Ein Gesetz nicht nur gegen „Cookie-Terror“ – Das TTDSG regelt den Onlinedatenschutz

von Professor Dr. Rolf Schwartmann

Die Datenschutz-Grundverordnung (DSG-VO) und das Bundesdatenschutzgesetz (BDSG) kennen die meisten. Seit gut einem halben Jahr ist zudem das Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) in Kraft. Was hat es damit auf sich und warum ist es wichtig?

Wer außerhalb des persönlichen und familiären Bereichs mit personenbezogenen Daten umgeht, muss die DS-GVO beachten. Telefonauskünfte an einer Hotline an die falsche Person sind ebenso ein Datenschutzverstoß, wie das zu lange Speichern von Kundendaten oder eine zu spät gegebene Auskunft über Daten, die ein Unternehmen über eine Person speichert. Diese Vorgänge regeln die DS-GVO und BDSG, denn hier geht es um eine Verarbeitung personenbeziehbarer Daten, die analog oder digital bei Personen erhoben und gespeichert werden.

Datenerhebung bei Personen ist anders geregelt als die Datenerhebung auf Endgeräten

Nicht alle Daten werden aber bei Personen erhoben. Datenverarbeitung findet auch statt, indem Unternehmen per Software, Betriebssystem oder Browser Daten auf Computern, Handys usw. erheben. Ohne einen solchen Zugriff des Anbieters einer Website oder App auf das Gerät, von dem aus die Seite aufgerufen wird, können die Geräte nicht mit den Servern der Anbieter kommunizieren. Das müssen sie aber, damit eine Datenübertragung stattfindet. Diese führt dazu, dass Inhalte als Bild, Text oder Ton vom Server des Anbieters auf das Handy gespielt werden.

TTDSG – Das Gesetz für einen langen Übergang

Diese Art der Datenverarbeitung regeln nicht DS-GVO und BDSG, sondern die ePrivacy-Richtlinie (RL 2002/58/EG) von 2002, die in Deutschland durch das TTDSG umgesetzt wurde. Eigentlich soll das TTDSG nur die Zeit bis zur Schaffung der ePrivacy-Verordnung überbrücken. Sie sollte ursprünglich 2018 gemeinsam mit der DS-GVO in Kraft treten. Seitdem lässt sie aber auf sich warten und glaubt man Renate Nikolay, der Kabinettschefin der zuständigen Kommissarin Věra Jourová, auf der Datenschutzfachtagung (DAFTA) im November 2021, dann könnte es sein, dass sie gar nicht mehr verabschiedet wird, weil man sich nicht auf sie einigen kann und die EU seit langem auch mit der ePrivacy-Richtlinie lebt.

Dafür spricht, dass der Tross der EU-Datenregulierung zwischenzeitlich weitergezogen ist. Es geht im Sommer 2022 um den Datenbinnenmarkt und die Regulierung künstlicher Intelligenz per Data Act und KI-Verordnung, den Data Governance Act und viele Themen jenseits des Onlinedatenschutzes. Es kann also sein, dass das TTDSG für Deutschland einen regulatorischen Schlussstein markiert. Zumindest ist es vermutlich ein Gesetz für einen langen Übergang.

Der Schutz des Fernmeldegeheimnisses erweitert

Aufgabe des TTDSG ist es etwa, den Schutz des Fernmeldegeheimnisses zu erweitern. Dieses schützt neben dem Inhalt einer Nachricht auch die näheren Umstände der Kommunikation, sogenannte Meta-Daten über Kommunikationspartner, Standort- oder Gerätedaten.

Regeln für Websites, Apps und vernetzte Autos

Das Gesetz erstreckt die Geltung des Fernmeldegeheimnisses von klassischen Kommunikationsdiensten wie Telefonie und SMS auf internetbasierte Kommunikationsdienste wie E-Mail, Messenger, Voice-Over-IP-Telefonie und Videokonferenzsysteme. Das ist wichtig, weil Unternehmen Zugriffe auf vernetzte und darauf betriebene Dienste von der Website über die App bis zur vernetzen Musikanlage und zum Navigationssystem im vernetzten Auto nur bei Vorliegen einer Erlaubnis durch das Gesetz oder den Nutzer vornehmen dürfen. Das TTDSG trifft aber auch Regeln zum digitalen Erbe und zur Rolle des Arbeitgebers als Telekommunikationsanbieter.

