Beschluss vom 11. Mai 2026: Den DVB-I-Standard datenschutzkonform implementieren!

Das Europäische Institut für Telekommunikationsnormen (ETSI) hat im September 2024 einen Standard¹ zur Steuerung von Übertragungswegen beim Betrieb des digitalen Fernsehens verabschiedet (DVB-I – Digital Video Broadcasting – Internet). Gegenwärtig arbeiten Gerätehersteller von Smart TVs und die zukünftigen Betreiber von Servicelisten für ihre Geräte und Verfahren an der Umsetzung dieses Standards.²

Die Umsetzung des Standards durch Hersteller von Endgeräten und Betreibern von Servicelisten wird mit der Verarbeitung zusätzlicher personenbezogener Daten weiter Teile der Bevölkerung in Deutschland einhergehen.

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder fordert die an der Umsetzung des DVB-I-Standards Beteiligten, die personenbezogene Daten von Rundfunkteilnehmenden verarbeiten, dazu auf, dabei die Bestimmungen der Datenschutz-Grundverordnung (DSGVO) zu beachten und insbesondere Verfahren den Vorzug zu geben, bei denen keine oder sonst möglichst wenige personenbezogene Daten verarbeitet werden, wo immer dies möglich ist.³

Ein wesentlicher Aspekt ist dabei, dass es keinen faktischen Nutzungszwang für DVB-I geben sollte und dass ein Verzicht auf die Nutzung von DVB-I nicht mit Nachteilen, etwa eingeschränkter Programmvielfalt, einhergehen darf.

Die Gerätehersteller sollten insbesondere folgende Maßnahmen treffen:

• Information der Nutzenden über die erforderlichen Datenübermittlungen für die Grunddienste zu Beginn der Verarbeitung (Art. 13 bzw. 14 DSGVO) (Abfrage der Senderliste mit Angabe von Land, Region und Sprache, erneute Abfrage zur Aktualisierung alle 24 Stunden (so lautet die Empfehlung im Standard)).
• Einholung der ggf. notwendigen Einwilligung(en) für die Verarbeitung personenbezogener Daten im Rahmen der Abfrage der Senderlisten.
• Bereitstellung einer alternativen Möglichkeit zur Einrichtung des Gerätes (Sendersuchlauf).
• Ermittlung der Region nach Möglichkeit lokal auf dem Endgerät.
• Keine Ermittlung der für die Erbringung der Dienstleistung nicht erforderlichen genauen Ortsposition.
• Keine Übermittlung von Geräte-IDs oder sonstigen Identifikatoren bei den Abfragen.
• Klare Kennzeichnung von Programmen oder Diensten, die über das Internet bezogen werden und dadurch beim Programmabruf zwangsläufig Informationen an deren Anbieter übermitteln. Solche Dienste sind u.a.: Streaming-Liveprogramme, Programminformationen (welche Sendung läuft wann), On-Demand-Streaming, Zusatzdienste wie Audiospuren/Untertitel, die über das Internet bereitgestellt werden.
• Keine Datenübermittlungen zu einem dieser Dienste, bevor die Nutzenden den einzelnen Dienst aktiv anfordern.
• Datenminimierende Voreinstellungen (Broadcast first).

Die Betreiber von Servicelisten sollten insbesondere Folgendes beachten:

• Keine Übermittlung nicht erforderlicher Daten (insbesondere keine Client- oder Geräte-Seriennummern der Hersteller) beim Abruf von URLs durch den Client.
• Keine Profilbildung über getätigte Anfragen (keine Protokollierung von IP-Adressen, PLZ bzw. eventuell übermittelten, anderen Kennzeichen).
• Besondere Zusatzinformationen in der Serviceliste bei einer zusätzlichen Übermittlung von technisch notwendigen Informationen an weitere Anbieter, wie z.B. Anbieter von Internet-TV-Streams.

Anlage

Der DVB-I-Standard (ETSI TS 103 770⁴) sieht das Angebot einer Art über das Internet abrufbarer Sender-/Servicelisten mit Zusatzinformationen vor. Damit soll insbesondere die leichtere Konfiguration von Empfangsgeräten ermöglicht werden, indem für die jeweiligen Sender auf allen möglichen Empfangswegen (Kabel, Antenne (DVB-T2), Satellit, Internet) die entsprechenden Daten (Kanäle/Adressen etc.) aufgelistet werden.

Die Datenschutzbehörden in Deutschland haben sich schon seit Beginn des Digital Video Broadcasting (DVB-) Projekts für dessen datenschutzkonforme Umsetzung eingesetzt⁵ und dazu bereits 2015 eine umfangreiche bundesweite Prüfung von Amts wegen durchgeführt. Die Ergebnisse dieser Prüfung sind in einer Orientierungshilfe zum datenschutzkonformen Betrieb von Smart TV und HbbTV niedergelegt.⁶

Mit dem neuen DVB-I-Standard wurde für die Übertragungsstandards von Fernsehen ein weiterer Substandard hinzugefügt, der sich – ebenso wie die Vorgängerregelungen – an den Anforderungen der Datenschutz-Grundverordnung (DSGVO) messen lassen muss. Da in der Praxis fast nur noch Smart TVs am Markt erhältlich sind, wird die Umsetzung des Standards perspektivisch alle TV-Nutzenden in Deutschland⁷ und den anderen EU/EWR-Ländern jedenfalls bei der Anschaffung von Neugeräten betreffen: Alle innerhalb der EU/EWR erhältlichen Empfangsgeräte müssen die DVB-Standards (und folglich auch HbbTV) unterstützen. Daher ist davon auszugehen, dass die Gerätehersteller auch den neuen DVB-I-Standard umsetzen werden.

