Hier sind die Fragen, die sich im Webinar »TTDSG – Wirklich neu oder "Raider-Effekt"«? ergeben haben. Das Webinar wird wiederholt veranstaltet und daher wird auch diese FAQ-Liste ständig anwachsen.

Die Fragen sind selbstverständlich anonymisiert und ich habe sie ggf. sprachlich angepasst.

Sie haben auch eine Frage zum Thema »TTDSG«? Melden Sie sich am besten noch heute für das kostenlose Webinar an und stellen Sie im Chat Ihre Frage(n).

Informationen zu diesem und anderen Webinaren finden Sie auf meiner Webinarseite.

Stand: 24. November 2021

FAQ

Welche Dokumentationspflichten gibt es und wie kann man diese erfüllen?

Ich gehe davon aus, dass sich die Frage auf die Dokumentationspflichten für die Einwilligung gemäß § 25 Absatz 1 TTDSG iVm. Artikel 6 Absatz 1 Satz 1 Buchstabe a) DSGVO, 7 DSGVO, 4 Nummer 11 DSGVO bezieht.

Das TTDSG unmittelbar regelt keine Dokumentationspflichten. § 25 Absatz 1 TTDSG spricht allerdings davon, dass die Einwilligung »gemäß der Verordnung (EU) 2016/679 zu erfolgen habe«; womit auf die DSGVO verwiesen wird.

Auf den ersten Blick erläutert die DSGVO ebenfalls nicht, wie die Dokumentationspflichten genau ausgestaltet werden sollen. Wir müssen in diesem Zusammenhang aber Artikel 5 Absatz 2 DSGVO beachten.

Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).

Im Absatz 1 von Artikel 5 DSGVO sind die Grundsätze geregelt und dazu gehört die Rechtmäßigkeit der Verarbeitung, also die Einhaltung der jeweils einschlägigen Rechtsgrundlage; hier der Einwilligung.

Wir müssen die rechtsgültige Einwilligung also »nachweisen« können; das ist leichter gesagt als getan. Wie weisen Sie die formgültige Einwilligung in das Setzen eines oder mehrerer Cookies nach? Hier sind die Anbieter von Consent-Bannern gefragt. Bei der Auswahl eines Dienstleisters muss sich der Verantwortliche vorführen lassen, wie einzelne Einwilligungen nachgewiesen werden können. Kurz gesagt, wenn sich ein Besucher Ihrer Website bei der Aufsichtsbehörde beschwert, dass einwilligungsbedürftige Cookies bei ihm gesetzt wurden, ohne, dass er eingewilligt hat, dann muss Ihnen Ihr Anbieter auf Zuruf oder ggf. über ein Dashboard ermöglichen, ALLE Einwilligungen oder Ablehnungen wenigstens mit Zugriffsdatum und IP-Adresse darlegen zu können. Der Besucher wird nur über die in Logfiles gespeicherte IP-Adresse zu identifizieren sein. Ein Dienstleister, der diese Informationen nicht liefern kann, ist für die Anforderungen des TTDSG und der DSGVO nicht geeignet. Es reicht also nicht, einfach irgendeinen Anbieter von Consent-Bannern zu beauftragen; er muss auch ein klares Nachweis-Management führen (übrigens auch für den Widerruf von Einwilligungen!). Diesen Test muss ein guter Anbieter bestehen können.

In diesem Zusammenhang ist eine aktuelle Entscheidung des LG Frankfurt/Main vom 19.10.2021 zu beachten, die ich hier erläutere (»Haftung bei fehlender und fehlerhafter »Cookie«-Einwilligung«).

Zum Nachweis gehört auch der textliche Inhalt der Einwilligung (Stichwort: informierte Einwilligung), der sich regelmäßig aus den entsprechenden Texten der Banner ergibt. Dieser muss klar verständlich und umfassend sein.

Gilt Fernmeldegeheimnis auch für private Nutzung der betrieblichen Telefonanlage ? Wie kann dies gem. Dokumentationspflichten dokumentiert werden?

Ja. Auch hier sollte die private Nutzung ausdrücklich ausgeschlossen werden. Nur dann dürfen Telefonnummern von externen Gesprächspartnern (Vorwahl und nur ein Teil der Rufnummer, um die Identität des Gesprächspartners zu wahren) und Zeitpunkte des Telefonats gespeichert werden. Es müssen aber klare Verarbeitungszwecke definiert werden, da eine Verarbeitung personenbezogener Daten (die genannten Gesprächsdaten fallen darunter) nur aufgrund eines legitimen Zwecks verarbeitet werden dürfen. Die Daten dürfen z.B. zum Zwecke der Missbrauchs- und Kostenkontrolle (z. B. unerlaubte private Nutzung auf Kosten des Arbeitgebers bei einem Privatnutzungsverbot oder Kostenumlage bei Kunden) verwendet und über eine Dauer von ungefähr drei Monaten gespeichert werden.

Davon ist aber unbedingt das Mithören bzw. das Aufzeichnen von Gesprächsinhalten zu unterscheiden! Ein solches wird oft ins Auge gefasst, um die Servicequalität zu erfassen. Der Grundsatz lautet: Die unbefugte Aufzeichnung bzw. das Abhören ist verboten und wird gemäß § 201 Strafgesetzbuch (StGB) sogar mit einer Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.

