Folge IOOII*: „Das neue Datenschutzgesetz TTDSG“ mit Prof. Dr. Alexander Roßnagel

*das ist „Binärisch“ und bedeutet:…19

Eine gesetzliche Regelung, die etwas regelt, das es noch gar nicht gibt? Sowas gibt es? Genau über so einen Fall sprechen wir: Die sogenannten PIMS (personal information management services) sind bereits geregelt, technisch gibt es sie allerdings noch nicht. Sie sollen uns im Alltag bei Einwilligung-Pop-ups, Tracking und Cookies unterstützen. Darüber reden wir mit dem hessischen Beauftragten für Datenschutz und Informationsfreiheit, Prof. Dr. Alexander Roßnagel, höchstpersönlich. Er ist auch Sprecher des Forum Privatheit. Die PIMS werden in einem neuen Gesetz, dem TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz) geregelt, um das es in dieser Folge gehen wird. Wir sprechen über die Schnittstellen des TTDSG und der DSGVO (Datenschutzgrundverordnung) und was eigentlich unter das Fernmeldegeheimnis fällt. Müssen Zoom, MS Teams und Google unsere Video-Konferenzen nun genauso vertraulich behandeln wie es die traditionellen Telekommunikationsanbieter tun? Passen die neuen gesetzlichen Regelungen zu unserer modernen digitalen Welt? Das erklären wir euch an alltäglichen Beispielen. Schnell wird deutlich, dass das TTDSG eine große Hilfe für Verbraucher*innen sein sollte und wird und Unternehmen, die gegen das Gesetz verstoßen mit hohen Geldbußen rechnen müssen.

Bei Fragen oder Anregungen schreibt uns gerne eine E-Mail an hallo@dasou.law und folgt uns auf Twitter und Instagram bei DaSou_Law.

Show-Notes

Prof. Dr. Alexander Roßnagel: https://www.forum-privatheit.de/partner-mitarbeiter/prof-dr-alexander-rossnagel/

Hessischer Beauftragter für Datenschutz und Informationsfreiheit: https://datenschutz.hessen.de/

Forum Privatheit: https://www.forum-privatheit.de/

Volkszählungsurteil: https://www.bundesverfassungsgericht.de/SharedDocs/Entscheidungen/DE/1983/12/rs19831215_1bvr020983.html

Post von ZDF heute aufgegriffen von @jthomi auf Twitter: https://twitter.com/jthomi/status/1465631412497829889

Transkript:

Download

Karina Filusch: Hallo und herzlich willkommen beim DaSou-Podcast. Ich bin Karina Filusch, Datenschutz-Anwältin und externe Datenschutzbeauftragte. In jeder Folge sprechen wir mit einer Expertin oder einem Experten über Datensouveränität, abgekürzt DaSou.


Aileen Weibeler: Ich bin Aileen Weibeler und angehende Juristin. Dieses Jahr kommen wieder viele spannende Folgen auf euch zu. Deshalb lasst uns gerne ein Abo da, damit ihr nichts von uns verpasst.


Karina Filusch: Heute sprechen wir mit dem hessischen Landesdatenschutzbeauftragten, Professor Dr. Alexander Roßnagel.


Aileen Weibeler: Er ist Professor für Öffentliches Recht, unter anderem mit einem technischen Schwerpunkt, und er ist Sprecher des Forum Privatheit. Das Forum Privatheit setzt sich für Forschung für ein selbstbestimmtes Leben in der digitalen Welt ein. Sie haben eine wichtige Aufklärungsfunktion und prägen den Datenschutz, indem sie beispielsweise Jahreskonferenzen organisieren, einen eigenen Blog haben und Publikationen herausbringen, um das Thema Datenschutz an die Leute zu bringen.


Karina Filusch: Heute sprechen wir mit Professor Dr. Roßnagel über das TTDSG, das Telekommunikation-Telemedien-Datenschutz-Gesetz und wir fangen mit einem Instagram-Post vom ZDF an. Dort hatte das ZDF heute zusammengefasst, worum es im TTDSG geht. Und zwar wurde dort geschrieben, dass Chatverläufe und Passwörter nun zentral gespeichert werden sollen und das ist falsch. In den Kommentaren hat man dann gelesen, dass die Leute panisch darauf reagiert hatten. Ja, weil sie sich Sorge gemacht hatten, dass ihre Passwörter jetzt zentral gespeichert werden und, dass sie kontrolliert werden. Das klingt so ein bisschen nach Vorratsdatenspeicherung. Was entgegnen Sie diesen Leuten, Professor Roßnagel?


