Datenschutz: Bundesregierung plant neues Datenschutzgesetz
Foto: CC0 1.0, Pixabay / JanBaby / Ausschnitt bearbeitet
Auf europäischer Ebene wird noch über die E-Privacy-Verordnung gestritten. Das Bundeswirtschaftsministerium arbeitet derweil an einem Referentenentwurf, der die Benutzung von Cookies reguliert, Bestimmungen für PIMS beinhaltet und unbemerkte Audioaufnahmen schärfer eingrenzt. Das geplante Telekommunikations-Telemedien-Datenschutz-Gesetz soll das Nebeneinander von Datenschutzbestimmungen der Datenschutz-Grundverordnung des Telemediengesetzes und des Telekommunikationsgesetzes beenden und einen einheitlichen und sicheren Rechtsrahmen schaffen.
In Brüssel und Straßburg wird derzeit über einen Kompromiss zur E-Privacy-Verordnung verhandelt, die den Datenschutz speziell bei Internetdiensten und neuartigen Kommunikationsdiensten wie Messengern regeln soll. Ob eine Einigung nach fast vier Jahren Verhandlungen unter deutscher Ratspräsidentschaft gelingt, ist noch offen. Derzeit gilt noch die E-Privacy-Richtlinie aus dem Jahr 2002, die zwar 2009 überarbeitet wurde, aber auch deswegen als veraltet gilt, weil sie viele neue Technologien wie etwa Systeme auf Basis von Künstlicher Intelligenz (KI) noch nicht absehen konnte.
Die Bundesregierung will offenbar nicht auf diesen Kompromiss warten. Der Referentenentwurf für ein „Gesetz über den Datenschutz und den Schutz der Privatsphäre in der elektronischen Kommunikation und bei Telemedien sowie zur Änderung des Telekommunikationsgesetzes, des Telemediengesetzes und weiterer Gesetze“ stammt aus dem Bundesministerium für Wirtschaft und Energie (BMWi) und berührt einige für die E-Privacy-Verordnung zentrale Themen.
Schon seit Einführung der Datenschutzgrundverordnung (DSGVO) steht in Deutschland eine Anpassung des deutschen Telekommunikations- und Telemediengesetzes aus, um Nutzertracking eindeutig zu regeln. Das BMWi wollte nach einem Bericht von netzpolitik.org vom vergangenen Herbst das EuGH-Urteil zu Cookies vom vergangenen Herbst abwarten, das im Mai vom Bundesgerichtshof bekräftigt wurde. Doch die vom BMWi nun angedachte Reform geht in einigen Punkten über die Tracking-Thematik hinaus.
TTDSG soll kommen
Kern des Entwurfs ist die Einführung eines „Telekommunikations-Telemedien-Datenschutz-Gesetzes“ (TTDSG). Daneben finden sich dort auch Anpassungsregelungen für bestehende Regulierungen. „Der Gesetzentwurf zielt darauf ab, einen wirksamen Datenschutz und Schutz der Privatsphäre der Endnutzer zu gewährleisten. Dabei sollen aber funktionierende Geschäftsmodelle weder beeinträchtigt noch Innovationen in der digitalen Welt behindert werden“, heißt es in der Begründung.
In dem Entwurf finden sich einige wichtige Regelungen für die Verbesserung von Daten-schutzbestimmungen. Andererseits sind auch Regelungen vorgesehen, die es manchen Unternehmen unter bestimmten Bedingungen einfacher machen, Daten zu sammeln.
PIMS bekommen einen rechtlichen Rahmen
In Paragraph 3 des TTDSG werden erstmals Regelungen zu Personal Information Systems (PIMS) getroffen. Solche Systeme sollen dazu beitragen, dass Nutzer ihre persönlichen Daten, die sie mit der Zustimmung zu Datenschutzvereinbarungen mit Dienstanbietern freigeben, besser kontrollieren können. Eine oft diskutierte Variante eines PIMS ist die Speicherung von persönlichen Daten wie etwa dem Suchverhalten, der Browserhistorie und Ähnlichem in einem geschützten Raum. Nutzer können dann entscheiden, welche Dienste wann und in welchem Ausmaß Zugriff auf diese Daten bekommen. Der TTDSG-Entwurf erwähnt in diesem Zusammenhang ausdrücklich Verkehrs- und Standortdaten und den Zugriff auf bereits auf den Endgeräten gespeicherten Daten.
