Rechtsanwalt für TTDSG: Das TTDSG steht für „Telekommunikation-Telemedien-Datenschutz-Gesetz“ und ist ein deutsches Datenschutzgesetz, das den Datenschutz in den Bereichen Telekommunikation und Telemedien regelt.
Fachanwalt für IT-Recht Jens Ferner ist Kommentator von Auszügen des TTDSG im BeckOK-StPO und berät Unternehmen rund um das TTDSG!
Das TTDSG trat 2021 in Kraft und soll das Datenschutzrecht in Deutschland an die europäische Datenschutz-Grundverordnung (DSGVO) und die ePrivacy-Richtlinie anpassen. Das TTDSG enthält Regelungen zu datenschutzrechtlichen Aspekten wie Cookies, Tracking und der Verarbeitung personenbezogener Daten bei Telekommunikationsdiensten und Telemedien. Fachanwalt für IT-Recht Jens Ferner kommentiert Teile des TTDSG im BeckOK-StPO!
Digitale Beweismittel sind im modernen Strafprozess der Regelfall. Dazu zählen unter anderem Chatverläufe, Smartphone-Daten, Cloud-Logs und Fahrzeugdaten aus der „Blackbox“ von Pkws. Digitale Beweise entscheiden heute über den Ausgang von Strafverfahren im allgemeinen Strafrecht ebenso wie im Wirtschafts- und Cybercrime-Bereich. Im Folgenden zeige ich, was darunter zu verstehen ist, wie ihr Beweiswert im Strafprozess zu beurteilen ist und welche forensischen Mindeststandards aus Sicht der Strafverteidigung gelten müssen. Der Schwerpunkt liegt auf der praktischen Arbeit mit digitalen Beweismitteln – von der IT-Forensik über Screenshots und E-Mails bis hin zur Car-Forensik und der seit 2026 anwendbaren E-Evidence-Verordnung der EU.
Ich widme einen wesentlichen Teil meines Alltags technischen und rechtlichen Fragen von IT-Forensik und digitalen Beweismitteln: Ich halte seit Jahren Fortbildungen und publiziere zum Thema digitale Beweismittel, so in:
Eine immer noch weitgehend unbekannte Norm ist § 8 TDDSG wonach es verboten ist, Gegenstände herzustellen oder zu besitzen, die durch ihre äußere Verkleidung verschleiern, dass sie dazu dienen, andere auszuspionieren. Der Klassiker eines solch betroffenen Verhaltens sind Mikrofon oder Kamera verbaut in einem Kuli. In einem Verfahren, das einen Futterautomat mit integrierter Kamera und Mikrofon betraf, entschied nun das Verwaltungsgericht Köln (Az.: 1 L 2838/25) über die hier notwendige Abgrenzung zwischen zulässiger technischer Innovation und verbotener Überwachungstechnik – den die Bundesnetzagentur als verbotene Telekommunikationsanlage einstufte.
In der Entscheidung werden grundlegende Fragen zur Auslegung des § 8 des Telekommunikations-Digitaldienstegesetzes (TDDDG) erörtert. Deutlich wird dabei, wie schwer sich Rechtsprechung und Verwaltung mit der Einordnung moderner „Smart Devices“ tun. Ich selbst kommentiere die Strafbarkeit nach § 8 TDDDG im BeckOK-StPO, wobei ich vom Verwaltungsgericht in der vorliegenden Entscheidung auch als Fundstelle herangezogen werde. Die Norm wird auch bei sogenannten smarten Brillen noch eine deutliche Rolle spielen, was ich ebenfalls kommentiere. In der Literatur gehöre ich zu den Skeptikern, da ich der Auffassung bin, dass der Einbau einer einfachen, nicht generell wahrnehmbaren LED keinen Schutz vor einer Strafbarkeit bietet.
