FAQ: TTDSG

Hier sind die Fragen, die sich in meinem regelmäßigen Webinar zum TTDSG bislang ergeben haben. Das Webinar wird wiederholt veranstaltet und daher wird auch diese FAQ-Liste ständig anwachsen. Am besten setzen Sie ein Lesezeichen auf diese Seite.

Die Fragen sind selbstverständlich anonymisiert und ich habe sie ggf. sprachlich angepasst.

Sie haben auch eine Frage zum Thema »TTDSG« oder interessieren sich für ein anderes Webinar? Melden Sie sich am besten noch heute für ein kostenloses Webinar an und stellen Sie im Chat Ihre Frage(n).

Zur Webinarübersicht

Stand: 18.01.2022

FAQ

Eine technische Erforderlichkeit von Cookies (oder anderer Technologien) wie im Falle von Online-Shops dargestellt, ist m. E. gegeben, da HTTP/S ein zustandsloses Protokoll ist. Vor diesem Hintergrund: Inwiefern soll sich "unbedingt erforderlich" nicht auf technisch erforderlich beziehen?


Ich habe das wahrscheinlich missverständlich ausgedrückt. Ich meine, dass die Erforderlichkeit, wie § 25 TTDSG sie beschreibt, nicht auf allein »technische« Erforderlichkeit beschränkt ist. Bleiben wir bei dem Beispiel der Warenkorb-Cookies. Solche Cookies werden überwiegend als erforderlich angesehen; sie sind aber eben nicht bloß technisch erforderlich. Solche Cookies sind für den reinen Betrieb einer Warenkorbfunktion nicht erforderlich, entfalten aber ihren Nutzen, wenn der Nutzer die Webseite verlässt und vielleicht zwischenzeitlich zu einer anderen Domain wechselt und später zurückkehrt. Eine solche Funktion ist aber nützlich für den Nutzer der Shopseite, weil er sich nun nicht mehr anderweitig merken muss, für welche Artikel er sich interessiert hat. Ich bin der Meinung, dass das eine Erforderlichkeit iSd. Nützlichkeit für den Shopbesucher ist (achten Sie auf den Wortlaut von § 25 TTDSG: »erforderlich ist, damit (...) ausdrücklich gewünschten (...) Telemediendienst«), dass er die Warenkorbfunktion vorfindet; technisch erforderlich ist sie m.E. nicht. Außerdem halte ich mich an die Wortlautauslegung: Von ausgerechnet »technischer« Erforderlichkeit steht nichts im Gesetz.

Ich gebe aber zu, dass das nicht unumstritten ist (sonst wäre es ja auch langweilig ;-)


Muss ich bei einem Vertrag zur Auftragsverarbeitung nun die Begrifflichkeiten statt DSGVO auf TTDSG ändern oder kann ich den Vertrag auch mit DSGVO bestehen lassen? Wir beziehen uns z.B. auf: Auftrag zur Datenverarbeitung gemäß Art. 28 DSGVO - müsste hier jetzt ab 1.12.2021 stehen Auftrag zur Datenverarbeitung gemäß TTDSG?


Grundsätzlich gilt im Recht, dass die Falschbezeichnung nicht schadet, wenn eben nur alle wissen, was gemeint ist (unter Juristen bekannt als: »falsa demonstratio non nocet«). Es gibt bestimmt noch etliche Auftragsverarbeitungsverträge, die Begrifflichkeiten aus dem alten BDSG 2003 verwenden (als es noch »Auftragsdatenverarbeitungsvertrag« hieß) und trotzdem gültig sein können. Entscheidend ist, dass Sie die Vorgaben des Artikel 28 DSGVO einhalten (oder eben des TTDSG), ob Sie den Tisch dann Stuhl nennen ist unerheblich, solange alle (!) wissen, was gemeint ist.

Die Auftragsverarbeitung ist originär praktisch nur in der DSGVO geregelt. Es können allerdings einzelne Aufgaben, die aus dem TTDSG folgen, als Auftragsverarbeitung ausgestaltet werden. Z.B. das Einwilligungsmanagement gemäß § 25 Absatz 1 TTDSG. Der Vertrag wäre dann weiterhin ein Auftragsverarbeitungsvertrag nach Artikel 28 DSGVO mit dem Gegenstand »Einwilligungsverwaltung« nach § 25 Absatz 1 TTDSG z.B. und ggf. weiteren Gegenständen. Ich persönlich rate aber nicht dazu, die Gegenstände des Vertrages ohne Not an spezielle Paragrafen zu koppeln. Wie Sie meinem Webinar entnommen haben, wird es irgendwann wohl (hoffentlich) die E-Privacy-Verordnung geben (aber wohl nicht vor 2025) und dann fällt das TTDSG sehr wahrscheinlich (weil die Inhalte dann in der Verordnung geregelt sind) weg! Sie müssten dann ggf. schon wieder alle Verträge ändern.


