Cortina Consult Logo
Preise

Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG)

TTDSG und Cookies: Was Websitebetreiber über Einwilligungen, Bußgelder und die DSGVO wissen müssen.

ttdsg
Inhalt dieser Seite

Was ist das TTDSG?

Die Abkürzung TTDSG steht für das neue Telekommunikation-Telemedien Datenschutz-Gesetz. Das Ziel des neuen Gesetzes ist die erforderliche Anpassung der Datenschutzbestimmungen des Telekommunikationsgesetzes (TKG) und des Telemediengesetzes (TMG) an die Datenschutz-Grundverordnung (DSGVO) sowie die ausstehende Umsetzung der ePrivacy-Richtlinie. Die Gesetzesänderung soll Rechtsunsicherheiten beseitigen, die durch die Co-Existenz von DSGVO, TMG und TKG entstanden sind. Aus diesem Grund werden die Datenschutzbestimmungen von TKG und TMG in einem Gesetz (TTDSG) zusammengefasst.

Des Weiteren wird der Bundesgesetzgeber das TKG modernisieren. Diese Neuerungen sind zudem unerlässlich, um den Veränderungen der zunehmend von VerbraucherInnen und Unternehmen genutzten Internetdiensten zur interpersonellen Kommunikation (wie Voice-over-IP, InstantMessaging oder webgestützte E-Mail-Dienste) gerecht zu werden.

Denn auf diese Dienste war das Telekommunikationsrecht bislang nicht anwendbar. Das neue Telekommunikation-Telemedien Datenschutz-Gesetz (TTDSG) wird also auf europäischer Ebene Lücken im Bereich elektronischer Kommunikation schließen.

In diesem Beitrag wollen wir inhaltlich auf den Bereich der TTDSG eingehen, der vor allem Website- und Appanbieter betrifft: Cookies und Einwilligung. Da das TTDSG nun der E-Privacy-Verordnung zuvorgekommen ist, muss das Gesetz möglicherweise zu gegebener Zeit an die noch zu verhandelnde europäische ePrivacy-Verordnung angepasst werden.

Wann tritt das TTDSG in Kraft?

Am 1. Dezember 2021 tritt das Telekommunikation-Telemedien-Datenschutz-Gesetz, kurz TTDSG, in Kraft. Die Vorgaben der europäischen E-Privacy-Richtlinie werden damit in deutsches Recht umgesetzt.

Auf einen Blick: So muss die Einwilligung eingeholt werden

In § 17 Abs. 2 TTDSG werden durch den direkten Bezug zur DSGVO nunmehr die Anforderungen an die erforderliche Einwilligung festgelegt. Für eine wirksame Einwilligung ist entscheidend, dass die Erste Cookie Banner Ebene ebenfalls die Möglichkeit der Ablehnung bietet. Außerdem dürfen bis zu dem Zeitpunkt der Einwilligung keine Daten erhoben werden. Und die Möglichkeit des Widerrufs muss gewährt werden.

Umsetzung der informierten Einwilligung nach DSGVO & TTDSG

In § 17 Abs. 2 TTDSG werden durch den direkten Bezug zur DSGVO nunmehr die Anforderungen an die erforderliche Einwilligung festgelegt. Für eine wirksame Einwilligung ist entscheidend, dass die Erste Cookie Banner Ebene ebenfalls die Möglichkeit der Ablehnung bietet. Außerdem dürfen bis zu dem Zeitpunkt der Einwilligung keine Daten erhoben werden. Und die Möglichkeit des Wiederrufs muss gewährt werden. Auch müssen nun Angaben zur Funktionsdauer der Cookies gemacht werden, und die Informationen gestellt werden, ob Dritte Zugriff auf die Cookies haben.

Cookie Banner Checklist

Auf einen Blick: Was muss beim Cookie Hinweis beachtet werden?

  • Die Einwilligung der Nutzer darf nicht voreingestellt sein.
  • Der Nutzer muss die Möglichkeit haben die Einwilligung zu verweigern. Es wird ein Opt-in benötigt.
  • Es wird ein Opt-in benötigt.
  • Es dürfen keine Daten weitergegen werden, wenn noch keine Einwilligung vorliegt.
  • Der Zugriff auf die Datenschutzerklärung und auf das Impressum darf nicht verhindert oder eingeschränkt sein.
  • Der Widerruf einer Einwilligung muss so einfach sein wie die Einwilligungserklärung selbst.

