News
Wichtige Änderungen des TTDSG durch das deutsche DSA-Umsetzungsgesetz in Sicht
Wichtige Änderungen des TTDSG durch das deutsche DSA-Umsetzungsgesetz in Sicht
Der (vollständige) Geltungsbeginn des Digital Services Act (DSA), der teilweise auch als „Grundgesetz des Internets“ bezeichnet wird, rückt näher. Erste Vorschriften der europäischen Verordnung gelten bereits jetzt, wozu u. a. die Verpflichtung von Anbietern für Online-Plattformen und -Suchmaschinen zur Nennung ihrer durchschnittlichen monatlichen Nutzeranzahl in der EU gehört. Nähere Informationen zum DSA und dessen Inhalt können auch unserer EU-Digitalgesetzgebungsübersicht entnehmen werden.
Zwar handelt es sich hierbei um eine europäische Verordnung, was bedeutet, dass individuelle mitgliedstaatliche Regelungen für diesen von der EU geregelten Bereich grundsätzlich unzulässig sind. Gleichwohl sehen auch europäische Verordnung regelmäßig für bestimmte Einzelaspekte vor, dass die Mitgliedstaaten individuelle Regelungen treffen dürfen. Oft werden solche Vorgaben als sog. Öffnungsklauseln bezeichnet. Die mitgliedstaatliche Regelung darf dann natürlich nicht im Gegensatz zur jeweiligen europäischen Verordnung stehen.
Das Bundesverkehrsministerium hat die Möglichkeit dieser Öffnungsklauseln im DSA genutzt und Anfang August einen ersten Referentenentwurf für ein Gesetz veröffentlicht. Dieser Entwurf wird derzeit in der Fachöffentlichkeit diskutiert und bringt einige Änderungen mit sich.
Abschied vom Begriff der „Telemedien“ – Auswirkungen auf das TTDSG
In Art. 8 dieses Entwurfs wird u. a. vorgeschlagen, dass der Begriff „Telemedien“ zukünftig durch den Begriff „digitale Dienste“ ersetzt werden soll. Dies ist bereits deshalb relevant, da seit langem umstritten war, ob und wenn ja, wie weit dieses in Deutschland geprägte Begriffsverständnis mit den europarechtlichen Vorgaben zu vereinbaren ist. Denn in Art. 5 Abs. 3 ePrivacy-Richtlinie (Richtlinie 2002/58/EG) ist die Rede vom „Dienst der Informationsgesellschaft“, der eigentlich durch die Richtlinie (EU) 2015/1535 näher definiert wird und gerade nicht von einem Telemedium. Das „alte“ deutsche Verständnis des Telemedien-Begriffs, dessen Reichweite und die Ausformungen, die es ursprünglich im Telemediengesetz (TMG) und nunmehr im Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) gefunden hat, werden durch diese Änderung zunehmend infrage gestellt.
Der Entwurf begründet die vorgeschlagene Änderung daher auch wie folgt (S. 64): „Das europäische Recht, insbesondere der DSA, deren Durchführung der Hauptzweck des DDG ist, kennt den Telemedienbegriff nicht. Vor dem Hintergrund harmonisierter Vorschriften für einen Binnenmarktes für digitale Dienste bleibt kein Raum für diesen rein national vorgeprägten Begriff.“
Der Begriff „digitale Dienst“ entspricht der Definition des „Dienstes“ nach Art. 1 Abs. 1 b) RL 2015/1535. Dies ist eine Dienstleistung der Informationsgesellschaft, d. h. jede in der Regel gegen Entgelt elektronisch im Fernabsatz und auf individuellen Abruf eines Empfängers erbrachte Dienstleistung.
Diese Änderung wird auch wortwörtlich greifbar. Denn gemäß Art. 8 des vorgenannten Entwurfs soll der Titel des TTDSG zukünftig zu TDDDG (für „digitale Dienste“) geändert werden.
Praktisch ändern könnte sich damit etwa auch die Auslegung und der Anwendungsbereich von § 25 TTDSG (dann: TDDDG), für den Einsatz von Trackingtechnologien. Denn § 25 Abs. 2 Nr. 2 TTDSG stellt aktuell noch auf einen „Telemediendienst“ ab.
Und nicht zuletzt greift diese Änderung, die vermeintlich nur einen Wechsel von „Telemedien“ zu „digitale Dienste“ betrifft, tiefgreifend in weitere Gesetze ein, in denen vom Telemedium die Rede ist. So soll gemäß Art. 21 des vorgenannten Referentenentwurfs z. B. auch der Begriff des Telemediums in § 7 Abs. 2 Nr. 3 lit. b) UWG geändert werden. Letztere Norm betrifft die Vorgaben für die Werbung u. a. per E-Mail. Sollte der Referentenentwurf in dieser Form verabschiedet werden, wird sich zukünftig die Frage stellen, wann ein digitaler Dienst angeboten wird.
Hinzukommt schließlich, dass Teile des noch existierenden TMG in das neue Digitale-Dienste-Gesetz überführt werden.
Es bleibt abzuwarten, ob der Referentenentwurf des Bundesverkehrsministeriums in seiner bisherigen Form das Gesetzgebungsverfahren passiert.
Empfehlungen
Es empfiehlt sich einerseits, bereits jetzt zu prüfen, wo der Begriff „Telemedium“ für Unternehmen relevant ist und welche rechtlichen Folgen hieran geknüpft sind. Dazu etwa der Bereich der E-Mails oder auch des Tracking auf Webseiten und in Apps. Zukünftig wird dann zu klären sein, ob es sich bei dem relevanten Geschäftsmodell, das sich am Begriff des Telemediums ausrichtete, zukünftig auch noch einen digitalen Dienst darstellt.
