TDDDG: Telekommunikation-Digitale-Dienste-Datenschutzgesetz

TDDDG verstehen: Einwilligung, Cookies und Bußgelder – sorgen Sie für eine rechtssichere Website und prüfen mit dem kostenlosen Website Check, ob Sie alle gesetzlichen Anforderungen erfüllen. 

Web-Compliance
Inhalt dieser Seite

UPDATE: TTDSG wird zu TDDDG

Seit dem 13. Mai 2024 heißt das vormalige Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) Telekommunikation-Digitale-Dienste-Datenschutzgesetz (TDDDG). Diese Namensänderung dient der Anpassung des deutschen Rechts an den europäischen Digital Services Act (DSA). Hauptsächlich hat dies lediglich eine Namensänderung zufolge, die Kerninhalte bleiben unverändert. Daher ist es ausschlaggebend für Sie Ihr Impressum und andere Datenschutzdokumente auf entsprechende Anpassungen überprüfen. Ersetzen Sie TTDSG durch TDDDG, um zukünftige Änderungen zu vermeiden. 

Was ist das TDDDG?

Das Telekommunikation-Digitale-Dienste-Datenschutzgesetz (TDDDG) ist ein neues Regelwerk, das spezifische Datenschutzanforderungen für den Bereich der elektronischen Kommunikation in Deutschland festlegt. Es zielt darauf ab, die Privatsphäre der Nutzer im digitalen Raum besser zu schützen, indem es klare Richtlinien für den Einsatz von Cookies und ähnlichen Technologien sowie für die Einholung von Nutzereinwilligungen vorgibt. Das TDDDG ergänzt die bestehenden Datenschutzgesetze, insbesondere die DSGVO, und adressiert die speziellen Herausforderungen, die sich aus der fortschreitenden Digitalisierung und der zunehmenden Nutzung von Telekommunikationsdiensten und Telemedien ergeben.

Was ändert sich durch das TDDDG?

Durch das TDDDG ergeben sich wesentliche Änderungen im Datenschutzrecht, die vor allem den Umgang mit Cookies und die Einholung von Nutzereinwilligungen betreffen. Das Gesetz präzisiert die Anforderungen an eine gültige Einwilligung im Einklang mit der DSGVO, wobei nun explizit festgelegt wird, dass Nutzer eine klare und informierte Wahl treffen müssen, bevor Cookies gesetzt oder personenbezogene Daten verarbeitet werden dürfen. Dies bedeutet, dass Website- und App-Betreiber ihre Einwilligungsmechanismen überarbeiten müssen, um sicherzustellen, dass diese den neuen Vorgaben entsprechen. Insbesondere müssen sie den Nutzern die Möglichkeit bieten, der Verwendung von Cookies einfach widersprechen zu können. Zudem wird die Transparenz erhöht, indem detaillierte Informationen über die Funktionsdauer der Cookies und den Zugriff Dritter auf diese Daten bereitgestellt werden müssen. Diese Neuerungen zielen darauf ab, den Datenschutz und die Privatsphäre der Nutzer im digitalen Raum zu stärken und eine konsistentere Rechtsgrundlage im Einklang mit europäischen Vorgaben zu schaffen.

TDDDG Zusammenfassung: Alles wichtige im Überblick

Erforderliche Einwilligung

Das TDDDG legt strenge Anforderungen für die Einwilligung zur Datenverarbeitung fest, wobei Nutzer eine klare Ablehnungsmöglichkeit auf der ersten Cookie-Banner-Ebene haben müssen. Nutzer müssen aktiv zustimmen können, und es dürfen keine Daten vor dieser Zustimmung erhoben werden.

Transparenz bei Cookies

Informationen über die Funktionsdauer von Cookies und den Zugriff Dritter darauf sind nun erforderlich. Dies erhöht die Transparenz und gibt Nutzern mehr Kontrolle über ihre Daten.

Keine neuen Anforderungen für Cookies

Das Gesetz führt keine neuen Bestimmungen für den Einsatz von Cookies ein, sondern orientiert sich an bestehenden ePrivacy-Richtlinien. Die bestehenden Regelungen bleiben gültig, jedoch mit präziseren Vorgaben zur Einwilligung.

