Der Anwendungsbereich des § 25 Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) ist grundsätzlich weit zu verstehen und umfasst nicht nur aktive Zugriffe und Speicherprozesse.
Wie auch in den letzten Jahren bezieht sich ein Großteil der im Bereich Internet eingehenden Beschwerden auf das Thema „Webtracking“. Wie bereits in den letzten Tätigkeitsberichten (zuletzt 2023 unter 14.2 Webtracking nach dem Telekommunikations- Telemedien- Datenschutzgesetz, kurz: TTDSG) berichtet, richtet sich die Rechtmäßigkeit des Einsatzes von Tracking- Tools nicht nur nach der DS-GVO sondern auch nach Art. 5 Abs. 3 der ePrivacy- Richtlinie. Diese Norm wurde 2021 durch § 25 Telekommunikations- Telemedien- Datenschutzgesetz in das nationale Recht umgesetzt. Dieses Gesetz heißt nun seit 14. Mai 2024 Telekommunikation- Digitale- Dienste- Datenschutz- Gesetz (TDDDG). Grund hierfür ist, dass gemäß Art. 8 Änderungsgesetz zur Einführung des Digitale-Dienste-Gesetzes der Begriff „Telemedien“ im TTDSG nunmehr durch den Begriff mit Rücksicht auf das Gesetz über digitale Dienste der EU (DSA, siehe auch 12.2) „digitale Dienste“ ersetzt wurde. In der rechtlichen Beurteilung ändert sich hierdurch nichts, da § 25 TDDDG inhaltlich der Vorgängernorm des § 25 TTDSG entspricht.
Die Datenschutzkonferenz hat daher nun auch die „Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien“ ebenfalls an die neue Terminologie angepasst. Diese Anpassung wurde auch zum Anlass genommen, einige weitere Aktualisierungen vorzunehmen, um Rechtsentwicklungen seit der letzten Version 2021 abzubilden. Neben der Aufnahme einer Fußnote zum EU- U.S. Data Privacy Framework im Kapitel „Übermittlungen von personenbezogenen Daten an Drittländer“ und einiger einzelner Anpassungen wird in der Einleitung auch betont, dass die Orientierungshilfe die EDSA Leitlinien „Guidelines 2/2023 on Technical Scope of Art. 5(3) of ePrivacy Directive“ ergänzt. Diese Leitlinien wurden am 7. Oktober 2024, nach einem Konsultationsverfahren, in der Version 2.0 angenommen und geben die europäische Sichtweise auf den technischen Anwendungsbereich des Art. 5 Abs. 3 der ePrivacy- Richtlinie wieder.
Konkret geht es vor allem um die Frage, wann ein Speichern von Informationen auf der Endeinrichtung eines Endnutzers vorliegt bzw. wann ein „Zugriff“ gegeben ist.
In der täglichen Praxis ist diese Fragestellung oftmals entscheidend, insbesondere dann, wenn es um die Erfassung von zwangsläufig übermittelten Daten (z. B. der IP- Adresse oder Geräteinformationen) geht. Sofern davon ausgegangen wird, dass diese Übermittlungen in den Anwendungsbereich des Art. 5 Abs. 3 der ePrivacy- RL und damit auch § 25 TDDDG fallen ist im Regelfall von einer Einwilligungspflicht für den Vorgang auszugehen. Demgegenüber wäre der Vorgang einzig nach den Vorgaben der DSGVO zu bewerten, wenn dies nicht von § 25 TDDDG umfasst wäre und würde somit die Möglichkeit anderer Rechtsgrundlagen, insbesondere Art. 6 Abs. 1 Buchstabe f) DS-GVO eröffnen.
Die Guidelines gehen bei dieser Fragestellung von einem weiten Verständnis des „Zugriff“- und auch des Speicherbegriffs aus und sehen daher beispielsweise auch Tracking- Links und die Übermittlung von IP- Adressen als vom Einwilligungserfordernis der ePrivacy-Richtlinie umfasst an.
In der Vorgängerversion der OH Telemedien wurde dies nicht abschließend thematisiert, es wurde lediglich beispielshaft genannt, dass „aktives“ Fingerprinting in jedem Fall in den Anwendungsbereich fällt (Rn. 24). Dieses Beispiel bleibt weiterhin auch in der aktuellen Version bestehen, jedoch zeigt der Hinweis auf die Guidelines, dass generell der weite Anwendungsbereich im Sinne einer europäisch gleichlaufenden Auslegung übernommen wird.
In der Praxis wird daher in allen Fällen betreffend den Einsatz von Diensten auf Webseiten und in Apps davon ausgegangen, dass der Anwendungsbereich des § 25 TDDDG eröffnet ist und daher nur in den sehr begrenzten Ausnahmenfällen des § 25 Abs. 2 TDDDG ein Entfallen der Einwilligungspflicht möglich ist. Gerade vor diesem Hintergrund bleibt es allerdings bedauerlich, dass die EU- Kommission in ihrem aktuellen Arbeitsprogramm die bisherigen Anstrengungen zur Verabschiedung einer ePrivacy- Verordnung nunmehr endgültig aufgegeben hat, so dass bis auf Weiteres Rechtsunsicherheiten fortbestehen, ob ein solch von den europäischen Aufsichtsbehörden mehrheitlich angenommener weiter Anwendungsbereich des Art. 5 Abs. 3 ePrivacy- RL tatsächlich durch den Gesetzgeber gewollt war.
Quelle: Bayerisches Landesamt für Datenschutzaufsicht
Sind Sie sicher, dass Ihr Unternehmen oder Behörde im Hinblick auf Datenschutz und Datensicherheit optimal aufgestellt ist?
Lassen Sie sich unverbindlich von einem Datenschutzbeauftragten beraten.
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Datenschutz und IT-Compliance: Das Handbuch für Admins und IT-Leiter. Alles zu IT-Betrieb, IT-Sicherheit und Administration von Websites
- Tragbarer Tresor für die Reise zum Schutz von Wertsachen
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
Dieser Absatz enthält Affiliatelinks/Werbelinks