TTDSG soll Datenschutz vereinheitlichen
Vorschriften rund um die Privatsphäre finden sich derzeit in der Datenschutzgrundverordnung (DSGVO), im Telekommunikationsgesetz (TKG) sowie im Telemediengesetz (TMG). Das Bundeswirtschaftsministerium möchte sämtliche Vorschriften zur Privatsphäre aus diesen Gesetzen nun im „Telekommunikations-Telemedien-Datenschutz-Gesetz“ (TTDSG) vereinheitlichen, um den Bestimmungen einen „wirksamen und handhabungsfreundlichen“ Rahmen zu geben.
Referentenentwurf fürs TTDSG vom BMWi
Das Bundesministerium für Wirtschaft und Energie (BMWi) zeigt sich verantwortlich für den Referentenentwurf für das TTDSG. Den geleakten Entwurf (PDF) veröffentlichte das Portal Digitalcourage. Zum Zeitpunkt der Veröffentlichung dieses Blogartikels ist der Entwurf im Portal Digitalcourage nicht mehr verfügbar. Eine um Kommentare der Referenten bereinigte Version (PDF) ist beim Heise Verlag veröffentlicht worden. Worum geht es konkret?
Die DSGVO war eigentlich dazu gedacht, den Datenschutz in ganz Europa zu vereinheitlichen. Wie kürzlich in unserem Artikel „Datenschutz: Standardisierung auf Bundesebene möglich?“ dargelegt, ist diese Vereinheitlichung nicht ganz geglückt – weder auf europäischer, noch auf Bundesebene. Deshalb möchte die Bundesregierung das derzeit unübersichtliche Datenschutzrecht erneut reformieren. Unter anderem sollen die für Nutzerinnen und Nutzer nervigen Cookie-Hinweise reduziert werden.
DSGVO, BDSG, TMG & TKG: Die aktuelle Situation
Die EU-DSGVO gilt seit Mai 2018 für die gesamte Europäische Union. Vorher wurde der Datenschutz hierzulande durch das Bundesdatenschutzgesetz (BDSG a. F.) geregelt, welches mit der DSGVO erneuert und angepasst wurde (BDSG n. F.). In weiteren Gesetzestexten, konkret dem Telemediengesetz (TMG) sowie dem Telekommunikationsgesetz (TKG), aber auch dem Kunsturhebergesetz (KUG), wird das Datenschutzrecht für bestimmte Bereiche spezifiziert. Durch Inkrafttreten der DSGVO haben jedoch Teile dieser Gesetze ihre Bedeutung verloren, weil in vielen Bereichen die DSGVO Vorrang hat.
Somit hat die DSGVO alte Gesetze teilweise ersetzt, teilweise ergänzt. In der Verordnung wurde bewusst die Möglichkeit bedacht, eigene nationale Regelungen treffen zu können, die – im Idealfall – durch entsprechende nationale Gesetze konkretisiert werden. Hierzulande sind diese Konkretisierungen in erster Linie im BDSG n. F. beispielsweise im Bereich des Beschäftigtendatenschutzes (§ 26 BDSG n. F.) zu finden; branchenspezifisch zusätzlich in den oben erwähnten Gesetzen.
Sie sehen: Aufgrund dieser Lage ist es für Unternehmen auf der einen Seite extrem schwierig, zu wissen, was konkret für sie gilt. Auf der anderen Seite haben auch die Aufsichtsbehörden zu kämpfen, müssen sie doch jeden Einzelfall intensiv betrachten und mit den Gesetzestexten abstimmen. Dazwischen sitzen auch noch die Verbraucherinnen und Verbraucher, die sich seit der DSGVO mit neuen Rechten durchsetzen können. Das TTDSG soll nun für alle Klarheit schaffen.
Der Referentenentwurf zum TTDSG
Im geleakten Dokument heißt es einleitend, dass das derzeitige Nebeneinander all dieser Gesetze zu Rechtsunsicherheiten führen würde. Das neue Gesetz verfolgt also das Ziel, Rechtsklarheit sowohl für Unternehmen als auch für VerbraucherInnen und Aufsichtsbehörden zu schaffen. So möchte man auch Klarheit fürs Setzen von Cookies herstellen.
