Telekommunikation-Telemedien-DatenschutzgesetzDas Datenschutz-Recht für die digitale Welt bleibt eine Großbaustelle

Ein neues Gesetz soll die Datenschutzregeln für den digitalen Bereich zusammenführen und teils lange ignorierte EU-Vorgaben umsetzen. Die zwischenzeitlich angedachte Ausweis-Pflicht für Messenger kommt zwar nicht, doch aus bürgerrechtlicher Sicht bleiben viele Fragen. Nicht nur das Tracking-Problem bleibt weiter ungelöst.

Die Bundesregierung hat das TTDSG beschlossen
Ein neues Gesetz regelt den Datenschutz für Telemedien und Telekommunikationsdienste Gemeinfrei-ähnlich freigegeben durch unsplash.com Daria Nepriakhina

Das Bundeskabinett hat am Mittwoch den Entwurf für ein neues Datenschutzgesetz für den Online- und Kommunikationsbereich beschlossen. Unter anderem soll das Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG) das Fernmeldegeheimnis auf internetbasierte Kommunikationsdienste wie Messenger ausweiten. Auch die Rechtslage zum Online-Tracking wird angepasst.

Zentrales Anliegen sei es, „Rechtsklarheit für den Datenschutz und den Schutz der Privatsphäre in der digitalen Welt zu schaffen“, teilte das federführende Wirtschaftsministerium (BMWi) mit. Der Gesetzentwurf ist Teil eines größeren Paketes von Gesetzen zur Digitalregulierung, die auf den letzten Metern der Großen Koalition auf den Weg gebracht wurden. Dabei geht es auch darum, das deutsche Recht in Einklang mit EU-Vorgaben zu bringen, die teils seit Jahren ignoriert wurden.

Mit der Unterscheidung in Kommunikationsdienste und Telemedien hält die Bundesregierung dabei grundsätzlich an einem zentralen Wesenselement der deutschen Internetregulierung fest. In die erstgenannte Kategorie fallen klassische Angebote zur direkten zwischenmenschlichen Kommunikation wie Telefon und SMS. Viele Internetangebote gelten hingegen als Telemedien, darunter so unterschiedliche Dienste wie Messenger, Online-Nachrichtenseiten, Foren, Soziale Netzwerke, Suchmaschinen, Online-Shops oder E-Mail.

Die Datenschutzaspekte zu Telekommunikationsdiensten und Telemedien werden nun im TTDSG zusammengeführt. Einige besonders weitreichende Vorschläge wie eine Ausweispflicht für die Nutzer:innen von Telemedien, zu denen das BMWi im Januar Verbände befragt hatte, haben es nicht in das Gesetz geschafft. Grund für Verdruss gibt es aus bürgerrechtlicher Sicht dennoch.

Doch kein Identifizierungszwang für Messenger

Unter anderem sieht das Gesetz eine ausführliche Verpflichtung zur Bestandsdatenauskunft durch die Anbieter:innen von Telekommunikations- und Telemediendiensten vor. Das TTDSG vollzieht hier im Wesentlichen das nach, was die Große Koalition jüngst im umstrittenen Gesetz zur Bestandsdatenauskunft beschlossen hat: Staatliche Stellen wie Strafverfolgungsbehörden und Geheimdienst können demnach Kundeninformationen wie Namen, Anschrift oder IP-Adressen von Nutzer:innen abfragen.

Schon bisher passiert dies millionenfach, doch das Bundesverfassungsgericht hatte die bisherige Praxis als rechtswidrig eingestuft. Dass die hier umgesetzte Neuregelung verfassungskonform ist, steht unter anderem deshalb in Zweifel, weil im Wesentlichen nicht mehr zwischen Telekommunikations- und Telemediendiensten unterschieden wird. (>>>mehr dazu hier<<<)

Neu – und ebenfalls umstritten – ist auch, dass die Anbieter Sozialer Netzwerke die Bestandsdaten auch bei Verstößen gegen das Netzwerkdurchsetzungsgesetz herausgeben müssen. Nicht neu, aber immer noch umstritten, ist hingegen, dass die Anbieter auch beim Verdacht auf Urheberrechtsverletzungen Bestandsdaten herausgeben müssen.

