Neue Datenschutzregeln bei Telekommunikation

Der Bundesrat hat einem neuen Gesetz zum Schutz der Privatsphäre in der digitalen Welt zugestimmt, welches zusammen mit dem Telekommunikationsgesetz am 1. Dezember 2021 in Kraft treten wird. Das „Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien“, kann aber auch ganz einfach mit TTDSG abgekürzt werden.

Cookies

Ein wichtiger Bestandteil des TTDSG sind die Regelungen zum Einsatz von Cookies. Danach dürfen Cookies auf den Endgeräten der Nutzer nur gespeichert werden, wenn der Nutzer darüber informiert wurde und auch eingewilligt hat. Die Information und die Einwilligung haben jeweils nach den Vorschriften der DSGVO zu erfolgen.

Ausnahmen zur Einwilligung werden entsprechend den Vorgaben der ePrivacy-Richtlinie in § 25 TTDGS festgelegt. So ist eine Einwilligung zum einen nicht erforderlich, wenn die Speicherung nur erfolgt, um eine Nachricht zu übermitteln. Zum anderen ist sie nicht notwendig, wenn die Speicherung unbedingt erforderlich ist, um vom Nutzer nachgefragte Telemedien bereitzustellen. Diese Ausnahmeregelung betrifft z.B. das Setzen und Auslesen technisch notwendiger Cookies, damit die gewünschten Dienste überhaupt ausgeführt werden können.

Das TTDSG versucht, soweit wie möglich eine nutzerfreundliche Einwilligungsverwaltung zu etablieren. Ursprünglich war geplant, die Einwilligung auch durch entsprechende Einstellungen im Browser oder auf andere Weise zuzulassen. Mittlerweile ist man davon abgekommen. Vielmehr wird über § 26 TTDSG eine Regelung eingeführt, die auch für Teledienste, Telemedienanbieter und Browser eine gewisse Erleichterung bietet. So soll ein Rechtsrahmen geschaffen werden, der Dienste zur Einwilligungsverwaltung wie z.B. sog. PIMS (Personal Information Management Systems) anerkennt.  Eine Regierungsverordnung soll dazu zunächst die erforderlichen Strukturen näher ausgestalten.

Digitaler Nachlass

Auch der digitale Nachlass ist ein wichtiger Bestandteil des TTDSG. Zugangsdaten oder Passwörter zu sozialen Netzwerken, E-Mail-Diensten oder Clouds werden in den seltensten Fällen testamentarisch geklärt. Daher war es den Erben bislang aufgrund des Fernmeldegeheimnis nicht möglich, Zugang zu den Accounts des Verstorbenen zu erhalten. Denn das Fernmeldegeheimnis schützt nicht nur die Inhalte der Telekommunikation, sondern auch die Frage, wer an der Telekommunikation beteiligt war. Somit wurde u.a. mit Verweis auf die Rechte von Freunden, Geschäfts- oder Vertragspartnern den Erben der Zugang zu den Inhalten verweigert.

Da dies eine äußerst unbefriedigende Situation darstellte, wird jetzt durch das TTDSG klargestellt, dass das Fernmeldegeheimnis die Erben des Endnutzers und andere Personen mit vergleichbarer Rechtsstellung nicht an der Wahrnehmung der Rechte des Endnutzers gegenüber dem jeweiligen Dienst hindern darf. Der Erbe wird also in den Stand des Verstorbenen versetzt und kann alle die Rechte geltend machen, die dem Erben gegenüber dem Anbieter zustanden. Wie weit diese Regelung geht und welche Rechte tatsächlich den Erben zukommen, wird sich aber wohl erst nach diversen rechtlichen Auseinandersetzungen mit den Anbietern und den entsprechenden Urteilen herausstellen.

Aktive Einwilligung bei Cookies erforderlich

Der Europäische Gerichtshof (EuGH) entschied mit Urteil vom 01. Oktober 2019, dass Internetnutzer beim Besuch einer Webseite ausdrücklich in die Cookie-Nutzung einwilligen müssen. Eine voreingestellte Zustimmung, bei denen die Nutzer ein bereits gesetztes Häkchen zu entfernen haben, sei unzulässig.

Worum ging es?

