Datenschutz-Akademie » Datenschutz-Wiki » Was ist das TTDSG?
Was ist das Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG)?
Das „Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien“, welches in gekürzter Form als „Telekommunikation-Telemedien-Datenschutzgesetz“ bezeichnet und als „TTDSG“ abgekürzt wird, soll verschiedene Datenschutzregeln zusammenführen. Konkret die bereichsspezifischen Datenschutzregeln des Telemediengesetzes (TMG) und Telekommunikationsgesetzes (TKG).
So gibt es den Abschnitt „Datenschutz“ im TMG und auch das TKG weist ausdrücklich in Teil 7 auf den Datenschutz und das Fernmeldegeheimnis hin. Bislang haben die DSGVO sowie das TMG und TKG nebeneinander existiert und für gewisse Rechtsunsicherheiten gesorgt, die nun mit der Umstrukturierung abgeschafft werden sollen. Das TTDSG tritt am 01.12.2021 in Kraft hat bringt insbesondere neue Regelungen für Cookies und sogenannte PIMS.
Hinweis
Das TTDSG wurde am wurde am 13. Mai 2024 zum TDDDG. Das Telekommunikation-Telemedien-Datenschutzgesetz trat ursprünglich am 01.12.2021 unter der Abkürzung „TTDSG“ in Kraft. Das Gesetz wurde in „Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG)“ umbenannt, um das deutsche Recht an den europäischen Digital Services Act (DSA) anzupassen. Dabei wurde hauptsächlich der Begriff „Telemedium“ durch die Terminologie „digitaler Dienst“ der europäischen Verordnung ersetzt. Hier finden Sie das offizielle PDF.
Wichtigste Informationen zum TTDSG
- Das TTDSG ist die Abkürzung für das „Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien“, welches in gekürzter Form als „Telekommunikation-Telemedien-Datenschutzgesetz“ bezeichnet wird
- Das Datenschutzgesetz TTDSG gilt ab dem 01.12.2021
- Im Gesetz werden datenschutzrechtliche Bestimmungen aus dem Telemediengesetzes und Telekommunikationsgesetzes aufgehoben bzw. in das TTDSG übertragen
- Es werden Vorgaben „Personal Information Management Services“ kurz „PIMS“ geregelt, welche als anerkannte Dienste zur Verwaltung persönlicher Informationen definiert werden
Inhalt zum Thema TTDSG:
Entstehung des TTDSG
Das „Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien“, welches in gekürzter Form als „Telekommunikation-Telemedien-Datenschutzgesetz“ bezeichnet und als „TTDSG“ abgekürzt wird, soll verschiedene Datenschutzregeln zusammenführen. Konkret die bereichsspezifischen Datenschutzregeln des Telemediengesetzes (TMG) und Telekommunikationsgesetzes (TKG). So gibt es den Abschnitt „Datenschutz“ im TMG und auch das TKG weist ausdrücklich in Teil 7 auf den Datenschutz und das Fernmeldegeheimnis hin. Bislang haben die DSGVO sowie das TMG und TKG nebeneinander existiert und für gewisse Rechtsunsicherheiten gesorgt, die nun mit der Umstrukturierung abgeschafft werden sollen.
Dazu werden die datenschutzrechtlichen Bestimmungen aus dem TMG und TKG aufgehoben bzw. in das TTDSG übertragen. Sieht man sich diese Anpassungen genauer an, so stellt man fest, dass sowohl im TKG als auch im TMG die fraglichen Regelungen schlicht entfernt worden und in das neue TTDSG überführt worden sind. Sogar teilweise im exakten Wortlaut.
Hintergrund des TTDSGs
Neben den neu integrierten Regelungen aus dem TMG und TKG bietet das neue TTDSG auf den ersten Blick kaum Neuerungen. Natürlich wurde dieses Gesetz aber nicht nur aus kosmetischen Gründen geschaffen, sondern hat einige ganz handfeste Hintergründe. Konkret geht es um die endgültige Harmonisierung des bisherigen deutschen Rechts mit den nunmehr schon seit geraumer Zeit bestehenden Regelungen aus der Datenschutzgrundverordnung sowie aus der ePrivacy-Richtlinie.