Welche Dokumentationspflichten gibt es und wie kann man diese erfüllen?


Ich gehe davon aus, dass sich die Frage auf die Dokumentationspflichten für die Einwilligung gemäß § 25 Absatz 1 TTDSG iVm. Artikel 6 Absatz 1 Satz 1 Buchstabe a) DSGVO, 7 DSGVO, 4 Nummer 11 DSGVO bezieht.

Das TTDSG unmittelbar regelt keine Dokumentationspflichten. § 25 Absatz 1 TTDSG spricht allerdings davon, dass die Einwilligung »gemäß der Verordnung (EU) 2016/679 zu erfolgen habe«; womit auf die DSGVO verwiesen wird.

Auf den ersten Blick erläutert die DSGVO ebenfalls nicht, wie die Dokumentationspflichten genau ausgestaltet werden sollen. Wir müssen in diesem Zusammenhang aber Artikel 5 Absatz 2 DSGVO beachten:

Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).

Im Absatz 1 von Artikel 5 DSGVO sind die Grundsätze geregelt und dazu gehört die Rechtmäßigkeit der Verarbeitung, also die Einhaltung der jeweils einschlägigen Rechtsgrundlage; hier der Einwilligung.


Wir müssen die rechtsgültige Einwilligung also »nachweisen« können; das ist leichter gesagt als getan. Wie weisen Sie die formgültige Einwilligung in das Setzen eines oder mehrerer Cookies nach? Hier sind die Anbieter von Consent-Bannern gefragt. Bei der Auswahl eines Dienstleisters muss sich der Verantwortliche vorführen lassen, wie einzelne Einwilligungen nachgewiesen werden können. Kurz gesagt, wenn sich ein Besucher Ihrer Website bei der Aufsichtsbehörde beschwert, dass einwilligungsbedürftige Cookies bei ihm gesetzt wurden, ohne, dass er eingewilligt hat, dann muss Ihnen Ihr Anbieter auf Zuruf oder ggf. über ein Dashboard ermöglichen, ALLE Einwilligungen oder Ablehnungen wenigstens mit Zugriffsdatum und IP-Adresse darlegen zu können. Der Besucher wird nur über die in Logfiles gespeicherte IP-Adresse zu identifizieren sein. Ein Dienstleister, der diese Informationen nicht liefern kann, ist für die Anforderungen des TTDSG und der DSGVO nicht geeignet. Es reicht also nicht, einfach irgendeinen Anbieter von Consent-Bannern zu beauftragen; er muss auch ein klares Nachweis-Management führen (übrigens auch für den Widerruf von Einwilligungen!). Diesen Test muss ein guter Anbieter bestehen können.


In diesem Zusammenhang ist eine aktuelle Entscheidung des LG Frankfurt/Main vom 19.10.2021 zu beachten, die ich hier erläutere (»Haftung bei fehlender und fehlerhafter »Cookie«-Einwilligung«).

Zum Nachweis gehört auch der textliche Inhalt der Einwilligung (Stichwort: informierte Einwilligung), der sich regelmäßig aus den entsprechenden Texten der Banner ergibt. Dieser muss klar verständlich und umfassend sein.


Gilt Fernmeldegeheimnis auch für private Nutzung der betrieblichen Telefonanlage ? Wie kann dies gem. Dokumentationspflichten dokumentiert werden?


Ja. Auch hier sollte die private Nutzung ausdrücklich ausgeschlossen werden. Nur dann dürfen Telefonnummern von externen Gesprächspartnern (Vorwahl und nur ein Teil der Rufnummer, um die Identität des Gesprächspartners zu wahren) und Zeitpunkte des Telefonats gespeichert werden. Es müssen aber klare Verarbeitungszwecke definiert werden, da eine Verarbeitung personenbezogener Daten (die genannten Gesprächsdaten fallen darunter) nur aufgrund eines legitimen Zwecks verarbeitet werden dürfen. Die Daten dürfen z.B. zum Zwecke der Missbrauchs- und Kostenkontrolle (z. B. unerlaubte private Nutzung auf Kosten des Arbeitgebers bei einem Privatnutzungsverbot oder Kostenumlage bei Kunden) verwendet und über eine Dauer von ungefähr drei Monaten gespeichert werden.


Davon ist aber unbedingt das Mithören bzw. das Aufzeichnen von Gesprächsinhalten zu unterscheiden! Ein solches wird oft ins Auge gefasst, um die Servicequalität zu erfassen. Der Grundsatz lautet: Die unbefugte Aufzeichnung bzw. das Abhören ist verboten und wird gemäß § 201 Strafgesetzbuch (StGB) sogar mit einer Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.