Klägerin war ein deutscher Verbraucherschutzverband, Beklagter der Betreiber eines Online-Gewinnspiels. Dieser hatte auf seiner Internetseite ein Kästchen vorgesehen, über das seine Webseitenbesucher dem Setzen von Cookies zustimmten. Dieses Kästchen war in der Standardeinstellung bereits angehakt. Waren Nutzer mit den Cookies nicht einverstanden, mussten sie also widersprechen bzw. das Häkchen entfernen. Hierin sah die Klägerin einen Verstoß gegen das Datenschutzrecht. Denn grundsätzlich legt die 2018 erlassene Datenschutz-Grundverordnung (DSGVO) ein „Opt in“-Verfahren vor. Nutzer müssen also selbst aktiv die Zustimmung erteilen. Allerdings sieht das deutsche Telemediengesetz ein solches Opt in wiederum gerade nicht vor. Hiernach dürfen zum Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile erstellt werden, sofern der Nutzer dem nicht widerspricht. Die Regelungen stehen also im Widerspruch zueinander. Daher legte der sich in Deutschland mit dem Rechtsstreit befassende Bundesgerichtshof (BGH) dem EuGH einige Fragen zur Auslegung der EU-Datenschutzregelungen vor.

Cookies sind im Übrigen kleine Dateien, die beim Surfen im Internet Erinnerungsdaten speichern. Besucht ein Nutzer erneut eine Webseite, werden die gespeicherten Einstellungen wiedererkannt und abgerufen. Das erleichtert die Internetnutzung.

Cookie-Voreinstellung keine aktive Einwilligung

Der EuGH entschied zum einen, dass durch ein voreingestelltes Häkchen keine erforderliche Einwilligung in die Verwendung von Cookies erteilt werde. Auch mache es keinerlei Unterschied, ob es sich bei den gespeicherten Informationen um personenbezogene Daten handele oder nicht. Grundsätzlich solle der Nutzer vor jeden Eingriff in seine Privatsphäre geschützt werden. Also sei bei allen Cookies das sog. Opt-in Verfahren anzuwenden, das heißt die Nutzer müssen selbst das Häkchen setzen.

Außerdem legte der EuGH fest, dass die Webseitenbetreiber den Nutzern auch bestimmte Informationen zu den verwendeten Cookies zur Verfügung zu stellen haben. Hierzu gehören beispielsweise Informationen zur Funktionsdauer oder etwaige Zugriffsmöglichkeiten durch Dritte. Denn der Nutzer müsse in die Lage versetzt werden, das Ausmaß seiner erteilten Einwilligung zu bestimmen. Dazu gehören klare und leicht verständliche Informationen, um beispielsweise die Funktionsweise von Cookies zu verstehen.

Was ist jetzt zu tun?

Viele Webseiten holen bereits jetzt aktiv die Zustimmung über das Opt in-Verfahren ein. Allerdings ohne die jetzt vom EuGH festgelegten erforderlichen Informationen.  Hierzu bedarf es eines höheren Umsetzungsaufwandes für Webseitenbetreiber, die ihre Einstellungen entsprechend einrichten und konfigurieren müssen. Allerdings ist zunächst die Entscheidung des Bundesgerichtshofs abzuwarten. Er muss – da er im vorliegenden Fall an den EuGH herangetreten ist, um einschlägige Regelungen auslegen zu lassen –  zu einem konkreten Urteil finden. An diesem Urteil ist dann zu bemessen, wie die nachfolgenden Umsetzungsschritte auszusehen haben und welche Änderungen auf den E-Commerce zukommen werden.

 

IP-Adresse muss gespeichert werden

Auch wenn sie es gar nicht wollen: E-Mail-Anbieter, die gerade auf Datensparsamkeit als unternehmerisches Alleinstellungsmerkmal setzen, müssen trotzdem die IP-Adresse ihrer Kunden speichern. Denn sie haben grundsätzlich damit zu rechnen, in einem Strafverfahren die Daten an die Staatsanwaltschaft herausgeben zu müssen. Dies entschied das Bundesverfassungsgericht und wies die Verfassungsbeschwerde von Posteo ab.

Speichern von IP-Adressen entgegen dem eigenen Geschäftsmodell?