Welche Pflichten gehen mit der Stellung als Telekommunikationsanbieter einher? "Nur" das Fernmeldegeheimnis? Oder noch andere Pflichten? Zweite Frage dazu: Gibt es dazu schon Urteile gem § 206 StGB? (Mir kommt es so vor, als ob das doch eher theoretisch ist, da es sonst so wäre dass viele 10 Tausend Mittelständler TK Anbieter sind.)

Natürlich gehen mit der Stellung als Telekommunikationsanbieter weitere Pflichten nach dem TTDSG einher. Ich vermute aber, die Frage ist in Bezug auf die Stellung gerade eines Arbeitgebers gegenüber seinen Mitarbeitern bei privater Nutzung des dienstlichen E-Mail-Accounts gestellt. Für diesen sind die weiteren Pflichten eher ohne praktische Bedeutung. Die weiteren Pflichten ergeben sich insbesondere aus dem Kapitel 2 und dem Kapitel 3 sowie Kapitel 4 (Teil 2) des TTDSG und sind auf die Verarbeitung von Verkehrsdaten, Abrechnungs- und Störungsfragen gerichtet. Einzig § 9 TTDSG (Verarbeitung von Verkehrsdaten) könnte im genannten Verhältnis noch eine Rolle spielen, aber das halte ich für eher abstrakt.

Derzeit liegen mir keine aktuellen veröffentlichten Urteile zu § 206 StGB in diesem Bereich vor, aber es werden auch nicht alle Urteile der Strafgerichte auf allen Ebenen veröffentlicht. Das LG Erfurt hat sich mit Urteil vom 28.04.2021 (Az. 1 HK O 43/20)auch gegen die Annahme ausgesprochen, dass Arbeitgeber TK-Anbieter sind, sofern sie die private Nutzung des dienstlichen Accounts gestatten. Das Problem sind eher die Aufsichtsbehörden, die das anders sehen und von der TK-Anbietereigenschaft ausgehen. Und als Verantwortlicher haben Sie es zuerst mit den Aufsichtsbehörden zu tun und müssen sich dann die Frage stellen, ob Sie sich einen Prozess leisten können.

Mit dem Klammerzusatz sprechen Sie den Kern des Problems an. Ich gebe Ihnen recht, der Haken ist nur, dass die Aufsichtsbehörden das (noch) anders sehen. Ob sich deren Praxis unter der Geltung des TTDSG ändert, wird sich erst noch zeigen müssen.

Wo steht im TTDSG der Begriff »Cookies«?

Der Begriff steht gar nicht im Gesetz. Das TTDSG möchte natürlich offen sein für alle aktuellen und vor allen Dingen auch für zukünftige Technologien. Cookies sind eigentlich ein alter Hut; die Technik stammt aus den 90er Jahren des letzten Jahrhunderts. Die Kekse sind zwar noch nicht vom Tisch, aber es zeichnet sich schon ab, dass sie bald Schnee von gestern sind. Vor diesem Hintergrund engt sich das TTDSG natürlich nicht auf Cookies ein.

Der für Cookies relevante § 25 TTDSG spricht daher von der »Speicherung von Informationen in der Endeinrichtung des Endnutzers oder (dem) Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind«. Das kapriziert sich nicht auf Cookies und ist damit offen für andere und vor allem eben auch neue Technologien. Letztlich beschreibt der Gesetzestext aber eben, was Cookies letztlich sind: Kleine Textdateien, die auf einem Computer (oder Smartphone oder Tablett usw.) gespeichert oder ausgelesen werden. Mit »Endeinrichtung« ist kein Seniorenheim gemeint, sondern eben das Gerät (Desktop, Notebook, Smartphone etc.) mit dem auf das Internet zugegriffen wird.

Sind Apps »Telemedien« im Sinne des TMG bzw. des TTDSG?

Ja, das sind sie. Vielen App-Anbietern (selbst bei Apps von großen Unternehmen) ist dieser Umstand nicht bekannt. Apps unterfallen all den Regelungen, die an Telemedien nach den genannten Normen gestellt werden. Dies gilt auch für § 5 TMG, der eine Impressumspflicht für geschäftsmäßig genutzte Telemedien vorsieht und sich eben auch an jede geschäftsmäßig angebotene App richtet. Oft wird das Impressum in eine App unvollständig eingefügt oder gar ganz unterlassen.

Wie auch bei Websites sind mobile Anwendungen, die allein privaten Zwecken dienen, von dieser Regelung befreit.

You've successfully subscribed to Datenrecht.EXPERT
Great! Next, complete checkout for full access to Datenrecht.EXPERT
Welcome back! You've successfully signed in
Success! Your account is fully activated, you now have access to all content.
Unable to sign you in. Please try again.
Success! Your account is fully activated, you now have access to all content.
Success! Your billing info is updated.
Billing info update failed.
Your link has expired.

© 2021 Ass. jur. Andreas Riehn, München.