Die Umsetzung des Standards durch Hersteller von Endgeräten und Betreibern von Servicelisten wird mit der Verarbeitung zusätzlicher personenbezogener Daten weiter Teile der Bevölkerung in Deutschland einhergehen.

Den potentiell größten Eingriff in die Privatsphäre der Nutzenden stellt der Betrieb der Sender-/Servicelisten dar, in denen der Ausspielungsweg für die einzelnen Sender festgelegt wird. Der grundsätzlich datenschutzfreundlichere Ausspielungsweg erfolgt via Broadcast, weil bei einer datenschutzkonformen Implementierung keine Nutzungsdaten an Gerätehersteller und/oder Programmanbieter zurückfließen. Bei einem Bezug von Programmen über das Internet erhalten potentiell sowohl Gerätehersteller als auch Inhalteanbieter und Betreiber von Servicelisten personenbezogene Daten über das Nutzungsverhalten von Einzelpersonen.

Eine Implementierung, die die Nutzung solcher Kanäle bevorzugt, bei denen die Nutzenden Datenspuren hinterlassen (müssen), würde sowohl das Recht auf informationelle Selbstbestimmung als auch das Grundrecht aller betroffenen Personen aus Art. 11 Abs. 1 S. 2 der Charta der Grundrechte der Europäischen Union (GRCh) gefährden. Letzteres Grundrecht auf Informationsfreiheit umfasst, sich aus öffentlich zugänglichen Quellen ungehindert informieren zu können.

In den zurückliegenden Jahrzehnten ist die Möglichkeit zum anonymen Medienkonsum immer weiter zurückgedrängt worden. Deswegen kommt es jetzt darauf an, bei der Implementierung von Sub-Standards wie DVB-I diese Fehlentwicklung nicht zu wiederholen oder gar noch zu verstärken. Die Möglichkeit zum anonymen Medienkonsum sollte weiterhin bestehen und nicht ohne Not noch weiter eingeschränkt werden.

Datenschutzrechtliche Einordnung

Bei Implementierung und Betrieb von DVB-I sind die jeweils geltenden Datenschutzbestimmungen einzuhalten. Dazu zählt u. a. § 25 Abs. 1 des Gesetzes über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei digitalen Diensten (TDDDG).

Die Beteiligten müssen unter sich frühzeitig klären, wer für die einzelnen Verarbeitungsschritte jeweils Zwecke und Mittel der Datenverarbeitung bestimmt und so Verantwortlicher im datenschutzrechtlichen Sinne wird (Art. 4 Nr. 7 DSGVO). Soweit eine gemeinsame Verantwortlichkeit besteht, ist zwischen den Verantwortlichen eine Vereinbarung zu schließen (Art. 26 Abs. 1 DSGVO). Dabei ist auch zu beachten, dass betroffene Personen ihre Rechte aus der DSGVO (Art. 15 ff. DSGVO) gegenüber jedem der gemeinsam Verantwortlichen geltend machen können.

Zusätzlich bedarf jede nachfolgende Verarbeitung personenbezogener Daten ebenfalls einer Rechtsgrundlage (Art. 6 Abs. 1 DSGVO). Hier kommt nach derzeitiger Auffassung lediglich die Einwilligung der betroffenen Personen in Betracht (Art. 6 Abs. 1 S. 1 lit. a DSGVO). So ist eine automatische Konfiguration mittels einer Senderliste nicht erforderlich, solange Nutzende selbst einen Sendersuchlauf auslösen können. Die Voraussetzungen der Einwilligung (u.a. Freiwilligkeit, Informiertheit, Granularität) sind durch die Verantwortlichen sicherzustellen.

Soweit die Verarbeitung auf die Einwilligung betroffener Personen gestützt wird, ist darüber hinaus sicherzustellen, dass diese jederzeit mit Wirkung für die Zukunft widerrufen werden kann, Art. 7 Abs. 3 S. 1 DSGVO.

In jedem Fall müssen Verantwortliche auch die Regelungen des Art. 5 Abs. 1 lit. c DSGVO (Datenminimierung) bei Implementierung und Betrieb beachten (Art. 25 Abs. 1 DSGVO).

Schließlich sind die übrigen Betroffenenrechte aus der DSGVO und die Möglichkeit, diese in Anspruch zu nehmen, sicherzustellen (z. B. Informationen nach Art. 13 und 14 DSGVO, Auskunft, Widerspruch, Löschung, Widerruf der Einwilligung so einfach wie deren Erteilung).

1 Standard ETSI TS 103 770

2 https://dvb-i.tv/timeline/

3 Diese Verantwortlichen könnten auf die Mitwirkung weiterer an der Einführung beteiligter Akteure angewiesen sein, um ihren datenschutzrechtlichen Verpflichtungen gerecht werden zu können. Dies ist auch deswegen von Bedeutung, weil technisch unzureichende Voreinstellungen kein Rechtsgrund für eine Datenerhebung sind.

4 https://www.etsi.org/deliver/etsi_ts/103700_103799/103770/01.02.01_60/ts_103770v010201p.pdf

5 Vgl. z. B. JB BlnBDI 2015, S. 170ff.; https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/jahresbehttps://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/jahresbericht/BlnBDI-Jahresbericht-2015-Web.pdf

6 https://www.datenschutzkonferenz-online.de/media/oh/20150917_oh_smart_tv.pdf

7 Die Anzahl der deutschen Haushalte, die mit mindestens einem Gerät Fernsehen empfangen lag 2023 bei rund 38,78 Millionen, vgl. https://de.statista.com/themen/88/fernsehen/. Die Anzahl der potentiell betroffenen Einzelpersonen ist entsprechend höher einzustufen.