Das Bundesministerium für Wirtschaft und Energie plant offenbar, noch in diesem Jahr ein neues Datenschutzgesetz zu verabschieden. Wir fassen die Hintergründe zusammen und geben einen thematischen Überblick.

Als ich 2017 die ersten Vorträge zur Datenschutzgrundverordnung (DSGVO) gehalten habe, wurde trefflich darüber diskutiert, dass wohl einige Jahre vergehen werden, bis eine gewisse Rechtssicherheit im Umgang damit erreicht werden wird. Die unterschiedlichen Interpretationen des EuGH-Urteils zur Verwendung von Cookies zeigen, dass dieser Prozess noch bei Weitem nicht abgeschlossen ist.

Auch war ich mir seinerzeit relativ sicher, dass – abgesehen vom Bundesdatenschutzgesetz (BDSG) – wohl für einige Zeit keine neuen Datenschutzgesetze zu erwarten sein werden. In der Folgezeit wurden wir zunächst Zeuge zahlreicher Episoden der bisher nur bedingt erfolgreichen Anläufe der E-Privacy-Verordnung. Im vergangenen Herbst gab es dann bereits erste Hinweise darauf, dass es ein Nachfolgegesetz oder eine Novelle des Telemediengesetzes geben könnte. 

Nun aber verdichten sich die Hinweise darauf, dass das Bundesministerium für Wirtschaft und Energie die Schaffung eines Telekommunikations-Telemedien-Datenschutz-Gesetzes (TTDSG) plant, welches möglicherweise bereits dieses Jahr zum 21. Dezember 2020 in Kraft treten könnte. Da eine Umsetzungsfrist nicht vorgesehen ist, blieben dann also nur etwas mehr als drei Monate, um sich mit den neuen Regelungen des TTDSG vertraut zu machen.

Wesentliches Ziel soll gemäß der Begründung des Gesetzesentwurfs die Schaffung von Rechtsklarheit im Spannungsfeld zwischen DSGVO, Telemediengesetz (TMG) und Telekommunikationsgesetz (TKG) sein – ein Ziel, welches mittel- bis langfristig weiterhin auch durch die geplante Verabschiedung der E-Privacy-Verordnung erreicht werden soll. Inhaltlich wird das neue Gesetz einen Teil der datenschutzrelevanten Regelungen des TKG sowie des TMG übernehmen und darüber hinaus Regelungen zur Umsetzung der E-Privacy-Richtlinie sowie zur Festlegung der Zuständigkeiten zwischen Bundesnetzagentur und Bundesbeauftragtem für den Datenschutz und die Informationsfreiheit beinhalten.

Neu und durchaus innovativ ist die in § 3 TTDSG vorgesehene Regelung "anerkannter Dienste zur Verwaltung persönlicher Informationen" (Personal Information Management Services, PIMS). Dadurch könnten Endverbraucher die Wahrnehmung ihrer datenschutzbezogenen Rechte, insbesondere der Einwilligung, über eine zentrale Stelle treuhänderisch verwalten lassen. Ein solcher Dienstleister könnte bspw. Einwilligungseinstellungen des Verbrauchers zentral speichern und bei Bedarf kontrolliert an Diensteanbieter weiterleiten. Für den Verbraucher hätte dies den Vorteil, dass ein Großteil der zunehmend erforderlichen Einwilligungen auf Webpräsenzen entfallen könnte. Gleichzeitig würden die gegenwärtig über US-Dienste wie Facebook, Google und Apple möglichen zentralen Anmeldungen zukünftig über europäische Dienste erfolgen.

Des Weiteren beinhaltet das TTDSG eine Reihe von Regelungen, die ursprünglich dem TKG entstammen, bspw. zum Fernmeldegeheimnis, zum Betrieb von Funk- und Telekommunikationsanlagen und zur Nachrichtenübermittlung mit Zwischenspeicherung.

In § 9 TTDSG wurde eine Regelung zur Einwilligung für das Speichern von Informationen auf Endeinrichtungen (bspw. Smartphones) des Verbrauchers getroffen. Die Regelung scheint in erster Linie der Umsetzung der Regelungen aus Art. 5 Abs. 3 RL 2009/136/EG ("Cookie-Richtlinie") zu dienen. In § 9 Abs. 1 TTDSG wird entsprechend festgelegt, dass eine derartige Speicherung nur erlaubt ist, wenn der Endnutzer gemäß DSGVO informiert wurde und seine Einwilligung erteilt hat. Zu beachten ist dabei, dass die Formulierung weit ausfällt und abstrakt vom "Speichern von Informationen auf Endeinrichtungen" die Rede ist. Dies würde insofern nicht nur auf Cookies zutreffen, sondern auch auf jegliche andere Art von Daten, unabhängig davon, ob diese zur Identifizierung des Endverbrauchers oder zu anderen Zwecken verwendet werden. Ausnahmen ergeben sich aus § 9 Abs. 2 TTDSG, bspw. für: 

  • das (bereits aus dem Cookie-Urteil des EuGH bekannte) technische Erfordernis einer Datenübertragung oder Bereitstellung von Telemedien,
  • vertraglich vereinbarte Verarbeitungen bzw. Dienstleistungen und 
  • die Erfüllung gesetzlicher Verpflichtungen.