TTDSG und Consent Management

Wie wirkt sich das Gesetz auf die DSGVO und die E-Privacy-Richtlinie aus?

Bei der genaueren Betrachtung der Vorschriften des TTDSG lassen sich viele Parallelen zu der DSGVO oder der ePrivacy-Richtlinie ziehen. So sieht § 9 Abs. 2 S. 1 TTDSG eine Verarbeitung von Verkehrsdaten nur dann als zulässig an, soweit der Endnutzer nach den Vorgaben der Verordnung (EU) 2016/679, also der DSGVO, eingewilligt hat. Es ist also zu erwarten, dass die ePrivacy-Richtlinie, die bereits im TMG und TKG weitestgehend umgesetzt wurde, durch das Inkrafttreten des TTDSG vollständig umgesetzt wird. Für die DSGVO bedeutet dies eine Erweiterung um spezifische Regelungen, welche bei kollidierenden Normen eine abdrängende Sonderzuweisung darstellen.

Die e-Privacy-Richtlinie und das EuGH-Urteil (Planet-49 Urteil) haben bereits Stellung zu Cookies und Einwilligungen bezogen. Mit dem TTDSG gibt es endlich eine Regelung nach deutschem Gesetz für dieses umstrittene Thema.

Wann benötigt man eine Einwilligung des Endnutzers?

Laut § 25 Abs. 1 TTDSG benötigt man grundsätzlich eine Einwilligung bei Zugriff auf Verkehrsdaten oder einer Datenspeicherung auf dem Endgerät des Endnutzers (wie der PC, das Smartphone oder Tablet).

Diese Regelungen sind eng an die Vorgaben der DSGVO geknüpft und setzen die RICHTLINIE 2002/58/EG (Art. 5 Abs. 3) in deutsches Recht um. Ebenso sind die Regelungen auch zukünftig für den externen Datenschutzbeauftragten Berlin von Bedeutung. Eine weitere Verarbeitung über die in § 9 Abs. 1 TTDSG genannten Zwecke hinaus schließt der Gesetzgeber in § 17 Abs. 1 S. 3 TTDSG nun – anders als das TKG – ausdrücklich aus und begrenzt somit mögliche Handlungsspielräume von Dienstanbietern. Die Pflicht zur Verarbeitung von Verkehrsdaten aufgrund von anderen Rechtsvorschriften bleibt von dieser Regelung jedoch unberührt.

Die zentrale Aussage des TTDSG zu Cookies:

„Eine Ausnahme von einer Einwilligungspflicht nach Abs. 2 TTDSG besteht, wenn….die Speicherung und der Zugriff unbedingt erforderlich ist, damit der Telemediendienst zur Verfügung gestellt werden kann….“

Cookies ohne Einwilligung

Eine Ausnahme von einer Einwilligungspflicht nach Abs. 2 TTDSG besteht, wenn

  1. der Zweck auf die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz erfolgt
  2. die Speicherung und der Zugriff unbedingt erforderlich ist, damit der Telemediendienst zur Verfügung gestellt werden kann.
 

Eine genaue Definition für „unbedingt erforderliche“ Datenverarbeitung liefert das TTDSG nicht. Als Orientierungshilfe lassen sich die Rechtsprechung des EuGH sowie die Vorgaben und Hilfestellungen der Datenschutzaufsichtsbehörden heranziehen.

Technisch notwendige Cookies

Als „technisch notwendige“ Cookies gelten beispielsweise Warenkorb-Cookies oder Session-Cookies. Sogenannte Session-Cookies werden nach dem Schließen des Browsers automatisch gelöscht.

Marketing Cookies

Sofern Verkehrsdaten nach § 9 TTDSG zu Marketingzwecken verarbeitet werden, ist die Einwilligung des Endnutzers zwingende Voraussetzung.

Wie muss die Einwilligung eingeholt werden?