Neben dem kommenden Digitale-Dienste-Gesetz empfehlen wir insbesondere Anbietern „digitaler Plattformen“ jeder Art, zu überprüfen, inwiefern sie vom kommenden DSA betroffen und adressiert werden.
News
Europäischer Datenschutzausschuss: neue (strenge) Leitlinien zum technischen Anwendungsbereich der "Cookie-Vorgaben" (§ 25 TTDSG)
Der Europäische Datenschutzausschuss (EDSA) hat am 15.11.2023 eine Leitlinie zum technischen Anwendungsbereich von Art. 5 (3) der Datenschutzrichtlinie für die elektronische Kommunikation veröffentlicht. Die Leitlinie soll klarstellen, welche Trackingtechnologien von der ePrivacy-Richtlinie (ePrivacyRL) konkret erfasst und damit grundsätzlich einwilligungsbedürftig sind. In Deutschland wurden die Anforderungen der ePrivacyRL in § 25 TTDSG umgesetzt.
Entscheidung des EuGH zur FIN und generellen Aspekten des Personenbezugs
Die Folgen der Entscheidung des EuGH in der Rs. C‑319/22 vom 9. November 2023 werden sicherlich noch lange in der Datenschutz-Szene diskutiert. Es ist in jedem Fall jetzt schon klar, dass das Urteil in der Automobilbranche und daran angrenzende Sektoren aber auch allgemein im Bereich Datenschutz große Wellen schlagen wird. Doch scheint unklar zu sein, ob das auch gerechtfertigt ist oder im Wesentlichen dieselben Aspekte wie vor der Entscheidung bei der Klärung der Frage nach dem Vorliegen eines Personenbezugs zu beachten sind. In dem vom EuGH behandelten Fall wird jedenfalls erst durch das Landgericht Köln entschieden werden, ob für die Fahrzeughersteller und unabhängigen Wirtschaftsakteure die FIN ein personenbezogenes Datum ist. Im EuGH-Urteil selbst findet man die Antwort jedenfalls noch nicht direkt und eindeutig
EU Data Act verabschiedet – worauf müssen sich die Unternehmen einstellen?
Am 9. November 2023 hat das Europäische Parlament den Data Act final verabschiedet. Dieser soll den Zugang und die Nutzung von Daten erleichtern, die durch Nutzer bei Inanspruchnahme von Produkten und Diensten generiert werden und umfasst sämtliche Nutzerdaten - unabhängig vom etwaigen Personenbezug. Die Auswirkungen sind aus diesem Grund weitreichend und den Unternehmen werden viele Pflichten auferlegt, insbesondere was die Einrichtung von Zugangsmöglichkeiten zu Daten für die Kunden sowie deren Möglichkeit zur Weitergabe an Dritte angeht.
LDA Brandenburg: BSI-Vorgaben zur IT-Sicherheit als „Stand der Technik“ nach Art. 32 DSGVO
Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg (LDA) hat am 10. November 2021 gegen einen Website-Betreiber eine Verwarnung nach Art. 58 Abs. 2 lit. b) DSGVO ausgesprochen. Grund für die Verwarnung war insbesondere die Bereitstellung einer Upload-Funktion für Bilder, die nicht ausreichend gesichert war und über die es Angreifern möglich gewesen war, eine Kundendatenbank auszulesen.
Die Behörde sah darin eine Verletzung der Art. 25 Abs. 1 und Art. 32 Abs. 1 lit. b) DSGVO. Interessant an der Behördenentscheidung ist auch, dass diese einen Zusammenhang zwischen Art. 25 und Art. 32 DSGVO (Stand der Technik) und dem BSI-Grundschutz herstellt (hierzu sogleich mehr).
Neuer Associate: Piltz Legal erweitert das Datenschutzteam
Piltz Legal heißt Daniel Kühl herzlich Willkommen im Team.
Daniel Kühl ist seit 2014 zugelassener Rechtsanwalt und hat sich mit dem Inkrafttreten der DSGVO den beruflichen Schwerpunkt auf den Datenschutz gelegt. Mittlerweile ist er zertifizierter Datenschutzbeauftragter (GDDcert EU) und FOM-zertifizierter „Data Protection Risk Manager“.
In den letzten Jahren hat er als externer Datenschutzberater verschiedenste Klienten, insbesondere aus dem Bereich der Energiewirtschaft, Wohnungswirtschaft und Wohlfahrtsverbände, aber auch Museen im Datenschutz beraten.
Wir freuen uns, dass wir mit Daniel Kühl einen weiteren erfahrenen Datenschutzrechtler für die Kanzlei gewinnen konnten und freuen uns sehr auf die Zusammenarbeit.
EuGH hat wieder zum Auskunftsanspruch entschieden – Zusammenfassung des Urteils in der Rs. C-307/22 vom 26. Oktober 2023
Während das Urteil in der Rs. C‑307/22 sich zwar mit dem speziellen Arzt-Patienten-Verhältnis beschäftigt, sind darin dennoch auch zahlreiche Aussagen enthalten, die allgemein für Erfüllung des Auskunftsanspruchs durch Unternehmen relevant sind. Das Urteil wird bereits munter in der Datenschutz-Szene diskutiert. Das ist auch deshalb verständlich, weil der EuGH einige hoch umstrittene Aspekte zum besonders praxisrelevanten Betroffenenrecht geklärt hat. In diesem Newsbeitrag finden Sie eine Zusammenfassung der aus unserer Sicht relevantesten Aussagen in der Entscheidung des EuGH sowie eine kurze Einschätzung zu den Folgen für die Praxis.