Prof. Dr. Alexander Roßnagel: Die Regelungen im TTDSG sind zum großen Teil gar nicht neu, sondern haben nur die Regelungen übernommen, die in anderen Gesetzen schon bestehen. Es gibt eine Möglichkeit für Polizei- und Nachrichtendienste, Passwörter im Einzelfall von Betreibern von Telekommunikationsdiensten einzufordern. Das ist richtig. Ansonsten denke ich, dass die Regelungen, die dort in diesem Gesetz geregelt sind, übertrieben behandelt werden. Wir können das im Detail besprechen, was im TTDSG steht. Ein Grund für große Sorge besteht nicht, im Gegenteil bringt dieses Gesetz für die Verbraucher, für die Nutzer gewisse Verbesserungen.


Karina Filusch: Das freut mich schon mal sehr zu hören. Welche Probleme soll denn das TTDSG überhaupt lösen?


Prof. Dr. Alexander Roßnagel: Also wie der Name sagt, geht es um zwei Themenbereiche, nämlich Telekommunikation und Telemediendienste. Ich versuche das mal kurz zu erläutern: Unter Telekommunikation versteht dieses Gesetz die Übertragung von elektronischen Signalen, also Signale, die dann verschiedene Bedeutungen haben können. Das kann Sprache sein, das können Bildsignale sein, das können Textsignale oder sonstige Signale sein. Wenn es nur um die Signalübertragung geht, spricht man von der Telekommunikation. Telemedien, das ist die individuelle Kommunikation über das Internet, also alles, was über das Internet geht, ohne Telekommunikation und Rundfunk zu sein. Das sind in der Wirklichkeit Erscheinungen, die direkt zusammenhängen. Ein Nichtfachmann kann die gar nicht unterscheiden, weil die Telemedien auf der Basis von Telekommunikation stattfinden. Es geht um die Spielregeln für Telekommunikation und Telemedizin. Hauptsächlich geht es darum, was man im Internet tun darf und was man nicht tun darf, bezogen auf Datenschutz und bezogen auf das Fernmeldegeheimnis.


Karina Filusch: Wir nutzen diese Dienste schon lange im Alltag. Warum hat das so lange gedauert, bis es das TTDSG nun endlich gab?


Prof. Dr. Alexander Roßnagel: Die Probleme gibt es schon sehr lange und geregelt sind sie auch schon sehr lange. Die Regelungen zur Telekommunikation, die gibt es seit 1996, sind damals in das Telekommunikationsgesetz aufgenommen worden. 1997 hat der Bundesgesetzgeber ein Gesetz für den Datenschutz im Internet erlassen, das Teledienste-Datenschutzgesetz, und ergänzend haben die Länder einen Mediendienste-Staatsvertrag abgeschlossen. Zur gleichen Zeit, also ganz überwiegend, ich sage mal zu 80 bis 90 Prozent, enthält das TTDSG Regelungen, die es schon vorher gab, die man jetzt versucht hat, in ein einziges Gesetz zu passen, die vorher in zwei verschiedenen Gesetzen geregelt waren. Zudem hat man es etwas an europäische Vorgaben angepasst, nämlich zum einen an die Datenschutzgrundverordnung, zum anderen an den europäischen Kodex für elektronische Kommunikation und drittens an die Privacy-Richtlinie.


Karina Filusch: Was bedeutet das jetzt für mich als Verbraucher und auch als Unternehmerin?  Was ändert sich jetzt für mich durch dieses neue Gesetz?


