Stefan Hanloser

Telekommunikation-Telemedien-Datenschutz-Gesetz


Dr. Stefan Hanloser ist Rechtsanwalt in München und Mitglied des Wissenschaftsbeirats der ZD.

 ZD 2021, 121            Der Regierungsentwurf für ein Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG-RegE) übernimmt die betagte Cookie-Regelung aus Art. 5 Abs. 3 RL 2009/136 (ePrivacy-RL) praktisch wortgleich ins deutsche Recht; der über die letzten vier Jahre mühevoll errungene Diskussionsstand zur ePrivacy-VO wird ausgeblendet. Die innovative Regelung für Personal Information Management Systeme (PIMS) aus dem RefE v. 14.7.2020 ist i.R.d. Ressortabstimmung gestrichen worden. Hier setzt die Bundesregierung nun alles auf die europäische Karte und vertraut auf ein baldiges Inkrafttreten des Data Governance Act (DGA).

Mit dem TTDSG möchte die Bundesregierung einige lose Enden noch in dieser Legislaturperiode zusammenzuführen. Die Bereinigung des TMG um die seit dem 25.5.2018 obsoleten datenschutzrechtlichen Vorschriften ist mehr als überfällig. Aufzuheben wären die datenschutzrechtlichen Bestimmungen der §§ 11 ff. TMG einschließlich der Regelung zur Verarbeitung von Nutzungsdaten in § 15 TMG. Mit § 15 Abs. 3 TMG fiele aber gerade die Vorschrift weg, die der BGH in seinem Planet49-Urteil (ZD 2020, 467 m. Anm. Eckhardt) europarechtskonform i.S.e. Cookie Consent fortentwickelte und damit der Bundesrepublik eine Umsetzung des Art. 5 Abs. 3 ePrivacy-RL bescheinigte. Die Bundesrepublik befindet sich damit in der Zwickmühle, mit der ersatzlosen Aufhebung des § 15 Abs. 3 TMG sehenden Auges in ein Vertragsverletzungsverfahren hineinzulaufen oder § 15 Abs. 3 TMG als besondere Pflichten begründende Umsetzungsnorm i.S.d. Art. 95 DS-GVO solitär im TMG stehen zu lassen. Man kommt somit nicht umhin, Art. 5 Abs. 3 ePrivacy-RL fast zehn Jahre nach Ablauf der Umsetzungsfrist am 25.5.2011 im deutschen Recht nachzuziehen. Konsequent hat das federführende BMWi ein Artikelgesetz entworfen, das einerseits Art. 5 Abs. 3 ePrivacy-RL im neuen TTDSG umsetzt und zugleich die §§ 11 ff. TMG aufhebt.

 

Das TTDSG würde einen umstrittenen deutschen Sonderweg bei der Umsetzung der ePrivacy-RL beenden. Die ePrivacy-RL versteht sich als bereichsspezifisches Datenschutzrecht, das die DS-GVO im Bereich der elektronischen Kommunikation detailliert und ergänzt. Unabhängig von diesem datenschutzrechtlichen Regelungsgehalt schützt Art. 5 Abs. 3 ePrivacy-RL die Integrität von Endgeräten, die über eine Schnittstelle an ein öffentliches TK-Netz angeschlossen und damit der Gefahr eines Fernzugriffs durch Speichern oder Abrufen von Informationen ausgesetzt sind. Diese gerätebezogene Distanzgefahr besteht für sämtliche Informationen unabhängig von einem Personenbezug, z.B. Geschäftsinformationen juristischer Personen. Richtliniengetreu verstehen die übrigen EU-Mitgliedstaaten Art. 5 Abs. 3 ePrivacy-RL deshalb seit jeher streng technisch als Auftrag, die Integrität der Nutzerendgeräte vor unerlaubten technischen Eingriffen zu schützen. In ihrem Umsetzungsbericht an die Kommission (COCOM11-20 v. 4.10.2011) verwies die Bundesrepublik hingegen auf den vorbestehenden datenschutzrechtlichen Einwilligungsvorbehalt in §§ 12 und 15 TMG. Der deutsche Gesetzgeber adressierte das Risiko auf rein datenschutzrechtlicher Ebene und ließ insbesondere das Speichern und spätere Auslesen von Cookies einwilligungsfrei zu - nach § 13 Abs. 1 S. 2 TMG sollte eine Nutzerinformation ausreichen. Der BGH konnte dieser kreativen Richtlinienumsetzung in seinem Planet49-Urteil nichts abgewinnen und griff zur Brechstange der europarechtskonformen Auslegung, um den Cookie Consent in Deutschland gegen den erklärten Willen des Gesetzgebers einzuführen (vgl. Hanloser, BB 2020, 1683 (1684)). An dieser Stelle kehrt das TTDSG nun die Scherben auf.