Bußgelder und Strafen

Verstöße gegen das TDDDG können zu erheblichen Bußgeldern bis zu 300.000 Euro oder sogar Freiheitsstrafen führen.

Informierte Einwilligung: Was muss nach TDDDG beim Cookie-Hinweis beachtet werden?

In § 17 Abs. 2 TDDDG werden durch den direkten Bezug zur DSGVO nunmehr die Anforderungen an die erforderliche Einwilligung festgelegt. Für eine wirksame Einwilligung ist entscheidend, dass die Erste Cookie Banner Ebene ebenfalls die Möglichkeit der Ablehnung bietet. Außerdem dürfen bis zu dem Zeitpunkt der Einwilligung keine Daten erhoben werden. Und die Möglichkeit des Wiederrufs muss gewährt werden. Auch müssen nun Angaben zur Funktionsdauer der Cookies gemacht werden, und die Informationen gestellt werden, ob Dritte Zugriff auf die Cookies haben.

Konkret bedeutet das für den Einsatz von Cookie-Hinweisen:

Cookie Banner Checkliste

TDDDG und Consent Management: Wie wirkt sich das neue Gesetz auf die DSGVO und die E-Privacy Richtlinie aus?

Bei der genaueren Betrachtung der Vorschriften des TDDDG lassen sich viele Parallelen zu der DSGVO oder der ePrivacy-Richtlinie ziehen. So sieht § 9 Abs. 2 S. 1 TDDDG eine Verarbeitung von Verkehrsdaten nur dann als zulässig an, soweit der Endnutzer nach den Vorgaben der Verordnung (EU) 2016/679, also der DSGVO, eingewilligt hat. Es ist also zu erwarten, dass die ePrivacy-Richtlinie, die bereits im TMG und TKG weitestgehend umgesetzt wurde, durch das Inkrafttreten des TDDDG vollständig umgesetzt wird. Für die DSGVO bedeutet dies eine Erweiterung um spezifische Regelungen, welche bei kollidierenden Normen eine abdrängende Sonderzuweisung darstellen.

Die e-Privacy-Richtlinie und das EuGH-Urteil (Planet-49 Urteil) haben bereits Stellung zu Cookies und Einwilligungen bezogen. Mit dem TDDDG gibt es endlich eine Regelung nach deutschem Gesetz für dieses umstrittene Thema.

Wann benötigt man eine Einwilligung des Endnutzers?

Laut § 25 Abs. 1 TDDDG benötigt man grundsätzlich eine Einwilligung bei Zugriff auf Verkehrsdaten oder einer Datenspeicherung auf dem Endgerät des Endnutzers (wie der PC, das Smartphone oder Tablet).

Diese Regelungen sind eng an die Vorgaben der DSGVO geknüpft und setzen die RICHTLINIE 2002/58/EG (Art. 5 Abs. 3) in deutsches Recht um. Ebenso sind die Regelungen auch zukünftig für den externen Datenschutzbeauftragten Berlin von Bedeutung. Eine weitere Verarbeitung über die in § 9 Abs. 1 TDDDG genannten Zwecke hinaus schließt der Gesetzgeber in § 17 Abs. 1 S. 3 TDDDG nun – anders als das TKG – ausdrücklich aus und begrenzt somit mögliche Handlungsspielräume von Dienstanbietern. Die Pflicht zur Verarbeitung von Verkehrsdaten aufgrund von anderen Rechtsvorschriften bleibt von dieser Regelung jedoch unberührt.

Was sind PIMS? - Vereinfachung des Consent Managements

Eine Ausnahme von einer Einwilligungspflicht nach Abs. 2 TDDDG besteht, wenn

  1. der Zweck auf die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz erfolgt
  2. die Speicherung und der Zugriff unbedingt erforderlich ist, damit der Telemediendienst zur Verfügung gestellt werden kann.
 