In § 17 Abs. 2 TTDSG werden durch den direkten Bezug zur DSGVO nunmehr die Anforderungen an die erforderliche Einwilligung festgelegt. Für eine wirksame Einwilligung ist entscheidend, dass die Erste Cookie Banner Ebene ebenfalls die Möglichkeit der Ablehnung bietet. Gerne helfen unsere externen Datenschutzbeauftragten bei der Umsetzung weiter. Für Unternehmen in  übernimmt der externe Datenschutzbeauftragte Münster. Außerdem dürfen bis zu dem Zeitpunkt der Einwilligung keine Daten erhoben werden. Und die Möglichkeit des Widerrufs muss gewährt werden.

Was sind PIMS? - Vereinfachung des Consent Managements

Da das Consent Management für VerbraucherInnen in der Masse und Komplexität der Cookie Banner kaum zu bewältigen ist, hat sich das TTDSG zum Ziel gemacht, diesen Prozess zu vereinfachen. Als Lösung für die Einholung und Verwaltung von Einwilligungen sollen nur sogenannte Personal Information Management Systems (PIMS) eingeführt werden. Diese sollen verhindern, dass NutzerInnen ständig Cookie Banner wegklicken müssen und von sogenannten Dark Patterns zur Einwilligung der Verarbeitung ihrer personenbezogenen Daten gedrängt werden.

Auf der Webseite des European Data Protection Supervisor wird das PIMS wie folgt beschrieben (Original übersetzt durch DeepL):

Das PIMS-Konzept bietet einen neuen Ansatz, bei dem Einzelpersonen die „Besitzer“ ihrer eigenen persönlichen Daten sind. PIMS ermöglichen es Einzelpersonen, ihre persönlichen Daten in sicheren, lokalen oder Online-Speichersystemen zu verwalten und sie zu teilen, wann und mit wem sie wollen. Der Einzelne kann entscheiden, welche Dienste seine Daten nutzen können und welche Dritten sie weitergeben dürfen. Dies ermöglicht einen menschenzentrierten Umgang mit persönlichen Daten und neuen Geschäftsmodellen und schützt vor unrechtmäßigen Tracking- und Profiling-Techniken, die darauf abzielen, wichtige Datenschutzprinzipien zu umgehen.

Für WebsitebetreiberInnen bedeutet dies eine Berücksichtigung der PIMS-Einstellungen bei der Programmierung Ihrer Website. Wie die technische Umsetzung genau funktioniert, ist noch nicht geklärt.

Erweiterung des Anwendungsbereichs:

25 TTDSG hat einen weiten Anwendungsbereich. Insbesondere gilt die Regelung entsprechend den Vorgaben der ePrivacyRichtlinie unabhängig davon, ob bei dem Zugriff auf die Endeinrichtung personenbezogene Daten anfallen.

Die Regelung in § 25 TTDSG ist sozusagen technologieneutral. Demnach erfasst das TTDSG nicht nur die gebräuchlichen Cookies, sondern jegliche Techniken, die ein Speichern und/oder Auslesen von Informationen auf Endeinrichtungen erfordern, wie beispielsweise das sogenannte Browser Fingerprinting. Bei diesem erfassen die Webserver unterschiedliche Merkmale der Browser der Besucher und ermitteln auf dieser Basis jeweils einen individuellen digitalen Fingerabdruck, mit dem NutzerInnen bzw. ihre Browser später wiedererkannt werden können. Dasselbe gilt für das Tracking über Werbe-IDs, MAC-Adressen, IMEI-Nummern. Nicht zuletzt erfasst der Anwendungsbereich des § 25 TTDSG die Vielzahl von Gegenständen im Internet, die (teils direkt, teils über einen WLAN-Router) an das öffentliche Kommunikationsnetz angeschlossen sind, etwa im Bereich von Smarthome-Anwendungen (z.B. Küchengeräte, Heizkörperthermostate, Alarmsysteme).