Interessant hierbei ist, dass demnach der vertraglich vereinbarte Einsatz von Cookies die Einholung einer Einwilligung entbehrlich machen könnte. Ferner wird im Entwurf ausdrücklich klargestellt, dass für das Zustandekommen einer wirksamen Einwilligung unbedingt 

  • eine Informierung des Endverbrauchers über die Art der Informationen, den Zweck der Verarbeitung und die Speicherdauer erfolgt sein muss und 
  • der Endverbraucher diese Information aktiv bestätigt haben muss und die Telemedien in Anspruch nimmt.

Aus dem letzten Halbsatz ließe sich die Frage ableiten, ob gemäß dieser Formulierung eine wirksame Einwilligung vorliegt, wenn Informierung und Bestätigung erfolgt sind, der Endverbraucher den entsprechenden Dienst aber nicht nutzt. 

Ebenfalls ausdrücklich geregelt ist in § 9 Abs. 4 TTDSG, dass der Endverbraucher seine Einwilligung durch das Auswählen einer dafür vorgesehenen Voreinstellung seines Webbrowsers erklären kann. Ähnlich wie im § 3 TTDSG ergäbe sich auch hier eine Möglichkeit, zukünftig die Handhabung von Consent Tools für den Verbraucher zu erleichtern und die Flut der zu erteilenden Einwilligungen nicht nur zu reduzieren, sondern auch die Form der erteilten Einwilligungen konsistent zu halten.

Keine Ausnahmeregelung bzw. Klarstellung wurde nach aktuellem Stand für die Verarbeitung statistischer Daten bzw. einer reinen Reichweitenmessung getroffen sowie für die Frage, welche gespeicherten Daten tatsächlich technisch erforderlich sind. An diesen Stellen wäre eine Anpassung des Entwurfs begrüßenswert, um der gegenwärtig nach wie vor bestehenden, rechtlichen Unsicherheit zu begegnen.

Eine neue und strengere Regelung zur Verarbeitung von Standortdaten ist in § 14 TTDSG enthalten. Für deren Verarbeitung wird gemäß dem Gesetzesentwurf zukünftig in vielen Fällen das Einholen einer Einwilligung erforderlich sein. Ausnahmen bestehen beispielsweise, wenn es sich bei den Standortdaten um Verkehrsdaten handelt, die bspw. für die Weiterleitung von Nachrichten oder zur Fakturierung erforderlich sind, oder wenn die Verarbeitung für die Bereitstellung von "Diensten mit Zusatznutzen" erforderlich ist und die Daten anonymisiert wurden. In letzterem Fall muss der Diensteanbieter den Verbraucher durch eine Textmitteilung an das Endgerät über die Erfassung des Standortes informieren. Noch strenger sind die Vorgaben, wenn die Standortdaten an Dritte übermittelt werden, die nicht Anbieter des Dienstes sind. In diesem Fall muss die Einwilligung ausdrücklich, gesondert und schriftlich (also nicht in Textform bzw. elektronisch) erfolgen. Wie sich vor diesem Hintergrund noch standortbasierte Werbung umsetzen lässt, dürfte spannend werden.

Fazit

Gerüchte über neue Datenschutzgesetze hat es in der Vergangenheit schon einige Male gegeben – zuletzt im Fall der E-Privacy-Verordnung und des im vergangenen Herbst im Nachgang zum Cookie-Urteil des EuGH angekündigten Gesetzesentwurfs. Das neue TTDSG dürfte in einigen Bereichen, etwa bei der Einwilligung zur Speicherung von Cookies und ähnlichen Daten, weitere Klarheit bringen und könnte den Weg für zukünftige Erleichterungen bei der Verarbeitung von Einwilligungen bei Online-Diensten ebnen. Darüber hinaus könnten sich für manche Diensteanbieter nicht unerhebliche Herausforderungen bei der Gestaltung bzw. Anpassung ihrer Dienste ergeben. Da bis zum voraussichtlichen Inkrafttreten am 21. Dezember 2020 nur etwas mehr als drei Monate bleiben, gilt es, sich mit den neuen Regelungen des TTDSG frühzeitig vertraut zu machen und möglichen Handlungsbedarf zu identifizieren. Haben Sie Fragen zum neuen TTDSG? Wir freuen uns darauf, gemeinsam mit Ihnen darüber zu sprechen.

Gerne stehe ich für weitere Fragen persönlich zur Verfügung: