Telemedicus

, von

#Soko21: Das neue Telekommunikation-Telemedien-Datenschutzgesetz – Was es über das regulatorische Klima der deutschen Datenschutzpolitik verrät

Telemedicus Sommerkonferenz

Das deutsche Telemedienrecht gehört zu den unangefochtenen Evergreens des datenschutzrechtlichen Regulierungszirkus. Allein die (Nicht-) Umsetzung des Art. 5 Abs. 3 ePrivacy-RL (RL 2002/58/EG) und das diesbezügliche jahrelange Hin und Her zwischen Politik, Literatur, Aufsichtspraxis und Rechtsprechung liefert Stoff für endloses Kopfschütteln. Am 20. Mai 2021 verabschiedete der Bundestag nun das Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG). Es wird am 01. Dezember 2021 zusammen mit dem neuen Telekommunikationsgesetz in Kraft treten. Mit dem TTDSG kommt aber nicht nur (endlich) eine Umsetzung des Art. 5 Abs. 3 ePrivacy-RL. Es gibt darüber hinaus einen Einblick in das aktuelle regulatorische Klima der deutschen Datenschutzpolitik. Exemplarisch dafür sind die zunächst gestrichene und dann doch in § 26 TTDSG aufgenommene Regelung zu Personal Information Management Services (PIMS, dazu unter I.) sowie der Verzicht auf begriffliche Konkretisierungen zu den Begriffen der Speicherung und des Zugriffs im erforderlichen Umfang in § 25 Abs. 2 Nr. 2 TTDSG (dazu unter II.). Beides erlaubt einen Einblick in die deutschen digitalpolitischen Positionen im (ebenfalls) seit dem 20. Mai 2021 laufenden Trilog betreffend die ePrivacy-Verordnung (dazu unter III.).

I. Zur Regulierung von Personal Information Management Services in § 26 TTDSG

Der im Juli 2020 geleakte Referentenentwurf des TTDSG (TTDSG-E) enthielt in § 3 TTDSG-RefE eine Regelung zu „anerkannten Diensten zur Verwaltung persönlicher Informationen“. In der zur Sachverständigenanhörung vorliegenden Fassung fehlte eine entsprechende Regelung dann wieder, nur um nach kontroverser Debatte in der Anhörung schließlich in § 26 TTDSG des verabschiedeten Gesetzes (jetzt benannt als „Anerkannte Dienste zur Einwilligungsverwaltung“) wieder aufgenommen zu werden.

Der Verzicht auf PIMS war im Vorfeld der Anhörung u.a. in der Literatur und aus dem Kreis der Wirtschaft kritisiert worden. In der Sachverständigenanhörung wurde die Forderung nach einer Regelung von PIMS dann erneut deutlich artikuliert. Dass sie nun tatsächlich noch Teil des TTDSG wurden, ist enttäuschend.

Sie sind aufgrund vielfältiger Konfliktbereiche mit den Anforderungen der DSGVO an wirksame Einwilligungen nicht nur datenschutzrechtlich umstritten (siehe dazu die Stellungnahme des Autors in der Sachverständigenanhörung mit weiteren Nachweisen). Sie sind vor allem eine – lediglich als dem Nutzendeninteresse dienend getarnte – Förderung gerade jener Wirtschaftsbereiche, die auf Trackingverfahren angewiesen sind.

PIMS sind letztlich eine Reaktion darauf, dass die datenschutzrechtliche Einwilligung derzeit die für viele Trackingverfahren einzige taugliche Rechtgrundlage ist. PIMS unterstützen und sichern den Zugang zu diesen Einwilligungen, indem deren Abgabe erleichtert wird. Einwilligungen müssen nicht mehr mühsam durch Consent-Banner erlangt werden, sondern können mit Hilfe von PIMS gewissermaßen auf Vorrat für eine Vielzahl gleicher Datenverarbeitungsverfahren eingeholt werden. PIMS erhöhen damit für Betroffene auch die Hemmschwelle, die Einwilligungen in Einzelfällen doch zu versagen. PIMS dienen so vorrangig dem Ziel, Telemedienanbietende und Betreibende von Werbenetzwerken dabei zu unterstützen, weiterhin Zugang zu den für ihre Geschäftsfelder so wichtigen Einwilligungserklärungen der Betroffenen zu erhalten.

Die digitalpolitische Herausforderung, die im Rahmen des Datenschutzes bei Telemedien adressiert werden muss, ist aber eine andere als die Frage, wie der Prozess der Erteilung von Einwilligungen komfortabler (lies: für Betroffene niederschwelliger) gestaltet werden kann. Es gilt stattdessen eine Technologie gesellschaftsverträglich zu regulieren, die ursprünglich zwar vergleichsweise harmlosen Zielen diente (dem berechtigen Ziel der Monetarisierung digitaler Angebote), im Verlauf aber vielfältiges Missbrauchspotential offenbarte. So basiert die telemedial mögliche Auslieferung personalisierter, polarisierender Inhalte und die damit geschaffene Grundlage für toxische Kommunikationsverhältnisse in der digitalen Welt letztlich auf den gleichen technischen Grundlagen wie das Ausliefern personalisierter Werbung: Verfahren der Erfassung, Aggregation und Auswertung von Informationen über das Verhalten von Menschen im digitalen Raum.