Posteo betreibt einen E-Mail-Dienst, der mit einem besonders effektiven Schutz der Kundendaten wirbt und sich den Grundsätzen der Datensicherheit und der Datensparsamkeit verpflichtet sieht. Daher werden Daten nur dann erhoben und gespeichert, wenn dies aus technischen Gründen erforderlich oder gesetzlich vorgesehen ist. Die Staatsanwaltschaft Stuttgart führte ein Ermittlungsverfahren wegen Verstöße gegen das Betäubungsmittelgesetz und das Kriegswaffenkontrollgesetz durch. Aufgrund dessen wurde gerichtlich angeordnet, alle Daten des betroffenen E-Mail-Accounts, die auf den Servern von Posteo gespeichert wurden, zu sichern und herauszugeben. Dies bezog sich auch auf alte sowie zukünfig anfallende Daten. Daraufhin richtete Posteo die Telekommunikationsüberwachung ein, wies jedoch darauf hin, dass Verkehrsdaten der Nutzer nicht „geloggt“ würden und derartige Daten inklusive der IP-Adressen daher nicht zur Verfügung gestellt werden könnten. Denn sie werden aufgrund besonderer technischer Einrichtungen bereits an den Außengrenzen des Systems verworfen und seien dem Zugriff von Posteo entzogen. Aufgrund dessen wurde gegen Posteo ein Ordnungsgeld festgesetzt. Per Verfassungsbeschwerde sollte nun geklärt werden, ob die Festsetzung des Ordnungsgeldes in Grundrechte von Posteo, insbesondere in die Freiheit der Berufsausübung und in das Recht auf freie Entfaltung der Persönlichkeit, eingreift.

Grundsätzlich kein Verstoß gegen Grundrechte erkennbar

Grundsätzlich dürfe in die grundgesetzlich geschützte Freiheit der Berufsausübung nur aufgrund einer gesetzlichen Regelung, die Umfang und Grenzen des Eingriffs erkennen lasse, eingegriffen werden.  Je stärker in grundrechtlich geschützte Bereiche eingegriffen werde, desto deutlicher müsse das gesetzgeberische Wollen zum Ausdruck kommen. Dies sei vorliegend der Fall gewesen. Die Fachgerichte hätten die Vorschriften über die Mitwirkungs- und Vorhaltungspflichten von TK-Diensteanbieter in verfassungsrechtlich vertretbarer Weise ausgelegt. Sie durften davon ausgehen, dass Posteo verpflichtet gewesen sei, seinen Betrieb so zu gestalten, dass er den Ermittlungsbehörden die angeforderten IP-Adressen zur Verfügung stellen könne. Denn die Überwachung der Telekommunikation erfasse nicht nur die Kommunikationsinhalte, sondern auch die näheren Umstände der Telekommunikation einschließlich der fraglichen IP-Adressen. Ein grundrechtlicher Verstoß sei daher nicht erkennbar.

Überwachung erfasst auch anfallende Verkehrsdaten und somit IP-Adressen

Der die Telekommunikationsüberwachung zulassende Paragraf (§ 100 a StPO) erfasse auch E-Mail-Kommunikation, jedenfalls soweit es sich um die Übertragung der Nachricht vom Gerät des Absenders über dessen Mailserver auf den Mailserver des E-Mail-Providers und um den späteren Abruf der Nachricht durch den Empfänger handele. Vom Schutz des grundrechtlich geschützten Fernmeldegeheimnisses seien aber nicht nur die Inhalte, sondern auch die näheren Umstände der Telekommunikation erfasst. Daher betreffe die Überwachung auch die in dem Zeitraum anfallenden Verkehrsdaten. Zu solchen Verkehrsdaten gehörten auch IP-Adressen.

Technische Einrichtungen für die Überwachung sind vorzuhalten und zu organisieren

Grundsätzlich bestehe für Betreiber von öffentlich zugänglichen Telekommunikations-diensten die Verpflichtung, ab dem Zeitpunkt der Betriebsaufnahme auf eigene Kosten technische Einrichtungen und die entsprechenden organisatorischen Vorkehrungen für die unverzügliche Umsetzung der Telekommunikationsüberwachung zu treffen. Dies gelte auch für Posteo. Dabei habe das Unternehmen eine vollständige Kopie der Telekommunikation bereitzustellen, die über seine Telekommunikationsanlage abgewickelt werde. Dies gelte auch auch für die bei ihm vorhandenen Daten über eine gewählte Rufnummer oder eine andere Adressierungsangabe wie z.B. IP-Adressen.

