Nach längerem Anlauf hat der Bundesrat am 28.05.2021 – gut drei Jahre nach Inkrafttreten der Datenschutzgrundverordnung (DSGVO) – dem Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG) zugestimmt. Das TTDSG soll, wie Bundeswirtschaftsminister Peter Altmaier betont, für mehr Rechtssicherheit und Rechtsklarheit zum Schutz der Privatsphäre in der digitalen Welt sorgen. Das Gesetz wird zusammen mit dem neuen Telekommunikationsgesetz am 1. Dezember 2021 in Kraft treten.
Um den umfangreichen Änderungen gerecht zu werden, werden diese in zwei separaten Beiträgen beleuchtet. Dieser Beitrag befasst sich insbesondere mit dem Bereich der Telekommunikation. Die Änderungen und die Hintergründe im Bereich der Telemedien werden wir zu einem späteren Zeitpunkt separat darstellen.
Hintergrund
Neben der DSGVO, die seit Mai 2018 gültig ist und grundsätzliche datenschutzrechtliche Sachverhalte in allen Mitgliedsstaaten der Europäischen Union (EU) regelt, existieren auf europäischer Ebene zusätzliche Richtlinien – hier insbesondere die ePrivacy Richtlinie – welche verbindliche Mindestvorgaben für den Datenschutz in der Telekommunikation (und den Telemedien) vorschreiben.
Anders als die DSGVO – welche direkt in jedem Mitgliedstaat Anwendung findet – bedarf es bei europäischen Richtlinien immer einer Umsetzung in das jeweilige nationale Recht durch den jeweiligen Mitgliedstaat. Als problematisch erweist sich dabei, dass die Mitgliedsstaaten die Umsetzung nicht einheitlich durchgeführt haben, sondern dass die Vorgaben sehr unterschiedlich in nationales Recht transformiert wurden. Gerade im Hinblick auf die unterschiedlichen nationalen Umsetzungen und der unterschiedlichen Interpretation der europäischen Vorgaben, kam es bei der Rechtsanwendung in der Vergangenheit oftmals zu unterschiedlichen Ergebnissen. In Deutschland wurden die Mindestvorgaben mit der Novellierung des Telekommunikationsgesetzes 2004 und in Teilen auch im UWG (Gesetz gegen den unlauteren Wettbewerb) in zwei unterschiedlichen Gesetzen mit unterschiedlichen Regelungsgegenständen gegossen. Daneben regelte das Telemediengesetz (TMG) seinerseits auch datenschutzrechtliche Vorgaben hinsichtlich Telemedien.
Mit dem TTDSG werden nun die datenschutzrechtlichen Regelungen für die Bereiche der Telekommunikation und der Telemedien zusammengefasst.
Aufbau des TTDSGs
Bezüglich bestehender, nationaler Regelungen fasst das TTDSG Datenschutzvorgaben des TKG und des TMG in einem Gesetz zusammen. Die national vorgenommene Unterscheidung zwischen Telekommunikationsdiensten und Telemedien bleibt größtenteils bestehen. Während für Telekommunikationsdienste die eigentliche Signalübertragung über Telekommunikationsanlagen – zum Beispiel bei Telefon oder SMS – erheblich ist, handelt es sich bei Telemediendiensten um alle übrigen elektronischen Informations- oder Kommunikationsdienste, wie beispielsweise E-Mails, Webseiten und Online-Angebote sowie Video on Demand-Dienste. Neu ist hingegen, dass Messenger wie WhatsApp, Signal und Facebook von nun an als Telekommunikationsdienst gewertet werden. Dazu unten mehr.
Das TTDSG gilt im Sinne des § 1 Abs. 3 „für alle Unternehmen und Personen, die im Geltungsbereich dieses Gesetzes eine Niederlassung haben oder Dienstleistungen erbringen oder daran mitwirken oder Waren auf dem Markt bereitstellen.“ Der räumliche Anwendungsbereich wird dabei sehr weit gefasst und orientiert sich, in Anlehnung an die Datenschutzgrundverordnung, am bekannten Niederlassungs- und Marktortsprinzip aus Art. 3 DSGVO.