Als Lösung für diese Herausforderung ist konsequenter Weise nur eine einwilligungsunabhängige Regulierung jener Verfahren denkbar, die die Auslieferung personalisierter Inhalte überhaupt erst ermöglichen. PIMS sind in diesem Kontext also nicht Teil einer Lösung, weil auch sie nur darauf hinauslaufen, es Betroffenen leichter zu machen, die datenschutzrechtliche Grundlage – die Einwilligung – für derartige Verfahren zu liefern, statt die Frage zu beantworten, in welchem Umfang überhaupt derartige Verfahren zulässig sein sollen. Eine Schutzwirkung der datenschutzrechtlichen Einwilligung kann in diesem Zusammenhang nur noch entdecken, wer seinen Blick auf eine reine Rechtmäßigkeitsfrage verengt, ohne sich dabei den digitalpolitischen Fragen hinter Tracking-Verfahren zu stellen.

Soweit für PIMS darüber hinaus als Argument ins Feld geführt wird, sie würden die Macht der Gatekeeper bändigen, handelt es sich dabei ebenfalls um ein irreführendes Framing. Wenn Browserherstellende mit nennenswerter Verbreitung selbstständig die Möglichkeit des Zugriffs aus Third-Party-Cookies begrenzen (vgl. etwa das mit Safari 13.1 eingeführte, aggressive Blocken von Third-Party-Cookies), setzen sie damit jenen (Überwachungs-) Technologien Grenzen, deren Gefahren gerade auch die ePrivacy-Richtlinie adressieren will. PIMS sind in diesem Zusammenhang erneut kein Werkzeug zum Schutz von Rechten der Nutzenden. Sie dienen vielmehr dem Ziel, den Browser- und App- Herstellenden wieder die Kontrolle darüber zu entziehen, welche technischen Verfahren der Gestaltung und Auslieferung personalisierter Inhalte möglich sind. PIMS schützen auch hier nicht etwa Betroffene, sondern geben den Betreibenden von Werbenetzwerken nur jenen verlorenen Spielraum zurück, den die Browser ihnen genommen haben: Die Möglichkeit, selbst eine Einwilligung der Betroffenen einzuholen.

Natürlich ist es ein Problem, wenn wenige große Browser-Herstellende entscheiden, welche Monetarisierung digitaler Angebote (noch) als gesellschaftsverträglich anzusehen sind. Das Problem ist aber nicht, dass diese Frage von Seiten Apple, Google oder Mozilla eine (streitbare) Antwort erhält, sondern dass diese Beantwortung ohne demokratische Legitimation und ohne gesellschaftlichen Diskurs erfolgt. Es wäre indes Aufgabe einer zeitgemäßen Telemedienregulierung, sich gerade dieser Herausforderung anzunehmen. Die der Einwilligung dienenden PIMS hingegen gehen dieser Herausforderung aus dem Weg und wälzen die Beantwortung dieser Frage auf eine als Selbstbestimmung getarnte Förderung der wirtschaftlichen Interessen der Datenverarbeitenden ab.

Dass das TTDSG all dem zum Trotz in § 26 doch Regelungen zu PIMS aufgenommen hat, zeigt deshalb auf bedauerliche Weise, dass weiter kein Wille vorhanden scheint, sich von der Einwilligung als Regelungsansatz zu lösen und eine klare Grenzziehung zu debattieren, die eine so kritische Technologie erfordern würde.

 

II. Zum Verzicht konkretisierender Regelungen zum Begriff der Speicherung und des Zugriffs im erforderlichen Umfang in § 25 Abs. 2 Nr. 2 TTDSG

Mit § 25 TTDSG wird Art. 5 Abs. 3 ePrivacy-RL praktisch deckungsgleich in deutsches Recht überführt. Mit seiner eng an der Richtlinie orientierten Umsetzung trägt § 25 TTDSG aber auch die Debatte um die Abgrenzung zwischen Einwilligungserfordernis und einwilligungsfreiem Zugriff auf Informationen auf den Endgeräten in das deutsche Recht hinein. In § 25 Abs. 2 Nr. 2 TTDSG wird die Privilegierung des Art. 5 Abs. 3 Satz 2 Alt. 2 ePrivacy-Richtlinie umgesetzt und die Speicherung von Informationen in der Endeinrichtung der Endnutzenden oder der Zugriff auf bereits in der Endeinrichtung gespeicherte Informationen für zulässig erklärt, wenn dies unbedingt erforderlich ist, damit Anbietende von Telemediendiensten einen von Nutzenden ausdrücklich gewünschten Telemediendienst zur Verfügung stellen können.

