Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG)

Zusammenfassung und Auswirkung des Gesetzes für Websitebetreibende

Sehr gut! Sie wissen Ihre Privatsphäre zu schützen. Um das Kontaktformular zu aktivieren, müssen wir Sie an dieser Stelle um Ihr Einverständnis bitten. Typeform ist ein Anbieter für Formulare mit Sitz in Barcelona, Spanien. So weit so datenschutzkonform; leider nutzen die freundlichen Typeformer ein zusätzliches Tracking-Steuer-Element, das wir ohne Ihre Erlaubnis nicht einsetzen möchten: Segment. Wenn Sie das nicht weiter stört, können Sie mit Klick auf “Zustimmen” zu besagtem Formular gelangen.

TTDSG

Was ist das TTDSG?

Die Abkürzung TTDSG steht für das neue Telekommunikation-Telemedien Datenschutz-Gesetz. Das Ziel des neuen Gesetzes ist die erforderliche Anpassung der Datenschutzbestimmungen des Telekommunikationsgesetzes (TKG) und des Telemediengesetzes (TMG) an die Datenschutz-Grundverordnung (DS-GVO) sowie die ausstehende Umsetzung der ePrivacy-Richtlinie. Die Gesetzesänderung soll Rechtsunsicherheiten beseitigen, die durch die Co-existenz von DS-GVO, TMG und TKG entstanden sind. Aus diesem Grund werden die Datenschutzbestimmungen von TKG und TMG in einem Gesetz (TTDSG) zusammengefasst.

Des Weiteren wird der Bundesgesetzgeber das TKG modernisieren. Diese Neuerungen sind zudem unerlässlich, um den Veränderungen der zunehmend von VerbraucherInnen und Unternehmen genutzten Internetdiensten zur interpersonellen Kommunikation (wie Voice-over-IP, InstantMessaging oder webgestützte E-Mail-Dienste) gerecht zu werden. Denn auf diese Dienste war das Telekommunikationsrecht bislang nicht anwendbar. Das neue Telekommunikation-Telemedien Datenschutz-Gesetz (TTDSG) wird also auf europäischer Ebene Lücken im Bereich elektronischer Kommunikation schließen.

In diesem Beitrag wollen wir inhaltlich auf den Bereich der TTDSG eingehen, der vor allem Website- und Appanbieter betrifft: Cookies und Einwilligung.

Wann tritt das TTDSG in Kraft?

Das TTDSG sowie das Telekommunikationsmodernisierungsgesetz (TKModG) sollen am 01.12.2021 in Kraft treten.

TTDSG: Eine Übersicht der Paragraphen

  • das Fernmeldegeheimnis in den §§ 3 bis 8 TTDSG (bisher §§ 88 - 90 TKG); neu ist in § 4 TTDSG die Regelung zur Rechtsstellung von Erben und Personen in vergleichbarer Rechtsstellung zum Endnutzer,
  • die erlaubte Verarbeitung von Verkehrs- und Standortdaten in den §§ 9 bis 13 TTDSG (bisher §§ 96 ff TKG),
  • in den §§ 14 bis 16 TTDSG (bisher §§ 101 bis 103 TKG) geht es um rufnummerngebundene Dienste, die Mitteilung ankommender Verbindungen, die Unterdrückung der Anzeige der Rufnummer und die automatische Anrufweiterschaltung
  • die Aufnahme in Endnutzerverzeichnisse und die Bereitstellung von Daten für Endnutzerverzeichnisse in den §§ 17 und 18 (bisher §§ 47, 104 und 105 TKG),
  • im Hinblick auf Telemedien in den §§ 19 bis 24 die besonderen technischen und organisatorischen Vorkehrungen zum Schutz von Nutzerdaten (bisher in § 13 Absätze 4 bis 7 TMG), die Verarbeitung von personenbezogenen Daten Minderjähriger zum Zweck des Jugendschutzes (bisher § 14a TMG),die Auskunftserteilung über Bestandsdaten (bisher § 14 Absatz 2- 5) und die neuen Regelungen zur Bestandsdatenauskunft (bisher §§ 15a bis 15c TMG) und
  • Straf- und Bußgeldvorschriften in den §§ 27 und 28 TTDSG.

Da das TTDSG nun der E-Privacy-Verordnung zuvorgekommen ist, muss das Gesetz möglicherweise zu gegebener Zeit an die noch zu verhandelnde europäische ePrivacy-Verordnung angepasst werden.

TTDSG & Consent Management

Wie wirkt sich das Gesetz auf die DSGVO und die e-Privacy-Richtlinie aus?