Harmonisierung mit der DSGVO
Die Anpassungen zur Harmonisierung mit der Datenschutzgrundverordnung fallen hierbei gering aus. Das hat einen einfachen Grund: es gab schon eine ganze Reihe. In den mittlerweile 3 Jahren seitdem die DSGVO gilt, wurden einige Änderungen sowohl am TKG als auch am TMG vorgenommen, die die neuen Regelungen adressierten. Tatsächlich blieb es jedoch bei einer Dopplung vieler Regelungen. Schon der Blick in die zumindest jetzt noch geltende Fassung des Telemediengesetzes zeigt, das der Diensteanbieter (zum Beispiel der Betreiber einer Website ) besonderen Regelungen über die Information von Betroffenen unterworfen ist und auch besondere Regelungen, beispielsweise für die Einwilligung, gelten. Legt man diese Regelungen gegen die Vorgaben der DSGVO, so erschließt sich diese Dopplung eigentlich nicht mehr. Betrachtet man daher das neue TTDSG, fällt auf, dass diese Regelungen entfallen sind.
Anpassung an die Vorgaben der ePrivacy Richtlinie
Von besonderer Bedeutung ist auch die Anpassung an die Vorgaben der ePrivacy-Richtlinie. Bereits im vergangenen Jahr fällte der Bundesgerichtshof hier eine Entscheidung, die Juristen mit dem Kopf schütteln ließ. Hintergrund war die seit langen Jahren umstrittene Frage, ob das TMG die Vorgaben aus der ePrivacy-Richtlinie umsetzen sollte und ob dies gelang. Umstritten war das vor allem im Hinblick auf Informationen, die auf den Endgeräten von Nutzern gespeichert werden sollten. Den meisten besser bekannt als Cookies, auch wenn damit nur ein Teil der möglicherweise gespeicherten Informationen gemeint ist.
Was ist der genaue Inhalt des TTDSG?
Wenden wir uns also den konkreten Regelungen zu.
Paragraph 25 TTDSG: Umgang mit Cookies
„Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 zu erfolgen.“
Paragraph 25 im Hilfe-Center von Robin Data lesen
Wir sehen uns also mit der Grundregel konfrontiert, dass jegliche Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff hierauf einer Einwilligung bedürfen. Dem geneigten Datenschützer wird hierbei natürlich auffallen, dass der zweite Satz dieses Absatzes uns direkt in die DSGVO katapultiert, denn nichts anderes ist die „Verordnung (EU) 2016/679“. Für Fragen rund um die Definition der Einwilligung ist daher einfach auf Art. 7 DSGVO (Freiwilligkeit, Informiertheit, Transparenz, Kopplungsverbot, etc.) zu verweisen.
Von besonderer Wichtigkeit ist aber die folgende Feststellung:
Die zu speichernden Informationen müssen keinerlei identifizierende Wirkung haben und müssen ganz explizit keine personenbezogenen Daten sein. Jegliche Information ist von dieser Regelung umfasst. Auch rein technische!
Natürlich gilt auch hier, keine Regel ohne Ausnahme. Diese finden wir im zweiten Absatz von § 25 TTDSG:
„Die Einwilligung nach Absatz 1 ist nicht erforderlich,
- wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder
- wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.“
Wir haben also zwei Szenarien, die uns eine Speicherung oder den Zugriff auf die Informationen auch ohne Einwilligung erlauben.
Der erste Anwendungsfall ist hierbei sicher der im Alltag uninteressante. Er adressiert insofern lediglich das selbstverständliche, hat natürlich aber auch seine Berechtigung. Es verhält sich hierbei in etwa so wie nach Art. 6 Abs. 1 b) oder c) DSGVO. Auch wenn im konkreten Fall keine personenbezogenen Daten involviert sein müssen, erlaubt das TTDSG die Ablage oder den Zugriff auf schlichtweg notwendige Informationen, die für einen individuellen Kommunikationsvorgang notwendig sind. Diese Schranke sollte jedoch restriktiv beachtet werden und wirklich nur bei „Nachrichten“ (Siehe hierzu § 2 Abs. 2 Ziff. 4 TTDSG) an „Endeinrichtungen“ (siehe hierzu § 2 Abs. 2 Ziff. 6 TTDSG) im Zusammenhang mit der Übertragung in einem „öffentlichen Kommunikationsnetz“ (Siehe § 3 Ziff. 42 TKG-neu) erfolgt.