Das Oberlandesgericht Frankfurt hat mit Urteil vom 11. Dezember 2025 (Aktenzeichen 6 U 81/23) eine Entscheidung zur Haftung von Drittanbietern für die Setzung von Cookies ohne Einwilligung des Nutzers getroffen. Es geht im Kern um die Frage, ob Technologieunternehmen, die im Hintergrund Cookies auf Endgeräten speichern, selbst als Normadressaten des § 25 Telemedien-Datenschutz-Durchführungsgesetzes (TDDDG) anzusehen sind – und damit für Verstöße gegen die Einwilligungspflicht haften.
Diese erste obergerichtliche Entscheidung klärt nicht nur die Reichweite der Norm, sondern setzt auch Maßstäbe für die zivilrechtliche Durchsetzbarkeit von Unterlassungs- und Schadensersatzansprüchen. Besonders bemerkenswert ist die klare Positionierung des Senats: Selbst wenn ein Drittanbieter vertraglich mit dem Webseitenbetreiber vereinbart hat, Cookies nur bei Vorliegen einer Einwilligung zu setzen, entbindet dies nicht von der eigenen Verantwortung.
In der datenschutzrechtlichen Debatte um die Zulässigkeit von Fanpages auf sozialen Netzwerken galt bislang als nahezu gesichert, dass Betreiber und Plattformanbieter gemeinsam im Sinne von Art. 26 DSGVO für die Datenverarbeitung verantwortlich sind.
In einer aktuellen Entscheidung hat sich das Verwaltungsgericht Köln (Urteil vom 17.07.2025 – 13 K 1419/23, nicht rechtskräftig) mit der datenschutzrechtlichen Verantwortlichkeit für die Verarbeitung personenbezogener Daten im Zusammenhang mit dem Betrieb einer behördlichen „Fanpage“ in einem sozialen Netzwerk befasst. Im Zentrum standen Fragen zur Anwendbarkeit des § 25 TTDSG, zur gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO sowie zur datenschutzrechtlichen Relevanz von Cookie-Bannern und den ihnen zugrunde liegenden Datenverarbeitungsprozessen.
Der Gestaltung von Cookie-Bannern kommt für die Praxis enorme Bedeutung zu: Einerseits wollen Website-Betreiber Tracking und Werbeeinnahmen sichern, andererseits verlangt das Datenschutzrecht eine freiwillige, informierte und eindeutige Einwilligung. Das Verwaltungsgericht Hannover hat mit Urteil vom 19. März 2025 (10 A 5385/22) präzisiert, wie ein Cookie-Banner beschaffen sein muss, um diesen Anforderungen zu genügen. Das Urteil ist ein klares Signal gegen manipulative „Dark Patterns“ in Einwilligungsbannern.
Mit Beschluss vom 11. März 2025 (Az. VI ZB 79/23) hat der Bundesgerichtshof eine richtungsweisende Entscheidung zur Reichweite des § 21 Abs. 2 TDDDG gefällt – einer Vorschrift, die das Spannungsverhältnis zwischen Persönlichkeitsrechtsschutz und Meinungsfreiheit im digitalen Raum neu ausbalanciert. Im Zentrum stand die Frage, ob die Betreiberin eines Arbeitgeberbewertungsportals zur Auskunft über die Identität eines Nutzers verpflichtet ist, der eine scharfe Kritik am Verhalten der Geschäftsführung eines Unternehmens äußerte. Die Entscheidung ist nicht nur juristisch bedeutsam, sondern stellt auch ein markantes Bekenntnis zum grundrechtlichen Schutz der freien Meinungsäußerung dar.
In einer grundlegenden Entscheidung vom 19. Februar 2025 (Az. 25 O 9210/24) hat das Landgericht München I über die Frage entschieden, ob ein Anbieter von E-Mail-Diensten dazu verpflichtet ist, Auskunft über Bestandsdaten von Nutzern zu erteilen, deren E-Mail-Adressen mit anonymen, möglicherweise rechtsverletzenden Online-Bewertungen in Verbindung stehen.