Im Dokument heißt es: „Die Datenschutz-Bestimmungen des TMG und des TKG, einschließlich der Bestimmungen zum Schutz des Fernmeldegeheimnisses, sollen aufgehoben und in einem neuen Gesetz zusammengeführt werden. Dabei sollen zugleich die erforderlichen Anpassungen an die DSGVO erfolgen.“ Und weiter: „Die in Deutschland insbesondere im Hinblick auf das Setzen von Cookies umstrittene Frage der Umsetzung von Artikel 5 Absatz 3 der E-Privacy-Richtlinie soll mit diesem Gesetzentwurf geklärt werden.“ Der Gesetzgeber möchte darauf achten, dass „funktionierende Geschäftsmodelle weder beeinträchtigt noch Innovationen in der digitalen Welt behindert werden.“
Regelung des Schutzes personenbezogener Daten der Endnutzer
Den Geltungsbereich stellt das BMWi in § 1 des TTDSG-RefE klar: „Dieses Gesetz regelt den Schutz personenbezogener Daten der Endnutzer von elektronischer Kommunikation bei der Erhebung und Verwendung dieser Daten durch Unternehmen und Personen, die geschäftsmäßig elektronische Kommunikationsdienste in öffentlichen elektronischen Kommunikationsnetzen, einschließlich öffentlicher elektronischer Kommunikationsnetze, die Datenerfassungs- und Identifizierungsgeräte unterstützen, erbringen oder an deren Erbringung mitwirken, und von Telemedien.“
Damit findet der TK-Datenschutz, den das TTDSG-RefE im zweiten Teil regelt, ausschließlich bei öffentlichen elektronischen Kommunikationsnetzen Anwendung. Es fallen sowohl Unternehmensnetze als auch TK-Dienste ohne öffentliches Netz aus dem Geltungsbereich heraus. Sicher wäre es zielführend, den Geltungsbereich auch auf öffentliche TK-Dienste anzuwenden. Denn auch nichtöffentliche Dienste lassen sich über öffentliche TK-Netze erbringen. Ohne eine entsprechende Anpassung des TTDSG würde das Fernmeldegeheimnis (s. § 4 TTDSG-RefE) ausschließlich für Kommunikationen innerhalb öffentlicher Netze gelten. Das klassische Unternehmensnetzwerk unterläge somit nicht mehr dem Fernmeldegeheimnis.
TTDSG: Erstmals Regelungen zu PIMS
Im TTDSG werden erstmals Regelungen getroffen, die auf Personal Information Management Services (PIMS) angewandt werden müssen. Im Gesetzentwurf werden PIMS als „anerkannte Dienste zur Verwaltung persönlicher Informationen“ definiert, gemeint sind also beispielsweise Zeiterfassungssysteme zum Verwalten von Mitarbeiterinnen und Mitarbeitern oder andere Dienste, die das Verwalten persönlicher Informationen anbieten.
Im § 3 TTDSG-RefE erklärt das BMWi, dass Nutzern eine bessere Kontrolle über persönliche Daten gegeben werden soll. PIMS sollten laut Gesetzentwurf Grundsatzstandards entsprechen – und freiwillig genutzt werden können. Heißt: Der Entwurf verbietet es Dienstanbietern, Nutzer zur Verwendung von PIMS zu zwingen.
Absatz 2 regelt die Anerkennung solcher Dienste. Eine solche Anerkennung ist nur möglich, wenn „die Dienste ein Sicherheitskonzept vorlegen, das eine Bewertung der Qualität und Zuverlässigkeit des Dienstes ermöglicht.“ Wie Absatz 3 erkennen lässt, zeigt sich „der oder die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit“ verantwortlich für das Anerkennen der Dienste.
