Stand: 20.06.2024
Am 01.12.2021 trat das Telekommunikations-Telemedien-Datenschutzgesetz zum Datenschutz in der elektronischen Kommunikation (TTDSG) zeitgleich mit dem Telekommunikationsgesetz (TKG) in einer neuen Fassung in Kraft. Durch diese beiden Neuerungen wurden bisher bestehende Lücken im Datenschutz geschlossen und der Europäische Kodex für die elektronische Kommunikation (Richtlinie (EU) 2018/1972 (EECC-Richtlinie)) umgesetzt.
TTDSG wird zum TDDDG
Am 14.05.2024 trat schließlich das Digitale-Dienste-Gesetz (DDG) in Kraft. Dieses neue Gesetz ergänzt nicht nur den Digital Services Act der EU (seit 17.02.2024 in Kraft), sondern löst zum einen das bisherige Telemediengesetz (TMG) und zum anderen das Gesetz zur Verbesserung der Rechtsdurchsetzung in sozialen Netzwerken (NetzDG) ab. Außerdem benennt es das bisherige TTDSG in Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) um. Außer dem Titel hat sich inhaltlich im Wesentlichen nichts geändert, lediglich der Begriff der Telemedien wird durch die Änderung jetzt durch den Begriff der digitalen Dienste ersetzt.
Entwicklung des TDDDG
Das TDDDG wurde entwickelt, da dem Gesetzgeber auffiel, dass Datenschutzregelungen für Telekommunikation und Onlinedienste bisher ziemlich verstreut niedergeschrieben sind. Die meisten Regelungen aus Sicht des Datenschutzes waren bisher beispielsweise im Telemediengesetz (TMG), im Telekommunikationsgesetz (TKG) und in der Datenschutzgrundverordnung (DS-GVO) niedergeschrieben. Durch die Entwicklung des TDDDG hat man diese verstreut vorliegenden Regelungen zusammengeführt und an die DS-GVO angepasst. Zugleich wurde dadurch die europäische Vorgabe der E-Privacy-Richtlinie insbesondere die Vertraulichkeit der Kommunikation nach Art. 5 Abs. 3 lit. e der E-Privacy-Richtlinie umgesetzt. Dies bedeutet, dass viele Teile des neuen TDDDG gar nicht neu sind, sondern nur in das TDDDG verschoben bzw. dort zusammengefasst wurden.
Gliederung des TDDDG
Die Gliederung des neuen TDDDG ist einfach und übersichtlich gestaltet. So gliedert sich der Gesetzestext in vier Teile, die wiederum in mehrere Kapitel unterteilt sind.
- Teil 1: Allgemeinen Vorschriften
- Teil 2: Datenschutz und Schutz der Privatsphäre in der Telekommunikation
- Teil 3: Datenschutz bei digitalen Diensten, Endeinrichtungen und
- Teil 4: Straf- und Bußgeldvorschriften und Aufsicht
Geltungsbereich des TDDDG
Das TDDDG hat zwei große Geltungsbereiche. Einerseits gilt das TDDDG nach § 2 Abs. 2 Nr. 1-5 TDDDG für alle Informationen, wie „Bestandsdaten“, „Nutzungsdaten“, „Nachrichten“ und „Dienste mit Zusatznutzen“, die jeder Nutzer von digitalen Diensten preisgibt. Um überhaupt erfassen zu können, was digitale Dienste sind, hatte der Gesetzgeber in § 1 Abs. 1 S. 1 TMG definiert, dass Telemedien (jetzt digitale Dienste) „alle elektronischen Informations- und Kommunikationsdienste, soweit sie nicht Telekommunikationsdienste, telekommunikationsgestützte Dienste oder Rundfunk“, sind. Auf dieser gesetzlichen Grundlage wurde nun in § 1 Nr. 2 TDDDG festgeschrieben, dass dieses Gesetz „besondere Vorschriften zum Schutz personenbezogener Daten bei der Nutzung von Telekommunikationsdiensten und digitalen Diensten“ enthält. Es gilt gem. § 1 Abs. 3 TDDDG für „alle Unternehmen und Personen, die im Geltungsbereich des Gesetzes eine Niederlassung haben oder Dienstleistungen erbringen oder daran mitwirken oder Waren auf dem Markt bereitstellen“. Dadurch umfasst dieser Geltungsbereich des TDDDG insbesondere gewerbliche Websites, Suchmaschinen Online-Shops und Newsletter-Dienste bzw. Werbe-Mails. Andererseits gilt das TDDDG gem. § 2 Abs. 2 Nr. 6 TDDDG für alle „Endeinrichtungen“: Damit sind alle mit dem Internet verbundenen Geräte gemeint, z. B. E-Mail- und Messenger-Dienste wie WhatsApp, Telegram oder Threema und auch SmartHome-Anwendungen wie Küchengeräte, Alarmsysteme oder Heizkörperthermostate.