 

§ 24 TTDSG-RegE überträgt Art. 5 Abs. 3 ePrivacy-RL, mitsamt der Bezugnahme auf den datenschutzrechtlichen Einwilligungsbegriff in Art. 2 lit. f ePrivacy-RL, praktisch wortgleich ins deutsche Recht. Der Einwilligungsvorbehalt in § 24 Abs. 1 TTDSG-RegE soll sicherstellen, dass Informationen nur mit Wissen und Willen des Endnutzers auf dessen Endeinrichtung von fremder Hand gespeichert bzw. bereits gespeicherte Informationen ausgelesen werden - dies vorbehaltlich der gesetzlichen Ermächtigungsgrundlagen für einwilligungsfreie Gerätezugriffe in Absatz 2. Praktisch relevant ist insbesondere die Ausnahme in Absatz 2 Nr. 2 für Speicherungen und Zugriffe, die unbedingt erforderlich sind, um einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen zu können. In bewusster Abkehr vom eigenen Kompromissvorschlag zu Art. 8 Abs. 1 lit. c ePrivacy-VO (Ratsdok. 9931/20 v. 4.11.2020) fehlt in § 24 Abs. 2 Nr. 2 TTDSG-RegE die Einschränkung auf technisch notwendige Gerätezugriffe. Erforderlich ist ein Gerätezugriff somit, wenn der aufgerufene Telemediendienst andernfalls in seiner konkreten Darbietungsform aus gestalterischen, technischen oder wirtschaftlichen Gründen nicht zur Verfügung gestellt werden könnte.

 

Mit der historischen Umsetzung des Art. 5 Abs. 3 ePrivacy-RL bleibt die Bundesregierung auch hinter § 9 Abs. 4 des RefE v. 14.7.2020 zurück, der den Nutzern eine konkludente Einwilligungserklärung durch speicher- und auslesefreundliche Einstellungen in der Betriebssoftware ihrer Endeinrichtungen erlaubte, z.B. durch die Konfiguration des Browsers oder des Betriebssystems für mobile Endgeräte. Diese Formerleichterung hätte der Tatsache Rechnung getragen, dass das Speichern und Auslesen in aller Regel kein invasiver regelwidriger Eingriff in die Geräteintegrität ist, sondern ein browserseitig oder seitens der Betriebssoftware standardisiert ermöglichter Vorgang auf technischer Ebene. Dann wäre es nur konsequent, eine positive Konfiguration beim Wort zu nehmen und als stillschweigende Einwilligung zu werten, wie es Erwägungsgrund 32 S. 2 2. Var. DS-GVO und Erwägungsgrund 66 S. 5 ePrivacy-RL empfehlen. Mit der Anerkennung der Einwilligungserklärung durch speicher- und auslesefreundliche Softwareeinstellungen könnte der Gesetzgeber auch der massenhaften Abfrage von Einwilligungserklärungen - und der damit einhergehenden Datenschutz-Ermüdung (privacy fatigue) - entgegenwirken. Schutzlos bleiben die Nutzer unter dem TTDSG auch gegen Technikgestaltungen, die ihre Einwilligungen vereiteln; anders der Ratsentwurf, der in Art. 4a Abs. 2aa ePrivacy-VO (Dok. 6087/21 v. 10.2.2021) die Browser-Hersteller mit der Befolgungspflicht belegt, das Speichern oder Auslesen von Informationen gemäß Nutzereinwilligung technisch zu ermöglichen.

