Neue Regeln zum Datenschutz für Telekommunikation und Online-Anbieter

Mit Hochgeschwindigkeit hat die große Koalition zum Ende der Legislaturperiode eine umfassende Neuregulierung von Internet und Telekommunikation auf den Weg gebracht. Die Liste der jüngst verabschiedeten Gesetze mit Online-Bezug ist lang: Überarbeitet wurden etwa das Netzwerkdurchsetzungsgesetz (NetzDG), das Telekommunikations­gesetz (TKG) und das IT-Sicherheitsgesetz (ITSiG).

In diese Liste reiht sich nun das Ende Mai 2021 verabschiedete „Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien“ ein, kurz TTDSG. Das Gesetz mit dem sperrigen Namen soll laut Bundesregierung „mehr Rechtssicherheit und Rechtsklarheit zum Schutz der Privatsphäre in der digitalen Welt“ schaffen. In Kraft treten wird es zusammen mit dem neuen TKG am 1. Dezember 2021.

Inhaltlich stellt das TTDSG eine Neuregulierung der Datenschutzbestimmungen in der Telekommunikation und bei Telemedien dar. Zu den Telemedien gehören nahezu alle Angebote im Web, zum Beispiel Websites, soziale Medien und Blogs, Webshops, Suchmaschinen und auch Webmailer. Eine Reform der Regelungen in diesem Bereich war unter anderem aufgrund der DSGVO, der alten E-Privacy-Richtlinie der EU und einer Reihe von Urteilen der höchsten Gerichte notwendig und überfällig.

Cookie-Regulierung

Das TTDSG wird erstmals in Deutschland die Anwendung von Cookies gesetzlich regulieren (bislang werden dazu lediglich informelle Regeln aus der DSGVO abgeleitet). Es orientiert sich dabei an den Vorgaben der entsprechenden Urteile des Europäischen Gerichtshofs, also an ak­tueller EU-Rechtsprechung. § 25 legt fest, dass die „Speicherung von Informationen in der Endeinrichtung des Endnutzers“ und der Zugriff auf bereits gespeicherte Informationen nur zulässig sind, wenn der Endnutzer darin eingewilligt hat. Diese Einwilligung darf nur auf der Grundlage von klaren und umfassenden Infor­mationen nach den Vorgaben der DSGVO (Art. 7) erfolgen.

Der Gesetzgeber bezieht sich aber nicht nur auf Cookies, sondern das TTDSG dürfte auch andere Techniken zur Geräteidentifikation durch Anbieter umfassen, etwa Browser-Fingerprinting. Das Gesetz nennt allerdings zwei Ausnahmen, bei denen eine Zustimmung der Nutzer nicht notwendig ist. Dies sei dann der Fall, wenn der Zweck der Speicherung die Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder die Identifikation „unbedingt erforderlich ist“, damit der Anbieter eines Telemediendiensts einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.

Dies entspricht im Wesentlichen dem, wie beispielsweise Verlage ihr Cookie-­Management auf ihren Websites praktisch umsetzen: Die gängigen Einwilligungssysteme setzen für das Angebot zwingend notwendige Cookies ohne Zustimmung der Nutzer. Allerdings geht aus dem TTDSG nicht eindeutig hervor, was „zwingend notwendig“ genau bedeutet. Selbst in der Gesetzesbegründung findet sich dazu nichts. Hier verweist der Gesetzgeber lediglich darauf, dass die Notwendigkeit „im Einzelfall gemäß den in der DSGVO geregelten Anforderungen“ zu beurteilen sei.

Eindeutig als zwingend notwendig werden beispielsweise Session- oder ­Warenkorb-Cookies angesehen. Unklar ist dagegen weiterhin, welche Regelungen etwa für Webanalyse und Reichweitenmessung gelten. Eindeutig zustimmungsbedürftig sind wiederum Tracking-­Cookies Dritter, etwa der Werbewirtschaft oder von Social-Media-Anbietern. Die Grauzone dazwischen ist groß. Rechts­sicherheit sieht jedenfalls anders aus – mit dem unklaren Begriff „zwingend notwendig“ lässt der Gesetzgeber viel Raum für ausschweifende Streitigkeiten mit den Datenschutzbehörden und vor den Gerichten. An den weder von Nutzern noch von Unternehmen geschätzten Cookie-­Bannern dürfte sich jedenfalls allein durch diese Regelung nichts ändern.

Das von der CDU/CSU-Fraktion beschworene „Ende der Cookie-Banner“ soll auf andere Weise Realität werden. Die finale Version des TTDSG gestattet es nach langen Diskussionen in § 26, ein „Personal Information Management System“ – kurz PIMS – einzusetzen. Die Idee hinter den PIMS: Nutzer können bei einem zentralen Anbieter hinterlegen, ob und unter welchen Voraussetzungen sie ihre Zustimmung zum Setzen von Cookies geben wollen. Beim Besuch einer Website liest der Betreiber diese Präferenzen aus und setzt die Nutzervorgaben um. Cookie-Banner wären in einem solchen Szenario obsolet.

Derartige Dienste gibt es allerdings bislang nicht. Und der Gesetzgeber stellt hohe Anforderungen an den Betrieb von PIMS. Diese dürfen zum Beispiel kein wirtschaftliches Eigeninteresse an der Einwilligung und an den verwalteten Daten haben und die erhaltenen Daten ausschließlich für Informationen zu den Einwilligungsentscheidungen nutzen. Die nähere Ausgestaltung dieser neuen Strukturen soll im Zuge einer Regierungsverordnung erfolgen. Bis ein solcher Dienst irgendwann einmal akkreditiert und im Einsatz ist, werden also noch Jahre vergehen.

