TTDSG: Datenschutz und E-Privacy

Die Abkürzung »TTDSG« steht für das Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien. Dieses Gesetz wird auch als Telekommunikation-Telemedien-Datenschutzgesetz bezeichnet – daher die Abkürzung. Es ist seit 01.12.2021 in Kraft.

Wie ist das Verhältnis des TTDSG zur DSGVO?

Die EU unterscheidet in ihrer Rechtsetzung zwei Regelungsbereiche: Datenschutz und E-Privacy. Dabei zielt der Datenschutz auf den Schutz personenbezogener Daten natürlicher Personen und der E-Privacy geht es im Kern um den Schutz der Geräteintegrität. Geräteintegrität bezieht sich dabei konkret auf die Geräte, die, untechnisch ausgedrückt, mit dem Internet verbunden sind. Dabei denken wir zuerst an Smartphones, Tabletcomputer und Desktoprechner (inklusive Notebooks); gemeint sind aber auch KFZ und sogar Ihr Kühlschrank. Im sog. Internet of Things (IoT) sind nicht nur Smartphone und Co. mit dem Internet verbunden.



Wichtig ist: E-Privacy ist nicht auf personenbezogene Daten natürlicher Personen beschränkt, sondern erfasst grundsätzlich jede Art von Daten, auch solche, die z.B. Daten von ausschließlich juristischen Personen darstellen.

Datenschutz und E-Privacy bedeuten also keine Synonyme; sie schließen sich aber auch nicht aus. Beide Bereiche existieren grundsätzlich unabhängig voneinander, haben Schnittmengen und können sich bedingen (effektiver Datenschutz ist ohne Geräteintegrität nicht denkbar).

Regelungsbereiche Datenschutz (DSGVO) und E Privacy (TTDSG)

Regelungsbereiche Datenschutz und E-Privacy

In beiden Regelungsbereichen hat die EU ursprünglich mit Richtlinien operiert: Es gab eine sog. Datenschutz-Richtlinie und es gibt immer noch eine E-Privacy-Richtlinie (in ihrer letzten Ausgestaltung aus 2009 als »Cookie-Richtlinie« bezeichnet). Richtlinien sind ein probates Mittel der EU, um eine Regelungsharmonie in der EU herzustellen. Sie sind praktisch Arbeitsanweisungen an die mitgliedstaatlichen Gesetzgeber, einen bestimmten Rechtszustand herzustellen. An diese Gesetzgeber ergeht also der Auftrag, dieses oder jenes auf eine bestimmte Art zu regeln. Ziel ist mithin, dass in der EU eine einheitliche (»harmonisierte«) Gesetzgebung bestehen soll. Das Problem mit Richtlinien ist allerdings, dass nicht alle Staaten diese angemessen umsetzen; manche ihre Hausaufgaben also mehr schlecht als recht erfüllen. Zu den üblichen Verdächtigen gehört hier leider auch die Bundesrepublik Deutschland. So hat Deutschland Artikel 5 Absatz 3 der bereits erwähnten Cookie-Richtlinie praktisch nicht umgesetzt. Dort hieß es:

Die Mitgliedstaaten stellen sicher, dass die Benutzung elektronischer Kommunikationsnetze für die Speicherung von Informationen oder den Zugriff auf Informationen, die im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur unter der Bedingung gestattet ist, dass der betreffende Teilnehmer oder Nutzer gemäß der Richtlinie 95/46/EG klare und umfassende Informationen insbesondere über die Zwecke der Verarbeitung erhält und durch den für diese Verarbeitung Verantwortlichen auf das Recht hingewiesen wird, diese Verarbeitung zu verweigern. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung oder Erleichterung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder, soweit dies unbedingt erforderlich ist, um einen vom Teilnehmer oder Nutzer ausdrücklich gewünschten Dienst der Informationsgesellschaft zur Verfügung zu stellen.

