Update Datenschutz Nr. 96
E-Privacy-Richtlinie endlich umgesetzt – Bundestag beschließt Neuregelung des Datenschutzes im Bereich der Telemedien und Telekommunikation
Bereits im Herbst 2020 berichteten wir im Update Datenschutz Nr. 83 über den Entwurf des Bundesministeriums für Wirtschaft und Energie (BMWi) für ein neues Gesetz über den Datenschutz und den Schutz der Privatsphäre in der elektronischen Kommunikation und bei Telemedien (Telekommunikations-Telemedien-Datenschutz-Gesetz, „TTDSG“) berichtet. Das TTDSG soll die Datenschutzbestimmungen aus Telekommunikationsgesetz („TKG“) und Telemediengesetz („TMG“) in einem Gesetz zusammenzuführen. Nachdem das geplante Inkrafttreten am 21. Dezember 2020 gescheitert ist, hat sich der Bundestag am 20. Mai 2021 auf einen Entwurf für das TTDSG (hier die Entwurfsversion aus März) nach Berücksichtigung der Änderungsanträge der Großen Koalition geeinigt. Es erfolgt so erstmals eine vollständige Umsetzung der Vorgaben der E-Privacy-RL von 2009. Der Entwurf enthält insbesondere die folgenden Abweichungen zum ursprünglichen Entwurf des BMWi:
Einwilligungserfordernis für Cookies & Einwilligungsmanagement
Anders als im Entwurf des BMWi findet sich die Regelung zum Umgang mit Cookies nun in § 25 TTDSG, es bleibt jedoch bei der ausdrücklich normierten Einwilligungspflicht für das Setzen von Cookies. Dabei richten sich die Anforderungen nach der Einwilligung gemäß DSGVO. Ausnahmen gibt es nur für Cookies, die zum Übermitteln von Nachrichten oder zur Bereitstellung des Dienstes erforderlich sind – also nur für rein funktionelle Cookies. Weitere Ausnahmetatbestände finden sich, anders als im Entwurf des BMWi, hingegen nicht mehr.
So sollen insbesondere entsprechende Browsereinstellungen nicht für die Annahme einer informierten Einwilligung ausreichen. Stattdessen soll die Bundesregierung einen Rechtsrahmen schaffen, der die Anerkennung von Diensten zur Einwilligungsverwaltung, etwa sog. "Personal Information Management Services" (PIMS) oder Single-Sign-On-Lösungen, ermöglicht. Ein solcher Mechanismus war im Entwurf des BMWi ebenfalls vorgesehen, blieb im Regierungsentwurf des TTDSG jedoch unberücksichtigt. Diese Tools sollen „nutzerfreundliche und wettbewerbskonforme Verfahren“ zur Erteilung von Cookie-Einwilligungen bereitstellen. Daneben dürfen die Anbieter solcher Dienste nach § 26 TTDSG kein eigenes wirtschaftliches Interesse an der Erteilung von Einwilligungen haben. Eine Verordnung mit den Details zur Anerkennung solcher Anbieter muss jedoch noch von der Bunderegierung erlassen werden.
Die Regelung in § 25 TTDSG beschränkt sich zudem nicht auf Cookies. Stattdessen werden Nutzer umfassend vor dem Speichern und Auslesen von Informationen auf ihren Endgeräten geschützt. Neben Telefonie und Internetkommunikation werden auch Geräte erfasst, die an das öffentliche Kommunikationsnetz angeschlossen sind. Dies sind laut der Gesetzesbegründung insbesondere Smarthome-Anwendungen.
Neue Grenzen für Spionagegeräte
Die Regelung zu Spionagegeräten in § 8 TTDSG, die im Wesentlichen § 90 TKG entspricht, wurde hingegen nicht geändert. Ausweislich der Begründung der Bundesregierung ist es gerade beabsichtigt, dass auch Alltagsgegenstände unter diese Regelung fallen, sofern diese eine Lausch- oder Aufzeichnungsfunktion bereitstellen, die "beim bestimmungsgemäßen Gebrauch des Gegenstandes für den Betroffenen nicht eindeutig erkennbar ist".
Geändert hat sich allerdings die Strafbarkeit im Hinblick auf solche Geräte: Diese bezieht sich künftig nicht mehr auf deren Besitz, sondern nur noch auf die Herstellung und das Bereitstellen am Markt, sodass trotz der potentiellen Erfassung von Alltagsgegenständen keine völlig unkontrollierte Ausdehnung der strafrechtlichen Verfolgbarkeit folgt (§ 27 Abs. 1 TTDSG).
Bußgelder und Zuständigkeit des BfDI
Wie im Entwurf des BMWi ist weiterhin eine Anhebung der Bußgelder vorgesehen. Allerdings sollen diese sich der Höhe nach, anders als im ursprünglichen Entwurf, nicht mehr nach der DSGVO richten. So wird etwa der Bußgeldrahmen für Verstöße gegen die Einwilligungspflicht nach § 25 TTDSG oder für Werbeanrufe auf bis zu 300.000 EUR angehoben. Gegen öffentliche Stellen werden ausdrücklich keine Bußgelder verhängt.
An der schon im Entwurf des BMWi vorgesehenen Ausweitung der Befugnisse des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) hält die Bundesregierung hingegen fest. Die Bundesnetzagentur (BNetzA) ist künftig nur noch dann für die Aufsicht im Telekommunikationsdatenschutz zuständig, soweit nicht die Verarbeitung personenbezogener Daten oder von Daten juristischer Personen betroffen ist (§§ 29 Abs. 1, 30 TTDSG).
Ausblick
Auch nach Inkrafttreten des TTDSG bleibt zu beobachten, wie sich Gesetzgebungsverfahren zur E-Privacy-VO entwickelt. Sollte es hier auf europäischer Ebene zu einer Einigung kommen, muss geprüft werden, inwiefern die ePrivacy-VO die Regelungen des TTDSG verdrängen wird. Diese wird am 20. Mai 2021 in Brüssel von den Trilogparteien beraten.
Spannend bleibt es auch im Hinblick auf die EU-Richtlinie zur Urheberrechtsreform, deren nationale Umsetzung ebenfalls am 20. Mai 2021 beschlossen wurde. Hiernach sind Uploadfilter für große Plattformen nun wohl unvermeidbar, Ausnahmen gibt es nur im Rahmen niedriger Bagatellgrenzen (bspw. 15 Sekunden für Filme oder Tonaufnahmen). Es ist nun abzuwarten, wie die Plattformbetreiber die Vorgaben des Gesetzes umsetzen werden oder ob Art. 17 der Urheberrechtsrichtlinie doch noch vom EuGH für unzulässig erklärt wird (Klage der polnischen Regierung, C-401/19).