Prof. Dr. Alexander Roßnagel: Überwiegend bleibt es bei den alten Regelungen. Im Bereich der Telemedien hat man einige Regelungen gestrichen, weil die jetzt von der Datenschutzgrundverordnung geregelt werden. Neu sind vor allen Dingen folgende Regelungen: Im Bereich der Telekommunikation hat sich der Anwendungsbereich erweitert, und zwar deswegen, weil man im Telekommunikationsgesetz, das auch zum 1. Dezember 2021 in Kraft getreten ist, eine neue Definition für Telekommunikation aufgenommen hat. Neben der Signalübertragung fasst man unter die Telekommunikation auch die sogenannten interpersonellen Telekommunikations-dienste. Interpersonelle Telekommunikationsdienste sind Dienste, die funktional mit bestimmten Möglichkeiten der Telekommunikation, die es bisher schon gab, identisch sind, die aber technisch auf eine andere Weise erbracht werden. Also Beispiele für solche interpersonellen Kommunikationsdienste sind zum Beispiel die Übertragung von Ton: Wenn Sie einen Messengerdienst benutzen, können Sie über diesen auch telefonieren. Der benutzt nicht die normale Technik für Telefonate, aber bringt funktional genau das Gleiche. Man kann telefonieren. Sie können über das Internet Bilder austauschen, zum Beispiel über Videokonferenzen. Sie können in Chat-Gruppen Texte verschicken, was bisher eher die E-Mail ersetzt. Diese neuen Möglichkeiten werden jetzt auch in den Begriff der Telekommunikation aufgenommen. Das heißt, dass jetzt die Anbieter von Social-Media, die Anbieter von Messengerdiensten, die Anbieter von Videokonferenzen unter Telekommunikation gefasst werden. Das ist eine große Erweiterung des Anwendungsbereichs und für die gilt jetzt seit dem 1. Dezember 2021 deswegen auch das Fernmeldegeheimnis, das für Telekommunikation gilt. Das heißt, die Möglichkeiten, die Daten der Nutzer zu verarbeiten, zu verwenden, zum Beispiel für Werbung und Ähnliches, werden dadurch erheblich eingeschränkt. Eine zweite Änderung, die jetzt auch noch sehr wichtig ist, betrifft das Tracking, also das Nachvollziehen der Handlungen im Internet, wofür man überwiegend Cookies benutzt, aber auch viele andere Dienste benutzen kann. Zwischen diesen verschiedenen Techniken wird das Tracking auch nicht mehr unterschieden, sondern es ist egal, mit welchen Mitteln man versucht das Verhalten des Nutzers im Internet nachzuvollziehen, dies ist neu geregelt worden und gegenüber der bisherigen Regelung auch etwas verschärft worden.


Karina Filusch: Was bedeutet das jetzt für mich als Verbraucherin, wenn ich im Internet unterwegs bin und ich dort getrackt werde? Ist das Gesetz der Grund für die ganzen Cookie-Banner, die jetzt gehäuft auftreten?


Prof. Dr. Alexander Roßnagel: Nein, die Cookie-Banner gab es schon vorher und die wird es auch danach geben. Die Cookie-Banner sind die Folge davon, dass für das Tracking eine Einwilligung benötigt wird. Die Cookie-Banner versuchen, einen zu informieren und dazu zu verleiten, dass man dem Einsatz von Cookies und anderen Identifizierungstechniken zustimmt und sie dadurch rechtlich ermöglicht.


Karina Filusch: Ich habe in dem Gesetz auch etwas gelesen, das sich PIMS nennt, „Personal information management services“. PIMS, so heißt die Abkürzung. Was genau verbirgt sich dahinter und ist das wirklich eine Neuerung?


Prof. Dr. Alexander Roßnagel: Ja, die heißen im Gesetz Dienste für Einwilligungsmanagement. Diese ganze Problematik mit Cookies und Cookie-Bannern und Einwilligungen ist weit hinter den Möglichkeiten, die die Technik bietet. Sinnvoll wäre, man hätte ein Programm auf dem eigenen Endgerät, dem man sagen kann, welche Cookies man akzeptiert, welche nicht, wo man mit Tracking einverstanden ist, wo man nicht mit einverstanden ist und dann muss man nicht immer diese ganzen Banner wegklicken oder die Einwilligung erteilen, sondern das könnte dann im Hintergrund der Anbieter mit meinem Programm zum Einwilligungsmanagement erledigen. Solche Dienste werden durch das TTDSG ermöglicht. Es gibt eine Regelung, die regelt, unter welchen Bedingungen solche Dienste anerkannt werden können und dann kann der Nutzer von Internetdiensten diese Managementsysteme benutzen, um ein einziges Mal oder so oft er will seine Präferenzen was Cookies angeht, mitzuteilen und dann werden die das für den Nutzer mit dem Anbieter einer Internetseite jeweils abklären. Diese Regelung im BDSG ist aber noch nicht vollständig. Das ist nur ein einziger Paragraf, der die Möglichkeit eröffnet. Im Absatz 1 und Absatz 2 steht dann geschrieben, dass eine Verordnung der Bundesregierung alle Details regelt. Diese gibt es noch nicht und wird es wohl im Laufe des nächsten Jahres auch noch nicht geben. Man rechnet damit, dass die Erstellung dieser Verordnung etwa ein Jahr dauert und dann hätte man den Rechtsrahmen dafür und dann müssten sich Unternehmen finden, die das zu einem Geschäftsmodell machen. Das wird nicht einfach sein, weil eine Voraussetzung ist, dass diese Anbieter nicht gewinnorientiert sein dürfen in Richtung der Vergabe von Einwilligungen. Deswegen ist es fraglich, ob da überhaupt ein Markt entsteht für solche personal information Managementsysteme.