Der sachliche Anwendungsbereich ergibt sich unmittelbar aus § 1 Abs. 1 TTDSG. Dieser umfasst Sachverhalte aus der Telekommunikation, wie beispielsweise das Fernmeldegeheimnis, Rahmenparameter für das sehr eingeschränkte Abhören von Nachrichten, den Umgang mit Verkehrs- und Standortdaten und Rechte von Erben des Endnutzers von Telekommunikationsdiensten. Ein weiterer Teil beschreibt den Umgang im Bereich der Telemedien. Hier ist insbesondere der Bereich des Consent-Managements zu erwähnen und somit auch der rechtskonforme Umgang mit Cookies. Erwähnenswert ist an dieser Stelle, dass nicht nur personenbezogene Daten, sondern alle im Wege der Nutzung von Telemedien- und Telekommunikationsdiensten erhobenen Informationen, wie auch bei der ePrivacy-Richtlinie, vom Geltungsbereich des neuen TTDSG umfasst sind. Eingerahmt werden diese Tatbestände mit spezifischen Straf- und Bußgeldvorschriften sowie mit den Zuständigkeiten und Aufgaben der Bundesnetzagentur (BNetzA) und der (oder dem) Bundesbeauftragten für den Datenschutz und die Informationsfreiheit.
Welche Änderungen und Neuerungen bringt das TTDSG mit sich?
Da viele Bereiche – insbesondere jene, die dem Telekommunikationsbereich zuzuordnen sind – bereits aus dem TKG bekannt sind, möchten wir einen Überblick darüber geben, was tatsächlich ab Dezember 2021 zu beachten ist.
Datenschutzrechtlich relevante Änderungen treten in folgenden Bereichen auf:
Zur besseren Lesbarkeit, kann die Grafik zu den telekommunikationsrechtlichen Neuerungen des TTDSGs heruntergeladen werden.
Welche Änderungen und Neuerungen bringt das TTDSG mit sich?
Zunächst einmal sei darauf verwiesen, dass sämtliche Begriffsbestimmungen, die für das Telekommunikationsgesetz, das Telemediengesetz und die DSGVO gelten, auch für das TTDSG anzuwenden sind, sofern dieses nichts anderes vorschreibt. Vergleiche dazu § 2 TTDSG.
Mit dem TTDSG verschwimmt die ursprüngliche Grenze zwischen Telemediendiensten und Telekommunikationsdiensten. Die wohl gewichtigste Neuerung in diesem Rahmen ist, das sogenannte Over-The-Top-Dienste (OTT-Dienste) – hier insbesondere Messenger wie Facebook oder WhatsApp – auch als Telekommunikationsdienst im Sinne des § 3 Nr. 61 TKG gewertet werden. Neben Vorgaben zur Interoperabilität (vorwiegend für eine anbieterübergreifende Nutzbarkeit) finden für OTT-Dienste vornehmlich Regelungen des Teils „Kundenschutz“ und des Abschnitts „Öffentliche Sicherheit“ Anwendung. Insgesamt werden zahlreiche Pflichten eingeführt. Erwähnenswert sind hier die Informationspflichten für den Zugang zu den bereitgestellten Diensten und zu deren Nutzung (§ 52 Abs. 1 Nr. 3 TKG), umfassende Informationspflichten gegenüber Kunden (§ 55 Abs. 2 TKG in Verbindung mit Anhang VIII Teil B der Kodex-RL) und die Pflicht, Daten für Auskunftsersuchen der Sicherheitsbehörden zu erheben und zu speichern (§ 172 Abs. 3 TKG).
2. Fernmeldegeheimnis nach TTDSG
Nach § 3 TTDSG ist der vom Fernmeldegeheimnis betroffene Kreis der Verpflichteten erheblich ausgeweitet worden.Zuvor mussten sich nur öffentliche Telekommunikationsdienste und Betreiber öffentlicher Kommunikationsnetze nach dem Fernmeldegeheimnis richten, welches als einfachgesetzliche Ausprägung des Art. 10 GG den Inhalt der Telekommunikation und ihre näheren Umstände, insbesondere die Tatsache, ob jemand an einem Telekommunikationsvorgang beteiligt ist oder war; sowie „die näheren Umstände“ erfolgloser Verbindungsversuche schützt. Nun umfasst dies auch Anbieter nicht öffentlicher Dienste. Ein nicht öffentlich betriebener Dienst kann je nach Bewertung auch Impact auf unternehmensinterne Kommunikationsformen haben, insbesondere sofern die Privatnutzung der Mitarbeiter im Unternehmen erlaubt ist, unterfallen die Aktivitäten der Nutzer hier dem Fernmeldegeheimnis und sind demgemäß entsprechend zu schützen.