Eine genaue Definition für „unbedingt erforderliche“ Datenverarbeitung liefert das TDDDG nicht. Als Orientierungshilfe lassen sich die Rechtsprechung des EuGH sowie die Vorgaben und Hilfestellungen der Datenschutzaufsichtsbehörden heranziehen.

Als „technisch notwendige“ Cookies gelten beispielsweise Warenkorb-Cookies oder Session-Cookies. Sogenannte Session-Cookies werden nach dem Schließen des Browsers automatisch gelöscht.

Sofern Verkehrsdaten nach § 9 TDDDG zu Marketingzwecken verarbeitet werden, ist die Einwilligung des Endnutzers zwingende Voraussetzung.

Da das Consent Management für VerbraucherInnen in der Masse und Komplexität der Cookie Banner kaum zu bewältigen ist, hat sich das TDDDG zum Ziel gemacht, diesen Prozess zu vereinfachen. Als Lösung für die Einholung und Verwaltung von Einwilligungen sollen nur sogenannte Personal Information Management Systems (PIMS) eingeführt werden. Diese sollen verhindern, dass NutzerInnen ständig Cookie Banner wegklicken müssen und von sogenannten Dark Patterns zur Einwilligung der Verarbeitung ihrer personenbezogenen Daten gedrängt werden.

Auf der Webseite des European Data Protection Supervisor wird das PIMS wie folgt beschrieben (Original übersetzt durch DeepL):

Das PIMS-Konzept bietet einen neuen Ansatz, bei dem Einzelpersonen die „Besitzer“ ihrer eigenen persönlichen Daten sind. PIMS ermöglichen es Einzelpersonen, ihre persönlichen Daten in sicheren, lokalen oder Online-Speichersystemen zu verwalten und sie zu teilen, wann und mit wem sie wollen. Der Einzelne kann entscheiden, welche Dienste seine Daten nutzen können und welche Dritten sie weitergeben dürfen. Dies ermöglicht einen menschenzentrierten Umgang mit persönlichen Daten und neuen Geschäftsmodellen und schützt vor unrechtmäßigen Tracking- und Profiling-Techniken, die darauf abzielen, wichtige Datenschutzprinzipien zu umgehen.

Für WebsitebetreiberInnen bedeutet dies eine Berücksichtigung der PIMS-Einstellungen bei der Programmierung Ihrer Website. Wie die technische Umsetzung genau funktioniert, ist noch nicht geklärt.

Erweiterung des Anwendungsbereichs:

§ 25 TDDDG hat einen weiten Anwendungsbereich. Insbesondere gilt die Regelung entsprechend den Vorgaben der ePrivacyRichtlinie unabhängig davon, ob bei dem Zugriff auf die Endeinrichtung personenbezogene Daten anfallen.

Die Regelung in § 25 TDDDG ist sozusagen technologieneutral. Demnach erfasst das TDDDG nicht nur die gebräuchlichen Cookies, sondern jegliche Techniken, die ein Speichern und/oder Auslesen von Informationen auf Endeinrichtungen erfordern, wie beispielsweise das sogenannte Browser Fingerprinting. Bei diesem erfassen die Webserver unterschiedliche Merkmale der Browser der Besucher und ermitteln auf dieser Basis jeweils einen individuellen digitalen Fingerabdruck, mit dem NutzerInnen bzw. ihre Browser später wiedererkannt werden können. Dasselbe gilt für das Tracking über Werbe-IDs, MAC-Adressen, IMEI-Nummern. Nicht zuletzt erfasst der Anwendungsbereich des § 25 TDDDG die Vielzahl von Gegenständen im Internet, die (teils direkt, teils über einen WLAN-Router) an das öffentliche Kommunikationsnetz angeschlossen sind, etwa im Bereich von Smarthome-Anwendungen (z.B. Küchengeräte, Heizkörperthermostate, Alarmsysteme).

Konsequenzen für Websitebetreibende: Wen trifft das neue Gesetz?