TTDSG konkretisiert Cookie-Einwilligungen
§ 9 TTDSG-RefE befasst sich mit der „Einwilligung bei Endeinrichtungen“ und setzt sich auch mit Cookies auseinander. Nutzerinnen und Nutzer beklagen, dass sie sich derzeit durch etliche Cookie-Hinweise und –Einwilligungen klicken müssen. Der Gesetzgeber möchte dies vereinfachen und fokussiert eine Ausnahme zur Einwilligungspflicht unter diesen drei Bedingungen:
- Wenn es „technisch erforderlich ist, um eine Kommunikation über ein elektronisches Kommunikationsnetz zu übermitteln […]“,
- wenn es „vertraglich ausdrücklich mit dem Endnutzer vereinbart wurde, um bestimmte Dienstleistungen zu erbringen“ und
- wenn es „zur Erfüllung gesetzlicher Verpflichtungen erforderlich ist“, ist keine Einwilligungspflicht gegeben.
Weiter heißt es, dass der Endnutzer „die Einwilligung auch erklären [kann], in dem er eine dafür vorgesehene Einstellung seines Browsers oder eine andere Anwendung auswählt“. Diese Klausel existiert auch in der ePrivacy-Richtlinie, wirkt sich aber nicht merklich aus.
Aktuell werden die Trackingmaßnahmen bei Medienunternehmen durch verschiedene Datenschutzaufsichtsbehörden geprüft. Das Ergebnis dieser Prüfungen wird womöglich zeigen, dass Medienunternehmen (Tageszeitungen im Netz) zu viele Trackingmaßnahmen auf ihr berechtigtes Interesse basieren lassen, um sich der Einwilligung durch Nutzer zu entziehen. Hier besteht die Gefahr für die Nutzer, dass sie über Websites hinweg getracked werden. Wenn sich also künftig Nutzer gegen Trackingmaßnahmen in ihrem Browser entscheiden könnten, müssten es die Anbieter der Websites auch umsetzen. Ob sich jedoch weltweite Unternehmen an das TTDSG der Bundesrepublik halten würden, muss künftig beobachtet werden.
Neue Zuständigkeiten für Bundesdatenschützer
Eine weitere Neuerung findet sich in § 27 TTDSG-RefE, der die „Aufsicht, Aufgaben und Befugnisse“ regelt. Die Bundesnetzagentur (BNetzA) zeigte sich bisher zuständig, wenn es beispielsweise um das Abhörverbot ging oder um das Einhalten der Informationspflichten. Das TTDSG möchte die Kompetenzen des oder der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) erhöhen: Er oder sie übernimmt dann die Aufsicht über den Schutz personenbezogener Daten von natürlichen Personen.
Das bleibt für Unternehmen nicht folgenlos: Neben den weiterhin zuständigen Aufsichtsbehörden kümmert sich dann auch der BfDI um das Einhalten der Regeln des Telemediendatenschutzes.
Sanktionen in Höhe der DSGVO-Bußgelder
Die Sanktionen, die der TTDSG-RefE im Falle von Verstößen vorsieht, gleichen denen der DSGVO. Verstöße werden damit deutlich teurer als im bisherigen TK- und Telemediendatenschutz.
TTDSG – die vereinheitlichende Lösung?
Der TTDSG-RefE muss zunächst das Bundeskabinett passieren. Gemäß Art. 25 des Entwurfs soll es keine Übergangsfrist geben; das Gesetz soll am Tag nach der Verkündung in Kraft treten. Als Zieldatum visiert der Gesetzgeber den 21. Dezember 2020 an. Das erscheint durchaus ambitioniert, müssen doch noch diverse Anhörungen stattfinden. Sicherlich sind im Nachgang weitere Anpassungen der Gesetzestexte vonnöten – schon der Geltungsbereich scheint derzeit noch unausgegoren und unverträglich mit dem Fernmeldegeheimnis. Dass über eine Vereinheitlichung nachgedacht wird, ist jedoch zu begrüßen. Gerade auch deshalb, weil die europäische E-Privacy-Verordnung noch immer auf sich warten lässt, obwohl sie bereits für 2018 zum Zeitpunkt der Gültigkeit der DSGVO geplant war.