TTDSG und DSGVO: Die schwierige Koordination der Datenschutzebenen
(Weitergehend siehe Grages, Rechtfertigung und Zweckänderung im Spannungsverhältnis von DSGVO und TTDSG, CR 2021, 834)
Seit dem 1. Dezember 2021 muss das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) beachtet werden. Es betrifft insbesondere den datenschutzrechtlichen Alltag der internetbasierten Angebote, also Cookies auf Websites und andere Interaktionen mit dem Endgerät des Nutzers. Konstellationen, die jedem Nutzer täglich zigfach begegnen und die jedes Unternehmen massenhaft durchführen muss, will es in einer datengetriebenen Wirtschaft bestehen.
§ 25 TTDSG normiert insofern den „Schutz der Privatsphäre bei Endeinrichtungen“ in direkter Umsetzung von Art. 5 Abs. 3 ePrivacy-Richtlinie. Das ist erst einmal eine gute Nachricht, da damit die endlose Odyssee um dessen Umsetzung im abgelösten Telemediengesetz ein Ende findet. Die Frage, ob nun ein Opt-out oder ein Opt-in bei Tracking-Maßnahmen maßgeblich ist, führte im Endeffekt bis zum EuGH (Urt. v. 1.10.2019 – C-673/17, CR 2020, 25). Der brachte dann den BGH dazu, deutsches Recht gegen den Wortlaut auszulegen (Urt. v. 28.5.2020 – I ZR 7/16, CR 2020, 557). Die deutschen Datenschutzbehörden wollten das Telemediengesetz derweil gar nicht mehr anwenden und sich nur nach der DSGVO richten. Dies natürlich in der ganz eigenen orthodoxen Lesart. Hier hilft das neue TTDSG nun, wieder Boden unter die Füße zu bekommen.
Der Schutz des TTDSG betrifft (nur) den Zugriff auf die Endgeräteintegrität unabhängig vom Personenbezug der Daten. Praktisch geht es um das Auslesen oder die Speicherung von Informationen auf Endgeräten mit Internetanschluss (Smartphones, Tablets und PCs, aber auch moderne Autos, Zahnbürsten und Küchenmaschinen). Das Gesetz hat dabei einen Fokus auf Einwilligungen und ist restriktiv konzipiert, indem es jenseits des Telekommunikationsbereichs (Erforderlichkeit zur Übertragung einer Nachricht, § 25 Abs. 2 Nr. 1 TTDSG) nur einen Rechtfertigungstatbestand enthält (Erforderlichkeit zur Erbringung des Telemediendiensts, § 25 Abs. 2 Nr. 2 TTDSG). Verstärkt wird dieses datenschutzrechtstypische Misstrauen in digitale Abläufe, wenn man mit den Behörden davon ausgeht, dass eine enge Auslegung geboten wäre. Juristisch zwingend ist diese Interpretation indes keineswegs.
Das Ergebnis einer restriktiv verstandenen Grundsatzentscheidung ist hinlänglich bekannt. Während der Gesetzgeber sich mit klaren Erlaubnissen, aber eben auch mit eindeutigen roten Linien zurückhält, muss der Nutzer permanent selbst die Entscheidung treffen, ob der Zugriff auf das Endgerät erfolgen darf – beim Surfen im Internet und auch immer häufiger beim Autofahren, Zähneputzen oder Kochen. Die Konsequenz sind „Consent Fatigue“ und wahllose Klicks, um weitermachen zu können.
Aus Sicht der Rechtsanwender ist zudem die Abstimmung mit der DSGVO eine Herausforderung, denn Endgeräteinformationen sind regelmäßig auch personenbezogen oder zumindest personenbeziehbar. Das BDSG ist in der Anwendung einigermaßen mit der DSGVO in Einklang zu bringen, schließlich dient es im Grunde nur der Konkretisierung. Doch das TTDSG bringt hier neue Komplexität. Dies liegt daran, dass ein anderes Schutzgut relevant ist. Geht es bei der DSGVO um die informationelle Selbstbestimmung, schützt das TTDSG die Privatsphäre. Das ist erst einmal nicht schlimm, es gibt viele Gesetze mit vielen unterschiedlichen Zielrichtungen und deren Anwendung zu konsolidieren, ist das täglich Brot von Juristen.
Aber bei DSGVO und TTDSG liegt die Schwierigkeit in der Verzahnung im Detail (vgl. Abbildung 1). Die DSGVO reguliert Verarbeitungen personenbezogener Daten, z.B. bei Analyseverfahren. Soweit solche Daten eingangs in einem Endgerät gespeichert sind, ist zusätzlich das TTDSG beim Zugriff zu beachten, andernfalls stehen die Daten eben nicht zur Verfügung. Und da die Zwecksetzung – hier die Durchführung eines Analyseverfahrens – sowohl den Zugriff auf das Endgerät als auch die Verarbeitung der damit generierten personenbezogenen Daten betrifft, besteht eigentlich ein Gleichlauf in Bezug auf die Legitimationsbedürftigkeit. Dieser Gleichlauf ist aber bei der Rechtfertigung nicht verfügbar, obwohl es sich zwangsläufig um einen integrierten Prozess handelt.