Der Beschluss behandelt nicht nur die dogmatische Reichweite des neuen § 21 TDDDG, sondern stellt auch klar, dass der Auskunftsanspruch nicht davon abhängig ist, ob die inkriminierte Äußerung über den Dienst des Auskunftspflichtigen selbst verbreitet wurde. Im Mittelpunkt steht die Frage, ob der datenschutz- und meinungsrechtlich heikle Anspruch auf Entanonymisierung bei digitalen Kettenbeziehungen greift – und unter welchen Voraussetzungen ein solcher Eingriff in die Sphäre der Nutzer gerechtfertigt ist.
Immer weiter wird um Bewertungen von Arbeitgebern auf Bewertungsplattformen gestritten: Nunmehr konnte sich mit dem Oberlandesgericht Bamberg (Az. 6 W 12/24 e) ein weiteres OLG zur Frage postieren, unter welchen Voraussetzungen Unternehmen von Betreiberinnen und Betreibern von Arbeitgeberbewertungsportalen die Herausgabe von Nutzerdaten verlangen können.
Das Gericht stellte klar, dass der Auskunftsanspruch nach § 21 Abs. 2 Satz 2 TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz) nicht dazu dient, die Identität von Bewertenden ohne weiteres offenzulegen. Vielmehr ist eine Abwägung zwischen der Meinungsfreiheit der Bewertenden und den Persönlichkeitsrechten des bewerteten Unternehmens erforderlich.
Mal wieder gibt es eine bemerkenswerte Entscheidung zur Löschungspflicht von Arbeitgeberbewertungen auf Bewertungsportalen: Im Kern ging es um die Frage, ob der Betreiber eines solchen Portals eine negative Bewertung entfernen muss, wenn der betroffene Arbeitgeber bestreitet, dass die bewertende Person tatsächlich bei ihm beschäftigt war.
Das Oberlandesgericht Dresden (Az. 4 U 744/24) stellte klar, dass Arbeitgeber eine Löschung verlangen können, wenn keine belastbaren Hinweise darauf vorliegen, dass die Bewertung auf einem tatsächlichen Beschäftigungsverhältnis beruht. Gleichzeitig betonte es jedoch, dass eine vollständige Offenlegung der Identität des Rezensenten regelmäßig nicht verlangt werden kann.
Das Urteil des Oberlandesgerichts Frankfurt am Main (27.06.2024, Az. 6 U 192/23) setzt einen wichtigen Meilenstein im Bereich des Datenschutzes und der Verantwortlichkeit für Cookies auf Webseiten. Es stellt klar, dass ein Anbieter von Unternehmenssoftware auch dann haftet, wenn seine Software Cookies ohne Zustimmung speichert, selbst wenn nach den AGB die Webseiten-Betreiber für die Einholung der Einwilligung verantwortlich sind. Diese Besprechung beleuchtet die rechtlichen Aspekte und Tragweite der Entscheidung.
Am 2. April 2024 entschied das Oberlandesgericht (OLG) Celle (Aktenzeichen 5 W 10/24) über die Voraussetzungen, unter denen ein Bewerteter Auskunft über die Identität eines Bewerters auf einer Bewertungsplattform verlangen kann.
Diese Entscheidung bezieht sich auf die Anwendung des § 21 Abs. 2 des Telekommunikation-Telemedien-Datenschutzgesetzes (TTDSG) und hat weitreichende Folgen für den Datenschutz und die Rechte der Betroffenen.
Hinweis: Die Entscheidung erging noch zum TTDSG, das heute TDDDG heisst. Inhaltlich hat sich dadurch nichts verändert!
Das Digitale-Dienste-Gesetz dient der Umsetzung der europäischen Verordnung über einen Binnenmarkt für digitale Dienste (Digital Services Act, DSA) und führt zu wesentlichen Änderungen im deutschen Recht.
