Am 01.12.2021 tritt das neue Telekommunikations-Telemedien-Datenschutzgesetz zum Datenschutz in der elektronischen Kommunikation TTDSG in Kraft und zeitgleich tritt das Telekommunikationsgesetz (TKG) in einer neuen Fassung in Kraft. Durch diese beiden Neuerungen werden bisher bestehende Lücken im Datenschutz geschlossen und der Europäische Kodex für die elektronische Kommunikation (Richtlinie (EU) 2018/1972 (EECC-Richtlinie)) umgesetzt. Aus datenschutzrechtlicher Hinsicht ist es jedoch so, dass das TTDSG dem TKG nur begleitend zur Seite steht.

Entwicklung des TTDSG

Das TTDSG wurde entwickelt, da dem Gesetzgeber auffiel, dass Datenschutzregelungen für Telekommunikation und Onlinedienste bisher ziemlich verstreut niedergeschrieben sind. Die meisten Regelungen aus Sicht des Datenschutzes waren bisher beispielsweise im Telemediengesetz (TMG), im Telekommunikationsgesetz (TKG) und in der Datenschutzgrundverordnung (DS-GVO) niedergeschrieben. Durch die Entwicklung des TTDSG hat man diese verstreut vorliegenden Regelungen zusammengeführt und an die DS-GVO angepasst. Zugleich wurde dadurch die europäische Vorgabe der E-Privacy-Richtlinie insbesondere die Vertraulichkeit der Kommunikation nach Art. 5 Abs. 3 lit. e der E-Privacy-Richtlinie umgesetzt. Dies bedeutet, dass viele Teile des neuen TTDSG gar nicht neu sind, sondern nur in das TTDSG verschoben bzw. dort zusammengefasst wurden.

Gliederung des TTDSG

Die Gliederung des neuen TTDSG ist einfach und übersichtlich gestaltet. So gliedert sich der Gesetzestext in vier Teile, die wiederum in mehrere Kapitel unterteilt sind.

  • Teil 1: Allgemeinen Vorschriften
  • Teil 2: Datenschutz und Schutz der Privatsphäre in der Telekommunikation
  • Teil 3: Telemediendatenschutz, Endeinrichtungen und
  • Teil 4: Straf- und Bußgeldvorschriften und Aufsicht

Geltungsbereich des TTDSG

Das TTDSG hat zwei große Geltungsbereiche. Einerseits gilt das TTDSG nach § 2 Abs. 2 Nr. 1-5 TTDSG für alle Informationen, wie „Bestandsdaten“, „Nutzungsdaten“, „Nachrichten“ und „Dienste mit Zusatznutzen“, die jeder Nutzer von Telemedien und Telekommunikationsdiensten preisgibt. Um überhaupt erfassen zu können, was Telemedien sind hat der Gesetzgeber in § 1 Abs. 1 S. 1 TMG Telemedien als „alle elektronischen Informations- und Kommunikationsdienste, soweit sie nicht Telekommunikationsdienste, telekommunikationsgestützte Dienste oder Rundfunk sind“, definiert. Auf dieser gesetzlichen Grundlage wurde nun in § 1 Nr. 2 TTDSG festgeschrieben, dass dieses Gesetz „besondere Vorschriften zum Schutz personenbezogener Daten bei der Nutzung von Telekommunikationsdiensten und Telemedien“ enthält. Es gilt gem. § 1 Abs. 3 TTDSG für „alle Unternehmen und Personen, die im Geltungsbereich des Gesetzes eine Niederlassung haben oder Dienstleistungen erbringen oder daran mitwirken oder Waren auf dem Markt bereitstellen“. Dadurch umfasst dieser Geltungsbereich des TTDSG insbesondere gewerbliche Websites, Suchmaschinen Online-Shops und Newsletter-Dienste bzw. Werbe-Mails.

Andererseits gilt das TTDSG gem. § 2 Abs. 2 Nr. 6 TTDSG für alle „Endeinrichtungen“: Damit sind alle mit dem Internet verbundenen Geräte gemeint, z. B. E-Mail- und Messenger-Dienste wie WhatsApp, Telegram oder Threema und auch SmartHome-Anwendungen wie Küchengeräte, Alarmsysteme oder Heizkörperthermostate.

