Messengerdienste und das Recht

Mittlerweile sind Messaging-Lösungen aus unserem Alltag nicht mehr wegzudenken und gewinnen auch im Umfeld der Bundesverwaltung an Popularität. Ihre Nutzung hat insbesondere aufgrund der COVID-19-Pandemie und der daraus resultierenden steigenden Zahl von Beschäftigten, die mobil arbeiten, enorm zugenommen.

Die allgegenwärtige Nutzung von Messengern vereinfacht aber nicht nur die Kommunikation im Privaten und der Arbeitswelt, sondern kann auch zu Gefahren für das Recht auf informationelle Selbstbestimmung und die Privatsphäre der Nutzerinnen und Nutzer führen. Dies gilt umso mehr, als nicht selten hoch sensible und private Informationen über Messenger ausgetauscht werden.

In diesem Artikel werden verschiedene Aspekte des Daten- und Privatsphäreschutzes bei Messengern beleuchtet (1.), eine Definition des Begriffs Messengerdienst vorgenommen (2.), die Rechtsgrundlagen und die Zuständigkeit meines Hauses dargestellt (3.) und ein kurzer Ausblick auf das Thema der Interoperabilität von Messengern gegeben (4.). Abschließend wird noch auf All-in-One-Messenger eingegangen (5.).

1. Daten- und Privatsphäreschutz bei Messengerdiensten

Datenschutzrechtliche Aspekte spielen zunehmend eine größere Rolle bei der Auswahl eines Messengerdienstes.

Bei der Verwendung eines Messengers fallen nicht nur Kommunikationsinhalte, sondern immer auch eine Vielzahl von Metadaten (wie z. B. Anzeigenamen, Telefonnummer, Status, Profilbild) an. Einige dieser Metadaten sind aus technischer Sicht nicht zu vermeiden, andere hingegen werden von einigen Anbietern gezielt erhoben, um detaillierte Nutzerprofile zu erstellen. Es besteht die Gefahr, dass diese Daten beispielsweise für Werbezwecke genutzt oder Dritten bereitgestellt werden.

Neben Sicherheitsaspekten, wie dem Schutz des Kommunikationsinhaltes und der Bestandsdaten, sind insbesondere die Zugriffsrechte relevant, z. B. auf Kontaktlisten oder Standortdaten, die dem Messenger eingeräumt werden.

Es ist daher wichtig, dass sich Nutzerinnen und Nutzer über die Nutzungs- und Datenschutzbedingungen sowie die Sicherheitsfunktionen der Messengerdienste informieren, bevor sie diese nutzen. Wichtig ist etwa eine Ende-zu-Ende-Verschlüsselung, bei der nur die Absenderinnen und Absender sowie die Empfängerinnen und Empfänger die Nachrichten lesen können, sofern die Schlüssel allein auf den Endgeräten generiert und gespeichert werden und ein Zugriff Dritter ausgeschlossen ist. Zur Überprüfbarkeit des Verhaltens der jeweiligen Applikation auf dem Endgerät ist zudem eine Offenlegung der Clientsoftware („Open Source“) angeraten.

Messenger unterliegen einer Vielzahl rechtlicher Anforderungen, um den Datenschutz, die Privatsphäre und die Sicherheit der Nutzenden zu gewährleisten. Hierbei unterliegen sie insbesondere den allgemeinen Anforderungen der Datenschutz-Grundverordnung (DSGVO) sowie, wenn sie ein Telekommunikationsdienst sind, den Vorgaben des Telekommunikationsgesetzes (TKG) und des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG). Das TTDSG enthält etwa das Fernmeldegeheimnis, das die Vertraulichkeit der Telekommunikation regelt.