Welche Pflichten gehen mit der Stellung als Telekommunikationsanbieter einher? "Nur" das Fernmeldegeheimnis? Oder noch andere Pflichten? Zweite Frage dazu: Gibt es dazu schon Urteile gem § 206 StGB? (Mir kommt es so vor, als ob das doch eher theoretisch ist, da es sonst so wäre dass viele 10 Tausend Mittelständler TK Anbieter sind.)


Natürlich gehen mit der Stellung als Telekommunikationsanbieter weitere Pflichten nach dem TTDSG einher. Ich vermute aber, die Frage ist in Bezug auf die Stellung gerade eines Arbeitgebers gegenüber seinen Mitarbeitern bei privater Nutzung des dienstlichen E-Mail-Accounts gestellt. Für diesen sind die weiteren Pflichten eher ohne praktische Bedeutung. Die weiteren Pflichten ergeben sich insbesondere aus dem Kapitel 2 und dem Kapitel 3 sowie Kapitel 4 (Teil 2) des TTDSG und sind auf die Verarbeitung von Verkehrsdaten, Abrechnungs- und Störungsfragen gerichtet. Einzig § 9 TTDSG (Verarbeitung von Verkehrsdaten) könnte im genannten Verhältnis noch eine Rolle spielen, aber das halte ich für eher abstrakt.


Derzeit liegen mir keine aktuellen veröffentlichten Urteile zu § 206 StGB in diesem Bereich vor, aber es werden auch nicht alle Urteile der Strafgerichte auf allen Ebenen veröffentlicht. Das LG Erfurt hat sich mit Urteil vom 28.04.2021 (Az. 1 HK O 43/20)auch gegen die Annahme ausgesprochen, dass Arbeitgeber TK-Anbieter sind, sofern sie die private Nutzung des dienstlichen Accounts gestatten. Das Problem sind eher die Aufsichtsbehörden, die das anders sehen und von der TK-Anbietereigenschaft ausgehen. Und als Verantwortlicher haben Sie es zuerst mit den Aufsichtsbehörden zu tun und müssen sich dann die Frage stellen, ob Sie sich einen Prozess leisten können.


Mit dem Klammerzusatz sprechen Sie den Kern des Problems an. Ich gebe Ihnen recht, der Haken ist nur, dass die Aufsichtsbehörden das (noch) anders sehen. Ob sich deren Praxis unter der Geltung des TTDSG ändert, wird sich erst noch zeigen müssen.


Wo steht im TTDSG der Begriff »Cookies«?


Der Begriff steht gar nicht im Gesetz. Das TTDSG möchte natürlich offen sein für alle aktuellen und vor allen Dingen auch für zukünftige Technologien. Cookies sind eigentlich ein alter Hut; die Technik stammt aus den 90er Jahren des letzten Jahrhunderts. Die Kekse sind zwar noch nicht vom Tisch, aber es zeichnet sich schon ab, dass sie bald Schnee von gestern sind. Vor diesem Hintergrund engt sich das TTDSG natürlich nicht auf Cookies ein.


Der für Cookies relevante § 25 TTDSG spricht daher von der »Speicherung von Informationen in der Endeinrichtung des Endnutzers oder (dem) Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind«. Das kapriziert sich nicht auf Cookies und ist damit offen für andere und vor allem eben auch neue Technologien. Letztlich beschreibt der Gesetzestext aber eben, was Cookies letztlich sind: Kleine Textdateien, die auf einem Computer (oder Smartphone oder Tablett usw.) gespeichert oder ausgelesen werden. Mit »Endeinrichtung« ist kein Seniorenheim gemeint, sondern eben das Gerät (Desktop, Notebook, Smartphone etc.) mit dem auf das Internet zugegriffen wird.


Sind Apps »Telemedien« im Sinne des TMG bzw. des TTDSG?


Ja, das sind sie. Vielen App-Anbietern (selbst bei Apps von großen Unternehmen) ist dieser Umstand nicht bekannt. Apps unterfallen all den Regelungen, die an Telemedien nach den genannten Normen gestellt werden. Dies gilt auch für § 5 TMG, der eine Impressumspflicht für geschäftsmäßig genutzte Telemedien vorsieht und sich eben auch an jede geschäftsmäßig angebotene App richtet. Oft wird das Impressum in eine App unvollständig eingefügt oder gar ganz unterlassen.


Wie auch bei Websites sind mobile Anwendungen, die allein privaten Zwecken dienen, von dieser Regelung befreit.

Der smarte Weg zur DSGVO Compliance

Informieren Sie sich jetzt über das Kurs- und Workshopangebot der datenrecht.ACADEMY.
Zum Kursangebot ...