Viel spannender ist natürlich der zweite Anwendungsfall: Hier wird darauf abgestellt, dass der Nutzer einen vom Anbieter angebotenen Telemediendienst nutzen möchte und die Ablage von oder der Zugriff auf die gespeicherten Informationen unbedingt erforderlich ist, um den Dienst zu erbringen. Die Regelung hat daher zwei Fallstricke. Zum einen muss es sich um einen ausdrücklich gewünschten Telemediendienst handeln. Man könnte daher dem Grunde nach sagen, dass alle Informationen, ungeachtet der Eingehung von Vertragsverhältnissen oder ähnlichem, die zumindest auch digital abrufbar sind, als solche Dienste zu qualifizieren sind.
Zum anderen muss die Verarbeitung der Information für diesen Dienst unbedingt erforderlich sein. Nun handelt es sich hier um ein Gesetz, welches noch nicht einmal in Kraft gesetzt worden ist. Daher kann heute noch nicht beantwortet werden, ob und inwiefern es qualitative Unterschiede zwischen beispielsweise einer „Erforderlichkeit“ in der DSGVO (z.B. Art. 6 Abs. 1 lit. b) DSGVO) und einer „unbedingten Erforderlichkeit“ geben wird. Im Ergebnis werden beide Begriffe sich wohl sehr ähneln wenn nicht sogar synonym zu verwenden sein. In etwa diese Richtung werden sich wohl die heute schon bekannten „essenziellen“ Informationen entwickeln, welche beispielsweise in einem Online-Shop den Warenkorb realisieren.
Man mag sich aber an dieser Stelle schon einmal fragen, wie weit dies geht, denn in vielen Fällen wird es durchaus möglich sein, auf technischer Ebene Dienste zu erstellen, die derlei Informationen gerade nicht erfordern. Ob hieraus dann eine Pflicht zur Verwendung der speicherärmsten Technikgestaltung abgeleitet werden könnte, bleibt derzeit offen.
Immer wenn diese Ausnahmen nicht erfüllt sind, bleibt im Ergebnis nur die Einwilligung aus Abs. 1 übrig. Aber das wäre ja eine sehr kleinteilige Aufgabe und würde in Bezug auf den derzeitigen Banner-Wald auf europäischen Websites keinerlei Verbesserung bringen. Aus diesem Grunde wurde kurzfristig noch der § 26 TTDSG eingeführt.
Paragraph 26 TTDSG: Was sind PIMS?
Hierüber ist es möglich, dass Nutzer von Telemediendiensten zur Verwaltung der Einwilligungen auf zentrale Verwaltungsdienste setzen können. Diese auch als PIMS (für Privacy Information Management System) bezeichneten Systeme kennen die meisten ebenfalls und sind heute in einigen Browsern fest integriert (z.B. Do-Not-Track). Natürlich kann man diese weiterhin einsetzen, bis man die Anbieter von Telemediendiensten jedoch dazu verpflichten kann, diese auch zwingend zu berücksichtigen, bedarf es erst noch einer Anerkennung durch eine, heute noch nicht existente, unabhängige Stelle, die auf Basis einer, noch zu erarbeitenden, Rechtsverordnung solche Systeme prüfen kann.
Weiter Neuerungen des TTDSG
Natürlich gibt es noch weitere Regelungen innerhalb des neuen TTDSG, die eine Neuerung darstellen. Diese sind im Alltag jedoch weniger bedeutungsstark und umfassen folgende Aspekte:
- Nach § 3 TTDSG steht die Ausübung von Rechten nach dem Fernmeldegeheimnis nun auch in gesetzlich geregelter Weise den Erben des eigentlichen Rechtsinhabers zu.
- In § 6 TTDSG wird erstmalig ein genaues Prozedere für die Ausleitung von Nachrichteninhalten im Übertragungsvorgang zur Weiterleitung an Dritte oder zur eigenständigen Verarbeitung durch den TKG-Verpflichteten. Dies ist insofern heute relevant, als dass auch Anbieter von TKG-Diensten, also vereinfacht gesagt die Nachrichtenmittler, eigene Services anbieten um „mehr aus den Daten herauszuholen“.