Pflichten zur IT-Sicherheit

Gesetzliche Vorgaben zur Gewährleistung der IT-Sicherheit waren in den letzten Jahren ein besonderes Anliegen des Gesetzgebers. Einige davon finden sich auch im TTDSG. Nach § 19 haben Anbieter von Telemedien durch technische und organisatorische Vorkehrungen unter anderem sicherzustellen, dass der Nutzer sie „gegen Kenntnisnahme Dritter geschützt in Anspruch nehmen kann“.

Die Anbieter haben zu gewährleisten, dass kein unerlaubter Zugriff auf ihre technischen Einrichtungen möglich ist und diese gegen Störungen und äußere Angriffe gesichert sind. Ähnlich den Vorgaben in der DSGVO ist dabei der Stand der Technik zu berücksichtigen, auch der Grundsatz der Verhältnismäßigkeit. Explizit genannt wird die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens als Mittel der Wahl .

Wie schon sein Vorgänger, das Telemediengesetz (TMG), enthält auch das TTDSG eine Regelung zur Anonymität der Nutzer. Danach haben Betreiber von Telemedien die Nutzung ihrer Angebote und auch deren Bezahlung „anonym oder unter Pseudonym zu ermöglichen“. Dies gilt allerdings nur, soweit dies technisch möglich und zumutbar ist. In der Praxis wurde daher bislang aus dem Vorgänger dieser Vorschrift nicht einmal ein Recht auf Pseudonymität abgeleitet. So hat das Oberlandesgericht (OLG) München in einem Urteil von Ende 2020 (Az. 18 U 2822/19) einem Nutzer von Facebook explizit das Recht abgesprochen, bei der Nutzung des Social-Media-Angebots ein Pseudonym zu verwenden.

Dass der Passus vom TMG ins TTDSG hinübergerettet wurde, können Bürgerrechtler dennoch als kleinen Erfolg verbuchen. Denn damit haben sich die ­Apologeten der Klarnamenspflicht nicht durchgesetzt. Das Innenministerium hatte unter der Leitung von Horst Seehofer (CSU) beispielsweise noch Anfang 2021 eine anlasslose Vorratsdatenspeicherung und Verifizierung aller Bürger gefordert, die im Internet über Messenger oder E-Mail kommunizieren.

Auf der anderen Seite verträgt sich dieses Recht auf Pseudonymität kaum mit den Regeln des TTDSG zur Überwachung durch staatliche Institutionen. Die §§ 21 bis 24 gewähren Ermittlungsbehörden und Diensten großzügig Zugriff auf Bestands- und Nutzungsdaten. Festgeschrieben sind Herausgabepflichten etwa an den Bundesnachrichtendienst, den Militärischen Abschirmdienst und den Verfassungsschutz. Außerdem darf ein Betreiber Auskunft zu Bestandsdaten erteilen, wenn dies zur „Durchsetzung der Rechte am geistigen Eigentum“ von Rechteverwertern erforderlich ist.

Darüber hinaus enthält das TTDSG diverse Regelungen zur Telekommunikation, die aber im Wesentlichen den bisherigen Vorgaben entsprechen. Neu hinzugefügt wurde in § 8 eine Vorschrift, die es verbietet, mit Geräten unbemerkt Menschen abzuhören oder Bilder oder Filme aufzunehmen. Damit will der Gesetzgeber de facto Produkte untersagen, die in dieser Hinsicht eine besondere Gefahr begründen. Wer derartige Produkte herstellt oder auf dem Markt bereitstellt, macht sich nach § 27 sogar strafbar. Vorgesehen ist eine Freiheitsstrafe bis zu zwei Jahren oder eine Geldstrafe.

Laut Begründung des Gesetzes erscheinen immer mehr Produkte mit versteckten Mikrofonen und Kameras. Dadurch entstünden Gefahren für die Privatsphäre, gerade bei getarnten Alltagsgegenständen und in Kinderspielzeug. Die Bundesnetzagentur ist etwa gegen den Vertrieb einer Puppe vorgegangen, die Gespräche aufgezeichnet und an Dritte versandt hat.

Kein Plus an Rechtssicherheit

Verglichen mit der DSGVO sieht das TTDSG geringe Strafen vor. Verstöße gegen die Vorschriften sind bis auf wenige strafbare Aufnahmen als Ordnungswidrigkeiten klassifiziert und mit Bußgeldern bis maximal 300.000 Euro bewehrt. Diese Summe droht dann allerdings auch demjenigen, der – ohne nach § 25 eine informierte Einwilligung einzuholen – „eine Information speichert oder auf eine Information zugreift“, also ein Cookie setzt.

Mit dem TTDSG tritt neben die DSGVO und das BDSG noch ein weiteres Datenschutzgesetz. Das macht die Anwendung in der Praxis kaum einfacher und sorgt auch nicht wirklich für mehr Übersicht und Rechtssicherheit. Die GroKo ist schlicht dringenden gesetzgeberischen Pflichten nachgekommen, die zum Teil schon seit zehn Jahren überfällig sind. Es ist ein Gesetz auf Zeit, das vermutlich schon in wenigen Jahren zur nationalen Umsetzung der gerade verhandelten europäischen E-Privacy-Verordnung wieder überarbeitet werden muss.

Zwar setzt sich der Weg des Gesetzgebers zu immer mehr Erweiterung von Überwachungsmöglichkeiten fort. Immerhin konnten aber allzu heftige Eingriffe wie die von Horst Seehofer gewünschte Zwangsregistrierung für die Nutzung von Messengern und E-Mail verhindert werden. Gemeinsam ist diesen Neuregulierungen stets, dass sie die Eingriffsmöglichkeiten staatlicher Institutionen erweitern. Eine Stärkung der Bürgerrechte sucht man dagegen in den Projekten der GroKo vergeblich. (hob@ct.de)