Im Gesetz werden PIMS als „Anerkannte Dienste zur Verwaltung persönlicher Informationen“ definiert. Ihre Nutzung soll freiwillig sein – kein Dienstanbieter darf einen Nutzer dazu zwingen, ein PIMS zu verwenden. Andererseits müssen Nutzer die Möglichkeit haben, mit jedem Dienstanbieter eine Vereinbarung zur Nutzung eines PIMS abzuschließen.
PIMS müssen gewissen Grundsatzstandards entsprechen: Laut Paragraph 3, Absatz 2 müssen sie beispielsweise unabhängig sein und dürfen kein Eigeninteresse an der Nutzung der Daten haben. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) soll die Anerkennung aussprechen, mit deren Hilfe PIMS zu „Anerkannten Diensten“ im Sinne dieses Gesetzes werden können.
Unbemerkte Audio- und Videoaufnahmen werden härter reguliert
Paragraph 7 regelt den „Missbrauch von Telekommunikationsanlagen“. Ein ähnlicher Passus befindet sich derzeit bereits in Paragraph 90 des TKG: Er verbietet Geräte, die ihrer Form nach einen anderen Gegenstand vortäuschen und dazu dienen, „das nicht öffentlich gesprochene Wort“ eines anderen aufzunehmen. Im TTDSG wird dieser Passus jedoch noch von einer zusätzlichen Definition ergänzt: „Als zum unbemerkten Abhören oder Aufnehmen eines Bildes bestimmt gilt eine Telekommunikationsanlage insbesondere, wenn diese Aufnahmefunktion beim bestimmungsgemäßen Gebrauch des Gegenstandes für den Betroffenen nicht eindeutig erkennbar ist.“
Dies könnte auch auf so genannte „Smart Speaker“ zutreffen: Nutzern dürfte zwar klar sein, dass es sich dabei nicht nur um Lautsprecher handelt, sondern um KI-basierte, interaktionsfähige Technologien. Dass jedoch mit diesen Geräten mitunter auch Gespräche zu Lernzwecken aufgezeichnet und ausgewertet werden, wie es beispielsweise von Amazons Alexa bekannt geworden ist, wird nicht sofort ersichtlich. „Eine Telekommunikationsanlage ist zur unbemerkten Aufnahme geeignet, wenn der Aufgenommene die Aufnahmesituation nicht unter Kontrolle hat“, heißt es in der Begründung des Gesetzes. „Hierzu gehört, dass er Einfluss darauf nehmen kann, ob eine Aufnahme gemacht wird, wann die Aufnahme beginnt und wann die Aufnahme endet.“ Es sei Aufgabe des Herstellers, den Gegenstand so zu gestalten, dass die Aufnahmesituation klar erkennbar wird.
Cookies unter bestimmten Bedingungen ohne Einwilligung
Auch Cookies spielen im TTDSG-Entwurf eine Rolle. Deren Einsatz ist weiterhin einer der größten Streitpunkte bei der E-Privacy-Verordnung. Dabei geht es beispielsweise um die Frage, ob werbefinanzierte Netzdienste ihre Nutzer dazu zwingen können, Tracking-Cookies zuzulassen, oder unter welchen Umständen eine explizite Einwilligung erforderlich ist. Im Januar 2017 wurde ein erster Entwurf für die Verordnung vorgelegt, seitdem haben sieben EU-Ratspräsidentschaften erfolglos versucht, einen Kompromiss zu erzielen.