Karina Filusch: Das ist natürlich schade, weil so wie Sie es beschrieben haben würde uns allen ja den Alltag im Internet erleichtern, indem wir das einmal technisch einstellen könnten. Diese Einwilligung würde dann immer gelten, solange wir sie nicht abändern. Es ist ernüchternd, dass die Hürden für diese Systeme so hoch sind. Vielleicht gäbe es eine gemeinnützige Organisation, die könnte man sich vielleicht vorstellen als Anbieterin einer solchen Struktur. Wer weiß. Ich bin ganz, ganz gespannt, wie das dann nächstes Jahr hoffentlich gelöst wird und ob das kommt. Wie würden Sie denn die Lage bewerten? Sind damit jetzt alle Lücken geschlossen oder sind noch Probleme offen, die eigentlich noch angepackt werden müssten?


Prof. Dr. Alexander Roßnagel: Ja, es sind bei weitem nicht alle Probleme behoben. Wenn wir bei dem letzten bleiben, bei diesen Einwilligungsmanagementdiensten: Der gerade beschlossene europäische Digital Governance Act regelt auch solche Themen und es kann sein, dass die Verordnung durch die europäische Regelung quasi überholt wird. Darüber hinaus ist es so, dass Änderungen in der nächsten Zeit noch zu erwarten sind, weil man mit dem TTDSG alte Regelungen auf neue Technik übertragen hat und es halt nicht immer passt. Diese interpersonelle Telekommunikation, Messenger-Dienste, Videokonferenzsysteme und Ähnliches sind jetzt alle dem Fernmeldegeheimnis unterworfen und das Fernmeldegeheimnis sagt, dass die Inhalte der Kommunikation und die Umstände der Kommunikation vertraulich bleiben müssen. Der Anbieter solcher Dienste darf sich die Inhalte und die Umstände nicht anschauen und darf sie auch nicht speichern und auch nicht verwerten. Das ist aber die Grundlage für viele Dienste, die im Internet angeboten werden, dass man genau dies tut, also die Metadaten der Kommunikation speichert, die Inhalte auswertet und darüber erst die wirtschaftliche Grundlage schafft, um diese Dienste anbieten zu können. Die Definition der Telekommunikation auf viele Internetdienste einfach auszuweiten, ohne die Regeln, die es jetzt seit über 20 Jahre gibt, diesen neuen Diensten auch anzupassen, ist wenig hilfreich und wird nicht nur bestehende Probleme lösen, sondern eine Reihe von neuen Problemen schaffen.


Karina Filusch: Das heißt Google Hangouts, dieser Google Video- und Chatdienst von Google, müsste im Grunde ähnlich agieren wie zum Beispiel eine Festnetzleitung von der Telekom und dann dürfte Google die Daten nicht auswerten. Sie hatten gerade richtig gesagt, dass Metadaten und so weiter ausgewertet werden. Das klingt so, als könnte Google diese Dienste bald schließen, weil sie einfach nicht mehr profitabel wären und wir künftig vielleicht ein verringertes Angebot haben könnten, wenn das so streng gehandhabt würde.


Prof. Dr. Alexander Roßnagel: Es wäre denkbar, wenn es dabei bleibt. Aber man kann sich vorstellen, dass hier ein ganz, ganz starker Lobby-Druck entsteht, diese Regeln doch zu verändern und anzupassen. Sie haben also vollkommen Recht. Die Regelungen wurden für das alte Telefonieren mit dem Wählscheibentelefon und der analogen Übertragung gemacht. Da hat man gesagt, dass der Betreiber, der Anbieter der Telefonie, nicht in die Telefonate reinhören darf und auch nicht speichern darf, wer wen wann angerufen hat. Diese alten Regeln, die will man jetzt übertragen auf die neuen Angebote im Internet. Das ist zwar von guter Absicht getragen, aber den Bedingungen und den Risiken, die mit dem neuen System verbunden sind, nicht adäquat. Deswegen wird es an der Stelle Änderungen geben und man kann Ihre Frage so beantworten, dass noch nicht alle Probleme behoben sind.


Karina Filusch: Der Profiteur des neuen Gesetzes sind also nicht die Konzerne, die solche Dienste anbieten im Internet, sondern wahrscheinlich die Verbraucherinnen und Verbraucher. Es ist ein Gesetz, das eigentlich für den Verbraucherschutz gedacht wurde oder wer ist Profiteur dieses Gesetzes?


