Am 01.12.2021 ist das Telekommunikations-Telemedien-Datenschutz-Gesetz (TTDSG) in Kraft getreten. Dieses Bundesgesetz enthält spezifische Datenschutzvorschriften für Anbieter von Telekommunikationsdiensten und Telemediendiensten. Das TTDSG setzt u.a. Vorgaben aus der Richtlinie 2002/58/EG (ePrivacy-Richtlinie) um.

Seit dem 01.12.2021 gibt es ein neues TKG. Das bisherige TMG besteht in einer gekürzten Fassung fort. In beiden Gesetzen werden keine Datenschutzvorschriften mehr enthalten sein.

Das TTDSG richtet sich zum einen an Anbieter von öffentlichen Telekommunikationsdiensten. Hierzu zählen entsprechend der Definition für Telekommunikationsdienste gemäß § 3 Nr. 61 TKG die Anbieter von Festnetz- und Mobilfunk. Zu den Telekommunikationsdienstleistern gehören aber auch die Anbieter von Internetanschlüssen. Zum anderen richtet sich das TTDSG an Anbieter eines Telemediendienstes. Dies sind insbesondere öffentliche oder nicht-öffentliche Stellen sowie Privatpersonen, die eine Website oder App betreiben. Auch Smart-Home-Anwendungen können Telemediendienste sein.

Ja, das TTDSG gilt auch für kirchliche und diakonische Stellen, soweit sie als Anbieter von Telekommunikationsdiensten oder als Anbieter von Telemediendiensten wie z.B. Websitebetreiber auftreten.

Die Vorschriften §§ 19 bis 24 TTDSG enthalten spezielle Datenschutzvorschriften für Telemedien. Darüber hinaus ist bei der Nutzung von Technologien wie beispielsweise Cookies, Web Storage etc. zukünftig eine Einwilligung der Nutzenden nach § 25 TTDSG einzuholen.

Mit § 25 TTDSG hat der Gesetzgeber den seit 2009 geltenden Art. 5 Abs. 3 ePrivacy-Richtlinie umgesetzt und hat damit eine europarechtskonforme nationale Vorschrift geschaffen. § 25 TTDSG regelt den Schutz der Privatsphäre bei Endeinrichtungen und fordert bei bestimmten Datenerhebungen grundsätzlich die Einwilligung des Endnutzers.

Gemäß § 25 Abs. 1 TTDSG dürfen Informationen nur dann in der Endeinrichtung des Endnutzers gespeichert oder auf Informationen, die bereits in der Endeinrichtung gespeichert sind, zugegriffen werden, wenn der Endnutzer eingewilligt hat. Es bedarf also einer Einwilligung nach dem TTDSG auch dann schon, wenn lediglich anonyme technische Informationen (z.B. die Browserversion oder ähnliches) gespeichert oder abgerufen werden. Der Einwilligung müssen klare und umfassende Informationen über die Verarbeitung der personenbezogenen und anonymen technischen Daten vorausgehen. Auch muss die Einwilligung den allgemeinen Anforderungen der entsprechenden Vorschrift aus der DSGVO genügen. Da die DSGVO auf kirchliche Stellen keine Anwendung findet, ist die inhaltsgleiche Vorschrift aus dem EKD-Datenschutzgesetz – § 11 DSG-EKD – zu beachten.

Der Anwendungsbereich des § 25 TTDSG ist weit gefasst. In der Praxis der kirchlichen Stellen ist er jedoch insbesondere dann relevant, wenn die kirchliche Stelle eine Website betreibt. So ist das Einwilligungserfordernis beispielsweise beim Einsatz von Cookies und bei der Einbindung von Drittdiensten zu berücksichtigen. Werden auf der Website Cookies gesetzt oder Drittdienste eingebunden, so ist grundsätzlich eine Einwilligung des Endnutzers einzuholen. Die Einwilligung muss den Anforderungen des § 11 DSG-EKD genügen. Die Einwilligungspflicht entfällt nur in den § 25 Abs. 2 TTDSG geregelten Ausnahmefällen.