Gesetz gegen "Cookieterror"

Nutzer und Wirtschaft sind mit den Anforderungen des Onlinedatenschutzes jedes Mal konfrontiert, wenn ein Cookiebanner auf dem Bildschirm erscheint. Das ist momentan alternativlos. Anbieter von Websites und Apps müssen eine Einwilligung vom Nutzer einholen, wenn sie per Cookies Daten zum Zuspielen von Werbung erheben.

Mit dem Klicken des Banners kann man einwilligen. Ob für eine Datenanalyse zur Betrugsprävention, zur bedarfsgerechten Gestaltung oder statistischen Analyse des Seitenaufrufs auch eine Einwilligung erforderlich ist, sagt das Gesetz nicht und muss deshalb noch ausgelegt werden.

Lösung durch Einwilligungsmanagement

Das TTDSG ist auch ein Gesetz gegen "Cookies". In der Perspektive will es den "Terror der Cookiebanner" über sogenannte Dienste zur Einwilligungsverwaltung, sprich Personal Information Management Systems (PIMS) entbehrlich machen.

Mit ihrer Hilfe sollen Nutzer gegenüber einem neutralen Dritten ihre Datenschutzpräferenzen angeben, die dieser dann als eine Art Datentreuhänder verwaltet. Man soll also seinen Willen gesammelt über einen neutralen Mittler gegenüber Anbietern von Websites, Betriebssystemen oder Browsern erklären und durchsetzen können. Das ist eine gute Idee, aber bis sie wirkt, gibt es noch viel zu klicken.

PIMS-Verordnung soll Details regeln

Dennoch geht es gut voran. Das Bundesministerium für Digitales und Verkehr hat eine Studie zur technischen und rechtlichen Umsetzung von PIMS erstellen lassen. Das Inkrafttreten einer Verordnung, die den Einsatz von PIMS ins Werk setzen und das Ende der Cookiebanner einläuten soll, ist für Herbst 2022 angekündigt.

Laut Koalitionsvertrag beabsichtigt die neue Regierung, Datentreuhänder, deren Einsatz die Datenethikkommission empfohlen hat, zu fördern. Zu Recht, denn PIMS können zu fairen Lösungen und einem effektiven Datenschutz aus Sicht der Bürger und Bürgerinnen sowie der Online-Wirtschaft beitragen.

Ein ausgewiesenes Expertenteam aus Wissenschaft, Anwaltschaft, Gerichtsbarkeit und Aufsichtsbehörden stellt der Praxis eine kompakte und praxisorientierte Kommentierung des TTDSG zur Verfügung. Ein klarer Aufbau der Kommentierung verschafft einen raschen Zugang zu der Materie. Die möglichen Fallstricke, die sich bei der Anwendung der neuen Vorschriften im Einzelfall ergeben können, werden klar herausgearbeitet und konkrete Lösungen hierzu angeboten. Ein wichtiger Bestandteil der Kommentierungen sind ferner Hinweise zu Best Practice und möglichen Sanktionen.

Professor Dr. Rolf Schwartmann ist Leiter der Kölner Forschungsstelle für Medienrecht an der Technischen Hochschule Köln und Inhaber der Professur für Bürgerliches Recht und Wirtschaftsrecht, insbesondere öffentliches und internationales Wirtschaftsrecht an der Fakultät für Wirtschafts- und Rechtswissenschaften der TH Köln zugleich Privatdozent am Fachbereich 03 der Johannes Gutenberg-Universität Mainz und Vorsitzender der Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V.. Seit 18.07.2018 ist Prof. Dr. Rolf Schwartmann Mitglied der Datenethikkommission der Bundesregierung, die ihr Gutachten im Jahr 2019 vorgelegt hat.