Die Rechtsprechung hat in der Vergangenheit vor allem dafür gesorgt, dass Betreiber ihre Website samt Datenschutzerklärung immer wieder anpassen mussten (wir berichteten u. a. hier und hier). Augenfälligste Änderungen waren die Cookie-Banner, die auch deutsche Websites nach und nach “bereicherten“.
Nach der letzten nationalen Rechtsprechung des BGH, die dazu führte, dass das Telemediengesetz (TMG) entgegen dem Wortlaut angewandt werden musste, hat der Gesetzgeber nun reagiert und konnte die Umsetzung der zehn Jahre alten E-Privacy-Richtlinie (nicht zu verwechseln mit der ePrivacy-Verordnung, auf die man bisher nun drei Jahre wartet) in Angriff nehmen. Dabei herausgekommen ist das Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG), welches mit dem heutigen Tage, dem 01.12.2021, in Kraft getreten ist.
Das TTDSG hat zwei Gruppen von Anbietern im Blick – zum einen Anbieter von Telekommunikationsdiensten und zum anderen Anbieter von Telemedien. Diese beiden Gruppen unterscheiden sich wie folgt:
Telekommunikationsdienste sind Dienste, wie sie etwa die Betreiber von Messengern (WhatsApp, Signal, Telegram etc.), Videokonferenzen (Zoom, MS-Teams, Big Blue Button, Jitsi etc.) und webbasierte E-Mail-Diensten (GMX, Web.de, GMail, Posteo etc.) anbieten. Diese Betreiber unterliegen dem Teil 2 des Gesetzes, also den Regelungen zum „Datenschutz und Schutz der Privatsphäre in der Telekomunikation“ (§§ 3-18 TTDSG).
Anbieter von Telemedien sind diejenigen, die Websites im Internet bereitstellen. Diese Anbieter fallen unter den Teil 3 des Gesetzes, also unter die Regelungen zum „Telemediendatenschutz und Endeinrichtungen“ (§§ 19-26 TTDSG).
Auswirkungen für Telekommunikationsdienste
Konkrete datenschutzrechtliche Auswirkungen erwarten wir hier für Unternehmen, die Videokonferenztools von Drittanbietern nutzen. Bisher wird davon ausgegangen, dass zwischen einem Unternehmen (Nutzer) und bspw. Zoom (Anbieter) ein Verhältnis zur Auftragsverarbeitung nach Art. 28 DSGVO besteht. Dies wird aller Voraussicht nach nicht mehr der Fall sein, da Telekommunikationsanbieter als Verantwortliche im Sinne der DSGVO anzusehen sind. Dies hat zur Folge, das Art. 28 DSGVO nicht mehr zur Anwendung käme und nicht mehr ein Verhältnis von Verantwortlichen (Unternehmen) und Auftragsverarbeitern (Videokonferenzanbietern) besteht, sondern sowohl das Unternehmen als auch der Anbieter in diesem Fall Verantwortliche sind.
Für die Datenübermittlung zwischen den beiden Parteien bedarf es damit einer erneuten Prüfung der Rechtsgrundlage. Es ist davon auszugehen, dass die großen Anbieter wie Microsoft, Google oder Zoom auf die neue Rechtslage reagieren und die Vertragsverhältnisse entsprechend anpassen werden. Allerdings ist bei Microsoft in der Vergangenheit beim Urteil des EuGHs zu Schrems II oder bei der Einführung der neuen EU-Standardvertragsklauseln zu beobachten gewesen, dass nur Neukunden mit angepassten Verträgen versorgt wurden. Bestandskunden mussten hier selbst gegenüber Microsoft tätig werden. Kunden von großen Anbietern sollten also deren Pressemitteilungen in nächster Zeit im Blick behalten.
Auswirkungen für Websiteanbieter
Für Websiteanbieter ergeben sich durch das TTDSG zunächst keine Änderungen. Die Hoffnung, dass nunmehr Cookie-Banner obsolet werden, ist daher zumindest verfrüht. Das TTDSG sieht in § 25 Abs. 1 Satz 1 vor, dass im Grundsatz für die Speicherung oder das Abrufen von Informationen auf einem Endgerät, wie z. B. Laptop, Smartphone oder Tablet, eine Einwilligung des Nutzers eingeholt werden muss. Dies gilt unabhängig davon, ob die Cookies personenbezogen sind oder nicht. Eine Einwilligung ist aber nach § 25 Abs. 1 Satz 2 TTDSG entbehrlich, wenn die Speicherung und das Auslesen der Daten dem alleinigen Zweck der Datenübertragung dienen, die Informationen „unbedingt erforderlich“ sind bzw. der Nutzer einen Telemediendienst „ausdrücklich wünscht“. Unbedingt erforderlich können Informationen sein, um die Datensicherheit und/oder Erreichbarkeit der Website bzw. der dahinterliegenden Systeme sicherzustellen. Sollten also Cookies eingesetzt werden, um Navigationsprobleme zu erkennen oder um zu verhindern, dass die Site angegriffen wird, wären dies unbedingt erforderliche Cookies. Auch Cookies, die zur Anzeige der Website erforderlich sind, können darunterfallen.