25 Abs. 1 TTDSG verweist bezüglich der Einholung der Einwilligung auf die Vorschriften der DSGVO. Da die DSGVO im Bereich der kirchlichen Stellen keine Anwendung findet, ist die entsprechende Vorschrift aus dem EKD-Datenschutzgesetz zu berücksichtigen. Die Wirksamkeit einer Einwilligung ist somit nach § 11 DSG-EKD zu beurteilen. Gemäß § 11 DSG-EKD muss die Einwilligung freiwillig, für einen konkreten Zweck, unmissverständlich und jederzeit frei widerruflich erfolgen. Vor Erteilung der Einwilligung sind die Endnutzer umfassend über die Verarbeitung ihrer personenbezogenen Daten zu informieren.

Sollen die auf der Grundlage einer Einwilligung gespeicherten Informationen in der Endeinrichtung eines Endnutzers oder die Informationen, auf die zugegriffen wurde, weiterverarbeitet werden, richtet sich die Zulässigkeit der Weiterverarbeitung allein nach den Vorschriften des EKD-Datenschutzgesetzes. § 25 TTDSG findet dann keine Anwendung mehr.

• 25 Abs. 2 TTDSG enthält zwei Ausnahmen zu der in § 25 Abs. 1 TTDSG geregelten Einwilligungspflicht. Die genannten Ausnahmen sind abschließend, sodass in allen übrigen Fällen eine Einwilligung des Endnutzers einzuholen ist.

Gemäß § 25 Abs. 2 Nr. 1 TTDSG ist eine Einwilligung des Endnutzers nicht erforderlich, wenn die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf diese Informationen ist. Dies betrifft beispielsweise Fälle, in denen Textnachrichten per E-Mail versendet werden.

Nach § 25 Abs. 2 Nr. 2 TTDSG, der für die meisten kirchlichen Stellen relevant sein dürfte, ist eine Einwilligung des Endnutzers nicht erforderlich, wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf diese Informationen unbedingt erforderlich ist, um dem Endnutzer den ausdrücklich gewünschten Telemediendienst zur Verfügung stellen zu können. Als Ausnahmeregelung ist § 25 Abs. 2 Nr. 2 TTDSG eng auszulegen. Es wird nur wenige Fälle geben, in denen beispielsweise Cookies ohne eine Einwilligung des Endnutzers auf der Website eingesetzt werden können (z.B. technisch notwendige Cookies).

Bei den PIMS handelt es sich um Dienste für die Einwilligungsverwaltungen. Die Idee dahinter ist, dass die Nutzenden anstatt auf jeder einzelnen Website jedes Mal den Cookie Banner anzupassen, ihre Grundeinstellungen über PIMS differenziert festlegen. Diese werden dann bei jedem Aufruf der Website automatisch berücksichtigt. Mithilfe des PIMS soll es den Nutzenden möglich sein, ihre Einwilligungen zentral zu verwalten. Allerdings enthält § 26 TTDSG bisher nur die Idee, dass es PIMS geben soll. Um die PIMS praktisch umzusetzen, muss allerdings zunächst noch eine Rechtsverordnung erlassen werden, in der dann die Detailfragen geklärt werden.

Alle kirchlichen und diakonischen Stellen sollten prüfen, ob auf den Websites, für welche sie verantwortlich sind, Cookies und/oder Dienste von Drittanbietern eingesetzt werden. Sollte dies der Fall sein, ist weiter zu klären, ob es sich um Cookies oder Dienste handelt, für welche eine wirksame Einwilligung erforderlich ist. Ausgenommen von der Einwilligung sind nur technisch notwendige Cookies, um das ordnungsgemäße Funktionieren der Website oder bestimmter Dienste wie z.B. Bezahldienste oder das Einkaufen in einem Internetshop sicherzustellen. Die Websites müssen auch ohne Einwilligung in optionale Cookies nutzbar sein. Falls eine Einwilligung erforderlich ist, müssen die verantwortlichen Stellen sicherstellen, dass diese Einwilligung die Anforderungen nach § 11 DSG-EKD erfüllt. Wenn dies nicht der Fall ist, sind die Cookies und eingebundenen Dienste zu deaktivieren bzw. zu entfernen oder geeignete datenschutzkonforme Einwilligungslösungen einzusetzen.