Auch Posteo speichert für die Dauer der Kommunikation notwendige Daten

Das Verfassungsgericht nahm auch an, dass entsprechende Telekommunikationsdaten bei Posteo vorhanden seien. Schon aus der beschriebenen Systemstruktur ergebe sich, dass Posteo die öffentlichen IP-Adressen seiner Kunden wenigstens für die Dauer der Kommunikation speichern müsste. Denn ansonsten könne der Dienst die abgerufenen Datenpakete seinen Kunden gar nicht übersenden. Jedenfalls fallen die Daten beim Zugriff auf den überwachten E-Mail-Account an und seien der Telekommunikations-anlage wenigstens zeitweise bekannt. Daher werden sie auch von Posteo zur Herstellung einer erfolgreichen Kommunikation mit dem anfragenden Kunden benutzt.

Datenschutz-Geschäftsmodell entbindet nicht vom Speichern der IP-Adressen

Zudem sei die Überwachung nicht auf die Verkehrsdaten beschränkt, die vom Diensteanbieter zulässigerweise erhoben werden dürfen, so das Bundesverfassungs-gericht. Dass Posteo momentan nicht auf externe IP-Adressen zugreifen könne, stehe dem nicht entgegen. Denn dies liege nicht daran, dass die Daten an sich nicht vorhanden wären. Vielmehr habe sich Posteo aus Datenschutzgründen dazu entschlossen, die Daten vor seinen internen Systemen zu verbergen und sie nicht zu protokollieren. Das sei jedoch allein dem gewählten Geschäfts- und Systemmodell geschuldet. Zwar sei das Anliegen, ein datenschutzoptimiertes und daher für viele Nutzer attraktives Geschäftsmodell anzubieten, grundsätzlich schützenswert. Dies könne jedoch nicht vom Erfordernis einer funktionstüchtigen Rechtspflege und dem Vorhalten von IP-Adressen entbinden.

Wie die Datenschutzerklärung bei Facebook aussehen muss

Der Europäische Gerichtshof (EuGH) hatte am 05.06.2018 entschieden, dass Unternehmen, die eine Facebookseite (sog. Fanpage) betreiben, gemeinsam mit Facebook für die Einhaltung des Datenschutzes verantwortlich sind. Denn bei mehreren Verantwortlichen muss vertraglich zwischen ihnen festlegt werden, wer welche Verpflichtungen aus der nunmehr geltenden DSGVO übernimmt. Weitere Einzelheiten zum Urteil sind hier zu finden. Inbesondere war umstritten, wer die Fanpage-Besucher eigentlich über die Datenerhebung informieren soll – Facebook oder der Seitenbetreiber selbst.

Mehr als drei Monate nach dem Urteil hat nun endlich Facebook reagiert. Zum 11.09.2018 hat das Unternehmen seine Allgemeinen Geschäftsbedingungen (AGB) geändert. Jetzt ist dort geregelt, dass Facebook gemeinsam mit dem Fanpage-Betreiber verantwortlich ist und die Verantwortung für die Bereiche Informationspflichten, Betroffenenrechte sowie Datensicherheit einschließlich der Meldung von Datenschutzverletzungen übernimmt.

Das bedeutet für den Fanpage-Betreiber selbst, dass er lediglich eine umfassende Datenschutzerklärung in die eigene Unternehmensseite integrieren muss einschließlich notwendiger Informationen zum Zweck bzw. der Rechtsgrundlage der Datenverarbeitung. Außerdem ist Facebook als gemeinsamer Verantwortlicher zu benennen. Zudem sollten die Besucher darüber informiert werden, welche Rechte sie gegenüber Facebook geltend machen können und wie sie dabei vorgehen können. Dabei sollte auf die Datenschutzinformation von Facebook hingewiesen und verlinkt werden.

So schwierig ist es letztendlich also gar nicht, den Datenschutz über Facebook und andere social Media sicherzustellen.

Social Media-Nutzerkonten von Verstorbenen

Der Bundesgerichtshof hat mit Urteil vom 12. Juli 2018 (Az. III ZR 183/1) entschieden, dass Facebook den Eltern eines verstorbenen Mädchens Zugang zu dem seit ihrem Tod gesperrten Nutzerkonto gewähren muss. Grund sei, dass auch Briefe und Tagebücher auf Erben übergingen. Es gebe keinerlei Gründe, digitale Inhalte anders zu behandeln. Die Tochter habe mit Facebook ein Nutzungsvertrag geschlossen; die Eltern könnten als Erben in diesen Vertrag eingetreten. Damit hoben die Richter das Urteil der Vorinstanz auf. Das Berliner Kammergericht hatte den Eltern noch den Zugriff mit Verweis auf das Fernmeldegeheimnis und den Datenschutz verwehrt.

