!

Daher sind Sie als Webseitenbetreiber dafür verantwortlich, ein wirksames Consent-Management auf der Webseite zu betreiben, die Einwilligungen korrekt einzuholen und dafür Sorge zu tragen, dass die Drittanbieter nur gem. der vom Betroffenen abgegebenen Einwilligung in die Webseite eingebunden werden. Gerade bei der technischen Einbindung stellen wir immer wieder Defizite fest. Oft wird zwar die Einwilligung abgefragt, aber ungeachtet der Entscheidung des Betroffenen die volle Palette an Drittanbieter-Einbindungen ausgeliefert.

Telekommunikation

Den Bereich der Telekommunikation wirbelt die neue Rechtslage etwas durcheinander. Hier gilt es die zukünftige Meinungsfindung der Juristen zu beobachten und entsprechend zu reagieren.

Im Kern geht es darum, dass §3 Abs. 2 Nr. 4 TTDSG alle „Betreiber von Telekommunikationsanlagen, mit denen geschäftsmäßig Telekommunikationsdienste erbracht werden“ zu Telekommunikationsanbietern gemacht werden, die dem Fernmeldegeheimnis unterliegen.

Damit würde die neue Regelung nach unserem Verständnis auch für OTT-Dienste („Over-the-top“) gelten, die im Internet die Übermittlung von Inhalten über die bestehenden Internetverbindungen durchführen, ohne dass der Zugangsanbieter in die Übermittlung involviert ist. Es geht also um Anbieter wie „Skype“, „WhatsApp“, „Threema“, „Zoom“, „Microsoft Teams“ usw., aber möglicherweise auch Sie als Arbeitgeber, da Sie Ihren Mitarbeitern Zugang zu Telefonie- und E-Mail-Diensten anbieten.

Für Arbeitgeber eigentlich nicht neu!

In unseren Schulungen haben wir Administratoren bisher immer darauf hingewiesen, dass deren Tätigkeit neben den datenschutzrechtlichen Regelungen auch weiteren Regelungen, wie etwa dem Fernmeldegeheimnis, unterliegen kann. Davon ist auch weiterhin auszugehen, sofern die Kommunikationseinrichtungen des Unternehmens auch zur privaten, wenn auch nur geduldeten, Nutzung bereitgestellt werden.

Ohnehin würde die Datenverarbeitung im Kontext des Beschäftigungsverhältnisses nicht so viele Spielräume eröffnen, dass hier von einer deutlichen Auswirkung auszugehen ist. Aus Sicht des Datenschutzes empfehlen wir trotzdem weiterhin die private Nutzung zu untersagen, auch wenn dies bedeutet, dass dieses Verbot auch überwacht werden muss.

Auswirkung auf den Datenschutz?

Durch die Neuregelung werden nun, wie eingangs erwähnt, auch OTT-Dienste zu Telekommunikationsanbietern. Damit würden diese nun unter die Vorschriften der strengen Vorgaben zum Telekommunikationsdatenschutz fallen.

Wenn Sie nun an die bisher bekannten Telekommunikationsanbieter denken, z.B. Telekom, Vodafone, Deutsche Glasfaser etc., dann stellt man fest, dass bisher auf Grund der hohen Datenschutzanforderungen und den damit begrenzten eigenen Verarbeitungsrechten der Anbieter, nicht von einer Auftragsverarbeitung ausgegangen wurde. Legt man den gleichen Maßstab bei den OTT-Diensten an, würde dies bedeuten:

  • Anbieter von OTT-Diensten dürfen nach §3 Abs. 2 S. 1 TTDSG Daten, die durch die Dienstebereitstellung zur Kenntnis gelangt sind, auch nur noch zu sehr begrenzten Zwecken verarbeiten. Dazu gehört beispielsweise die Sicherstellung der IT-Sicherheit der Infrastruktur und zu Zwecken der Abrechnung.
  • Das Fehlen einer Auftragsverarbeitung würde auch die Notwendigkeit eines Vertrages zur Auftragsverarbeitung entfallen lassen. Es bliebe die Nutzung von Leistungen eines Dritten, jedoch ohne die Verantwortung für die Datenverarbeitung beim Dritten.

Fazit

Während die Regelungen zu Telemedien aus unserer Sicht wenig überraschend sind, steckt in der Neuregelung zur Telekommunikation doch recht viel Sprengkraft. Bisher ist von den Aufsichtsbehörden diesbezüglich nicht viel bekannt gegeben worden, so dass man auf die Meinungsbildung der Aufsichtsbehörden und Juristen gespannt sein darf.

Sollte sich unsere Ansicht zur Neuregelung in der Telekommunikation bewahrheiten, dürfte den Aufsichtsbehörden an dieser Stelle zur bisherigen Rechtsauffassung ordentlich Gegenwind bevorstehen.

Wir bleiben am Ball und informieren Sie, sobald Neuigkeiten bekannt werden.

Beste Grüße
Ihre Datenschutzbeauftragten der CompliPro GmbH

(Hinweis: Eine ausführlichere Ausarbeitung mit weiteren Informationen wurde unseren Mandanten im Rahmen unseres Informationsservices und über unsere DSMS zur Verfügung gestellt.)

Quellen:
WhatsApp Geschäftsadresse: https://www.whatsapp.com/contact/?lang=de
(§3, §25) TTDSG: https://dsgvo-gesetz.de/ttdsg/3-ttdsg/
(§3) TKG: https://www.gesetze-im-internet.de/tkg_2021/__3.html
Kap. 5 DSGV: https://dsgvo-gesetz.de/art-44-dsgvo/

Jetzt Kontakt aufnehmen!

Bei Fragen und Anmerkungen stehen wir Ihnen gerne zur Verfügung.

Start typing and press Enter to search

Es fehlt an technischen und organisatorischen MaßnahmenDatenschutz, Informationssicherheit
pexels-egor-kamelev-1149665
Log4J – ein Bug gefährdet das InternetDatenschutz, Informationssicherheit