Machen Sie den Homepage-Check

Jeder Websitenutzer kann nicht datenschutzkonforme Websites bei der zuständigen Aufsichtsbehörde melden. Bieten Sie daher enttäuschten Kunden oder verärgerten ehemaligen Mitarbeitern keine Angriffsfläche und sorgen Sie für eine datenschutzkonforme Website! Gerne führen wir für Sie einen HomepageCheck durch und prüfen im Rahmen dessen, ob Ihre Website den datenschutzrechtlichen Vorgaben entspricht.

Homepage-Check

Die wichtigsten Änderungen durch das TTDSG betreffen folgende Bereiche:

Bisher waren beispielsweise die Regelungen zur Cookie-Nutzung oder zur Datennutzung für Tracking-Zwecke im TMG geregelt – in Deutschland wurden diese bisher allerdings nicht europarechtskonform umgesetzt. Mit dem TTDSG hat der Gesetzgeber jetzt die E-Privacy-Richtlinie übernommen und auch zur Cookie-Nutzung alles in § 25 TTDSG festgeschrieben. So reicht es ab dem 01.12.2021 für das Setzen von Cookies nicht mehr aus, dass ein berechtigtes Interesse vorliegt und der Nutzer informiert wurde. Stattdessen verweist § 25 Abs. 1 TTDSG auf die DSGVO (Verordnung (EU) 2016/679) und verlangt nun ein explizites Einwilligungserfordernis. Der Endnutzer muss ab sofort

  • ausdrücklich, also aktiv durch Setzen eines Hakens oder Anklicken eines Buttons
  • freiwillig, d. h. unabhängig von der Bereitstellung eines Service oder einer Dienstleistung und
  • informiert, also welche Cookies für welchen Zweck wie lange gespeichert werden und einer verfügbaren Auswahlmöglichkeit
  • seine Einwilligung erteilen und diese auch jederzeit widerrufen können.

Diese Regelung gilt im Übrigen nicht nur für Cookies, sondern auch für andere Techniken wie Pixel oder Tags und darüber hinaus für alle Arten von Daten, die bei einem technischen Zugriff auf „Endeinrichtungen“ abgerufen werden.

Hierzu gibt es auch nur wenige Ausnahmen, die wiederum in § 25 Abs. 2 Nr. 1 und Nr. 2 TTDSG geregelt sind. § 25 Abs. 2 Nr. 1 TTDSG regelt den Datenzugriff in den Endgeräten oder die Speicherung von Daten in den Endgeräten, falls dies bereits für den Aufbau der Verbindung technisch notwendig ist. In § 25 Abs. 2 Nr. 2 TTDSG ist geregelt, dass die Einwilligung nicht erforderlich ist, wenn die Speicherung von Daten für den inhaltlichen Dienst – gemeint ist vermutlich die Nutzung von technisch notwendigen Cookies – für die Bereitstellung des Webshops oder den Betrieb der Internetseite zwingend notwendig ist.

Für alle Unternehmen, die bereits Cookie-Banner einsetzen ändert sich durch das TTDSG wahrscheinlich eher wenig bis gar nichts. Aber in § 25 TTDSG ist nun endlich die genaue Ausgestaltung der Cookie-Consent-Banner über die DS-GVO (Verordnung (EU) 2016/679) gesetzlich niedergeschrieben.

So müssen diese Banner

  • ausführlich über die eingesetzten Cookies und deren Zwecke informieren (z. B. Marketing usw.)
  • dem Nutzer die Möglichkeit bieten, einzelnen Cookies aktiv zuzustimmen bzw. diese aktiv abzulehnen
  • klar machen, dass die Zustimmung zur Nutzung freiwillig ist und jederzeit widerrufen werden kann
  • für den Nutzer die Möglichkeit bieten, jederzeit Änderungen an Einstellungen und Auswahl vornehmen zu können
  • nur unausgefüllte Felder enthalten und
  • erklären, dass die Einwilligungen des Nutzers dokumentiert werden.

Auch wenn die genaue Ausgestaltung gesetzlich (noch) nicht geregelt ist, so sollten die Check-Boxen nicht vorbelegt oder farblich hervorgehoben sein, es soll Nudging (das Steuern der Nutzer mittels Farbgebung) vermieden werden und die „Ja“ und „Nein“-Buttons sollten gleichwertig gestaltet sein.