Diese Umsetzung ist grundsätzlich nicht zu kritisieren, die Richtlinie eröffnet insofern wenig Spielraum. Nichtsdestotrotz wäre es in diesem Zusammenhang wünschenswert gewesen, Regelbeispiele von „unbedingt erforderlichen“ Zugriffen in die deutsche Umsetzung mit aufzunehmen. Dies zeigt sich insbesondere am Beispiel minimalinvasiver, First-Party-Cookies basierender Reichweitenanalysedienste, wie sie etwa Anbietende wie Matomo (ehemals Piwik) anbieten. Diese Verfahren waren je nach technischer Ausgestaltung zuvor auch nach Auffassung der Datenschutzaufsichtsbehörden ohne Einwilligung auf Basis einer Interessenabwägung zulässig. Der Regulierungsansatz des Art. 5 Abs. 3 ePrivacy-RLkennt hingegen kennt kaum Grauzonen und dürfte auch derartige „unkritische“ Verfahren zukünftig unter Einwilligungsvorbehalt stellen. Dies hätte nachteilige Folgen für entsprechende datenschutzsparsame Verfahren, für die Verantwortliche nunmehr den gleichen datenschutzrechtlichen Aufwand betreiben müssten, wie für potentiell mächtigere – aber problematische – Tools wie Google Universal Analytics. Der Verzicht auf gewisse Analysefähigkeiten wurde bisher durch den Vorteil abgesenkter datenschutzrechtlicher Anforderungen aufgewogen. § 25 Abs. 2 Nr. 2 TTDSG schafft diesen wesentlichen Anreiz für datensparsame Reichweitenanalysetools nun – gezwungenermaßen – ab.

Auch die Normierung derartiger Regelbeispiele wäre zwar unweigerlich Bedenken hinsichtlich ihrer Europarechtswidrigkeit ausgesetzt. Ihrer Notwendigkeit tut das freilich wenig Abbruch, allein um Bestrebungen entgegen zu treten, den Begriff der Erforderlichkeit sehr weitgehend im Sinne einer wirtschaftlichen Nützlichkeit auszulegen. Dass bei der deshalb so wünschenswerten konkretisierenden Regulierung den europarechtlichen Bedenken nachgegeben wurde, ist geradezu entlarvend, wenn man sich verdeutlicht, dass der Gesetzgeber sich von mindestens ebenso großen Bedenken nicht abhalten ließ, sich bei der gerade dargestellten Förderung der Interessen der Werbetreibenden mittels PIMS weit aus dem Fenster zu lehnen.

III. Was aus dem TTDSG für den Trilog über die ePrivacy-Verordnung abzuleiten ist

Sowohl die handwerklich streitbare Aufnahme einer Regelung von PIMS in § 26 TTDSG als auch der Verzicht auf Klarstellungen zur Reichweite des einwilligungsfreien Bereichs in § 25 Abs. 2 Nr. 2 TTDSG lassen für die derzeitigen Trilogverhandlungen über die ePrivacy-Verordnung deutlich erkennen, welche digitalpolitische Position seitens Deutschland eingebracht werden wird.

Die ePrivacy-Verordnung böte abermals Gelegenheit, sich klar zu positionieren und technische sowie inhaltliche Vorgaben dazu zu machen, anhand welcher Daten und zu welchen Zwecken personalisierte Inhalte an Telemediennutzende ausgeliefert werden dürfen. Stattdessen offenbart der Ratsentwurf, weiterhin vor allem auf die Einwilligung als Lösung zu setzen. Der Rat hat einem Entwurf das Verhandlungsmandat erteilt, der in Art. Abs. 1d des Entwurfs zwar reine Reichweitenmessung aus dem Einwilligungserfordernis ausnimmt, darüber hinaus aber jede weitere Regulierung des eigentlichen Kernpunkts, die Personalisierung von (Werbe-) Inhalten, völlig der Einwilligung überlässt. Mit Blick auf die im TTDSG erkennbare Richtung ist insofern auch kaum eine Kurskorrektur zu erwarten.

Leider dürfte auch von den übrigen Verhandlungspartnern, Kommission und Parlament, kaum mehr Handlungswille zu erwarten sein. Auch ihre Entwürfe setzen umfassend auf die Einwilligung als Lösungsansatz. Der Irrtum, sie würde für Betroffenen im Zweifel die größte Schutzwirkung entfalten, scheint fest in den Köpfen der DigitalpolitikerInnen verankert. Zu abschreckend ist es offenbar, sich auf das schwierige Parkett der tatsächlichen Regulierung zu begeben. Zu verführerisch wirken programmatische Vereinfachungen wie „Meine Daten gehören mir“ und zu verlockend scheint es, sich schulterklopfend unter Verweis auf die „Stärkung der digitalen Souveränität der Betroffenen“ den Kernfragen zu entziehen.

Mitveranstalter:
Weizenbaum Institut
Sponsoren:
HÄRTING Bird & Bird
GAME SKW Schwarz Compliance Essentials
  • Malte Engeler ist Rechtswissenschaftler und Richter am Schleswig-Holsteinischen Verwaltungsgericht. Zuvor war er viele Jahre im Bereich der nationalen und europäischen Datenschutzaufsicht tätig

, Telemedicus v. 14.07.2021, https://tlmd.in/-9476

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Newsletter

In Kooperation mit

Kommunikation & Recht

Hosting

Domainfactory