Digitale Dienste und Zuständigkeiten

Was sind eigentlich digitale Dienste?

Nach dem Digitale Dienste Gesetz (DDG) in Verbindung mit der europäischen Richtlinie über ein Informationsverfahren auf dem Gebiet der technischen Vorschriften und die Vorschriften für die Dienste der Informationsgesellschaft (RL 2015/1535) werden digitale Dienste als Dienstleistungen der Informationsgesellschaft definiert. Darunter ist jede in der Regel gegen Entgelt, elektronisch im Fernabsatz und auf individuellen Abruf eines Empfängers erbrachte Dienstleistung zu verstehen. Es muss sich daher um eine Dienstleistung handeln, die auf elektronischem Wege ohne gleichzeitige physische Anwesenheit der Vertragsparteien auf individuelle Anforderung hin erbracht wird.

Danach sind Internetdienste und Apps in der Regel als digitale Dienste zu verstehen. Hierunter fallen beispielsweise regelmäßig Video-Plattformen, Blogs, Social-Media Angebote, aber auch Suchmaschinen und Online-Spiele. Ausgenommen hiervon sind u.a. Sprachtelefondienste und Rundfunkdienste.

Informationspflichten

Grundsätzlich sind digitale Dienste zulassungs- und anmeldefrei. Geschäftsmäßig erbrachte digitale Dienste unterliegen allerdings allgemeinen Informationspflichten wie etwa zum Führen eines Impressums.

Die Verpflichtung zur Anbieterkennzeichnung und die Anforderungen an ein Impressum sind in § 5 Digitale-Dienste-Gesetz (DDG), zuvor § 5 Telemediengesetz, sowie in § 18 Medienstaatsvertrag (MStV) geregelt. Danach sind Anbieter geschäftsmäßiger digitaler Dienste zur Offenlegung diverser Informationen, u.a. Namen, Anschrift und Kontaktdaten, verpflichtet. Nähere Informationen zum Thema Impressumspflicht finden Sie auch auf der Homepage des Bundesministerium für Umwelt, Naturschutz, nukleare Sicherheit und Verbraucherschutz.

Nicht selten wenden sich Anbieter digitaler Dienste mit der Frage an uns, ob diese Verpflichtung zur Offenlegung personenbezogener Daten mit datenschutzrechtlichen Regelungen kollidiere. Die Rechtslage stellt sich hierbei wie folgt dar:

Nach dem unionsrechtlichen Datenschutzgrundrecht gem. Art. 8 EU-Grundrechtecharta und dem aus dem Persönlichkeitsrecht sowie der Menschenwürde gem. Art. 2 Abs. 1 Satz 1 i.V.m. Art. 1 Abs. 1 Grundgesetz abgeleiteten Rechts auf informationelle Selbstbestimmung kann grundsätzlich jeder selbst über die Verwendung und Preisgabe seiner persönlichen Daten bestimmen. Dieses Recht kann jedoch aufgrund anderer entgegenstehender Rechte durch ein formelles Gesetz eingeschränkt werden. Insbesondere ist der Gesetzgeber zum Schutz anderer Rechtsgüter verpflichtet. Ein Impressum als Anbieterkennzeichnung dient vorrangig dem Schutz der Verbraucherinnen und Verbraucher und der Rechtssicherheit im elektronischen Geschäftsverkehr, hinter dem der datenschutzrechtliche Schutz des Anbieters zurückstehen muss. Vergleichbar ist diese Verpflichtung beispielsweise mit der Pflicht zu bestimmten Angaben im Handels- oder Transparenzregister.

Das aufgrund der räumlichen Distanz bei der Nutzung des elektronischen Geschäftsverkehrs bestehende Vertrauensdefizit soll dabei durch ein gewisses Maß an Information und Transparenz überwunden werden. Ein Anbieter von digitalen Diensten muss sowohl für Verbraucherinnen und Verbraucher wie auch für Wettbewerberinnen und Wettbewerber bzw. Geschäftspartnerinnen und Geschäftspartner klar identifizierbar sein. Die Integrität des Anbieters des digitalen Dienstes sollte überprüft und auch eigene Ansprüche geltend gemacht werden können. Zudem dient die Anbieterkennzeichnung auch Allgemeininteressen wie der Erfüllung aufsichtsbehördlicher Aufgaben, der Strafverfolgung und der Kammeraufsicht.

Für die Aufsicht über die Einhaltung der Impressumspflicht sind nach § 106 Absatz 1 MStV die Landesmedienanstalten zuständig. Die örtliche Zuständigkeit der jeweiligen Landesmedienanstalt richtet sich dabei nach dem Wohn- oder Geschäftssitz des jeweiligen Diensteanbieters.