Die wichtigsten Änderungen durch das TDDDG betreffen folgende Bereiche:
Cookie-Nutzung
Bisher waren beispielsweise die Regelungen zur Cookie-Nutzung oder zur Datennutzung für Tracking-Zwecke im TMG geregelt – in Deutschland wurden diese bisher allerdings nicht europarechtskonform umgesetzt. Mit dem TDDDG hat der Gesetzgeber jetzt die E-Privacy-Richtlinie übernommen und auch zur Cookie-Nutzung alles in § 25 TDDDG festgeschrieben. So reicht es für das Setzen von Cookies nicht mehr aus, dass ein berechtigtes Interesse vorliegt und der Nutzer informiert wurde. Stattdessen verweist § 25 Abs. 1 TDDDG auf die DS-DGVO (Verordnung (EU) 2016/679) und verlangt nun ein explizites Einwilligungserfordernis. Der Endnutzer muss ab sofort
- ausdrücklich, also aktiv durch Setzen eines Hakens oder Anklicken eines Buttons,
- freiwillig, d. h. unabhängig von der Bereitstellung eines Service oder einer Dienstleistung und
- informiert, also welche Cookies für welchen Zweck wie lange gespeichert werden und einer verfügbaren Auswahlmöglichkeit
seine Einwilligung erteilen und diese auch jederzeit widerrufen können.
Diese Regelung gilt im Übrigen nicht nur für Cookies, sondern auch für andere Techniken wie Pixel oder Tags und darüber hinaus für alle Arten von Daten, die bei einem technischen Zugriff auf „Endeinrichtungen“ abgerufen werden.
Hierzu gibt es auch nur wenige Ausnahmen, die wiederum in § 25 Abs. 2 Nr. 1 und Nr. 2 TDDDG geregelt sind. § 25 Abs. 2 Nr. 1 TDDDG regelt den Datenzugriff in den Endgeräten oder die Speicherung von Daten in den Endgeräten, falls dies bereits für den Aufbau der Verbindung technisch notwendig ist. In § 25 Abs. 2 Nr. 2 TDDDG ist geregelt, dass die Einwilligung nicht erforderlich ist, wenn die Speicherung von Daten für den inhaltlichen Dienst – gemeint ist vermutlich die Nutzung von technisch notwendigen Cookies – für die Bereitstellung des Webshops oder den Betrieb der Internetseite zwingend notwendig ist.
Cookie-Banner
Für alle Unternehmen, die bereits Cookie-Banner einsetzen ändert sich durch das TDDDG wahrscheinlich eher wenig bis gar nichts. Aber in § 25 TDDDG ist nun endlich die genaue Ausgestaltung der Cookie-Consent-Banner über die DS-GVO (Verordnung (EU) 2016/679) gesetzlich niedergeschrieben.
So müssen diese Banner
- deutlich und verständlich formuliert sein
- ausführlich über die eingesetzten Cookies und deren Zwecke informieren (z. B. Marketing usw.)
- dem Nutzer die Möglichkeit bieten, einzelnen Cookies aktiv zuzustimmen bzw. diese aktiv abzulehnen (Opt-In-Funktion)
- keinen vorherigen Datentransfer an Dritte beinhalten
- klar machen, dass die Zustimmung zur Nutzung freiwillig ist und Hinweis darauf, dass diese jederzeit widerrufen werden kann
- für den Nutzer die Möglichkeit bieten, jederzeit Änderungen an Einstellungen und Auswahl vornehmen zu können
- den Zugriff auf die Datenschutzerklärung und das Impressum nicht einschränken oder verhindern
- nur unausgefüllte Felder enthalten und
- erklären, dass die Einwilligungen des Nutzers dokumentiert werden.
Auch wenn die genaue Ausgestaltung gesetzlich (noch) nicht geregelt ist, so sollten die Check-Boxen nicht vorbelegt oder farblich hervorgehoben sein, es soll Nudging (das Steuern der Nutzer mittels Farbgebung) vermieden werden und die „Ja“ und „Nein“-Buttons sollten gleichwertig gestaltet sein.
Einwilligung
Mit Inkrafttreten des TDDDG ist für die Cookie-Nutzung dann nach § 25 TDDDG eine informierte, ausdrückliche und vorherige Zustimmung (Einwilligung) des Users notwendig. Wenn der Nutzer bei der Einwilligung ab sofort ausdrücklich, freiwillig und informiert seine Einwilligung erteilen und diese auch jederzeit widerrufen kann, besteht auf Ihrer Seite kein Handlungsbedarf. Sollten Sie feststellen, dass Sie noch nicht alle oben genannten Punkte erfüllt haben, sollten Sie diese schnellstmöglich umsetzen. Die Ausnahmen der Einwilligung sind in § 25 Abs. 2 TDDDG abschließend geregelt.
Insgesamt ist festzuhalten, dass das TDDDG im Großen und Ganzen nur Klarstellungen der bereits geltenden Vorschriften mit sich gebracht hat, aber keine Probleme, die bereits in den Vorgängerregelungen im TMG im TKG und der DS-GVO vorhanden waren, löst. Für Unternehmen, die bei der Gestaltung ihrer Homepage und ihrer Cookie-Consent-Banner auf die Einhaltung der Pflichten aus der DS-GVO geachtet haben, ergibt sich kein Handlungsbedarf. Wurde die Homepage hingegen entweder noch gar nicht auf Datenschutzkonformität hin geprüft oder sind aus dem Homepage-Check noch Handlungsbedarfe offen, sollte dies dringend nachgeholt werden. Durch die Neuregelungen im Bereich der Bußgelder können Verstöße in diesem Bereich nun sowohl durch den Bundesdatenschutzbeauftragten nach dem TDDDG als auch durch die jeweils zuständige Landesdatenschutzbehörde nach der DS-GVO geahndet werden.