2. Definition der Messengerdienste

Messengerdienste können verstanden werden als Programme oder Apps, mit denen Nutzerinnen und Nutzer in Echtzeit Nachrichten austauschen können. Sie werden in der Regel über das offene Internet – „Over-The-Top“ (OTT)–  erbracht. Diese Beschreibung ist aber noch nicht eindeutig und es bedarf einer belastbaren Definition, um Messenger von anderen OTT-Diensten und Telemedien, insbesondere von SMS, Videokonferenzdiensten und sozialen Netzwerken abzugrenzen.

Präzise definiert ist ein Messenger

• ein nummernunabhängiger elektronischer Dienst,
• der einen direkten interpersonellen und interaktiven Austausch
• von Text- oder Sprachmitteilungen (sowie gegebenenfalls andere ähnliche Kommunikationsformen wie Emojis oder Sticker)
• über Telekommunikationsnetze, meist über das Internet,
• zwischen einer endlichen Zahl von Personen desselben oder anderer (künftig interoperabler) Dienste ermöglicht,
• wobei die Empfänger von den Personen bestimmt werden, die die Telekommunikation veranlassen oder daran beteiligt sind;

Dazu zählen keine Dienste, die eine interpersonelle und interaktive Telekommunikation lediglich als untrennbar mit einem anderen Dienst verbundene untergeordnete Nebenfunktion ermöglichen.

Weitere Erläuterungen und Hinweise zu dieser Definition:

• Nummernunabhängig ist ein Dienst, der weder eine Verbindung zu öffentlich zugeteilten Nummerierungsressourcen, nämlich Nummern nationaler oder internationaler Nummernpläne, herstellt noch die Telekommunikation mit Nummern nationaler oder internationaler Nummernpläne ermöglicht. Die bloße Nutzung einer Nummer als Kennung kann nicht mit der Nutzung einer Nummer zur Herstellung einer Verbindung mit öffentlich zugeteilten Nummern gleichgesetzt werden und reicht daher für sich allein nicht aus, um einen Dienst als nummerngebunden zu bezeichnen.
• Der Einordnung eines Dienstes als Messenger stehen andere Funktionen wie die Unterstützung von (Video-)Telefonie oder die Möglichkeit, weitere Inhalte wie Audio-, Bild- und Videodateien oder Standorte verschicken zu können, nicht entgegen, wenn nicht der Schwerpunkt des Dienstes in der Bereitstellung einer oder mehrerer dieser Funktionen liegt.
• E-Mail-Dienste sind keine Messenger.
• Messenger können nummernunabhängige interpersonelle Telekommunikationsdienste gemäß § 3 Nr. 24, 40, 61 lit. b) TKG sein, wenn sie in der Regel gegen Entgelt erbracht werden.

Die marktüblichen Messenger, die der Allgemeinheit zugänglich sind, werden in der Regel gegen Entgelt erbracht, sodass es sich bei diesen regelmäßig auch um Telekommunikationsdienste handelt. Entgelt ist hier jedoch nicht nur in einem monetären Kontext zu verstehen, denn bei den meisten Messengern “zahlt“ der Nutzende anstelle einer Gebühr mit der Verwertung seiner Nutzerdaten.

3. Rechtsgrundlagen und Zuständigkeit des BfDI

Alle Messenger unterliegen den allgemeinen Anforderungen des Datenschutzrechts, insbesondere der DSGVO.

Messenger, die Telekommunikationsdienste im Sinne des § 3 Nr. 24, 40, 61 lit. b) TKG sind, unterliegen den zusätzlichen Anforderungen des Telekommunikationsdatenschutzes, insbesondere des Telekommunikationsgesetzes (TKG) und des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG). Hier kommt es entscheidend darauf an, ob die Dienste „in der Regel gegen Entgelt“ erbracht werden.   