Das TDDDG gilt für Anbieter von Telemedien. 2 Abs. 2 TDDDG:

"Anbieter von Telemedien“ ist jede natürliche oder juristische Person, die eigene oder fremde Telemedien erbringt, an der Erbringung mitwirkt oder den Zugang zur Nutzung von eigenen oder fremden Telemedien vermittelt.

Allgemein zur Wahrung des Fernmeldegeheimnisses sind verpflichtet:

  • Anbieter von öffentlich zugänglichen Telekommunikationsdiensten
  • Anbieter von angebotenen Telekommunikationsdiensten
  • Betreiber von öffentlichen Telekommunikationsnetzten und
  • Betreiber von Telekommunikationsanlagen, mit denen geschäftsmäßige Telekommunikationsdienste erbracht werden.

Dazu gehören:

  • Online-Angebote von Waren/Dienstleistungen mit unmittelbarer Bestellmöglichkeit (z.B. Angebot von Verkehrs-, Wetter-, oder Börsendaten, elektronische Presse, Fernseh-/ Radiotext, Teleshopping),
  • Video on Demand,
  • Internetsuchmaschinen,
  • Werbemails
  • „einfache“ Homepages zur Information über ein Unternehmen bzw. eine öffentliche Stelle.

Strafen und Bußgelder nach dem TDDDG

Je nach Verstoß gegen das TDDDG können Freiheitsstrafen von bis zu zwei Jahren folgen. Im Bereich der Cookies bleibt es jedoch bei einer Geldstrafe. Die Höhe eines Bußgeldes richtet sich je nach Verstoß nach § 28 TDDDG und kann bis zu 300.000,00 € ausfallen. Im Falle einer Ordnungswidrigkeit ergeht das Bußgeld entweder durch die Bundesnetzagentur oder der Bundesbeauftragten oder dem Bundesbeauftragten für Datenschutz und die Informationsfreiheit. Behörden und andere öffentliche Stellen können mit keinem Bußgeld belangt werden.

Was müssen Websitebetreibende nun tun?

Was den Einsatz von Cookies oder vergleichbaren Techniken betrifft, bringt das neue Gesetz für das neue Telekommunikation-Digitale-Dienste-Datenschutzgesetz keine neuen Anforderungen mit sich. Die Cookie Richtlinien zur Zulässigkeit des Einsatzes von Cookies bleiben unverändert, da sie sich im § 25 TDDDG an den Vorgaben der eprivacy Richtlinie orientieren. Auch an die Wirksamkeit der Einwilligung ergibt sich keine Änderung. Lediglich die Frage nach dem „wie“ wurde neu gestellt und entsprechend aktueller Rechtssprechungen angepasst. Es bleibt jedoch immer noch offen, welche Cookies als „unbedingt erforderlich“ eingestuft werden dürfen. Dennoch sollten Website BetreiberInnen prüfen, ob ihre Website den bereits bestehenden Cookie Richtlinien entsprechen oder ggf. Anpassungen auf der Website bzw. im Consent Management nötig wären.

To-Do Liste für rechtswirksame Cookie-Banner

Inhalt dieser Seite
Jörg ter Beek externer Datenschutzbeauftragter
Jörg ter Beek
Datenschutzexperte & DSB
Hilfe bei der Umsetzung benötigt?

Als externer Datenschutzbeauftragter und Beratungsdienstleister unterstützen wir Sie bei der Umsetzung des neuen TDDDG.

Ihre Vorteile mit Cortina Consult

Cortina Consult hilft Unternehmen dabei, die Anforderungen der DSGVO im Unternehmen umzusetzen – digital, so einfach wie möglich, zu fixen Konditionen.

Als Beratungsdienstleister und externer Datenschutzbeauftragter sorgen wir für die Einhaltung der gesetzlichen Vorgaben bei der Verarbeitung von personenbezogenen Daten in Ihrem Unternehmen.

Web-Compliance
Nach oben scrollen
Sie haben Fragen?
– Wir beraten Sie gerne
Jörg ter Beek externer Datenschutzbeauftragter
Jörg ter Beek
Datenschutzexperte & DSB
Unsere Lösungen
Cortina Consult Logo