News
Wichtige Änderungen des TTDSG durch das deutsche DSA-Umsetzungsgesetz in Sicht
Wichtige Änderungen des TTDSG durch das deutsche DSA-Umsetzungsgesetz in Sicht
Der (vollständige) Geltungsbeginn des Digital Services Act (DSA), der teilweise auch als „Grundgesetz des Internets“ bezeichnet wird, rückt näher. Erste Vorschriften der europäischen Verordnung gelten bereits jetzt, wozu u. a. die Verpflichtung von Anbietern für Online-Plattformen und -Suchmaschinen zur Nennung ihrer durchschnittlichen monatlichen Nutzeranzahl in der EU gehört. Nähere Informationen zum DSA und dessen Inhalt können auch unserer EU-Digitalgesetzgebungsübersicht entnehmen werden.
Zwar handelt es sich hierbei um eine europäische Verordnung, was bedeutet, dass individuelle mitgliedstaatliche Regelungen für diesen von der EU geregelten Bereich grundsätzlich unzulässig sind. Gleichwohl sehen auch europäische Verordnung regelmäßig für bestimmte Einzelaspekte vor, dass die Mitgliedstaaten individuelle Regelungen treffen dürfen. Oft werden solche Vorgaben als sog. Öffnungsklauseln bezeichnet. Die mitgliedstaatliche Regelung darf dann natürlich nicht im Gegensatz zur jeweiligen europäischen Verordnung stehen.
Das Bundesverkehrsministerium hat die Möglichkeit dieser Öffnungsklauseln im DSA genutzt und Anfang August einen ersten Referentenentwurf für ein Gesetz veröffentlicht. Dieser Entwurf wird derzeit in der Fachöffentlichkeit diskutiert und bringt einige Änderungen mit sich.
Abschied vom Begriff der „Telemedien“ – Auswirkungen auf das TTDSG
In Art. 8 dieses Entwurfs wird u. a. vorgeschlagen, dass der Begriff „Telemedien“ zukünftig durch den Begriff „digitale Dienste“ ersetzt werden soll. Dies ist bereits deshalb relevant, da seit langem umstritten war, ob und wenn ja, wie weit dieses in Deutschland geprägte Begriffsverständnis mit den europarechtlichen Vorgaben zu vereinbaren ist. Denn in Art. 5 Abs. 3 ePrivacy-Richtlinie (Richtlinie 2002/58/EG) ist die Rede vom „Dienst der Informationsgesellschaft“, der eigentlich durch die Richtlinie (EU) 2015/1535 näher definiert wird und gerade nicht von einem Telemedium. Das „alte“ deutsche Verständnis des Telemedien-Begriffs, dessen Reichweite und die Ausformungen, die es ursprünglich im Telemediengesetz (TMG) und nunmehr im Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) gefunden hat, werden durch diese Änderung zunehmend infrage gestellt.
Der Entwurf begründet die vorgeschlagene Änderung daher auch wie folgt (S. 64): „Das europäische Recht, insbesondere der DSA, deren Durchführung der Hauptzweck des DDG ist, kennt den Telemedienbegriff nicht. Vor dem Hintergrund harmonisierter Vorschriften für einen Binnenmarktes für digitale Dienste bleibt kein Raum für diesen rein national vorgeprägten Begriff.“
Der Begriff „digitale Dienst“ entspricht der Definition des „Dienstes“ nach Art. 1 Abs. 1 b) RL 2015/1535. Dies ist eine Dienstleistung der Informationsgesellschaft, d. h. jede in der Regel gegen Entgelt elektronisch im Fernabsatz und auf individuellen Abruf eines Empfängers erbrachte Dienstleistung.
Diese Änderung wird auch wortwörtlich greifbar. Denn gemäß Art. 8 des vorgenannten Entwurfs soll der Titel des TTDSG zukünftig zu TDDDG (für „digitale Dienste“) geändert werden.
Praktisch ändern könnte sich damit etwa auch die Auslegung und der Anwendungsbereich von § 25 TTDSG (dann: TDDDG), für den Einsatz von Trackingtechnologien. Denn § 25 Abs. 2 Nr. 2 TTDSG stellt aktuell noch auf einen „Telemediendienst“ ab.
Und nicht zuletzt greift diese Änderung, die vermeintlich nur einen Wechsel von „Telemedien“ zu „digitale Dienste“ betrifft, tiefgreifend in weitere Gesetze ein, in denen vom Telemedium die Rede ist. So soll gemäß Art. 21 des vorgenannten Referentenentwurfs z. B. auch der Begriff des Telemediums in § 7 Abs. 2 Nr. 3 lit. b) UWG geändert werden. Letztere Norm betrifft die Vorgaben für die Werbung u. a. per E-Mail. Sollte der Referentenentwurf in dieser Form verabschiedet werden, wird sich zukünftig die Frage stellen, wann ein digitaler Dienst angeboten wird.
Hinzukommt schließlich, dass Teile des noch existierenden TMG in das neue Digitale-Dienste-Gesetz überführt werden.
Es bleibt abzuwarten, ob der Referentenentwurf des Bundesverkehrsministeriums in seiner bisherigen Form das Gesetzgebungsverfahren passiert.
Empfehlungen
Es empfiehlt sich einerseits, bereits jetzt zu prüfen, wo der Begriff „Telemedium“ für Unternehmen relevant ist und welche rechtlichen Folgen hieran geknüpft sind. Dazu etwa der Bereich der E-Mails oder auch des Tracking auf Webseiten und in Apps. Zukünftig wird dann zu klären sein, ob es sich bei dem relevanten Geschäftsmodell, das sich am Begriff des Telemediums ausrichtete, zukünftig auch noch einen digitalen Dienst darstellt.