Aber von vorn: Die Eltern eines mit 15 Jahren verstorbenen Mädchens verklagten Facebook, da sie Zugang zum Benutzerkonto ihrer Tochter und dessen Inhalte haben wollten. Das Mädchen verstarb 2012 unter ungeklärten Umständen; es wurde von einer U-Bahn erfasst. Über den Facebook-Account wollten die Eltern insbesondere herausfinden, ob die Tochter Suicidegedankten hegte und sich eventuell selbst das Leben nahm. Zwar kannten die Eltern das Facebook-Passwort. Jedoch konnten sie sich nicht einloggen, da Facebook das Benutzerkonto nach einem Hinweis auf den Tod in den sog. Gedenkzustand versetzt hatte. Hierbei bleiben die Inhalte des Profils bestehen und für Nutzer bzw. Facebook-Freunde weiterhin sichtbar. Facebook verweigerte den Eltern den Zugriff auf das Konto und die dazugehörigen Nachrichten. Das Netzwerk rechtfertigte sich damit, dass der Gedenkzustand nicht nur die Rechte des toten Nutzers schütze, sondern auch dessen Kontakte. Daher müssten private Nachrichten auch privat bleiben.

Der Bundesgerichtshof sah das jedoch anders. Es urteilte, dass die Erben durchaus einen Anspruch auf Zugang zum Nutzerkonto der Verstorbenen und der darin enthaltenen Kommunikationsinhalte hätten. Denn das ergebe sich bereits aus dem zwischen dem Mädchen und Facebook geschlossenen Nutzungsvertrag. Dieser Vertrag sei im Wege der Gesamtrechtsnachfolge auf die Erben und somit auf die Eltern übergegangen. Die Vererblichkeit des Vertrages sei auch nicht durch die vertraglichen Bestimmungen ausgeschlossen; die Nutzungsbedingungen enthielten hierzu nämlich keine Regelung.

Zudem würde sich auch aus dem Wesen des Vertrags keine Unvererblichkeit des Vertragsverhältnisses ergeben. Denn der Abschluss des Nutzungsvertrages mit Facebook mag zwar auch aus der Erwartung erfolgen, dass die Nachrichten zwischen den Nutzern grundsätzlich vertraulich bleiben und Dritten gegenüber nicht offengelegt werden. Jedoch sei die vertragliche Verpflichtung von Facebook zur Übermittlung und Bereitstellung von Nachrichten und sonstigen Inhalten nicht kontobezogen. Sie habe nicht zum Inhalt, Nachrichten und Inhalte an eine bestimmte Person zu übermitteln, sondern an das angegebene Benutzerkonto. Der Absender einer Nachricht könne daher zwar darauf vertrauen, dass sie nur für das von ihm ausgewählte Benutzerkonto zur Verfügung gestellt werden. Es bestehe aber kein schutzwürdiges Vertrauen darauf, dass nur der Kontoinhaber und nicht auch Dritte von dem Kontoinhalt Kenntnis erlangen. Bereits zu Lebzeiten müsse mit einem Missbrauch des Zugangs durch Dritte oder mit der Zugangsgewährung durch den Kontoberechtigten gerechnet werden und bei dessen Tod auch mit der Vererbung des Vertragsverhältnisses.

Dieser Einschätzung stehe auch nicht das Fernmeldegeheimnis entgegen. Denn grundsätzlich schütze dieses zwar davor, dass sich Diensteanbieter oder andere Kenntnis von Kommunikatonsinhalten verschaffen. Allerdings können Erben nicht als „andere“ in diesem Sinne betrachtet werden, da sie vollständig die Position des Verstorbenen einnehmen.

Auch scheide eine Differenzierung des Kontozugangs nach vermögenswerten und höchstpersönlichen Inhalten aus. Somit gingen auch Rechtspositionen mit höchstpersönlichen Inhalten wie Tagebücher und persönliche Briefe auf die Erben über (siehe § 2047 Abs. 2 BGB und § 2373 Satz 2 BGB). Es bestehe somit aus erbrechtlicher Sicht kein Grund dafür, digitale Inhalte anders zu behandeln.

Schließlich kollidiere der elternseitige Anspruch auch nicht mit dem Datenschutzrecht. Hierzu hat das Gericht die seit 25. Mai 2018 geltende Datenschutz-Grundverordnung (DSGVO) angewendet. Da die DSGVO jedoch nur die Daten lebender Personen schütze, können datenschutzrechtliche Belange der Verstorbenen nicht betroffen sein.