Die Rechtsprechung hat in der Vergangenheit vor allem dafür gesorgt, dass Betreiber ihre Website samt Datenschutzerklärung immer wieder anpassen mussten (wir berichteten u. a. hier und hier). Augenfälligste Änderungen waren die Cookie-Banner, die auch deutsche Websites nach und nach “bereicherten“.

Nach der letzten nationalen Rechtsprechung des BGH, die dazu führte, dass das Telemediengesetz (TMG) entgegen dem Wortlaut angewandt werden musste, hat der Gesetzgeber nun reagiert und konnte die Umsetzung der zehn Jahre alten E-Privacy-Richtlinie (nicht zu verwechseln mit der ePrivacy-Verordnung, auf die man bisher nun drei Jahre wartet) in Angriff nehmen. Dabei herausgekommen ist das Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG), welches mit dem heutigen Tage, dem 01.12.2021, in Kraft getreten ist.

Das TTDSG hat zwei Gruppen von Anbietern im Blick – zum einen Anbieter von Telekommunikationsdiensten und zum anderen Anbieter von Telemedien. Diese beiden Gruppen unterscheiden sich wie folgt:

Telekommunikationsdienste sind Dienste, wie sie etwa die Betreiber von Messengern (WhatsApp, Signal, Telegram etc.), Videokonferenzen (Zoom, MS-Teams, Big Blue Button, Jitsi etc.) und webbasierte E-Mail-Diensten (GMX, Web.de, GMail, Posteo etc.) anbieten. Diese Betreiber unterliegen dem Teil 2 des Gesetzes, also den Regelungen zum „Datenschutz und Schutz der Privatsphäre in der Telekomunikation“ (§§ 3-18 TTDSG).

Anbieter von Telemedien sind diejenigen, die Websites im Internet bereitstellen. Diese Anbieter fallen unter den Teil 3 des Gesetzes, also unter die Regelungen zum „Telemediendatenschutz und Endeinrichtungen“ (§§ 19-26 TTDSG).

Auswirkungen für Telekommunikationsdienste

Konkrete datenschutzrechtliche Auswirkungen erwarten wir hier für Unternehmen, die Videokonferenztools von Drittanbietern nutzen. Bisher wird davon ausgegangen, dass zwischen einem Unternehmen (Nutzer) und bspw. Zoom (Anbieter) ein Verhältnis zur Auftragsverarbeitung nach Art. 28 DSGVO besteht. Dies wird aller Voraussicht nach nicht mehr der Fall sein, da Telekommunikationsanbieter als Verantwortliche im Sinne der DSGVO anzusehen sind. Dies hat zur Folge, das Art. 28 DSGVO nicht mehr zur Anwendung käme und nicht mehr ein Verhältnis von Verantwortlichen (Unternehmen) und Auftragsverarbeitern (Videokonferenzanbietern) besteht, sondern sowohl das Unternehmen als auch der Anbieter in diesem Fall Verantwortliche sind.

Für die Datenübermittlung zwischen den beiden Parteien bedarf es damit einer erneuten Prüfung der Rechtsgrundlage. Es ist davon auszugehen, dass die großen Anbieter wie Microsoft, Google oder Zoom auf die neue Rechtslage reagieren und die Vertragsverhältnisse entsprechend anpassen werden. Allerdings ist bei Microsoft in der Vergangenheit beim Urteil des EuGHs zu Schrems II oder bei der Einführung der neuen EU-Standardvertragsklauseln zu beobachten gewesen, dass nur Neukunden mit angepassten Verträgen versorgt wurden. Bestandskunden mussten hier selbst gegenüber Microsoft tätig werden. Kunden von großen Anbietern sollten also deren Pressemitteilungen in nächster Zeit im Blick behalten.

Auswirkungen für Websiteanbieter

Für Websiteanbieter ergeben sich durch das TTDSG zunächst keine Änderungen. Die Hoffnung, dass nunmehr Cookie-Banner obsolet werden, ist daher zumindest verfrüht. Das TTDSG sieht in § 25 Abs. 1 Satz 1 vor, dass im Grundsatz für die Speicherung oder das Abrufen von Informationen auf einem Endgerät, wie z. B. Laptop, Smartphone oder Tablet, eine Einwilligung des Nutzers eingeholt werden muss. Dies gilt unabhängig davon, ob die Cookies personenbezogen sind oder nicht. Eine Einwilligung ist aber nach § 25 Abs. 1 Satz 2 TTDSG entbehrlich, wenn die Speicherung und das Auslesen der Daten dem alleinigen Zweck der Datenübertragung dienen, die Informationen „unbedingt erforderlich“ sind bzw. der Nutzer einen Telemediendienst „ausdrücklich wünscht“. Unbedingt erforderlich können Informationen sein, um die Datensicherheit und/oder Erreichbarkeit der Website bzw. der dahinterliegenden Systeme sicherzustellen. Sollten also Cookies eingesetzt werden, um Navigationsprobleme zu erkennen oder um zu verhindern, dass die Site angegriffen wird, wären dies unbedingt erforderliche Cookies. Auch Cookies, die zur Anzeige der Website erforderlich sind, können darunterfallen.

Der ausdrückliche Wunsch des Nutzers für einen Telemediendienst könnte bspw. das Anlegen eines Benutzeraccounts bei einem Webshop und die Nutzung des Warenkorbs sein. Alle Cookies, die notwendig sind, um den Benutzeraccount anzulegen und die Waren im Warenkorb oder auf Merklisten zu speichern, sind ausdrücklich gewünschte Cookies, für die ebenfalls keine separate Einwilligung erforderlich ist.

Soweit Cookies bei den oben genannten Beispielen zur Anwendung kommen und personenbezogen sind, ergeben sich keine Änderungen der bisherigen Umsetzung. „Unbedingt erforderliche“ Cookies werden regelmäßig auf das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO und Profilerstellung und Warenkorb Cookies auf die Vertragserfüllung nach Art. 6 Abs. 1 lit. b DSGVO gestützt werden können.

Überprüfung der Datenschutzerklärung ist zu empfehlen

Allerdings wäre dies ein guter Zeitpunkt, noch einmal zu prüfen, ob beim Einsatz von Cookies und Trackingtools immer die korrekte Rechtsgrundlage genutzt wird bzw. neue Tools zum Einsatz kommen, die in der Datenschutzerklärung bisher noch gar nicht abgebildet werden.