Dark Patterns – Rechtliche Grenzen für manipulative Designstrategien im digitalen Raum: Dark Patterns bezeichnen in der digitalen Welt Techniken und Gestaltungselemente, die Nutzerinnen und Nutzer subtil zu bestimmten Handlungen verleiten oder sie sogar manipulieren.
Ihre Bedeutung im IT-Recht wächst stetig, denn sie berühren zentrale Aspekte wie Verbraucherschutz und Datensicherheit. Als Fachanwalt für IT-Recht und Strafrecht liegt mein Fokus auf der rechtlichen Bewertung dieser Praktiken, die zwischen Überzeugung und Täuschung balancieren.
In mehreren Entscheidungen zur Information über Ersatzteile und Reparatur von Personenkraftwagen konnte sich der EuGH zu relevanten Fragen äußern. Dabei spielt die Verordnung (EU) 2018/858 über die Genehmigung und Marktüberwachung von Kraftfahrzeugen und Kraftfahrzeuganhängern sowie von Systemen, Bauteilen und selbstständigen technischen Einheiten für diese Fahrzeuge eine erhebliche Rolle.
Der EuGH (C-319/22) konnte nun klarstellen, dass die hier in Art. 61 Abs. 1 Satz 2 vorgesehene Verpflichtung, die dort genannten Informationen in leicht zugänglicher Form in maschinenlesbarer und elektronisch verarbeitbarer Form zur Verfügung zu stellen, für alle „Reparatur- und Wartungsinformationen“ im Sinne des Art. 3 Nr. 48 der Verordnung gilt und nicht nur für Ersatzteilinformationen nach Anhang X Nr. 6.1 der Verordnung!
Der EuGH hob hervor, dass Fahrzeughersteller nicht verpflichtet sind, Fahrzeugreparatur- und -wartungsinformationen über eine Datenbankschnittstelle zugänglich zu machen, die eine maschinengesteuerte Abfrage und das Herunterladen der Ergebnisse ermöglicht. Sie sind jedoch verpflichtet, diese Informationen unabhängigen Marktteilnehmern in Dateien zur Verfügung zu stellen, deren Format eine unmittelbare elektronische Weiterverarbeitung der in diesen Dateien enthaltenen Datensätze ermöglicht. Darüber hinaus sind die Fahrzeughersteller verpflichtet, eine Datenbank einzurichten, die es ermöglicht, nicht nur anhand der Fahrzeug-Identifizierungsnummer (FIN), sondern auch anhand der in der letztgenannten Bestimmung vorgesehenen zusätzlichen Merkmale nach allen Teilen zu suchen, mit denen das Fahrzeug vom Hersteller ausgestattet ist.
Art. 61 Abs. 1 i.V.m. Art. 61 Abs. 4 und Anhang X Nr. 6.1 begründet für die Fahrzeughersteller zudem eine „rechtliche Verpflichtung“ i.S.d. Art. 6 Abs. 1 Buchst. c der Verordnung, die FIN der von ihnen hergestellten Fahrzeuge unabhängigen Wirtschaftsbeteiligten als „Verantwortlichen“ im Sinne von Art. 4 Nr. 7 der Verordnung zur Verfügung zu stellen.