Prof. Dr. Alexander Roßnagel: Ja, die Nutzer von Telekommunikation und Internetdiensten. Also zum einen wird das Fernmeldegeheimnis auf weitere Dienste ausgeweitet. Das ist zum Vorteil der Nutzer, zum Vorteil des Datenschutzes der Nutzer und fordert umgekehrt dann, wenn sie auch fragen, wer die Nachteile hat, Anpassungen bei den Anbietern. Und das Gleiche gilt für das Tracking. Auch beim Tracking haben wir jetzt klarere Regelungen und es ist zum Vorteil der Nutzer und erfordert auch bei den Anbietern, die Tracking durchführen wollen, entsprechende Anpassungen und Einschränkungen.


Karina Filusch: Welchen Stellenwert hat denn dieses neue Gesetz, das TTDSG im Bereich des Datenschutzes? Wir haben schon die DSGVO. Ist das jetzt eine Ergänzung? Hat die DSGVO nicht ausgereicht? Welchen Stellenwert hat dieses Gesetz?


Prof. Dr. Alexander Roßnagel: In der Datenschutzgrundverordnung gibt es eine Regelung, die das Verhältnis zu anderen europäischen Regelungen, insbesondere zur Privacy Richtlinie regelt und die deutschen Regelungen zur Telekommunikation und zu Telemedien basiert auf dieser Privacy Richtlinie. Insofern sind die Regelungen, die wir jetzt im TTDSG haben, spezielle Regelungen zur Datenschutzgrundverordnung. Das heißt aber nicht, dass die die Datenschutzgrundverordnung komplett verdrängen. Also ich mache mal ein Beispiel: Beim Tracking richtet sich das Setzen eines Cookies und das Auslesen eines Cookies nach dem TTDSG, die Verarbeitung der Cookie-Daten richtet sich aber nach der Datenschutzgrundverordnung. Wenn ich die dann jetzt weiter zu einem Profil verarbeite und die dann für Internetwerbung und Ähnliches verwende, dann ist das alles, was nach dem Auslesen des Cookies geschieht, nach der Datenschutzgrundverordnung zu betrachten. Die Regelungen des TTDSG und der Datenschutzgrundverordnung kommen, wenn man das auf die Handlungen im Internet bezieht, zeitlich gestaffelt hintereinander zur Anwendung.


Karina Filusch: Kommen wir doch noch mal ganz kurz zu den PIMS zurück oder überhaupt zu der Einwilligung, die im TTDSG geregelt wird. Muss jetzt überall eingewilligt werden? Heißt das, ich sitze nur noch vor meinem Computer und klicke auf „Okay“ oder „ablehnen“ und so weiter? Oder gibt es da auch Ausnahmen für eine Einwilligung? Wann muss nicht eingewilligt werden?


Prof. Dr. Alexander Roßnagel: Also wie das im Recht oft so ist, haben wir eine Regelung mit einem Absatz 1 und einem Absatz 2. Im Absatz 1 steht klar drin, dass grundsätzlich die Speicherung von Informationen auf dem Endgerät des Nutzers und das Auslesen von Informationen aus diesem Endgerät nur zulässig sind, wenn der Nutzer eingewilligt hat. Also muss der Anbieter den Nutzer vorher fragen, muss ihn entsprechend informieren und muss die Einwilligung einholen und nur dann darf er es. Dann gibt es aber im Absatz 2 noch eine Ausnahme, die es ermöglicht, auch ohne Einwilligung Tracking vorzunehmen.


Karina Filusch: Welche Ausnahmen wären das? In welchen Fällen müsste ein Anbieter nicht fragen?


Prof. Dr. Alexander Roßnagel: Es müssen zwei Bedingungen vorliegen: Erstens muss der Nutzer ausdrücklich einen bestimmten Internetdienst gewünscht haben und zweitens muss die, ich bleibe erstmal bei dem Beispiel das Setzen des Cookies, dafür technisch unbedingt erforderlich sein. Wenn die beiden Dinge zusammenkommen, dann muss der Anbieter keine Einwilligung einholen. Ansonsten muss er in allen anderen Fällen um eine Einwilligung bitten und darf die Daten nur setzen und auslesen, wenn der Nutzer eingewilligt hat.


Karina Filusch: Ich habe in der Praxis jetzt schon verschiedene Einstufungen von diesen unbedingt notwendigen Cookies gesehen. Da gibt es Dienste, die zum Beispiel Analysen von Google Analytics auch als technisch notwendig einstufen und auch hierfür dann keine Einwilligung einholen. Aber das ist wahrscheinlich nicht Sinn und Zweck des Gesetzes, diesen Begriff so dehnbar auszulegen, vermute ich mal.