Kriterien zur Anerkennung als offizieller Dienst zur Einwilligungsverwaltung

  1. nutzerfreundliche und wettbewerbskonforme Verfahren und technische Anwendungen zur Einholung und Verwaltung der Einwilligung
  2. kein wirtschaftliches Eigeninteresse an der Erteilung der Einwilligung und an den verwalteten Daten
  3. keine anderen Zwecke als die Einwilligungsverwaltung
  4. ein Sicherheitskonzept, das in Qualität und Zuverlässigkeit zu bewerten ist, sprich die technisch-organisatorischen wie rechtlichen Anforderungen an den Datenschutz und die Datensicherheit erfüllt

Konsequenzen für Websitebetreibende (Wen trifft das neue Gesetz? - Geltungsbereich)

Das TTDSG gilt für Anbieter von Telemedien. 2 Abs. 2 TTDSG:

"Anbieter von Telemedien“ ist jede natürliche oder juristische Person, die eigene oder fremde Telemedien erbringt, an der Erbringung mitwirkt oder den Zugang zur Nutzung von eigenen oder fremden Telemedien vermittelt.

Allgemein zur Wahrung des Fernmeldegeheimnisses sind verpflichtet:

  • Anbieter von öffentlich zugänglichen Telekommunikationsdiensten
  • Anbieter von angebotenen Telekommunikationsdiensten
  • Betreiber von öffentlichen Telekommunikationsnetzten und
  • Betreiber von Telekommunikationsanlagen, mit denen geschäftsmäßige Telekommunikationsdienste erbracht werden.

Dazu gehören:

  • Online-Angebote von Waren/Dienstleistungen mit unmittelbarer Bestellmöglichkeit (z.B. Angebot von Verkehrs-, Wetter-, oder Börsendaten, elektronische Presse, Fernseh-/ Radiotext, Teleshopping),
  • Video on Demand,
  • Internetsuchmaschinen,
  • Werbemails
  • „einfache“ Homepages zur Information über ein Unternehmen bzw. eine öffentliche Stelle.

Was müssen Websitebetreibende nun tun?

Was den Einsatz von Cookies oder vergleichbaren Techniken betrifft, bringt das neue Gesetz für das neue Telekommunikation-Telemedien Datenschutz-Gesetz keine neuen Anforderungen mit sich. Die Cookie Richtlinien zur Zulässigkeit des Einsatzes von Cookies bleiben unverändert, da sie sich im § 25 TTDSG an den Vorgaben der eprivacy Richtlinie orientieren. Auch an die Wirksamkeit der Einwilligung ergibt sich keine Änderung. Lediglich die Frage nach dem „wie“ wurde neu gestellt und entsprechend aktueller Rechtssprechungen angepasst. Es bleibt jedoch immer noch offen, welche Cookies als „unbedingt erforderlich“ eingestuft werden dürfen. Dennoch sollten Website BetreiberInnen prüfen, ob ihre Website den bereits bestehenden Cookie Richtlinien entsprechen oder ggf. Anpassungen auf der Website bzw. im Consent Management nötig wären.

To-Do Liste für rechtswirksame Cookie-Banner

  • Prüfen, ob auf der Webseite oder in den Apps einwilligungsbedürftige Datenspeicherungen vorgenommen werden.
  • Verarbeitungsvorgänge prüfen und im Verfahrensverzeichnis einpflegen
  • Einwilligung mittels Consent Management Platform (CMP) Tool einholen, welches die Vorgaben der DSGVO, der Aufsichtsbehörde umsetzt und zukünftige PIMS berücksichtigt
  • Datenschutzerklärung bezüglich einwilligungsbedürftiger Cookies u.ä. ergänzen

Strafen und Bußgelder nach dem TTDSG

Je nach Verstoß gegen das TTDSG können Freiheitsstrafen von bis zu zwei Jahren folgen. Im Bereich der Cookies bleibt es jedoch bei einer Geldstrafe. Die Höhe eines Bußgeldes richtet sich je nach Verstoß nach § 28 TTDSG und kann bis zu 300.000,00 € ausfallen. Im Falle einer Ordnungswidrigkeit ergeht das Bußgeld entweder durch die Bundesnetzagentur oder der Bundesbeauftragten oder dem Bundesbeauftragten für Datenschutz und die Informationsfreiheit. Behörden und andere öffentliche Stellen können mit keinem Bußgeld belangt werden.