 

Der sachliche Anwendungsbereich des TTDSG wird durch die Legaldefinition der Endgeräte in § 2 Abs. 2 Nr. 6 RegE umschrieben und umfasst jede direkt oder indirekt an die Schnittstelle eines öffentlichen TK-Netzes angeschlossene Einrichtung zum Aussenden, Verarbeiten oder Empfangen von Nachrichten. Das sind nach dem aktuellen Stand der Technik neben Laptops, Tablets, Smartphones, Smart TVs, Sprachassistenten auch Connected Devices des Internet of Things (IoT), die i.R.d. Maschine-Maschine-Kommunikation (M2M) automatisch oder nur mit geringfügiger menschlicher Beteiligung Informationen austauschen, wie z.B. Connected Cars. Wichtig bleibt die korrekte Zuordnung eines Endgeräts zum einwilligungsberechtigten Endnutzer. Endnutzer definiert die Entwurfsbegründung in Anlehnung an Art. 2 Nr. 14 EECC-RL 2018/1972 als jede natürliche oder juristische Person, die einen öffentlichen TK-Dienst in Anspruch nimmt, ohne ihn bereitzustellen. Das ist nicht notwendig die Person, deren personenbezogene Daten durch das Speichern oder Auslesen von Informationen betroffen sind. Der RefE v. 12.1.2021 wies hier auf Exklaven für das Speichern und Auslesen personenbezogener Daten im Herrschaftsbereich der betroffenen Personen hin, etwa Smart Meters, bei denen die Versorgungsunternehmen der entscheidungsberechtigte Endnutzer sein sollen. I.Ü. bewahrt der RegE die strikte Trennung zwischen ePrivacy-Recht und DS-GVO - datenschutzrechtliche Rechtsinstitute wie die gemeinsame Verantwortlichkeit oder das Speichern und Auslesen im Auftrag bleiben außen vor.

 

Anders als der RefE v. 14.7.2020 ist der Bußgeldrahmen des Art. 83 Abs. 4 DS-GVO nicht eröffnet; ein Verstoß gegen § 24 TTDSG-RegE kann nach § 26 Abs. 1 Nr. 13, Abs. 2 RegE als Ordnungswidrigkeit mit einem Bußgeld von bis zu 300.000,- EUR geahndet werden. Im Umkehrschluss zu § 27 Abs. 2 TTDSG-RefE bleibt es bei den landesrechtlichen Aufsichtszuständigkeiten bzw. der rundfunkdatenschutzrechtlichen Aufsicht nach § 113 MStV.

 

Telemedien, die den heutigen Nutzererwartungen entsprechen, sind datenintensive Produkte. Entsprechend umfangreich sind die Einwilligungs- und Widerspruchsentscheidungen, die die Nutzer ePrivacy-rechtlich, also nach dem künftigen § 24 TTDSG, und datenschutzrechtlich nach Art. 6 Abs. 1 lit. a bzw. Art. 21 DS-GVO treffen. PIMS ermöglichen den Nutzern eine systematische Verwaltung ihrer Einwilligungen und Widersprüche über die von ihnen genutzten Telemedien hinweg - die erklärten Einwilligungen und Widersprüche sind für die genutzten Telemedien übersichtlich dokumentiert und können mit Wirkung für die Zukunft widerrufen bzw. zurückgenommen werden. PIMS sind entsprechend wirkmächtige Intermediäre, die zwischen die Telemediendienste und ihre Nutzer treten. Die aktuellen Regulierungsbemühungen zielen - wie bei allen Intermediären - darauf ab, einen Missbrauch der faktischen Torwächter-Rolle zu verhindern.