Das Wirtschaftsministerium hatte darüber hinaus angedacht, den für Telefonverträge heute schon geltenden Identifizierungszwang auch auf Telemedien auszuweiten. Nutzer:innen von Messengern oder Online-Foren hätten sich dann gegenüber den Anbieter:innen mit einem Ausweis identifizieren müssen, bevor sie die Dienste hätten nutzen können. Die Idee geht zurück auf eine Forderung der Innenministerkonferenz, in der schriftlichen Verbändeanhörung wurde sie jedoch von allen Seiten so zerrissen, dass man sich dagegen entschied, sie jetzt zu realisieren. Die einhellige Meinung: Grundrechtswidrig, teuer und unpraktikabel.

Tracking-Cookies nur mit Einwilligung – eigentlich seit 2009

Eine Neuerung im Bereich der Telemedien betrifft die Dauerbaustelle des Online-Tracking – und ist in Wirklichkeit gar keine Neuerung. Hier schreibt das TTDSG künftig vor, dass das Speichern oder Auslesen von Cookies und ähnlichen Informationen auf dem Endgerät der Nutzer:innen nur dann erlaubt ist, „wenn der Endnutzer klar und umfassend unter anderem über die Zwecke der Verarbeitung informiert wurde und er seine Einwilligung erteilt hat“. Ausgenommen sind solche Fälle, in denen der Zugriff auf die Daten für die Funktion des Dienstes notwendig ist. Rein funktionale Cookies, damit etwa virtuelle Einkaufskörbe nicht vergessen, was Menschen in sie hineingelegt haben, bleiben weiter von der Einwilligungspflicht ausgenommen.

Die permanenten Einwilligungsabfragen auf Websites zeugen davon, dass diese Regelung heute schon Alltag ist. Tatsächlich schreibt die ePrivacy-Richtlinie der EU genau dies schon seit 2009 vor. Für das deutsche Telemedienrecht aber ist die Vorgabe neu. Entgegen der EU-Regeln sah das Telemediengesetz bisher vor, dass Tracking-Cookies und ähnliche Technologien ohne Einwilligung genutzt werden dürfen, sofern sie nicht unter Klarnamen, sondern unter Pseudonymen gespeichert werden.

Nach mehreren Gerichtsurteilen der letzten Jahre wurde auch der Bundesregierung klar, dass ihr nichts anderes übrig bleibt, als das Gesetz an die EU-Vorgaben anzupassen. Was eigentlich schon für 2019 angekündigt war, geschieht nun auf den letzten Metern der Großen Koalition und im Paket mit diversen anderen Neuregelungen im Online-Bereich.

Das Tracking-Problem bleibt ungelöst

Der Online-Werbebranche, die gemeinsam mit Tech-Unternehmen und Presseverlagen seit Jahren gegen die Regulierung von Online-Tracking lobbyiert, dürfte die Anpassung des deutschen Rechts an die EU-Vorgaben gar nicht schmecken. In einer früheren Version des Gesetzentwurfes vom Sommer 2020 waren hier noch weitergehende Möglichkeiten für die Werbebranche vorgesehen. Allerdings sind die EU-Vorgaben so eindeutig, dass für nationale Sonderwege kein Spielraum besteht.

Die jetzige Lösung dürfte allerdings nicht nur die Werbeindustrie, sondern auch Nutzer:innen unzufrieden machen, die weiterhin tausende Cookie-Banner meist ungelesen wegklicken müssen. Dabei ist es an der Tagesordnung, dass die Ad-Tech-Branche auf Design-Tricks setzt, um sich die heiß begehrten Einwilligungen zu erschleichen. Was eigentlich der informationellen Selbstbestimmung der Nutzer:innen dienen soll, führt aktuell deshalb oft zu ihrer weiteren Entmündigung. Das liegt auch daran, dass die Datenschutzbehörden bisher nicht durchsetzen, dass Einwilligungsbanner DSGVO-konform gestaltet und etwa datenschutzfreundlich voreingestellt sind.

