Am 20. Mai hat der Bundestag bekanntlich das neue „Gesetzes zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien“ (TTDSG) in der Fassung des federführenden Ausschusses für Wirtschaft angenommen. Die Beschlussempfehlung mit dem angenommenen Gesetzestext findet sich hier (PDF).
Das neue TTDSG tritt zum 1. Dezember 2021 in Kraft.
In § 26 TTDSG enthält das Gesetz auch eine Vorschrift zur Umsetzung von Art. 5 Abs. 3 ePrivacy-Richtlinie, also dem Einwilligungserfordernis im Fall des Zugriffs auf Informationen in Endgeräten oder des Speichern von Informationen in Endgeräten. Oder kurz: für das (Online)Tracking.
In diesem Beitrag möchte ich aber nicht hierauf eingehen, sondern möchte auf einen Aspekt hinweisen, der meines Erachtens aus praktischer Sicht noch einige Fragen (oder auch unschöne Situationen) hervorrufen dürfte. Es geht um die Frage, wann denn das TTDSG und damit auch die Regelung des § 26 TTDSG überhaupt anwendbar ist. Im Rahmen der Stellungnahmen zu Ausschussanhörung sind auf diesen Aspekt auch der BITKOM (PDF) und der Kollege Alexander Golland (PDF) eingegangen.
§ 1 Abs. 3 TTDSG
Die relevante Vorgabe zum Anwendungsbereich (insbesondere auch räumlich) enthält § 1 Abs. 3 TTDSG: „Diesem Gesetz unterliegen alle Unternehmen und Personen, die im Geltungsbereich dieses Gesetzes eine Niederlassung haben oder Dienstleistungen erbringen oder daran mitwirken oder Waren auf dem Markt bereitstellen. § 3 des Telemediengesetzes bleibt unberührt“.
Zunächst fällt auf, dass die Anwendung des TTDSG nicht von einer Verarbeitung personenbezogener Daten abhängt. Das ist natürlich auch richtig, da die ePrivacy-Richtlinie ebenfalls nicht (erst) beim Umgang mit personenbezogenen Daten gilt, was auch der EuGH in seinem Urteil in der Rs C‑673/17 ebenfalls klargestellt hat (Rz. 70„Dieser Schutz erstreckt sich auf alle in solchen Endgeräten gespeicherten Informationen, unabhängig davon, ob es sich um personenbezogene Daten handelt“).
Die Vorschrift ist in mehrere Alternativen unterteilt. Voraussetzung ist stets, dass Unternehmen oder Personen handeln und diese, entweder
- 1) im Geltungsbereich des TTDSG eine Niederlassung haben oder
- 2) Dienstleistungen erbringen oder daran mitwirken oder
- 3) Waren auf dem Markt bereitstellen.
Kurz ein paar kritische Anmerkungen zu 1) und 2).
Zu 1)
Für die Anwendbarkeit des TTDSG reicht es aus, dass ein Unternehmen eine Niederlassung in Deutschland hat. Es ist nicht erforderlich, dass diese Niederlassung irgendwie aktiv in Tätigkeiten eingebunden ist, die zB ein Tracking beinhalten. Allein das Vorhandensein einer Niederlassung ist ausreichend. Das ist ein sehr weiter Anwendungsbereich und geht sogar noch über Art. 3 Abs. 1 DSGVO hinaus, der ja zumindest verlangt, dass eine Datenverarbeitung „im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt“ (Hervorhebung durch mich).
Man kann natürlich politisch eine solche weite Ausdehnung verlangen. Nur sollte man sich dann auch mit der praktischen Umsetzung und vor allem Durchsetzung des Rechts auseinandersetzen. Ein Beispiel: ein Unternehmen aus der Schweiz bietet über einen Online-Shop Waren in der Schweiz und Frankreich an. Das Unternehmen hat auch eine Niederlassung in Deutschland, die jedoch nur für den Einkauf von Waren verantwortlich ist.
Nach § 1 Abs. 3 TTDSG unterliegt ein Tracking auf der Webseite des Schweizer Unternehmens dem TTDSG. Ohne dass der Online-Shop überhaupt Waren in Deutschland anbietet oder darauf ausgerichtet ist. Man mag mich dafür schelten, aber ich glaube nicht, dass dies die gesetzgeberische Intention war.
Zu 2)
Doch es geht noch weiter. Auch wenn keine Niederlassung in Deutschland vorhanden ist, soll das TTDSG Anwendung finden. Dies dann, wenn Unternehmen im Geltungsbereich des TTDSG „Dienstleistungen erbringen oder daran mitwirken“. Wenn also Dienstleistungen in Deutschland erbracht werden.