Prof. Dr. Alexander Roßnagel: Ich würde das genauso interpretieren. Natürlich werden die Anbieter das auch entsprechend der Interpretation dieses neuen Gesetzes versuchen und die werden natürlich dann viel mehr als unbedingt technisch notwendig deklarieren. Aber wenn man jetzt mal den Sinn und Zweck des Gesetzes betrachtet, dann ist es schon so, dass die Analysen von Internetverhalten nur in den allerwenigsten Fällen ein gewünschter Dienst, ein ausdrücklich gewünschter Dienst des Nutzers ist, und wenn das nicht der Fall ist, dann brauche ich dafür die Einwilligung und muss ihn vorher entsprechend informieren.


Karina Filusch: An diese Konstellation habe ich noch gar nicht gedacht. Na klar, es gibt auch Dienste, die sind auf Tracking ausgelegt, wo der Nutzer, die Nutzerin das ausdrücklich genau wünscht. Ja, in der Tat, da wäre es dann natürlich technisch notwendig. Haben Sie noch Beispiele für technisch notwendige Cookies? Was wäre darunter zu verstehen?


Prof. Dr. Alexander Roßnagel: Man muss hier zwischen Basisdiensten, z.B. das Suchen im Internet, Einkaufen im Internet oder Social-Media im Internet, Videokonferenzen im Internet und so was unterscheiden. Wenn ich einen solchen Dienst anklicke, dann habe ich den noch nicht bewusst hinsichtlich aller technischen Möglichkeiten, die der bietet, gewünscht. Wenn der noch Analyseinstrumente hat, wenn der noch Werbemöglichkeiten bietet und Ähnliches, dann habe ich das ja noch nicht alles mit gewünscht, sondern nur die Basisdienste davon. Nun zur zweiten Frage. Die vielen Zusatzfunktionen, die so ein Dienst haben kann, die sind erst dann gewünscht, wenn ich die tatsächlich anklicke. Ich nehme mal das Beispiel beim Einkaufen: Wenn ich einkaufen will, dann ist es hilfreich, dass ich nicht immer wieder von vorne anfangen muss, sondern dass man weiß, die erste Seite, die ich angeklickt habe, hängt mit der zweiten und dritten zusammen. Das ist dann eine gewünschte Funktion. Es kann dann sein, dass ich mir eine Ware auswähle und die in den Warenkorb lege. Das ist dann eine zweite Funktion. Und erst in dem Moment, wo ich den Warenkorb anklicken, darf dann auch ein Cookie für den Warenkorb gesetzt werden. Und das dritte ist dann: Ich gehe am Schluss zur Kasse und muss dort bezahlen. Auch da kann möglicherweise ein Cookie gesetzt werden, der dann einen von mir gewünschten Dienst, nämlich jetzt den Bezahldienst betrifft. Das „von mir gewünscht“, bezieht sich aber nicht nur auf die Frage, ob überhaupt Cookie gesetzt wird, sondern zu welchem Zeitpunkt der gesetzt wird, nämlich erst, wenn ich ihn angeklickt habe, für welchen Zweck er gesetzt wird, nur für diesen Zweck, nämlich Warenkorb oder Bezahlen. Wie lange darf der Cookie gesetzt werden? Nur so lange, bis der Bezahlvorgang abgeschlossen ist? Und an wen, dürfen die Daten übermittelt werden, die aus dem Cookie lesbar sind? Nur demjenigen, der mir die Ware verkauft. Also Tracking für Dritte, Tracking für Werbung und so was ist alles nicht von mir gewünscht und auch nicht unbedingt technisch notwendig. Das ist dann nicht mehr ohne Einwilligung möglich, sondern nur, wenn ich vorher dafür meine Einwilligung gegeben habe.


Karina Filusch: Das war ein enorm hilfreiches Beispiel, um das so als Verbraucherin noch mal nachzuvollziehen. Denken Sie, es wird bei Diensten, die jetzt abhängig davon sind, die Daten zu verkaufen, weil das nun mal ihr Geschäftsmodell ist, dazu führen, dass einige Seiten dann den Zutritt von Verbraucherinnen und Verbraucher zu bestimmten Websites, bestimmten Diensten dann einfach nicht mehr zulassen werden? So ein „Friss oder stirb“-Modell. Entweder du willigst in das ganze Tracking und in die Datenverarbeitung ein oder du kannst unseren Dienst nicht nutzen.