Die deutsche Ratspräsidentschaft möchte im September dazu einen Kompromissvorschlag vorlegen. Wichtige Regelungen, die darin gelöst werden sollen, sind unter anderem „Rechtsgrundlagen zur Verarbeitung von Kommunikationsdaten und zum Zugriff auf Endeinrichtungen“, wie aus einer Vorhabensliste der deutschen Ratspräsidentschaft hervorgeht.
Die „Einwilligung bei Endeinrichtungen“ wird auch in Paragraph 9 des TTDSG-Entwurfs behandelt. Dabei geht es um die Frage, wann keine Einwilligung des Nutzers zur Speicherung von Daten auf Endgeräten erforderlich ist. Damit sind auch Cookies gemeint. Es werden drei Bedingungen genannt, unter denen es eine Ausnahme zur Einwilligungspflicht gibt: Wenn dies „technisch erforderlich“ ist, um Kommunikation zu gewährleisten oder um einen Dienst bereitzustellen, den der Nutzer wünscht; wenn dies „vertraglich“ bereits ausdrücklich „vereinbart war“ oder wenn es „zur Erfüllung gesetzlicher Pflichten erforderlich“ ist.
Sonderregeln für Telemediendienste
Eine Sonderregelung für Telemediendienste findet sich im Paragraph 9, Absatz 3. Hier liege eine freiwillige Einwilligung bereits vor, „wenn der Diensteanbieter den Endnutzer darüber informiert hat, welche Informationen zu welchem Zweck und wie lange auf Endeinrichtungen gespeichert bleiben und ob Dritte Zugriff auf diese Informationen erhalten“, und der Endnutzer „mittels einer Funktion diese Information aktiv bestätigt und die Telemedien in Anspruch nimmt.“
Außerdem wurde der zuletzt in den Verhandlungen zur E-Privacy-Verordnung umstrittene Passus mit aufgenommen, dass eine Einwilligung generell auch über die Cookie-Einstellungen des Browsers oder einer anderen Anwendung gegeben werden kann. Zur ebenfalls umstrittenen Frage, ob ein Dienst seine Nutzung untersagen kann, wenn bestimmte Cookies vom Nutzer nicht zugelassen werden, trifft das TTDSG keine direkte Regelung.
Neue Zuständigkeiten für den BfDI
Abschließend ordnet das Gesetz auch die Zuständigkeiten der Bundesnetzagentur (BNetzA) und des BfDI neu. „Zukünftig soll die Aufsicht über den Schutz der personenbezogenen Daten durch BfDI erfolgen. Die Zuständigkeit der BNetzA im Übrigen bleibt unberührt“, heißt es in der Begründung des Gesetzes. Bisher war die BNetzA für die Überwachung der Vorschriften aus Paragraph 88 bis 107 des TKG zuständig – hierzu gehört zum Beispiel das Abhörverbot und die Einhaltung von Informationspflichten.
Der Bundesverband Digitale Wirtschaft (BVDW) formulierte gegenüber dem Tagesspiegel Erwartungen an das Gesetz: „Wesentlich ist der mehrdimensional ausgewogene Ausgleich – zwischen den Interessen von Verbrauchern und Wirtschaft einerseits und den Interessen von globalen Plattformen und den in Deutschland tätigen Unternehmen der digitalen Wirtschaft – Stichwort Level Playing Field“, so ein Sprecher. Gesetzliche Rahmenbedingungen zum Datenschutz müssten den Wettbewerb fördern und nicht reduzieren. „Datenschutz darf nicht dazu führen, dass Unternehmen wie Apple und Google mehr wissen (dürfen) als Staat, Gesellschaft und Verbraucher – siehe Corona-App. Auch die jüngsten wirtschaftlichen Daten gerade der großen Plattformen sind hier ein weiteres sehr deutliches Signal.“
Tagesspiegel Politikmonitoring
Der vorstehende Artikel erscheint im Rahmen einer Kooperation mit dem Tagesspiegel Politikmonitoring auf der Website des BASECAMP.