Der ausdrückliche Wunsch des Nutzers für einen Telemediendienst könnte bspw. das Anlegen eines Benutzeraccounts bei einem Webshop und die Nutzung des Warenkorbs sein. Alle Cookies, die notwendig sind, um den Benutzeraccount anzulegen und die Waren im Warenkorb oder auf Merklisten zu speichern, sind ausdrücklich gewünschte Cookies, für die ebenfalls keine separate Einwilligung erforderlich ist.
Soweit Cookies bei den oben genannten Beispielen zur Anwendung kommen und personenbezogen sind, ergeben sich keine Änderungen der bisherigen Umsetzung. „Unbedingt erforderliche“ Cookies werden regelmäßig auf das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO und Profilerstellung und Warenkorb Cookies auf die Vertragserfüllung nach Art. 6 Abs. 1 lit. b DSGVO gestützt werden können.
Überprüfung der Datenschutzerklärung ist zu empfehlen
Allerdings wäre dies ein guter Zeitpunkt, noch einmal zu prüfen, ob beim Einsatz von Cookies und Trackingtools immer die korrekte Rechtsgrundlage genutzt wird bzw. neue Tools zum Einsatz kommen, die in der Datenschutzerklärung bisher noch gar nicht abgebildet werden.
M.M.
5. April 2022 @ 17:40
Sie schreiben in Ihrem Beitrag, dass durch das TTDSG Telekommunikationsanbieter zukünftig als Verantwortliche im Sinne der DSGVO anzusehen seien und ein AVV mit diesen obsolet werde. Wie kommen Sie zu dieser Einschätzung?
Denn sofern ich noch immer ggü. dem Anbieter Zweck und Mittel der Verarbeitung festlege, gelte ich mMn auch weiterhin als (alleiniger) Verantwortlicher und der Anbieter entsprechend als Auftragsverarbeiter – ungeachtet seiner Pflichten aus dem TTDSG. Denn zur Abgrenzung der datenschutzrechtlichen Verantwortlichkeit/gemeinsamen Verantwortlichkeit/Auftragsverarbeitung sind ausschließlich die Regelungen der DSGVO maßgeblich; das TTDSG regelt hierzu nichts, sodass keine spezialgesetzliche Vorschrift des TTDSG die Normen der DSGVO verdrängen könnte. Und laut DSGVO sind für die Einordnung als Verantwortlicher oder Auftragsverarbeiter etwaige Verantwortlichkeiten aus anderen Gesetzen eben kein Abgrenzungskriterium.
Olaf Rossow
11. April 2022 @ 20:00
Hallo!
Zu Ihrer Frage:
Nach Ansicht des EDPB (Guidelines 07/2020 on the concepts of controller and processor in the GDPR, Seite 12 ff.) sind TK-Diensteanbieter bei der Erbringung ihrer Dienste selbst Verantwortliche im Sinne der DSGVO. Eine Auftragsverarbeitung schiede damit aus. Der Abschluss eines Auftragsverarbeitungsvertrages wäre entbehrlich.
Viele Grüße
Anonymous
10. Januar 2022 @ 14:31
Zur ersten Kommentierung: Zumindest wenn man der aktuellen DSK Auslegung zum Thema (VÖ Mitte Dez. 2021) folgen würde, nein.
Tracking-Cookies wären nach meinem Verständnis immer zustimmungspflichtig gewesen. Zumindest die DSK-Auslegung sieht nur strenge Ausnahmen von der Einwilligungspflicht vor.
Die DSK geht sogar davon aus, dass z.B. Warenkorb-Cookies erst dann nicht zustimmungspflichtig wären, wenn konkret ein Produkt darin abgelegt wird. Ein immer gesetzter Warenkorb-Cookie ist nach Ansicht der DSK zustimmungspflichtig.
🙂
Th. Lichter
9. Dezember 2021 @ 10:34
Eine Frage: Bedeutet dies, dass Trackingcookies zur Überwachung von Navigationswegen (Ich sehe wo der Kunde geklickt hat) im Falle eines Onlineshops nicht zustimmungspflichtig, weil es dem Betreiber zeigt, wo Kunden nicht Ihren Wunsch (das passende Produkt finden) erfüllt bekommen? Werbe Cookies also zum Aufbau von Zielgruppen für Marketingautomation sind jedoch weiterhin zustimmungspflichtig?