Wen diese Vorschrift an eine andere Regelung erinnert, der liegt richtig, wenn er in Art. 3 Abs. 2 DSGVO sucht. Dort wird das sog. Marktortprinzip festgeschrieben. Die Aufnahme dieses Prinzips im Anwendungsberiech des TTDSG ist auch ausdrücklich vom Gesetzgeber gewollt (S. 34 des Gesetzentwurfs, PDF): „Dabei gilt nach wie vor das Marktortprinzip. Die im Verhältnis zur E-Privacy-Richtlinie subsidiär geltende DSGVO enthält bereits das Marktortprinzip, das damit auch für die Verarbeitung von personenbezogenen Daten durch Telekommunikationsanbieter gilt“. Und: „§ 1 Absatz 3 TTDSG hat daher Bedeutung für alle Bestimmungen, die sich nicht auf die Verarbeitung personenbezogener Daten beziehen und die nicht unter § 3 des Telemediengesetzes fallen, so dass das Marktortprinzip bei der Anwendung dieses Gesetzes gilt, soweit nicht § 3 des Telemediengesetzes Anwendung findet„.
Auch ohne Niederlassung in Deutschland, gilt also § 26 TTDSG für ein Unternehmen aus Indien, welches über eine Webseite Dienstleistungen in Deutschland erbringt. Aber, nur weil ein Gesetz gilt, bedeutet dies nicht, dass es auch eingehalten bzw. durchgesetzt wird.
Der Gesetzgeber des TTDSG hat jedoch auf halber Strecke halt gemacht und keine entsprechenden Folgereglungen zur Durchsetzung des TTDSG ggü. Unternehmen in Drittstaaten erlassen. In Art. 27 DSGVO ist etwa für diesen Fall vorgesehen, dass ein Vertreter in der EU zu benennen ist. Eine solche Pflicht enthält das TTDSG nicht.
Und noch zwei Anmerkungen zum Tatbestand selbst.
Erfasst ist dem Wortlaut nach allein das „Erbringen“ von Dienstleistungen. Nicht erwähnt ist das „Anbieten“. Versteht man dies so, dass nur die aktive Ausführung einer Dienstleistung relevant ist, würde zB ein Tracking auf Webseiten nicht in den Anwendungsbereich des TTDSG fallen, soweit etwa ein Online-Shop Waren und Dienstleistungen nur präsentiert; also „anbietet“. Erst, wenn eine Person eine Dienstleistung bestellt und einen Vertrag hierüber schließt („erbringen“), würden die Vorgaben des TTDSG greifen. Ist das gewollt? Ich meine nein. So steht es aber in § 1 Abs. 3 TTDSG.
Zum anderen wird nicht nur das „Erbringen“ erwähnt, sondern sogar ein „Mitwirken“ hieran. Also Unterstützungsleistungen im Hintergrund. Man denke an Auftragsverarbeiter oder andere Dienstleister. Auch diese Unternehmen wären, ohne Niederlassung in Deutschland, von den Vorgaben des TTDSG erfasst, wenn sie bei der Erbringung von Dienstleistungen (in welcher Form auch immer?) mitwirken. Im TTDSG selbst wird der Begriff nicht definiert. Nach § 2 Abs. 1 TTDSG gelten die Begriffsbestimmungen des TKG. Dort kennt man den Begriff des „Mitwirkens“ (zB in § 3 Nr. 6 TKG). Möchte man diese Parallele zwischen TKG und TMG ziehen (was mE zumindest in der Pauschalität auch schon diskutiert werden kann), dann zeigt sich eine weites Verständnis des Begriffs. So etwa die BNetzA: „Das Eröffnen dieser Nutzungsmöglichkeit stellt im Regelfall kein eigenständiges Erbringen, sondern lediglich eine “Mitwirkung an der Erbringung von Telekommunikationsdiensten“ (vgl. § 3 Nr. 6 b TKG) eines Dritten (Netzbetreiber und/oder TK-Diensteanbieter, einschließlich Wiederverkäufer) dar“ (S. 1, PDF).
Fazit Diese Anmerkungen stellen nur eine erste kleine Einschätzung zu möglichen Praxisproblemen bei der Anwendung des neuen TTDSG, insbesondere im Fall von Auslandsbezügen, dar. Ich bin sehr gespannt, ob und wenn ja wie die Datenschutzbehörden mit möglichen Durchsetzungslücken in der Praxis umgehen.