An der Einleitung (»Die Mitgliedstaaten stellen sicher …«) erkennen wir übrigens die Richtlinie. Deutschland ging davon aus, dass der bisherige § 15 Absatz 3 Telemediengesetz (TMG) genau das regelt, was allerdings nicht der Fall war (vgl. Urteil des BGH im Fall »Planet 49«: Urteil vom 28.5.2020 –I ZR 7/16). Ich will auf die Einzelheiten zu § 15 Absatz 3 TMG nicht näher eingehen, denn das ist sozusagen Rechtsgeschichte seit das TTDSG in Kraft ist. Deutschland hatte also seine Hausaufgaben nicht gemacht und das hat über einen gewissen Zeitraum zu einiger Rechtsunsicherheit geführt. Und weil das so war und Deutschland sich in der Folge des BGH-Urteils als reuiger Schüler erwies, haben wir nun das TTDSG das in seinem § 25 richtlinienkonform folgendes regelt:

(1) Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 zu erfolgen.
(2) Die Einwilligung nach Absatz 1 ist nicht erforderlich,
1. wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder
2. wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.

Das ist fast wortgleich mit der »Anweisung« aus der genannten Richtlinie: Hausaufgabe also erfolgreich nachgeholt. Das TTDSG gehört folglich dem Regelungsbereich E-Privacy an und ist daher nicht auf personenbezogene Daten natürlicher Personen beschränkt (das wird häufig übersehen!). Das TTDSG ist letztlich im Bereich E-Privacy in Deutschland ein Lückenfüller bis eine E-Privacy-Verordnung in Kraft tritt. Apropos …

Wo bleibt die E-Privacy-Verordnung?

Der ganze Ärger wäre uns erspart geblieben, wenn die EU den Bereich E-Privacy als Verordnung geregelt hätte. EU-Verordnungen haben gegenüber EU-Richtlinien den entscheidenden Vorteil, dass sie unmittelbar und allgemein Geltung haben und in allen ihren Teilen verbindlich sind (vgl. Artikel 288 Absatz 2 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV)). Sie müssen also nicht erst von den Mitgliedstaaten in nationales Recht umgewandelt werden. Im Bereich Datenschutz hat die EU das bereits mit der DSGVO getan, die seit Mai 2018 den Datenschutz EU-weit einheitlich und unmittelbar regelt.

Für den Bereich E-Privacy war ebenfalls für Mai 2018 eine vergleichbare Verordnung geplant, doch die ist leider bislang auf der Strecke geblieben, sodass wir es weiter mit einer Richtlinie aus dem Jahr 2009 bzw. 2002 (sic.) zu tun haben. Ein Lichtblick ist, dass aktuell wieder Bewegung in den Erlass einer E-Privacy-Verordnung gekommen ist. Realistisch ist mit ihr aber wohl kaum vor 2025 zu rechnen.

Fazit

  1. Wir müssen zwei Regelungsbereiche unterscheiden: Datenschutz und E-Privacy.
  2. Datenschutz in diesem Sinne beschränkt sich auf den Schutz personenbezogener Daten natürlicher Personen.
  3. E-Privacy schützt alle Arten von Daten, auch solche von ausschließlich juristischen Personen, wie z.B. Geschäftsgeheimnisse.
  4. Das TTDSG hat eine begrenzte Lebensdauer, da es mit Inkrafttreten einer E-Privacy-Verordnung obsolet wird.

Lesen Sie auch: § 25 TTDSG – eine neue Regelung für Cookies?

Webinar zum TTDSG

Gerne lade ich Sie zu meinem regelmäßigen Webinar zum TTDSG ein. Einfach Termin auswählen und anmelden.

Kostenloses Webinar zum TTDSG


Newsletter

Regelmäßige Informationen zum gesamten Datenrecht sowie über neue Kurse und Webinare.

Beliebteste Beiträge

Artikel 6 DSGVO (MVK)

Artikel 6 DSGVO (MVK)

Rechtliche Verpflichtung

Rechtliche Verpflichtung