Mit in Kraft treten des TTDSG ist für die Cookie-Nutzung dann nach § 25 TTDSG eine informierte, ausdrückliche und vorherige Zustimmung (Einwilligung) des Users notwendig. Wenn der Nutzer bei der Einwilligung ab sofort ausdrücklich, freiwillig und informiert seine Einwilligung erteilen und diese auch jederzeit widerrufen kann, besteht auf Ihrer Seite kein Handlungsbedarf. Sollten Sie feststellen, dass Sie noch nicht alle oben genannten Punkte erfüllt haben, sollten Sie diese schnellstmöglich umsetzen. Die Ausnahmen der Einwilligung sind in § 25 Abs. 2 TTDSG abschließend geregelt.

Zusätzliche Informationen für Website-Betreiber

  • Anbieter von Telemediendiensten müssen eventuell auf Verlangen öffentlichen Stellen Auskunft über Bestands- und Nutzerdaten geben.
  • Bußgelder drohen ab sofort nicht nur nach der DSGVO, sondern auch nach dem TTDSG.
  • Umfassende Aufsicht über den Umgang mit personenbezogenen Daten hat der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), eine unabhängige Datenschutz-Aufsichtsbehörde im Bereich der Telekommunikation, die auch für die Verhängung von Bußgeldern zuständig ist.
  • Für Vorschriften, die nicht die Verarbeitung von personenbezogenen Daten betreffen, ist die Bundesnetzagentur zuständig.

Insgesamt ist festzuhalten, dass das TTDSG im Großen und Ganzen nur Klarstellungen der bereits geltenden Vorschriften mit sich bringt aber keine Probleme, die bereits in den Vorgängerregelungen im TMG im TKG und der DS-GVO vorhanden waren, löst. Unternehmen, die bei der Gestaltung Ihrer Homepage und ihrer Cookie-Consent-Banner auf die Einhaltung der Pflichten aus der DS-GVO geachtet haben, ergibt sich kein Handlungsbedarf. Wurde die Homepage hingegen entweder noch gar nicht auf Datenschutzkonformität hin geprüft oder sind aus dem Homepage-Check noch Handlungsbedarfe offen, sollte dies dringend nachgeholt werden. Durch die Neuregelungen im Bereich der Bußgelder können Verstöße in diesem Bereich nun sowohl durch den Bundesdatenschutzbeauftragten nach dem TTDSG als auch durch die jeweils zuständige Landesdatenschutzbehörde nach der DS-GVO geahndet werden.

Eine Reise in die Zukunft – das Personal Information Management Services (kurz PIMS)

Mit Einführung des § 26 TTDSG hat der Gesetzgeber eine alternative Möglichkeit zur Einholung von Einwilligungen geschaffen, das PIMS. Die Idee dahinter ist, dass der Telemedienanbieter über eine zentrale Einwilligungsverwaltung die Einwilligungen der Nutzer verwalten kann. Der Nutzer erklärt an einer zwischengeschalteten Stelle einmalig, ob er sein Einverständnis zum Setzen von Cookies gibt oder dies ablehnt. Zusätzlich teilt er mit, wo und unter welchen Voraussetzungen Cookies gesetzt werden dürfen oder nicht.

In § 26 Abs. 1 TTDSG sind alle Voraussetzungen aufgeführt, die PIMS-Anbieter zwingend erfüllen müssen:

  • Einsatz von nutzerfreundlichen und wettbewerbskonformen Verfahren und technischen Anwendungen zur Einwilligungseinholung und Einwilligungsverwaltung.
  • Kein wirtschaftliches Eigeninteresse an der Erteilung der Einwilligung und an den verwalteten Daten.
  • Verarbeitung der personenbezogenen Daten und Informationen ausschließlich für die Verwaltung der Einwilligungen.
  • Vorlage eines Sicherheitskonzepts, das die Vorschriften der DS-GVO zu Bewertung der Qualität und Zuverlässigkeit des Dienstes beachtet.
Das PIMS ist eine Möglichkeit, dass Cookie-Consent-Banner nicht mehr auf jeder besuchten Seite eingeblendet werden müssen und dass trotzdem eine Trackingfunktion genutzt werden kann, wenn zuvor die Zustimmung des Nutzers eingeholt wurde.
Bis es allerdings zum Einsatz eines PIMS durch einen Anbieter kommt, muss der Gesetzgeber noch einige weitreichende Konkretisierungen auf den Weg bringen, beispielsweise über die Zusammenarbeit der verschiedenen Beteiligten und das Anerkennungsverfahren dieses Dienstes.