TTDSG Entwurf PDF-Download

Zusammenfassung des TTDSG

Das TTDSG fasst die Datenschutz-Regelungen der DSGVO und spezielle Vorschriften der EPVO zu mehr Privatsphäre und Datensicherheit im Internet in einem neuen Gesetz zusammen.

Die Verwendung von Cookies ist laut § 25 TTDSG nur mit Einwilligung des Endnutzers erlaubt. Eine Ausnahme von der Regel stellen Cookies dar, die für die Funktionsfähigkeit der Internetseite unbedingt erforderlich sind. Websitebetreibende müssen bei der Konfiguration des Cookie Banners darauf achten, dass vor der expliziten Einwilligung des Nutzers keine persönlichen Daten an den Webseiten-Betreibenden oder Drittanbieter übertragen werden.

Webseiten, die nicht notwendige Cookies (wie Marketing- oder Analyse-Cookies) nutzen, müssen Besucher darüber ausführlich und detailliert über die Art, den Zweck sowie die Dauer der Datenverarbeitung sowie die Weitergabe an Dritte informieren. In diesem Fall müssen WebsitebesucherInnen die Möglichkeit haben, einzelne Cookies abzulehnen und ihre Einstellungen jederzeit granular zu ändern oder vollständig zu widerrufen.

Insgesamt bleibt noch abzuwarten, wie sich die ePrivacy-Verordnung zukünftig entwickelt. Der deutsche Gesetzgeber ist mit seinem neuen TTDSG dem Inkrafttreten der ePrivacy-Verordnung zuvorgekommen. Dadurch entsteht das Risiko, dass bei Inkrafttreten der eprivacy Verordnung aktuelle Regelungen des TTDSG aufgehoben werden könnten. Bis dahin gilt besonders für Unternehmen, die bereits unter den Anwendungsbereich des TMG oder TKG fallen, die im neuen Gesetz festgehaltenen Regelungen möglichst bis zum Ende dieses Jahres umzusetzen.

Inhalt dieser Seite
Jörg ter Beek externer Datenschutzbeauftragter
Jörg ter Beek
Datenschutzexperte & DSB
Hilfe bei der Umsetzung benötigt?

Als externer Datenschutzbeauftragter und Beratungsdienstleister unterstützen wir Sie bei der Umsetzung des neuen TTDSG.

Mehr über Cortina als DSB

Ihre Vorteile mit Cortina Consult

Cortina Consult hilft Unternehmen dabei, die Anforderungen der DSGVO im Unternehmen umzusetzen – digital, so einfach wie möglich, zu fixen Konditionen.

Als Beratungsdienstleister und externer Datenschutzbeauftragter sorgen wir für die Einhaltung der gesetzlichen Vorgaben bei der Verarbeitung von personenbezogenen Daten in Ihrem Unternehmen.

  • Gebündelte Erfahrung aus 10 Jahren in der Branche und 500 erfolgreichen Datenschutzprojekten
  • Beratung, Software & Schulung aus einer Hand
  • Prozessoptimierung frei nach dem Motto: so viel wie nötig, so wenig wie möglich
Über Cortina Consult als DSB
DSB Pauschalpakete
ttdsg
Kontakt
Cortina Consult
Hafenweg 24
48155 Münster
+49 251 95 20 37 - 40
[email protected]
Über uns
Über Cortina
Karriere
Projekte & Referenzen
Impressum
Datenschutzerklärung
Datenschutzeinstellungen
AGB und AVV
Service
Bußgeldrechner
Meldung Datenschutzvorfall
DSGVO Gesetzestext
Newsletter
Unternehmensgruppe
Cookiebox Logo
©2023 Cortina Consult GmbH
Cortina Consult Symbol Weiss
Cortina Datenschutz Siegel
Nach oben scrollen
Sie haben Fragen?
– Wir beraten Sie gerne
Jörg ter Beek externer Datenschutzbeauftragter
Jörg ter Beek
Datenschutzexperte & DSB
+49 251 95 20 37 - 40
[email protected]
Unsere Lösungen
Preise & Pakete
Cortina Consult Logo

Impressum | Datenschutz