Der EuGH (C-296/22) hat zudem klargestellt, dass Art. 61 Abs. 1 und 4 in Verbindung mit Anhang X der Verordnung (EU) 2018/858 über die Genehmigung und Marktüberwachung von Kraftfahrzeugen und Kraftfahrzeuganhängern sowie von Systemen, Bauteilen und selbstständigen technischen Einheiten für diese Fahrzeuge dahin auszulegen ist, dass sie dem entgegensteht, dass ein Fahrzeughersteller den Zugang unabhängiger Marktteilnehmer zu Fahrzeugreparatur- und -wartungsinformationen sowie zu Informationen des On-Board-Diagnosesystems, einschließlich des Rechts auf Zugang zu diesen Informationen in schriftlicher Form, von anderen als den in dieser Verordnung vorgesehenen Bedingungen abhängig macht:
Zunächst ist darauf hinzuweisen, dass bei der Auslegung einer Vorschrift des Unionsrechts nicht nur ihr Wortlaut, sondern auch ihr Kontext und die Ziele zu berücksichtigen sind, die mit der Regelung, zu der sie gehört, verfolgt werden (Urteil vom 9. Juni 2022, IMPERIAL TOBACCO BULGARIA, C‑55/21, EU:C:2022:459, Rn. 44 und die dort angeführte Rechtsprechung). Auch die Entstehungsgeschichte einer solchen Vorschrift kann relevante Anhaltspunkte für deren Auslegung liefern (vgl. in diesem Sinne Urteil vom 10. Dezember 2018, Wightman u. a., C‑621/18, EU:C:2018:999, Rn. 47 und die dort angeführte Rechtsprechung).
Was die wörtliche Auslegung der fraglichen Bestimmungen angeht, so sind gemäß Art. 61 Abs. 1 der Verordnung 2018/858 die Fahrzeughersteller verpflichtet, unabhängigen Wirtschaftsakteuren uneingeschränkten, standardisierten und diskriminierungsfreien Zugang zu OBD‑Informationen im Sinne von Art. 3 Nr. 49 der Verordnung, Diagnose- und anderen Geräten und Instrumenten sowie zu Fahrzeugreparatur- und ‑wartungsinformationen im Sinne von Art. 3 Nr. 48 der Verordnung zu gewähren. Die Angaben sind leicht zugänglich in Form von maschinenlesbaren und elektronisch verarbeitbaren Datensätzen darzubieten.
Nach Art. 61 Abs. 4 der Verordnung sind „[d]ie Einzelheiten der technischen Anforderungen an den Zugang zu den Fahrzeug-OBD‑Informationen und Fahrzeugreparatur- und ‑wartungsinformationen, insbesondere technische Angaben über die Art und Weise der Bereitstellung von Fahrzeug-OBD‑Informationen und Fahrzeugreparatur- und ‑wartungsinformationen, … in Anhang X im Einzelnen festgelegt“. Nr. 2.9 dieses Anhangs schreibt vor, dass „[f]ür die Zwecke der Fahrzeug-OBD sowie der Fahrzeugdiagnose, ‑reparatur und ‑wartung … der direkte Fahrzeugdatenstrom über einen seriellen genormten Datenübertragungsanschluss … bereitzustellen“ ist. Abs. 2 dieser Bestimmung stellt außerdem klar, dass dann, wenn sich das Fahrzeug in Bewegung befindet, auf die Daten nur im Lesemodus zugegriffen werden darf.
Daraus ergibt sich zum einen, dass die Verpflichtung der Fahrzeughersteller aus Art. 61 Abs. 1 der Verordnung 2018/858, einen uneingeschränkten, standardisierten und diskriminierungsfreien Zugang zu OBD‑Informationen sowie zu Fahrzeugreparatur- und ‑wartungsinformationen bereitzustellen, die Verpflichtung einschließt, unabhängigen Wirtschaftsakteuren zu erlauben, diese Informationen zu verarbeiten und zu verwerten, ohne dass für sie andere als die in der Verordnung bestimmten Bedingungen gelten (vgl. in diesem Sinne Urteil vom 27. Oktober 2022, ADPA und Gesamtverband Autoteile-Handel, C‑390/21, EU:C:2022:837, Rn. 29). Zum anderen ergibt sich aus Anhang X Nr. 2.9 Abs. 2 der Verordnung, dass diese Wirtschaftsakteure, wenn sich das Fahrzeug nicht in Bewegung befindet, einen weiter gehenden Zugang haben müssen als den in dieser Bestimmung genannten Lesemodus.