Bei der genaueren Betrachtung der Vorschriften des TTDSG lassen sich viele Parallelen zu der DSGVO oder der ePrivacy-Richtlinie ziehen. So sieht § 9 Abs. 2 S. 1 TTDSG eine Verarbeitung von Verkehrsdaten nur dann als zulässig an, soweit der Endnutzer nach den Vorgaben der Verordnung (EU) 2016/679, also der DSGVO, eingewilligt hat. Es ist also zu erwarten, dass die ePrivacy-Richtlinie, die bereits im TMG und TKG weitestgehend umgesetzt wurde, durch das Inkrafttreten des TTDSG vollständig umgesetzt wird. Für die DSGVO bedeutet dies eine Erweiterung um spezifische Regelungen, welche bei kollidierenden Normen eine abdrängende Sonderzuweisung darstellen.

Die e-Privacy-Richtlinie und das EuGH-Urteil (Planet-49 Urteil) haben bereits Stellung zu Cookies und Einwilligungen bezogen. Mit dem TTDSG gibt es endlich eine Regelung nach deutschem Gesetz für dieses umstrittene Thema.

Wann benötigt man eine Einwilligung des Endnutzers?

Laut § 25 Abs. 1 TTDSG benötigt man grundsätzlich eine Einwilligung bei Zugriff auf Verkehrsdaten oder einer Datenspeicherung auf dem Endgerät des Endnutzers (wie der PC, das Smartphone oder Tablet).

Diese Regelungen sind eng an die Vorgaben der DSGVO geknüpft und setzen die RICHTLINIE 2002/58/EG (Art. 5 Abs. 3) in deutsches Recht um. Eine weitere Verarbeitung über die in § 9 Abs. 1 TTDSG genannten Zwecke hinaus schließt der Gesetzgeber in § 17 Abs. 1 S. 3  TTDSG nun – anders als das TKG – ausdrücklich aus und begrenzt somit mögliche Handlungsspielräume von Dienstanbietern. Die Pflicht zur Verarbeitung von Verkehrsdaten aufgrund von anderen Rechtsvorschriften bleibt von dieser Regelung jedoch unberührt.

Cookies ohne Einwilligung:

Eine Ausnahme von einer Einwilligungspflicht nach Abs. 2 TTDSG besteht, wenn

  • der Zweck auf die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz erfolgt
  • die Speicherung und der Zugriff unbedingt erforderlich ist, damit der Telemediendienst zur Verfügung gestellt werden kann.

Eine genaue Definition für „unbedingt erforderliche“ Datenverarbeitung liefert das TTDSG nicht. Als Orientierungshilfe lassen sich die Rechtsprechung des EuGH sowie die Vorgaben und Hilfestellungen der Datenschutzaufsichtsbehörden heranziehen.

technisch notwendige Cookies

Als „technisch notwendige“ Cookies gelten beispielsweise Warenkorb-Cookies oder Session-Cookies. Sogenannte Session-Cookies werden nach dem Schließen des Browsers automatisch gelöscht.

Marketing Cookies

Sofern Verkehrsdaten nach § 9 TTDSG zu Marketingzwecken verarbeitet werden, ist die Einwilligung des Endnutzers zwingende Voraussetzung.

Wie muss die Einwilligung eingeholt werden?

In § 17 Abs. 2 TTDSG werden durch den direkten Bezug zur DSGVO nunmehr die Anforderungen an die erforderliche Einwilligung festgelegt. Für eine wirksame Einwilligung ist entscheidend, dass die Erste Cookie Banner Ebene ebenfalls die Möglichkeit der Ablehnung bietet. Außerdem dürfen bis zu dem Zeitpunkt der Einwilligung keine Daten erhoben werden. Und die Möglichkeit des Widerrufs muss gewährt werden.

cookie banner dsgvo beratung

Was sind PIMS?

Vereinfachung des Consent Managements

Da das Consent Management für VerbraucherInnen in der Masse und Komplexität der Cookie Banner kaum zu bewältigen ist, hat sich das TTDSG zum Ziel gemacht, diesen Prozess zu vereinfachen. Als Lösung für die Einholung und Verwaltung von Einwilligungen sollen nur sogenannte Personal Information Management Systems (PIMS) eingeführt werden. Diese sollen verhindern, dass NutzerInnen ständig Cookie Banner wegklicken müssen und von sogenannten Dark Patterns zur Einwilligung der Verarbeitung ihrer personenbezogenen Daten gedrängt werden.