Prof. Dr. Alexander Roßnagel: Das wird sehr auf die Gestaltung der Dienste ankommen. Im Regelfall würde ich sagen, das ist nicht zulässig. Es gibt in der Datenschutzgrundverordnung eine Regelung zur Kopplung von Einwilligungen und anderen Willenserklärungen und man darf den Zugang zu einer Webseite grundsätzlich nicht davon abhängig machen, dass man in alles Mögliche einwilligt, was mit dem Angebot der Website erst mal nichts zu tun hat, sondern das muss mit dem Inhalt nicht zusammenhängen. Deswegen ist auch die Regelung so getroffen, dass das ein ausdrücklich gewünschter Dienst sein muss und das Tracking technisch unbedingt erforderlich sein muss.


Karina Filusch: Ich hatte jetzt hier vor allem meinen E-Mail-Anbieter und mein Online-Banking im Kopf, also wenn ich jetzt auf die Seite der Sparkasse gehe oder auf GMX oder auf die Seite eines anderen Anbieters. Dann wird es wahrscheinlich nicht dazu kommen, dass mir jetzt der Zutritt zu der Seite verweigert wird, wenn ich dem Tracking nicht zustimme. Es ist also kein Szenario, was kommen könnte?


Prof. Dr. Alexander Roßnagel: Nein, im Regelfall nicht, weil diese Kopplung von dem gewünschten Vertragsverhältnis und der Einwilligung zur Datenverarbeitung, die mit diesem Vertragsverhältnis nichts zu tun hat, nach der Datenschutzgrundverordnung nicht zulässig ist.


Karina Filusch: Das ist schon mal sehr beruhigend. Wir haben jetzt vor allem über große Unternehmen gesprochen. Was ist denn mit kleinen und mittleren Unternehmen, die jetzt womöglich auch unter das TTDSG fallen, werden diese ausreichend berücksichtigt oder fallen die vielleicht gar nicht unter das TTDSG?


Prof. Dr. Alexander Roßnagel: Also, wenn Sie Telekommunikation für die Öffentlichkeit und Internetseiten anbieten, fallen sie unter dieses Gesetz. Es gibt im Gesetz keine besonderen Regelungen für kleine und mittlere Unternehmen. Es wird aber in der Praxis faktisch so sein, dass die Aufsichtsbehörden sich erst mal mit den großen Anbietern von Internetseiten oder von Telekommunikation auseinandersetzen und nicht die kleinen und mittleren Unternehmen kontrollieren und entsprechend sanktionieren. Dafür fehlen die Ressourcen und deswegen wird man für die faktisch mit einer längeren Zeit rechnen können, sich auf die neuen Verhältnisse einzustellen.


Karina Filusch: Was sind denn die Konsequenzen für Unternehmen, die das dann nicht umsetzen und ihre Websites nicht anpassen?


Prof. Dr. Alexander Roßnagel: Also im Gesetz ist eine Regelung zu Bußgeldern vorgesehen. Das höchste Bußgeld, das da vorgesehen beträgt 300.000 Euro. Das ist gegenüber den Regelungen in der Datenschutz-Grundverordnung, wo es bis zu 20 Millionen Euro gehen kann, also äußerst unverhältnismäßig. Aber diese 300.000 Euro sind nur die Höchststrafe für die Verletzung des Teledienste-Datenschutzgesetze. Es gibt außerdem noch die Möglichkeit, nach einem Ordnungswidrigkeiten-Gesetz, Gewinne, die entstanden sind, abzuschöpfen. Und da gibt es keine Obergrenze. Also das können dann auch Millionen Euro sein, die da abgeschöpft werden. Wenn die Daten, die durch das Tracking gewonnen werden, danach dann zu Profilen und zu Werbemaßnahmen und Ähnlichem verarbeitet werden, dann befinde ich mich im Bereich der Datenschutzgrundverordnung. Da habe ich dann die drakonischen Strafen, die in der Datenschutzgrundverordnung vorgesehen sind. Insofern bleibt es nicht bei den 300.000 Euro als Höchststrafe, sondern es kann deutlich darüber hinausgehen. Deswegen kann sich auch da jetzt ein großes Unternehmen nicht beruhigen, dass die 300.000 Euro aus der Portokasse bezahlt werden könnten. Es wird dann auf jeden Fall noch Gewinnabschöpfung und eine Sanktion nach der Datenschutzgrundverordnung hinterherkommen.