Was die systematische Auslegung der fraglichen Bestimmungen betrifft, so werden in Anhang X Nrn. 6.2 und 6.4 der Verordnung 2018/858 zum einen die Vorgaben für den Zugang zu Sicherheitsmerkmalen des Fahrzeugs und zum anderen die Anforderungen an die Reprogrammierung der Steuerungsgeräte festgelegt. Wie die Europäische Kommission in ihren schriftlichen Erklärungen ausgeführt hat, sind in diesen Nummern die Fälle bestimmt, in denen der Zugang zu OBD‑Informationen sowie zu Fahrzeugreparatur- und ‑wartungsinformationen aufgrund ihrer Bedeutung für die Sicherheit an bestimmte Bedingungen geknüpft werden kann. Liegt keiner dieser Fälle vor, müssen unabhängige Wirtschaftsakteure daher ein Recht auf Zugang zu diesen Informationen haben, ohne dass für sie andere als die in der Verordnung vorgesehenen Bedingungen gelten (vgl. in diesem Sinne Urteil vom 27. Oktober 2022, ADPA und Gesamtverband Autoteile-Handel, C‑390/21, EU:C:2022:837, Rn. 32).
Die Auslegung in Rn. 29 des vorliegenden Urteils wird durch das in den Erwägungsgründen 50 und 52 der Verordnung 2018/858 genannte Ziel bestätigt, einen wirksamen Wettbewerb auf dem Markt für Fahrzeugreparatur- und Fahrzeugwartungsinformationsdienste zu ermöglichen, damit die unabhängigen Wirtschaftsakteure auf dem Markt der Fahrzeugreparatur und ‑wartung mit Vertragshändlern konkurrieren können (vgl. in diesem Sinne Urteil vom 27. Oktober 2022, ADPA und Gesamtverband Autoteile-Handel, C‑390/21, EU:C:2022:837, Rn. 30).
Die unabhängigen Wirtschaftsakteure müssen somit uneingeschränkten Zugang zu den Informationen erhalten, die für die Erfüllung ihrer Aufgaben in der Lieferkette auf dem Markt der Fahrzeugreparatur und ‑wartung erforderlich sind. Würde der Zugang zu den in Art. 61 Abs. 1 der Verordnung 2018/858 genannten Informationen an Bedingungen geknüpft, die in der Verordnung nicht vorgesehen sind, bestünde die Gefahr, dass sich die Anzahl der unabhängigen Werkstätten, die Zugang zu diesen Informationen haben, verringert, was möglicherweise zu einem Rückgang des Wettbewerbs auf dem Markt für Fahrzeugreparatur- und Fahrzeugwartungsinformationsdienste und damit zu einem verringerten Angebot für Verbraucher führt. Könnten die Hersteller den Zugang zum direkten Fahrzeugdatenstrom im Sinne von Nr. 2.9 des Anhangs X der Verordnung nach Belieben beschränken, stünde es ihnen zudem frei, den Zugang zu diesem Datenstrom von Bedingungen abhängig zu machen, die ihn praktisch vereiteln könnten.
Behörden dürfen Betreiber von Internetplattformen zur Buchung und Vermietung von Privatunterkünften verpflichten, bei einem Anfangsverdacht auf Zweckentfremdung die Daten der Vermieter herauszugeben. Dabei müssen jedoch Mindeststandards eingehalten werden, wie der VGH München, 12 BV 23.725, klargestellt hat. So reicht allein die gelegentliche, ggf. auch mehrfache kurzzeitige oder auch längerfristige Vermietung oder Gebrauchsüberlassung von Wohnraum angesichts der vielfältigen Möglichkeiten einer völlig legalen (genehmigten) Nutzung ohne Hinzutreten weiterer, eindeutig auf eine Zweckentfremdung hindeutende Umstände regelmäßig nicht aus, um die Annahme eines konkreten Anfangsverdachts einer entsprechenden Ordnungswidrigkeit zu rechtfertigen.