Auf der Webseite des European Data Protection Supervisor wird das PIMS wie folgt beschrieben (Original übersetzt durch DeepL):

Das PIMS-Konzept bietet einen neuen Ansatz, bei dem Einzelpersonen die „Besitzer“ ihrer eigenen persönlichen Daten sind. PIMS ermöglichen es Einzelpersonen, ihre persönlichen Daten in sicheren, lokalen oder Online-Speichersystemen zu verwalten und sie zu teilen, wann und mit wem sie wollen. Der Einzelne kann entscheiden, welche Dienste seine Daten nutzen können und welche Dritten sie weitergeben dürfen. Dies ermöglicht einen menschenzentrierten Umgang mit persönlichen Daten und neuen Geschäftsmodellen und schützt vor unrechtmäßigen Tracking- und Profiling-Techniken, die darauf abzielen, wichtige Datenschutzprinzipien zu umgehen.

Für WebsitebetreiberInnen bedeutet dies eine Berücksichtigung der PIMS-Einstellungen bei der Programmierung Ihrer Website. Wie die technische Umsetzung genau funktioniert, ist noch nicht geklärt.

Erweiterung des Anwendungbereichs:

25 TTDSG hat einen weiten Anwendungsbereich. Insbesondere gilt die Regelung entsprechend den Vorgaben der ePrivacyRichtlinie unabhängig davon, ob bei dem Zugriff auf die Endeinrichtung personenbezogene Daten anfallen.

Die Regelung in § 25 TTDSG ist sozusagen technologieneutral. Demnach erfasst das TTDSG nicht nur die gebräuchlichen Cookies, sondern jegliche Techniken, die ein Speichern und/oder Auslesen von Informationen auf Endeinrichtungen erfordern, wie beispielsweise das sogenannte Browser Fingerprinting. Bei diesem erfassen die Webserver unterschiedliche Merkmale der Browser der Besucher und ermitteln auf dieser Basis jeweils einen individuellen digitalen Fingerabdruck, mit dem NutzerInnen bzw. ihre Browser später wiedererkannt werden können. Dasselbe gilt für das Tracking über Werbe-IDs, MAC-Adressen, IMEI-Nummern. Nicht zuletzt erfasst der Anwendungsbereich des § 25 TTDSG die Vielzahl von Gegenständen im Internet, die (teils direkt, teils über einen WLAN-Router) an das öffentliche Kommunikationsnetz angeschlossen sind, etwa im Bereich von Smarthome-Anwendungen (z.B. Küchengeräte, Heizkörperthermostate, Alarmsysteme).

 

Kriterien zur Anerkennung als offizieller Dienst zur Einwilligungsverwaltung

  1. nutzerfreundliche und wettbewerbskonforme Verfahren und technische Anwendungen zur Einholung und Verwaltung der Einwilligung
  2. kein wirtschaftliches Eigeninteresse an der Erteilung der Einwilligung und an den verwalteten Daten
  3. keine anderen Zwecke als die Einwilligungsverwaltung
  4. ein Sicherheitskonzept, das in Qualität und Zuverlässigkeit zu bewerten ist, sprich die technisch-organisatorischen wie rechtlichen Anforderungen an den Datenschutz und die Datensicherheit erfüllt

 

Konsequenzen für Websitebetreibende

Wen betrifft das neue Gesetz?

Geltungsbereich

Das TTDSG gilt für Anbieter von Telemedien. 2 Abs. 2 TTDSG:

"Anbieter von Telemedien“ ist jede natürliche oder juristische Person, die eigene oder fremde Telemedien erbringt, an der Erbringung mitwirkt oder den Zugang zur Nutzung von eigenen oder fremden Telemedien vermittelt.

Allgemein zur Wahrung des Fernmeldegeheimnisses sind verpflichtet:

  • Anbieter von öffentlich zugänglichen Telekommunikationsdiensten
  • Anbieter von angebotenen Telekommunikationsdiensten
  • Betreiber von öffentlichen Telekommunikationsnetzten und
  • Betreiber von Telekommunikationsanlagen, mit denen geschäftsmäßige Telekommunikationsdienste erbracht werden.

Dazu gehören

  • Online-Angebote von Waren/Dienstleistungen mit unmittelbarer Bestellmöglichkeit (z.B. Angebot von Verkehrs-, Wetter-, oder Börsendaten, elektronische Presse, Fernseh-/ Radiotext, Teleshopping),
  • Video on Demand,
  • Internetsuchmaschinen,
  • Werbemails
  • „einfache“ Homepages zur Information über ein Unternehmen bzw. eine öffentliche Stelle.

 

Sie benötigen Hilfe der Umsetzung des TTDSG?

Unsere Datenschutz- und IT-Experten sind spezialisiert auf Webcompliance und unterstützen Sie bei der Umsetzung der Richtlinien.

Was müssen Websitebetreibende nun tun?