Neben dem kommenden Digitale-Dienste-Gesetz empfehlen wir insbesondere Anbietern „digitaler Plattformen“ jeder Art, zu überprüfen, inwiefern sie vom kommenden DSA betroffen und adressiert werden.
News
NIS-2-Richtlinie konkretisiert: Was die Durchführungsverordnung 2024/2690 für Cloud-Computing-Dienste und Managed Service Provider bedeutet
Die NIS-2-Richtlinie und das diese umsetzende deutsche BSIG gelten seit dem 16. Januar 2023 sowie seit dem 6. Dezember 2025. Für betroffene Stellen stellt sich in der Praxis eher abstrakt gehaltener Pflichten oft die Frage, wie eine Umsetzung konkret erfolgen muss.
Die NIS-2-Richtlinie sieht in Kapitel VIII die Möglichkeit zum Erlass delegierter Rechtsakte und Durchführungsrechtsakte vor.
Delegierte Rechtsakte (Art. 290 AEUV) ändern oder ergänzen nicht-wesentliche Teile von EU-Normen, während Durchführungsrechtsakte (Art. 291 AEUV) einheitliche Bedingungen für die Anwendung von Rechtsakten schaffen.
Auskunftsansprüche von Beschäftigten nach Kündigung: Welche Ausnahmen greifen?
Erhält ein Arbeitnehmer die Kündigung, folgt häufig ein Auskunftsersuchen nach Art. 15 DSGVO. Wird der Anspruch nicht auf bestimmte Datenverarbeitungen oder Zeiträume beschränkt, sind grundsätzlich sämtliche betreffenden personenbezogenen Daten zu beauskunften – darunter E-Mails, Gesprächsnotizen, Beurteilungen und sonstige auf die Person bezogene Unterlagen. In der Praxis handelt es sich dabei selten um eine datenschutzrechtliche Routineanfrage. Häufig ist das Ersuchen taktisch motiviert: Es dient der Informationsgewinnung für einen anschließenden Kündigungsschutzprozess, dem Aufbau von Verhandlungsdruck oder der Überprüfung interner Untersuchungsmaßnahmen.
OLG Frankfurt: Schmerzensgeld bei Cookie-Einsatz ohne Einwilligung – auch für Drittanbieter
Nach § 25 Abs. 1 TDDDG müssen Websitebetreiber grundsätzlich eine Einwilligung vom Nutzer einholen, wenn sie eigene oder Cookies von Drittanbietern einsetzen. Die Einwilligung wird über Cookie-Banner eingeholt, in denen Nutzer über den Einsatz der Cookies umfassend informiert werden müssen. Die konkrete Ausgestaltung der Banner und ob die Informationen ausreichend sind, um eine wirksame Einwilligung in das Speichern und die anschließende Verarbeitung personenbezogener Daten einzuholen, waren bereits Gegenstand zahlreicher Gerichtsentscheidungen. Nun hat sich das OLG Frankfurt (Urteil vom 11.12.2025 – Az. 6 U 81/23) in einem Fall mit der Haftung für eine nicht eingeholte Einwilligung beschäftigt und den Drittanbieter zu einem Unterlassen und Zahlung von Schadensersatz i.H.v. 100 EUR gegenüber dem Nutzer verurteilt.
Umsetzung von Risikomanagementmaßnahmen im Zusammenhang mit der NIS-2-Richtlinie und Rückgriff auf Maßnahmen nach Art. 32 DSGVO
Die Umsetzung der Risikomanagementmaßnahmen nach der NIS-2-Richtlinie und dem BSIG als Umsetzungsgesetz scheint für viele betroffene Organisationen im ersten Moment herausfordernd. Dies liegt häufig daran, dass die eher abstrakt wirkenden Vorgaben wie z.B. „Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen, einschließlich Management und Offenlegung von Schwachstellen“ Organisationen abschrecken, da nicht auf Anhieb erkennbar ist, was konkret zu tun ist.
NIS-2: Pflicht zur Benennung eines Vertreters für Einrichtungen im Drittland
Im Anwendungsbereich der NIS-2-Richtlinie (NIS-2-RL) kann es zu Situationen kommen, in denen Anbieter bestimmter NIS-2-relevanter Dienste, wie etwa ein Managed Service Provider, seinen Sitz ausschließlich in einem Drittland hat, jedoch Dienste innerhalb der EU anbietet. Der territoriale Anwendungsbereich ist nach Art. 2 Abs. 1 NIS-2-RL eröffnet, sobald ein Unternehmen einen Dienst in der EU erbringt oder dort Tätigkeiten ausübt. Art. 26 NIS-2-RL konkretisiert diesen Anwendungsbereich dahingehend, dass grundsätzlich der Mitgliedstaat und damit dessen jeweiliges Umsetzungsgesetz für eine Einrichtung anwendbar ist, in dem die Einrichtung niedergelassen ist. Hierzu haben wir bereits einen Beitrag verfasst.
Territorialer Anwendungsbereich von NIS-2 – Wann gilt das BSIG für Managed Service Provider (MSP) aus Drittländern?
In einem früheren Beitrag haben wir uns mit der Frage auseinandergesetzt, wer nach dem geänderten Gesetz über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen (BSI-Gesetz - BSIG) als Managed Service Provider (MSP) oder Managed Security Service Provider (MSSP) einzuordnen ist. Ist also ein Unternehmen eines Unternehmensverbundes zentral für den Betrieb der IT des Verbundes zuständig, kann es als MSP und damit als wichtige oder besonders wichtige Einrichtung i. S. v. § 28 Abs. 1 Nr. 4 und / oder § 28 Abs. 2 Nr. 3 BSIG einzuordnen sein – sofern es in den Anwendungsbereich des BSIG fällt.