3. Bestandsdatenprivileg, Auskünfte nach TTDSG
Die Regelung des § 95 Abs. 2 TKG wurde nicht mit ins TTDSG überführt. Das Privileg zur Kontaktdatenverwendung bei Bestandskunden entfällt. Dies bringt sehr weitreichende Änderungen mit sich. Werbung ist in dieser Form nur noch für eigene ähnliche Produkte möglich. Kundenumfragen und Marktforschungserhebungen, die per E-Mail oder SMS auf Grundlage von § 95 Abs. 2 TKG durchgeführt werden, bedürfen in dieser Ausgestaltung nunmehr die explizite Einwilligung des Bestandskunden.
Neben den aus dem TKG bekannten Auskunftsverfahren wurden nun auch explizit die Beauskunftung von Passwörtern und anderen Zugangsdaten geregelt. Hier müsste der Betreiber dann zumindest sicherstellen, dass diese bei Bedarf auch in einer lesbaren Form beauskunftet werden können.
4. Verarbeitung von Verkehrsdaten nach TTDSG
Die Vorgaben zur Verarbeitung von Verkehrsdaten nach § 96 TKG wurden durch Neuregelungen im TTDSG verschärft. Verkehrsdaten dürfen nunmehr nur aufgrund anderer Rechtsvorschiften und zudem nur soweit diese eine Pflicht begründen verarbeitet werden. Verschärft wird darüber hinaus die Anforderungen an die Einwilligungenzur Verkehrsdatenverarbeitung (vgl. dazu § 9 Abs. 2 TTDSG). Im Ergebnis werden dem Verarbeiter zusätzliche Transparenzverpflichtungen bezüglich der Verarbeitungsdauer, der konkret verarbeiteten Daten sowie der Zwecke auferlegt. Daraus werden wohl sehr umfangreiche operative und organisatorische Aufwände auf Seiten des Verarbeiters entstehen, da dieser Einwilligungen transparent einholen, informieren und verwalten muss.
5. Dokumentationspflichten nach TTDSG
Das TTDSG bringt, wie die DSGVO bei ihrer Einführung, wesentlich mehr Dokumentationspflichten mit sich. Wie bereits oben erwähnt, muss gerade im Bereich der Einwilligungen – hinsichtlich Verarbeitungsdauer, konkret verarbeiteter Daten und der Zwecke – bei der Verarbeitung von Verkehrsdaten wesentlich mehr dokumentiert werden. Jedoch schlägt sich diese Verpflichtung auch an anderen Stellen, wie zum Beispiel der Störungsbeseitigung im Sinne des § 12 TTDSG nieder. Hier besteht nun für den Netzbetreiber eine Berichtspflicht gegenüber dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) für sämtliche Entstörungsmaßnahmen und entgegen der Regelung des § 100 Abs. 1 S. 5 und 6 TKG nur für die Fälle, in denen Daten automatisiert erhoben werden.
6. Zuständigkeiten von BfDI und BNetzA nach TTDSG
Die Zuständigkeiten von BfDI und BNetzA in den §§ 29, 30 TTDSG wirken in sich sehr intransparent und äußerst kleinteilig. Die Zuständigkeitszuweisung birgt die Gefahr einer Rechtsunsicherheit durch doppelte Aufsichtsfunktionen und gegebenenfalls widersprüchlicher Vorgaben.
Fazit
Die Änderungen durch Verschmelzung von TKG und TMG haben nicht die Tragweite der Änderungen, die sich durch die DSGVO ergaben. Dennoch werden Unternehmen in Zukunft ihre Prozesse anpassen müssen. Gerade durch den Wegfall der Nutzung des Kontaktdatenprivilegs (§ 95 Abs. 2 Satz 2 TKG aF), der schärferen Vorgaben zum Umgang mit Einwilligungen und zu den gestiegenen Anforderungen hinsichtlich Dokumentation und Transparenz, werden den Unternehmen einige zusätzliche Aufgaben ins Pflichtenheft geschrieben.
Zum Autor
Stephan Kratzmann studierte Rechtswissenschaft und Wirtschaftsrecht. Seit 2014 ist er bei der migosens GmbH als Berater für Datenschutz tätig. Sein Schwerpunkt liegt insbesondere im Bereich der Projektberatung im Telekommunikationsumfeld. Zu seinen Aufgaben gehören u. a. die Sicherstellung des datenschutzkonformen Umgangs mit Bestands- und Verkehrsdaten in diversen Projekten, die Unterstützung bei der Gewährleistung von Betroffenenrechten und die prozessuale Abbildung des Verzeichnisses von Verarbeitungstätigkeiten.
