Da­ten­schutz

Mit der Novellierung des Telekommunikationsgesetzes (TKG) im Jahr 2021 sind die bisherigen bereichsspezifischen datenschutzrechtlichen Vorschriften des 7. Teil des TKG in ein eigenes Gesetz überführt worden: Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG). Bereichsspezifische Regelungen für den Telekommunikationsbereich inklusive des Fernmeldegeheimnisses finden sich nunmehr in Teil 2 des TTDSG (§§ 3 bis18 TTDSG). Mit der Novellierung sind einige Zuständigkeiten der Bundesnetzagentur weggefallen und werden nunmehr allein von der/dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit wahrgenommen. Die Zuständigkeitsregelungen finden sich in den §§ 28 bis 30 TTDSG.

Die Benachrichtigungspflicht im Fall einer Verletzung des Schutzes personenbezogener Daten ist unverändert im TKG verblieben, findet sich nunmehr jedoch im § 169 TKG in Teil 10 des TKG im Abschnitt "Öffentliche Sicherheit".

Die bereits im Jahre 2012 eingeführte Bestimmung zur Datensicherheit findet sich aufgrund des Sachzusammenhangs unter der Abschnittsüberschrift "öffentliche Sicherheit", hat aber wesentliche Auswirkungen im Bereich Datenschutz.

Im Wesentlichen werden durch § 169 TKG Benachrichtigungspflichten im Fall einer Verletzung des Schutzes personenbezogener Daten eingeführt. Nach § 169 Abs. 1 S. 1 TKG sind Verletzungen des Schutzes personenbezogener Daten - unabhängig von den Auswirkungen auf den Betrieb der Telekommunikationsnetze oder –dienste - stets der Bundesnetzagentur und dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zu melden. Verpflichtet sind dabei nur Anbieter öffentlich zugänglicher Telekommunikationsdienste.

Eine darüber hinausgehende Unterrichtung der Betroffenen hat gem. § 169 Abs. 1 S. 2 TKG zu erfolgen, wenn anzunehmen ist, dass durch die Verletzung des Schutzes personenbezogener Daten eine schwerwiegende Beeinträchtigung der Privatsphäre eingetreten ist. Die Benachrichtigung der Betroffenen kann unterbleiben, wenn die betroffenen Daten durch ein als sicher anerkanntes Verschlüsselungsverfahren oder durch andere geeignete technische Vorkehrungen i.S.d. § 169 Abs. 1 Satz 3 TKG gesichert waren, dies gegenüber den Aufsichtsbehörden nachgewiesen werden kann und die Bundesnetzagentur nicht von der Möglichkeit des § 169 Abs. 1 Satz 4 TKG Gebrauch macht. Nach dieser Vorschrift kann die Bundesnetzagentur den Anbieter des Telekommunikationsdienstes nach Berücksichtigung der wahrscheinlichen nachteiligen Auswirkungen der Verletzung des Schutzes personenbezogener Daten auch zu einer Benachrichtigung der Betroffenen verpflichten.

Die inhaltlichen Mindestanforderungen für die Benachrichtigung an die Betroffenen sowie an die Bundesnetzagentur und den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI)– wie z. B. die Angabe der Art der Verletzung und Empfehlungen zu Maßnahmen zur Begrenzung nachteiliger Auswirkungen - sind in § 169 Abs. 2 TKG geregelt.

Bezüglich dieser Meldepflicht hat die EU-Kommission am 24.06.2013 technische Durchführungsmaßnahmen in Bezug auf Umstände, Form und Verfahren erlassen. Die Verordnung (EU) Nr. 611/2013 ist am 25.08.2013 in Kraft getreten. Unter Berücksichtigung dieser EU-Verordnung haben die Bundesnetzagentur und der BfDI Leitlinien als Handreichung für die Unternehmen erlassen, um die Meldung einer Datenschutzverletzung zu vereinfachen. Nähere Informationen dazu finden Sie unter dem Punkt „Datenschutzverletzungen melden“.

Gemäß § 169 Abs. 3 TKG sind die Anbieter von Telekommunikationsdiensten außerdem verpflichtet, ein Verzeichnis über die Verletzungen des Schutzes personenbezogener Daten, deren Auswirkungen und die ergriffenen Abhilfemaßnahmen zu führen.

Ein Verstoß gegen die Benachrichtigungspflicht in 169 Abs. 1 Satz 1 und Satz 2 ist nach § 228 Abs. 2 Nr. 40, Abs. 7 TKG mit einem Bußgeld bis 100.000 € und ein Verstoß gegen die Pflicht zum Führen des Verzeichnisses nach § 228 Abs. 2 Nr. 41, Abs. 7 TKG mit einem Bußgeld bis 10.000 € bedroht.

Zu Gunsten meldender Unternehmen normiert das TKG in § 169 Abs. 1 Satz 5 TKG ein Beweisverwertungsverbot für die von der zuständigen Behörde erlangte Information.