Für Messenger, die Telekommunikationsdienste im Sinne des TKG sind, gilt Folgendes:

Nach der Umsetzung des Europäischen Kodex für die elektronische Kommunikation (Richtlinie (EU) 2018/1972) durch Novellierung des Telekommunikationsgesetzes (TKG) können OTT-Dienste wie Messenger seit dem 1. Dezember 2021 den telekommunikationsrechtlichen Regelungen unterfallen. Ziel der Gleichstellung mit den klassischen Telekommunikationsdiensten wie Telefonie oder SMS ist es, chancengleiche Wettbewerbsbedingungen zwischen internetbasierten Diensten und herkömmlichen Telekommunikationsdiensten herzustellen. Mit dem ebenfalls am 1. Dezember 2021 in Kraft getretenen TTDSG sollen die datenschutzrechtlichen Tatbestände des TKG und des Telemediengesetzes (TMG) einheitlich geregelt und die Rechtsunsicherheit in Bezug auf die Abgrenzung zur DSGVO beseitigt werden. Durch das TTDSG wird die 2002 verabschiedete und 2009 erweiterte ePrivacy-Richtlinie der Europäischen Union (EU) (Richtlinie 2002/58/EG) in nationales Recht umgesetzt.

Gemäß § 29 TTDSG ist der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) für die Einhaltung der Regelungen des TTDSG zuständig, soweit für die geschäftsmäßige Erbringung von Telekommunikationsdiensten Daten von natürlichen oder juristischen Personen verarbeitet werden. Dies betrifft etwa Fragen der Vertraulichkeit der Kommunikation – insbesondere das Fernmeldegeheimnis – oder Regelungen zu Verkehrs- und Standortdaten, sofern diese mit der Verarbeitung personenbezogener Daten einhergehen.

Ferner ist der BfDI gemäß § 9 Abs. 1 BDSG zuständig für die Aufsicht über Unternehmen mit Sitz in Deutschland, soweit diese für die geschäftsmäßige Erbringung von Telekommunikationsdienstleistungen Daten von natürlichen oder juristischen Personen verarbeiten. Hierunter fällt auch die Aufsicht über die Einhaltung der Anforderungen der DSGVO.

Es besteht daher eine grundsätzlich umfassende Sonderzuständigkeit des BfDI für Datenschutz im Bereich Telekommunikationsdienste. Darunter fallennach dem TKG auch OTT-Dienste als Äquivalent zur „klassischen“ Telekommunikation.

Für Messenger, die keine Telekommunikationsdienste im Sinne des TKG sind, gilt Folgendes:

Für Messenger mit Sitz in Deutschland, die keine Telekommunikationsdienste im Sinne der Definitionen des TKG sind, ist grundsätzlich die Landesdatenschutzbehörde zuständig, in deren Bundesland der Diensteanbieter seinen Sitz hat. Ferner sind die Landesdatenschutzbehörden für die öffentlichen Stellen des jeweiligen Landes oder der Kommune zuständig.

Der BfDI ist gemäß § 9 Abs. 1 BDSG dann zuständig für die Aufsicht über Messenger, die keine Telekommunikationsdienste im Sinne des TKG sind, wenn eine öffentliche Stelle des Bundes einen derartigen Dienst betreibt.

Internationale Zuständigkeit des BfDI

Hinsichtlich der internationalen Zuständigkeit des BfDI ist nach dem jeweils anwendbaren Gesetz zu unterscheiden. Im Rahmen der DSGVO richtet sich die Zuständigkeit gemäß Art. 55 DSGVO nach dem jeweiligen Hoheitsgebiet. Hier besteht nach den Regelungen des Art. 3 DSGVO eine Zuständigkeit des BfDI, wenn die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten einer Niederlassung in Deutschland erfolgt oder, wenn Waren oder Dienstleistungen an Personen im Inland angeboten werden. Um widerstreitende Entscheidungen verschiedener gleichzeitig zuständiger europäischer Aufsichtsbehörden zu vermeiden, gilt nach Art. 56 DSGVO das Prinzip der Zuständigkeit der federführenden Aufsichtsbehörde (One-Stop-Shop-Prinzip).

