21.01.2022
TTDSG: Gesetzliche Neuregelungen für Telemedien und Telekommunikation
Alle Neuigkeiten rund um das Thema TTDSG erfahren Sie in unserem Blog. Was haben Unternehmen diesbezüglich zu beachten?
Das TTDSG ist zum 1.12.2021 in Kraft getreten. Die Datenschutzkonferenz (DSK) hat zur Auslegung des Gesetzes eine Stellungnahme veröffentlicht. Die Orientierungshilfe (OH) für Anbieter:innen für Telemedien vom 20.12.2021 stellt die Auffassungen der DSK zum Verständnis des Gesetzestextes dar. Sie ist zwar nicht rechtsverbindlich. Dennoch enthält sie Empfehlungen wie die Regelungen aus dem TTDSG rechtssicher umgesetzt werden können. Auch Gerichte können die OH heranziehen, weshalb ihr große Bedeutung zukommt. In aller Kürze sollen hier einige Ansichten dargestellt werden.
Die DSK klärt zum einen die Abgrenzung der Anwendungsbereiche des TTDSG und der DSGVO, was seither umstritten ist. Nach der DSK gelten die speziellen Bestimmungen aus § 25 TTDSG vorrangig vor der DSGVO, soweit beim Speichern und Auslesen von Informationen in Endeinrichtungen personenbezogene Daten verarbeitet werden. Kommt es zu einer nachgelagerten Verarbeitung personenbezogener Daten ist selbstverständlich wieder DSGVO zu beachten.
Einige Ausführungen macht die DSK zur Benennung der Schaltflächen in einem Einwilligungsbanner. Ein Button mit „Alles akzeptieren“ soll den Anforderungen der DSK wohl genügen. Besonderen Wert legt die DSK ebenfalls darauf, dass das Ablehnen von Cookies und ähnlichen Technologien genau so einfach sein müsse, wie die Zustimmung. Zentrale stellt die DSK dafür auf Handlungsoptionen mit gleichwertigem Kommunikationseffekt ab. Sie macht einige Ausführungen zur Bannerebene und greift die Wichtigkeit der zu kommunizierenden Informationen im Banner auf. Für den Widerruf fordert sie einen stets sichtbaren Direktlink oder ein Icon, das unmittelbar zu den relevanten Einstellungsmöglichkeiten führt.
Update: 01.12.2021
Zum 01.12.2021 ist nun das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) in Kraft getreten. Weitere Hinweise zur Gesetzesentwicklung finden Sie im Folgenden.
Das TTDSG („Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien“) liegt nun in der endgültigen Fassung vor, die am 20. Mai 2021 im Bundestag beschlossen wurde und am 1. Dezember 2021 in Kraft treten soll. Ziel des Gesetzes ist die Zusammenführung der datenschutzrechtlichen Regelungen aus dem Telemedien- und dem Telekommunikationsgesetz (TMG, TKG). Wichtig ist insbesondere die Festschreibung der Einwilligungspflicht für Cookies und vergleichbare Technologien.
Neue Einwilligungspflicht für Cookies nach TTDSG
Zurzeit wird die Rechtspraxis bei Cookies in Deutschland vor allem durch die unionsrechtskonforme Auslegung des § 15 Abs. 3 TMG bestimmt, die der Bundesgerichtshof in seinem „Planet49“-Urteil in Fortführung der EuGH-Vorlageentscheidungen entwickelt hatte. Entgegen seinem Wortlaut wurde in die schon bestehende TMG-Regelung ein Einwilligungserfordernis für den Cookie-Einsatz hineingelesen, um den Widerspruch mit den europarechtlichen Vorgaben (resultierend aus der ePrivacy-Richtlinie) aufzulösen. Die Einwilligungspflicht für technisch nicht erforderliche Cookies ist nun explizit in § 25 TTDSG geregelt. Abs. 1 S. 1 sieht dementsprechend vor:
„Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat.“
Der Begriff der Endeinrichtung ist hier ausdrücklich technologieneutral gefasst und meint neben klassischen Endgeräten wie Smartphones oder Notebooks auch weitere internetfähige Geräte wie Smart TVs oder IoT-Geräte („internet of things“). Die Ausgestaltung der Einwilligung richtet sich nach den Vorgaben der DSGVO, insbesondere § 7 DSGVO und Erwägungsgrund 32. Die Einwilligung muss demnach freiwillig, informiert und aktiv erfolgen. Webseitenbetreiber und sonstige Telemedienanbieter müssen daher also weiterhin darauf achten, ein Opt-In-Verfahren zu nutzen und umfassende Informationen über die Umstände der Datenverarbeitung bereitzustellen, insbesondere über die Rechtsgrundlagen, die Verarbeitungszwecke, die Funktionsdauer der Cookies und Zugriffe von Dritten.
Ausnahmen von der Einwilligungspflicht im TTDSG
In § 25 Abs. 2 TTDSG sind Ausnahmen vorgesehen, die Anbieter von der Pflicht zur Einholung einer Einwilligung befreien. Auch die Ausnahmen sind im Vergleich zum Entwurf noch einmal verändert worden und bestehen in zwei Fällen.