 

§ 3 TTDSG-RefE v. 14.7.2020 ermöglichte es den Nutzern, ihre Rechte aus dem TTDSG durch „anerkannte Dienste zur Verwaltung persönlicher Informationen“, also PIMS, auszuüben. Die bundesweite Anerkennungszuständigkeit sollte beim BfDI liegen. Die Anerkennungsvoraussetzungen konzentrierten sich - neben einem Sicherheitskonzept zum Nachweis der Qualität und Zuverlässigkeit (Fit&Proper-Test) - auf den Ausschluss direkter und indirekter Eigeninteressen des PIMS-Anbieters an den verwalteten Daten. Nur ein neutraler PIMS-Anbieter kann seine fiduziarischen Treuepflichten gegenüber den Nutzern frei von Interessenkonflikten erfüllen. Der auf Anreiz statt Verbot gerichtete regulatorische Ansatz war mit Bedacht gewählt: Die Rechteausübung der Nutzer mittels anerkannter PIMS wäre für die Telemedienanbieter bindend gewesen; Rechteausübungen mittels nicht anerkannter PIMS hätten von Telemedienanbietern fakultativ zurückgewiesen werden können, ohne indes verboten zu sein. In dieser regulatorischen Nische hätten sich insbesondere nationale PIMS-Anbieter mit einer BfDI-Anerkennung profilieren können.

 

Der RegE verzichtet auf eine PIMS-Regelung - insbesondere auch vor dem Hintergrund des Kommissionsentwurfs für einen Data Governance Act (DGA-E - Dok. 2020/767 v. 25.11.2020), wie dem Verbändeanschreiben zur TTDSG-Konsultation v. 12.1.2021 zu entnehmen ist. Der DGA-E führt Zulässigkeitsvoraussetzungen für die Erbringung von Diensten für die gemeinsame Datennutzung (data sharing services) durch Datenmittler (data intermediaries) ein. Für die verwaltungsrechtliche Durchsetzung sorgt ein spezielles Anmelde-, Aufsichts- und Sanktionsregime. Als Daten sind alle personenbezogenen Daten und alle sonstigen digital dargestellten Informationen einbezogen. In den weiten Anwendungsbereich des DGA-E fallen alle Datenmittler, die Daten nicht auf eigene Rechnung zur Verfügung stellen, sondern eine direkte Beziehung zwischen Dateninhabern und Datennutzern herstellen. Der Betrieb der technischen Infrastruktur für die Nutzungsüberlassung ist unschädlich, insbesondere die Bereitstellung zum Zugriff in persönlichen Datenräumen (personal data spaces), um eine Übermittlung personenbezogener Daten an die Datennutzer zu vermeiden.

 

PIMS sind als Vermittlungsdienste zwischen betroffenen Personen und potenziellen Datennutzern in Art. 9 Abs. 1 lit. b DGA-E ausdrücklich erwähnt. Sie unterstützen die betroffenen Personen bei der Erklärung von Einwilligungen und Widersprüchen und der Ausübung ihrer Auskunfts-, Berichtigungs- und Löschungs- sowie Datenübertragungsansprüche, wie Erwägungsgrund 23 DGA-E klarstellt. Dem Rollenbild des treuhänderischen Datenmittlers entsprechend ist es PIMS-Anbietern nach Art. 11 Nr. 1 DGA-E untersagt, die Daten für andere, insbesondere eigene Zwecke zu verwenden. Die wirtschaftliche Indifferenz des Treuhänders gegenüber dem Treugut, also den Daten muss gesichert sein. Besonders einschneidend ist die Pflicht, den PIMS in eine gesonderte Rechtsperson auszugliedern, um ihn von sonstigen Aktivitäten strukturell zu trennen. Entsprechend großzügig ist die dreijährige Anpassungsfrist ab Inkrafttreten des DGA für bestehende PIMS in Art. 34, 35 Abs. 2 DGA-E berechnet.

 

Die Verbraucher werden sich also gedulden müssen, bis sie ihre Einwilligungen und Widersprüche mit regulierten PIMS systematisch verwalten können - drei Jahre sind in unserer digitalen Welt allerdings eine Ewigkeit.