Karina Filusch: Der Gesetzgeber meint es also wirklich ernst und will wirklich die Verbraucherinnen und Verbraucher schützen und hat wahrscheinlich deswegen diese empfindlichen Strafen in dieser Kombination, wie Sie es gerade erläutert haben, ins Gesetz geschrieben. Wir kommen jetzt leider zur allerletzten Frage, was ich sehr bedauerlich finde, dass es jetzt schon so weit ist. Was ist denn DaSou, also Datensouveränität für Sie?


Prof. Dr. Alexander Roßnagel:  Das ist für mich das, was das Bundesverfassungsgericht 1983 schon als Grundrecht anerkannt hat, nämlich die informationelle Selbstbestimmung. Dass jeder Einzelne selbst darüber bestimmen kann, ob er Daten von sich preisgibt und für welche Zwecke er die preisgibt und wo er diese Preisgabe verweigert. Das muss auch in der digitalen Gesellschaft die Grundlage der Datenverarbeitung sein. Wenn der Einzelne bestimmte Dienste in dieser digitalen Gesellschaft möchte, dann wird er auch dazu bereit sein, die dafür erforderlichen Daten zur Verfügung zu stellen. Und soweit er die nicht zur Verfügung stellt, muss das von anderen, von privaten Anbietern, aber auch vom Staat akzeptiert werden.


Karina Filusch: Es war mir eine Ehre und eine riesige Freude, mit Ihnen sprechen zu dürfen und ich habe unglaublich viel dazugelernt, viel Klarheit zum Thema bekommen. Vor allem habe ich jetzt viel weniger Sorgen. Alle die reingehört haben, die wissen nun, dass das TTDSG eigentlich ein gutes Gesetz ist, und dass es nicht dazu dienen soll, um wie anfangs in dem Tweet zitiert, Daten zu speichern und zu kontrollieren und so weiter, sondern das Gegenteil ist der Fall. Ich bin Ihnen sehr, sehr dankbar, dass Sie sich so viel Zeit genommen haben und das so geduldig und bildhaft und gut erklärt haben.


Prof. Dr. Alexander Roßnagel:  Vielen Dank für die Gelegenheit. Das mache ich sehr gern.


Karina Filusch: Danke vielmals, dass Sie da waren.


Aileen Weibeler: Ich finde gerade die Lage mit den PIMS sehr spannend, denn oft ist es in der juristischen Welt ja so, dass es etwas gibt und dafür gibt es noch keine gesetzliche Regelung. In diesem Fall ist es aber andersherum, dass es eine gesetzliche Regelung für etwas gibt, wofür es noch gar nicht die nötige Technik gibt.


Prof. Dr. Alexander Roßnagel: Ja, ich bin auch sehr gespannt, wie der Gesetzgeber das ausgestalten wird. Vielleicht greifen wir das Thema im nächsten Jahr noch einmal auf und gucken uns das noch mal genauer an, wie es dann tatsächlich umgesetzt wurde. Was mich auch noch sehr interessiert ist, wie große Konzerne wie Google, Zoom undCo. das TTDSG umsetzen werden und ob es wirklich zu diesen Problemen kommt, die wir im Interview besprochen hatten.


Aileen Weibeler: Wir hoffen, dass die Folge auch dieses Mal wieder hilfreich für euch war. Hört doch beim nächsten Mal wieder rein, wenn wir über DaSou sprechen. Wenn ihr Fragen zu DaSou habt, schickt uns gerne eine Mail an hallo@dasou.law oder eine Nachricht per Twitter oder Instagram.


Karina Filusch:DaSou ist eine Produktion der Kanzlei Filusch. Mehr Infos findet ihr auf unserer Webseite DaSou. Die Redaktion besteht aus Anja Lindenau, Aileen Weibeler und Karina Filusch. Der Jingle wurde komponiert von Mauli. Die Idee zu DaSou hatte Axel Jürs. Das Cover hat Hélène Baum erstellt. Beraten wurden wir von Susan Stone. Editiert wurde der Podcast von Christoph Hinners.

Kontakt

Rechtsanwältin und externe Datenschutzbeauftragte (TÜV Nord zertifiziert)
Karina Izabela Filusch, LL.M.

Friedrichstraße 95
10117 Berlin

Nähe S-/U-Bhf. Friedrichstraße

Tel.: 030 219 11 555
Mobil: 0170 23 85 788

Telefonische Sprechzeiten:
Mo – Do: 9:00 – 18:00 Uhr
Fr: 9:00 – 15:00 Uhr

E-Mail:
hallo@dasou.law

Sie können auch verschlüsselt mit uns kommunizieren.

    * Pflichtangaben