Solange hier kein radikaler Paradigmenwechsel geschieht, wie ihn immer mehr Politiker:innen in Form eines Verbots von Targeted Advertising vorschlagen, wäre es freilich am einfachsten, wenn es Nutzer:innen erleichtert wird, ihre Zustimmung oder Ablehnung zu managen. Zum Beispiel an zentraler Stelle in den Browser-Einstellungen statt einzeln für jede Seite. Der zu diesem Zweck entwickelte Do-Not-Track-Standard für Browser wurde von der Werbeindustrie in den 2010er-Jahren zu Tode ignoriert, weshalb die EU etwas ähnliches im Rahmen der geplanten ePrivacy-Verordnung verpflichtend machen wollte. Davon halten allerdings die meisten Mitgliedstaaten der EU nichts: nachdem sie das Vorhaben im EU-Rat erst jahrelang blockierten, haben sie sich gestern auf eine Position geeinigt, die von der Browser-Regelung nichts wissen will.

An einem früheren Entwurf lässt sich erkennen, dass auch das BMWI über vereinfachtes Einwilligungsmanagement nachgedacht hat. Konkrete Vorschläge, etwa zu Personal Information Management Systemen (PIMS), finden sich im Entwurf jetzt nicht mehr. In der Verbändeanhörung hatten mehrere Organisationen darauf hingewiesen, dass das Thema bei der EU besser aufgehoben wäre, da diese bereits Regeln für PIMS und andere Datenintermediäre plant.

Dass das Wirtschaftsministerium es trotzdem gut mit der Tracking-Branche meint, zeigt sich an anderer Stelle des Gesetzes. Anstatt sich am Bußgeldrahmen der Datenschutzgrundverordnung von bis zu 20 Millionen Euro zu orientieren, sollen Sanktionen für Verstöße gegen die Tracking-Regeln bei 300.000 Euro gedeckelt werden.

Fernmeldegeheimnis

Eine andere Neuerung soll an dieser Stelle nicht unerwähnt bleiben, auch wenn noch nicht ganz absehbar ist, wie sie sich auswirken wird. Künftig soll das Fernmeldegeheimnis nicht mehr nur für Telekommunikationsdienste wie Telefon und SMS gelten, sondern auch für einige Telemedien wie Messenger, Internettelefonie und Webmailer.

Im Zuge der Digitalisierung verwischen die Unterschiede zwischen klassischen und Online-Kommunikationsmöglichkeiten zusehends. Messenger, Voice-over-IP-Telefonie und andere internetbasierte Angebote erfüllen die Funktion von Diensten, die wie Telefon und SMS auf eigenen Kommunikationsnetzen basieren, und laufen ihnen den Rang ab. Trotzdem gelten für diese sogenannten Over-The-Top-Dienste andere Vorgaben. Die EU hat mit dem 2018 beschlossenen Kommunikationskodex deshalb angefangen, diese Dienste ähnlich wie klassische Telekommunikationsdienste zu behandeln.

Mit der auf den “TK-Kodex” zurückgehenden Reform des Telekommunikationsgesetzes, des Telemediengesetzes und dem neuen TTDSG vollzieht nun auch der Bund diesen Schritt. Das bedeutet, dass künftig auch für Messenger, Internettelefonie und Webmailer gilt, dass sich die Anbieter in der Regel nicht über das technisch notwendige Maß hinaus „Kenntnis vom Inhalt oder von den näheren Umständen der Telekommunikation verschaffen“. Sollten Mailanbieter wie Google künftig Nachrichten ihrer Nutzer:innen zu Werbezwecken durchleuchten wollen, dann wäre dies nicht mehr ohne weiteres möglich. Wer Metadaten wie Standortdaten und Verkehrsdaten zu anderen Zwecken weiterverarbeiten will, benötigt dafür eine Einwilligung der Betroffenen.

Gleichzeitig gelten damit dann die vielfältigen Einschränkungen des Fernmeldegeheimnisses, etwa für die staatliche Überwachung, auch für Over-The-Top-Dienste. Derzeit ist noch unklar, wie sich das in der Praxis auf die Überwachung von Messengern oder Mailkommunikation auswirken wird – am Ende könnte es aber sogar mehr statt weniger Datenschutz für Over-The-Top-Dienste bedeuten.

Eine Klarstellung erhält das TTDSG nun allerdings in Hinblick auf eine andere Einschränkung des Fernmeldegeheimnisses: Nach mehreren gerichtlichen Auseinandersetzungen, bei denen Hinterbliebene Zugriff auf die Kommunikation von Verstorbenen erhalten wollten, soll das Gesetz klarstellen, dass das Fernmeldegeheimnis dem nicht im Wege steht.

0 Ergänzungen

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.