- Die bisherigen „Teilnehmerverzeichnisse“ werden durch die in § 17 TTDSG geregelten „Endnutzerverzeichnisse“ abgelöst. Inhaltlich ergibt sich hieraus keine wesentliche Änderung. Lediglich einige Hinweispflichten wurden aufgenommen, die jedoch nur die TKG-Anbieter betreffen.
- Ausführlicher wurde dagegen die Frage der Bereitstellung von Endnutzerdaten (aber nur jenen, die in den Endnutzerverzeichnissen auf Antrag des Nutzers veröffentlicht worden sind) geregelt. § 18 TTDSG regelt insofern das Recht der Anbieter von Auskunftsdiensten die Inhalte der Endnutzerverzeichnisse in einer Art und Weise erhalten zu dürfen, die eine technische Implementierung ermöglichen.
- Eine wichtige und auch politisch hochumstrittene Neuerung ist die in § 23 TTDSG hinterlegte Möglichkeit eines TMG-Dienstanbieters zur Speicherung von Passwörtern und anderen Daten, die diesen gleichstehen oder ähnliche Zugriffsmöglichkeiten erlauben. Wichtig hierbei ist zum einen, dass es keine verpflichtende Vorschrift ist („kann“) und zum anderen, dass insbesondere der Speicherung von Passwörtern gleich eine ganze Reihe von datenschutzrechtlichen Pflichten im Wege stehen würden und zudem auch § 19 TTDSG, welcher ebenfalls angemessene technische Maßnahmen für den Schutz der Informationen fordert.
Externer Datenschutzbeauftragter
Gern können Sie uns als externen Datenschutzbeauftragten (DSB) bestellen. Wir bieten auch einzelne Beratungsleistungen sowie Audits an und erstellen Ihnen gern ein unverbindliches Angebot. Mehr Informationen zu unseren externen Datenschutzbeauftragten finden Sie auf unserer Website.
Strafen und Bußgelder nach dem TTDSG
In § 28 TTDSG regelt für die Missachtung nahezu aller Regelungen des TTDSG Geldstrafen, die durch die Bundesnetzagentur oder den Bundesdatenschutzbeauftragten verhängt werden dürfen. Diese sind in drei Stufen von 50.000,00 € über 100.000,00 € bis zu 300.000,00 € definiert und werden je nach Schwere einer Rechtsverletzung individuell berechnet werden. Und ja, es gibt auch Freiheitsstrafen. Aber diese sind auf einen wirklich sehr engen Ausnahmebereich begrenzt und beziehen sich zum einen auf das illegale Abhören und die Verbreitung der Abhörungserkenntnisse von nicht für die Öffentlichkeit bestimmten Informationen und zum anderen auf den verdeckten Einbau einer Telekommunikationsanlage zum unbemerkten Abhören der Umgebung.
Einschätzung zum TTDSG durch Rechtsanwalt Richard Bode
Das TTDSG bietet auf den ersten Blick wenig neues und trifft Regelungen, die ab dem Inkrafttreten zum 01.12.2021 automatisch aus dem TKG und dem TMG verschwinden werden. Zusätzlich versucht das Gesetz an die Regelungen der DSGVO und der ePrivacy-Richtlinie aufzuschließen und diese mit dem deutschen Recht zu harmonisieren.
Fazit: Was müssen Unternehmen beachten, um zum Inkrafttreten des TTDSG vorbereitet zu sein?
Was ist nun zu tun? Erst einmal tief durchatmen. Dann die eigene Website besuchen und einmal prüfen, ob im, hoffentlich schon existenten, Consent-Manager wirklich nur Datenverarbeitungen unter „essentiell“ oder „notwendig“ stehen, die den Namen wirklich verdienen. Wenn das nicht so ist, sollte man sich sicherlich sehr schnell eine gute Beratung organisieren und hier nochmals ordentlich aufräumen. Es gilt auch hier: Weniger ist mehr!
Richard Bode
Herr Bode ist als Rechtsanwalt spezialisiert auf Datenschutz- und IT-Recht. Zudem ist er sowohl zertifizierter externer Datenschutzbeauftragter (TÜV-DSB) und zertifizierter Datenschutzauditor (TÜV-DSA) und bildet für verschiedenste Bildungsträger Datenschutzbeauftragte aus und weiter.