Technik von digitalen Diensten

Digitale Dienste nutzen zur Realisierung ihres Angebots eine große Bandbreite von sich ständig weiter entwickelnden Technologien. Eines aber haben die meisten digitalen Dienste gemeinsam: Dienste, die über das Internet kommunizieren, müssen die zugrundeliegenden technischen Protokolle verwenden. Die Kommunikation findet typischerweise zwischen einem Dienstserver (Webseitenserver, Applikationsserver) und der Endeinrichtung des Nutzenden (Smartphone, Laptop etc.) statt. Für die Verbindung wird in der Regel die Protokoll-Gruppe Transmission Control Protocol / Internet Protocol (TCP/IP) eingesetzt. Neben TCP/IP wird zur Absicherung typischerweise das Verschlüsselungsprotokoll Transport-Layer Security (TLS) verwendet. Die Informationsübermittlung für die Anwendung wird insbesondere bei Webseiten über das Hypertext Transfer Protocol (HTTP) realisiert. Mit dem Einsatz dieser technischen Protokolle werden stets die IP-Adresse und auch andere Merkmale der Endeinrichtung an den Server übermittelt. Es werden auch stets eindeutige IDs erzeugt und zwischen Client und Server ausgetauscht.

Das Internet in seiner Gesamtheit ist ein globaler Verbund von Rechenzentren und Verbindungssystemen, sog. autonomen Systemen. Wie oben erläutert, werden technisch bedingt auch stets personenbezogene Daten verarbeitet. Werden Dienste von Dritten eingebunden, die einem Drittland bereitgestellt werden, so ist dies als eine Übertragung von personenbezogenen Daten zu werten, für die der Anbieter des digitalen Dienstes verantwortlich ist. Weitergehende Informationen zu dieser Thematik sind auf der separaten Seite Internationale ­Datenübermittlungen bereitgestellt.

Wichtige Rechtsquellen im Zusammenhang mit digitalen Diensten

a) Datenschutzgrundverordnung (DSGVO)

Mit der Übermittlung der IP-Adresse der Endeinrichtung an einen Server werden personenbezogene Daten verarbeitet. Auch weitere Informationen wie eine Geräte-ID, Standortdaten und Cookies sind in diesem Kontext als personenbezogene Daten zu werten. Da bei digitalen Diensten personenbezogene Daten verarbeitet werden, ist die DSGVO bei der Erbringung digitaler Dienste zu beachten. Der Diensteanbieter entscheidet über die Ausgestaltung der Webseite, die Einbindung von Inhalten und Diensten und trifft somit auch eine Entscheidung zu den Zwecken und Mitteln. Damit ist der Diensteanbieter regelmäßig auch als Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO zu werten.

b) Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TTDSG)

Wie bereits dargestellt, wird bei der Erbringung digitaler Dienste (protokolltechnisch bedingt) auf die Endeinrichtung der nutzenden Personen zugegriffen. Damit ist auch das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) anwendbar und hier insbesondere § 25 TDDDG zu beachten. Auch wenn der § 25 TDDDG oftmals als Cookie-Paragraph bezeichnet wird, ist die Regelung nicht nur auf Cookies beschränkt und ist auf alle Zugriffe auf die Endeinrichtung anzuwenden.

Für die Anwendung der beiden Regelungen hat die DSK eine Orientierungshilfe veröffentlicht. Diese geht auch konkret auf die Gestaltung von Bannern ein.

c) Digital Services Act (DSA) und Digitale Dienste Gesetz (DDG)

Seit dem 16. November 2022 ist außerdem der Digital Services Act (DSA) (EU) 2022/2065 zu beachten. Der DSA stellt insgesamt eine Fortentwicklung der online Regulierung als Teil der Datenstrategie der EU dar.

Der Anwendungsbereich des DSA konzentriert sich auf digitale Vermittlungsdienste. Dies betrifft Internetzugangsdienste, beispielsweise Telekommunikationsunternehmen, soziale Netzwerke, online-Marktplätze und Suchmaschinen.

Die konkrete Umsetzung des DSA in Deutschland ist durch das am 14. Mai 2024 in Kraft getretene Digitale Dienste Gesetz (DDG) geregelt. Weitere Informationen zum DSA und DDG sowie der Kompetenzverteilung in Deutschland finden Sie in unserem Beitrag zum Digitale Dienste Gesetz.

Datenschutzrechtliche Zuständigkeiten und Aufsicht über digitale Dienste

Die datenschutzrechtlichen Zuständigkeiten für Anbieter digitaler Dienste sind durch unterschiedliche Regelungen festgelegt. Laut § 29 TDDDG ist die BfDI für die Einhaltung des § 25 TDDDG bei Angeboten digitaler Dienste zuständig, die von öffentlichen Stellen des Bundes oder z.B. von Anbietern von Telekommunikationsdiensten bereitgestellt werden. Werden personenbezogene Daten verarbeitet, greifen wiederum die Regelungen der DSGVO und des BDSG. Auf separaten Internetseiten finden Sie weitere Information zur Zuständigkeit der BfDI sowie einen Kontaktfinder, mit dem eine zuständige Behörde ermittelt werden kann.

Bei grenzüberschreitender Datenverarbeitungen ist nach Art. 56 Abs.1 DSGVO im Übrigen die Aufsichtsbehörde der Hauptniederlassung oder einzigen Niederlassung des Verantwortlichen oder Auftragsverarbeiters als federführende Aufsichtsbehörde zuständig (sogenannter One-Stop-Shop-Mechanismus, OSS).

nach oben