Soweit Vorschriften des TTDSG betroffen sind, regelt § 1 Abs. 3 TTDSG die Anwendbarkeit für „alle Unternehmen und Personen, die im Geltungsbereich dieses Gesetzes eine Niederlassung haben und Dienstleistungen erbringen“. Anders als nach DSGVO gilt nicht das Prinzip der federführenden Aufsichtsbehörde.

4. Interoperabilität

Aktuell gibt es eine Vielzahl von Messengern verschiedener Anbieter, die jedoch – anders als bei Telefon und E-Mail – im Allgemeinen nicht miteinander kompatibel sind, sodass Nutzer verschiedener Messenger-Dienste in der Regel nicht miteinander kommunizieren können. Die Gründe dafür sind vielfältig.

Eine zentrale technische Hürde sind in diesem Zusammenhang unterschiedliche Ausgestaltungen der Verschlüsselung. Die meisten Messenger bieten mittlerweile die Möglichkeit, Nachrichten zu verschlüsseln, um Vertraulichkeit, Integrität und Authentizität der ausgetauschten Inhalte zu sichern. Je nach Dienst ist die Ausgestaltung unterschiedlich und es hängt häufig von den gewählten Einstellungen ab, welche Inhalte verschlüsselt werden – also etwa nur Textnachrichten oder auch Bilder, Dateien und Audio-Videotelefonate, ob nur in Einzel- oder auch in Gruppenkonversationen – und wie die Inhalte verschlüsselt werden – also ob Ende-zu-Ende- oder nur durch Transportverschlüsselung.

Vor dem Hintergrund, dass die meisten Messenger nur die Kommunikation mit Nutzern desselben Dienstes bzw. Anbieters ermöglichen und es nur wenige Messenger gibt, die eine sehr hohe Nutzerzahl haben, sind seit Jahren die Marktkonzentration auf einzelne Dienste im Messengerbereich und die damit verbundenen Probleme Gegenstand öffentlicher Diskussionen.

Aufgrund der hohen Nutzerzahlen einzelner Messenger, die sich auf Netzwerkeffekte zurückführen lassen, wird dominanten Messenger-Diensteanbietern häufig ein faktisches Abhängigkeitsverhältnis der Nutzenden vorgeworfen. Es besteht die Gefahr, dass diese Anbieter beispielsweise Nutzerinnen und Nutzern intransparente und unverhältnismäßige Nutzungsbedingungen auferlegen oder übermäßig Daten der Nutzenden erfassen und auswerten. Mit dem Gesetz über digitale Märkte (Digital Market Act) will die EU die Marktmacht dominanter Anbieter aufbrechen, Missbrauchspotenziale verringern, Interoperabilität fördern und kleineren Wettbewerbern die Chance auf einen Markteintritt ermöglichen. Eine der Regelungen des Digital Market Act sieht dafür konkret eine verpflichtende Öffnung der bisher überwiegend geschlossenen Kommunikationsnetzwerke auch für Anbieter konkurrierender Messenger vor. Dadurch soll es den Nutzenden unterschiedlicher Messenger ermöglicht werden, interoperabel kommunizieren zu können.

5. All-in-One Messenger

Sogenannte All-in-One-Messenger (oder Clients) seien hier nur der Vollständigkeit wegen erwähnt. Es handelt sich dabei um Dienste, die eine Kommunikation über mehrere Messengerdienste in einer Anwendung ermöglichen. Technisch nutzen All-in-One-Messenger entweder die offiziellen Web-Interfaces oder direkte Schnittstellen der Messenger. Sie ermöglichen selbst keine Kommunikation über Telekommunikationsnetze und stellen keine Messenger im Sinne der vorgenannten Definition dar. Da diese auch selbst keinen Telekommunikationsdienst erbringen fallen diese damit nicht in die Zuständigkeit des BfDI, sondern in die Zuständigkeit der Landesdatenschutzbehörden.