Einig sind sich TTDSG und DSGVO nur bei einer Option zur Legitimation – der allgegenwärtigen Einwilligung. Bei den gesetzlichen Rechtfertigungstatbeständen erscheint die DSGVO zur Abwechslung fast großzügig mit Art. 6 Abs. 1 und seinen sechs Optionen. § 25 Abs. 2 TTDSG erschöpft sich in einer Untervariante von Art. 6 Abs. 1 lit. b) DSGVO (Erforderlichkeit zur Vertragsdurchführung oder -anbahnung). Mehr Spielraum lässt die Vorgabe in der ePrivacy-Richtlinie bei direkter Umsetzung allerdings auch nicht.
Diese mangelhafte Abstimmung eigentlich komplementärer Datenschutzgesetze muss folgende Konsequenzen haben, wenn man davon ausgeht, dass der Umgang mit Daten insgesamt Fortschritt und Wohlstand schafft und nicht per se zu verhindern ist:
- Um nicht weiter in Richtung exzessiver Einwilligungen abzurutschen, müssen die Rechtfertigungsoptionen in § 25 Abs. 2 TTDSG im Lichte der DSGVO ausgelegt werden. Nur so ergibt sich eine konsistente und nachvollziehbare Gesamtregulierung. In Bezug auf Zugriffe zur Erfüllung gesetzlicher Pflichten ist bereits weitgehend anerkannt, dass eine Rechtfertigung entsprechend zu Art. 6 Abs. 1 lit. c) DSGVO (Erforderlichkeit zur Erfüllung rechtlicher Pflichten) beim Zugriff auf Endeinrichtungen eingreifen muss, auch wenn § 25 TTDSG keine ausdrückliche Entsprechung aufweist. So hat es jedenfalls der Europäische Datenschutzausschuss für Rechtspflichten im Mobilitätsbereich beurteilt. Die ergänzende Interpretation des TTDSG im Sinne des Art. 6 Abs. 1 lit. f) DSGVO (Erforderlichkeit zur Wahrung berechtigter Interessen) wäre vor diesem Hintergrund nur konsequent – und zur Herstellung praktischer Konkordanz auch geboten.
- Zudem dürfen Verarbeitungen jenseits der Zugriffsphase auf das Endgerät nicht mit TTDSG-Erwägungen beschwert werden. Denn deren Schutzzweck ist gar nicht mehr betroffen, sobald die Daten erst einmal ausgelesen sind. Hier gilt nur das Regime der Zweckänderung unter der DSGVO, dessen Potential sowohl operativ als auch juristisch endlich ausgeschöpft werden muss. Es muss das Ziel einer wissens- und technologiebasierten Gesellschaft sein, vorhandene Daten in immer neuen Zusammenhängen zu nutzen. Dafür sind natürlich Regeln erforderlich – solange diese aber primär in den Vorgaben „sperren“ und „löschen“ bestehen, ist nichts zu gewinnen.
Orientierung im Umgang mit integrierten Zugriffs- und Verarbeitungsprozessen kann hoffentlich der Beitrag „Rechtfertigung und Zweckänderung im Spannungsverhältnis von DSGVO und TTDSG“ liefern, der in der aktuellen Ausgabe der CR enthalten ist (CR 2021, 834). Dort wird ausgehend von Beispielskonstellationen herausgearbeitet, welche Anforderungen in den verschiedenen Verarbeitungsphasen unter der DSGVO (Rn. 5 ff.) und dem TTDSG (Rn. 9 ff.) zu beachten sind. Anschließend wird das Konkurrenzverhältnis unter Berücksichtigung der Vorrangregelung in Art. 95 DSGVO untersucht (Rn. 14 ff.). Danach werden die Anforderungen und Gestaltungsmöglichkeiten bei der Zweckänderung unter der DSGVO analysiert (Rn. 19 ff.) und dargelegt, warum das TTDSG dann nicht mehr relevant ist (Rn. 32 ff.). Im Fazit wird festgestellt, dass bei sauberer Abgrenzung der Regulierungsebenen und sachgerechter Auslegung durchaus operative Flexibilität aufrechterhalten werden kann (Rn. 36 ff.).
Schwierig genug bleibt es trotzdem noch: Schließlich sind Verarbeitungsprozesse regelmäßig darauf ausgelegt, nach Zugriff und (Weiter-) Verarbeitung dann wiederum Interaktionen mit dem Endgerät aufzunehmen. Hier beginnt die Quadratur des Kreises dann stets von vorn.
[caption id="attachment_6467" align="aligncenter" width="399"] Abbildung 1[/caption]