Ab 01.12.2021 tritt das TTDSG in Kraft.
Das TTDSG regelt die Anforderungen an den Datenschutz im Bereich Telekommunikation und Telemedien. Die endgültige Fassung des Gesetzes wurde am 28.06.2021 im Bundegesetzblatt veröffentlicht und tritt heute, am 1.12.2021 in Kraft.
Hintergrund
Ziel dieses Gesetzes ist es, die im TKG und TMG enthaltenen spezialgesetzlichen Regelungen zum Datenschutz, in ein für sich eigenständiges Gesetz, welches mit den europäischen Vorgaben in Einklang steht, zu überführen. Die bereits seit langer Zeit in Verhandlung stehende ePrivacyVO wird voraussichtlich kurzfristig nicht abgeschlossen werden können, so dass der deutsche Gesetzgeber handeln musste.
Das TTDSG dient der Umsetzung der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) (ABl. L 201 vom 31.7.2002, Seite 37), die durch Artikel 2 der Richtlinie 2009/136/EG des Europäischen Parlaments und des Rates vom 25. November 2009 (ABl. L 337 vom 18.12.2009, Seite 11) geändert worden ist.
Geltungsbereich
Immer wenn sog. Endeinrichtungen betroffen sind, greifen die Regelungen des TTDSG. Das Gesetz ist bewusst neutral gehalten, so dass sich die Regelungen auf alle Technologien erstreckt, mit denen Informationen auf Endgeräten gespeichert und ausgelesen werden. Der Begriff in diesem Sinne ist, technologieneutral und meint damit alle „denkbaren Einrichtungen“. Dies sind insbesondere herkömmliche Endgeräte wie Notebooks und Smartphones sowie alle internetfähigen Geräte (z. B. auch Smart-Geräte und Internet of Things („IoT“)). Ziel des TTDSG ist der Schutz der informationellen Integrität, so dass es – anders als in der DSGVO – nicht auf einen Personenbezug der Daten ankommt.
Wesentliche Neuerungen des TTDSG
Das TTDSG regelt insbesondere folgende für die Praxis relevanten Bereiche:
– Marktortprinzip (vgl. DSGVO)
– EuGH- und BGH-Rechtsprechung zu Cookie-Bannern festgeschrieben
– Nutzung von sog. Personal-Information-Management-Systems („PIMS”)
– zusätzliche Bußgelder bis zu € 300.000
Cookie-Regelungen sind anzupassen
Zentrale Regelung ist dabei § 25 TTDSG, welcher die Cookie-Regelung von Art. 5 Abs. 3 der e-Privacy Richtlinie (2009/136/EG) entsprechend umsetzt. Klarstellend kann somit wie folgt festgehalten werden: Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer eingewilligt hat. Es soll damit die Nachverfolgbarkeit im Internet beschränkt werden. § 25 TTDSG gilt unabhängig davon, ob die Dienste personenbezogene Daten enthalten oder damit personenbezogene Daten verarbeitet werden.
Marketing, Third Party und Tracking Cookies müssen grundsätzlich zwingend ausgeschaltet sein und sind nur ausnahmsweise mit ausdrücklicher Einwilligung möglich. Dies gilt auch für alle anderen Technologien, mit denen auf Endgeräte zugegriffen werden kann, etwa die Nutzung des lokalen Speichers. Zur Vereinfachung des Einwilligungsverfahrens hat sich der Gesetzgeber zu sog. „PIMS“ entschieden.
Personal-Information-Management-Systems („PIMS”)
Nutzer werden zur Vereinfachung des Ablaufs künftig ihre Einwilligungen in sog. Einwilligungsverwaltungssystemen („Personal Information Management Systems“ – „PIMS“) hinterlegen können. Browser und Webseiten müssen dann solche Dienste zur Verwaltung von erteilten Einwilligungen beachten und die in „PIMS“ hinterlegten Einwilligungen auslesen.
Privatnutzung betrieblicher Endgeräte
Unternehmen, die die Privatnutzung betrieblicher Endgeräte zulassen, werden auch nach Einführung des TTDSG weiterhin als sog. Telekommunikationsdienstleister behandelt. Insoweit wurde der bisherige § 88 TKG lediglich unverändert in § 3 TTDSG überführt. Im Ergebnis müssen Unternehmen daher die Einhaltung des Fernmeldegeheimnisses sicherstellen. Die damit einhergehenden Fragestellungen hat künftig der Bundesbeauftragte für Datenschutz (BfDI) zu beantworten. In der Betriebspraxis stellt die Sicherstellung des Fernmeldegeheimnisses zugleich aber eine Verarbeitung personenbezogener Daten dar.
CAD-Praxishinweis: Um die hierbei bestehenden Herausforderungen im Betrieb zu lösen, stellt der Abschluss einer Telekommunikations-Richtlinie (ggfs. in Form einer Betriebsvereinbarung) das geeignete Mittel dar.
Zu den Praxisfragen des TTDSG stehen wir Ihnen zur Verfügung.
Kontakt:
CAD-Institut für Compliance, Arbeitsrecht und Datenschutz
0621-68583357
cad@institut-cad.de