Was den Einsatz von Cookies oder vergleichbaren Techniken betrifft, bringt das neue Gesetz für das neue Telekommunikation-Telemedien Datenschutz-Gesetz keine neuen Anforderungen mit sich. Die Cookie Richtlinien zur Zulässigkeit des Einsatzes von Cookies bleiben unverändert, da sie sich im § 25 TTDSG an den Vorgaben der eprivacy Richtlinie orientieren. Auch an die Wirksamkeit der Einwilligung ergibt sich keine Änderung. Lediglich die Frage nach dem „wie“ wurde neu gestellt und entsprechend aktueller Rechtssprechungen angepasst. Es bleibt jedoch immer noch offen, welche Cookies als „unbedingt erforderlich“ eingestuft werden dürfen. Dennoch sollten Website BetreiberInnen prüfen, ob ihre Website den bereits bestehenden Cookie Richtlinien entsprechen oder ggf. Anpassungen auf der Website bzw. im Consent Management nötig wären.

 

To Do Liste für Rechtswirksame Cookie Banner

Verarbeitungsvorgänge prüfen und im Verfahrensverzeichnis einpflegen

Einwilligung mittels Consent Management Platform (CMP) Tool einholen, welches die Vorgaben der DSGVO, der Aufsichtsbehörde umsetzt und zukünftige PIMS berücksichtigt

Datenschutzerklärung bezüglich einwilligungsbedürftiger Cookies u.ä. ergänzen

Strafen und Bußgelder nach dem TTDSG

Je nach Verstoß gegen das TTDSG können Freiheitsstrafen von bis zu zwei Jahren folgen. Im Bereich der Cookies bleibt es jedoch bei einer Geldstrafe. Die Höhe eines Bußgeldes richtet sich je nach Verstoß nach § 28 TTDSG und kann bis zu 300.000,00 € ausfallen. Im Falle einer Ordnungswidrigkeit ergeht das Bußgeld entweder durch die Bundesnetzagentur oder der Bundesbeauftragten oder dem Bundesbeauftragten für Datenschutz und die Informationsfreiheit. Behörden und andere öffentliche Stellen können mit keinem Bußgeld belangt werden.

Zusammenfassung des TTDSG

Das TTDSG fasst die Datenschutz-Regelungen der DSGVO und spezielle Vorschriften der EPVO zu mehr Privatsphäre und Datensicherheit im Internet in einem neuen Gesetz zusammen.

Die Verwendung von Cookies ist laut § 25 TTDSG nur mit Einwilligung des Endnutzers erlaubt. Eine Ausnahme von der Regel stellen Cookies dar, die für die Funktionsfähigkeit der Internetseite unbedingt erforderlich sind. Websitebetreibende müssen bei der Konfiguration des Cookie Banners darauf achten, dass vor der expliziten Einwilligung des Nutzers keine persönlichen Daten an den Webseiten-Betreibenden oder Drittanbieter übertragen werden.

Webseiten, die nicht notwendige Cookies (wie Marketing- oder Analyse-Cookies) nutzen, müssen Besucher darüber ausführlich und detailliert über die Art, den Zweck sowie die Dauer der Datenverarbeitung sowie die Weitergabe an Dritte informieren. In diesem Fall müssen WebsitebesucherInnen die Möglichkeit haben, einzelne Cookies abzulehnen und ihre Einstellungen jederzeit granular zu ändern oder vollständig zu widerrufen.

Insgesamt bleibt noch abzuwarten, wie sich die ePrivacy-Verordnung zukünftig entwickelt. Der deutsche Gesetzgeber ist mit seinem neuen TTDSG dem Inkrafttreten der ePrivacy-Verordnung zuvorgekommen. Dadurch entsteht das Risiko, dass bei Inkrafttreten der eprivacy Verordnung aktuelle Regelungen des TTDSG aufgehoben werden könnten. Bis dahin gilt besonders für Unternehmen, die bereits unter den Anwendungsbereich des TMG oder TKG fallen, die im neuen Gesetz festgehaltenen Regelungen möglichst bis zum Ende dieses Jahres umzusetzen.

TTDSG Entwurf PDF Download

CORTINA CONSULT DURCHSUCHEN

Generic selectors
Exact matches only
Search in title
Search in content

Ihr Ansprechpartner

Externer Datenschutzbeauftragter / Datenschutzberatung - Jörg Ter Beek

Jörg ter Beek
+49 251 2979474-1
[email protected]

Sie benötigen Unterstützung bei Datenschutzrichtlinien?

Dann sind Sie hier richtig! Kontaktieren Sie uns. Wir beraten Sie zu Ihrem Anliegen.