Zum einen muss keine Einwilligung eingeholt werden, „wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist“ (§ 25 Abs. 2 Nr. 1 TTDSG). Zum anderen ist eine Einwilligung dann nicht erforderlich, „wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann“ (§ 25 Abs. 2 Nr. 2 TTDSG). Die zweite Ausnahme bezieht sich vor allem auf die technische Erforderlichkeit im Gegensatz zu optionalen Cookies, die etwa für personalisiertes Werbe-Tracking eingesetzt werden.
Personal Information Management Services (PIMS)
Im ursprünglichen TTDSG-Entwurf war noch vorgesehen, die Einwilligung durch eine dafür vorgesehene Auswahl des Browsers oder einer anderen Anwendung erklären zu können. Damit hätten Nutzer nicht mehr, wie bislang vor dem Besuch jeder Webseite Cookie-Banner vor sich gehabt, um die Einwilligung zu erklären. Der Absatz wurde in der jetzigen Fassung allerdings gestrichen. Stattdessen ist in § 26 TTDSG ein Anerkennungsverfahren für PIMS und alle Dienste vorgesehen, die Einwilligungen technisch verwalten. Nutzer können damit vorab für alle Webseiten angeben, ob und unter welchen Bedingungen sie eine Einwilligung erklären wollen. Der jeweilige Dienst gibt diese Informationen daraufhin automatisch auf den besuchen Webseiten weiter. Danach können solche Dienste anerkannt werden, wenn sie
- auf einem nutzerfreundlichen und wettbewerbskonformen Verfahren beruhen,
- unabhängig von einem wirtschaftlichen Interesse an der Einwilligungserklärung und den verwalteten Daten sind,
- die Daten für keine anderen Zwecke verarbeiten und
- ein angemessenes Sicherheitskonzept vorlegen.
Eine unabhängige Stelle soll künftig Anwendungen als rechtskonform zertifizieren und freigeben. Damit sollen die Anwendungen besser reguliert und das notwendige Vertrauen der Endnutzer geschaffen werden. Das genaue Verfahren wird die Bundesregierung mit einer Verordnung allerdings erst noch festlegen müssen.
Kostenfreie Expertise im E-Mail-Postfach
Alle wichtigen Neuigkeiten zum Datenschutz & zur Informationssicherheit einmal monatlich bequem im E-Mail-Postfach – natürlich kostenlos.
Was gibt es sonst zu beachten?
Mit dem neuen Gesetz befindet wurde das Fernmeldegeheimnis zudem aus dem TKG herausgelöst. Es befindet sich nun in § 3 TTDSG. Hier wurden die entsprechenden Regelungen des § 88 Abs. 1, 3 und 4 TKG wortgleich übernommen, während allerdings in § 3 Abs. 2 TTDSG genauere Angaben über den Kreis der zur Wahrung des Fernmeldegeheimnisses Verpflichteten mit in das Gesetz aufgenommen wurden. Dazu gehören Anbieter von öffentlich zugänglichen sowie ganz oder teilweise geschäftsmäßig angebotenen Telekommunikationsdiensten und natürliche oder juristische Personen, die an der Erbringung solcher Dienste mitwirken, Betreiber öffentlicher Telekommunikationsnetze und Betreiber von Telekommunikationsanlagen.
Darüber hinaus regeln die §§ 22-24 TTDSG das Auskunftsverfahren bei Bestands- und Nutzungsdaten. Bestandsdaten sind personenbezogene Daten, die zur Begründung, inhaltlichen Ausgestaltung oder Änderung des Vertragsverhältnisses zwischen Telemedienanbieter und Nutzer verarbeitet werden müssen. Nutzungsdaten sind personenbezogene Daten, die zur Inanspruchnahme von Telemedien und zur Abrechnung verarbeitet werden müssen. Zu ihnen zählen insbesondere Identifikationsmerkmale, Daten über den Umfang der Telemediennutzung und Angaben über die in Anspruch genommenen Telemedien (§ 2 Abs. 2 Nr. 2, 3 TTDSG). Sowohl für Bestands- als auch für Nutzungsdaten gilt: Alle Personen, die geschäftsmäßig Telemediendienste erbringen, müssen unter den Voraussetzungen von § 22 bzw. 24 Abs. 3 TTDSG Auskünfte auf Verlangen öffentlicher Stellen erteilen. Zu den Voraussetzungen zählen allerdings ausschließlich gewichtige und im öffentlichen Interesse liegende Gründe, unter anderem die Verfolgung bestimmter Straftaten, der Schutz von Leib und Leben oder der öffentlichen Sicherheit. Der Umfang der Auskunftspflicht erstreckt sich auf alle unternehmensinternen Datenquellen, bei Bestandsdaten nach § 22 Abs. 1 S. 1 TTDSG allerdings nicht auf Passwörter oder andere Daten, die den Zugriff auf Endgeräte ermöglichen.
Ihre Strategie für den besten Schutz
Die Grundlage jeder guten Geschäftsbeziehung ist Vertrauen. Stärken Sie die Beziehung zu Ihren Kunden mit unserer Expertise im Datenschutz und der Informationssicherheit. Damit sichern Sie Ihrer Unternehmung einen starken Wettbewerbsvorteil und können sich voll auf Ihr Geschäft konzentrieren.
Fazit zum TTDSG
Die durch das TTDSG erfolgten praktischen Änderungen sind für Unternehmen erst einmal überschaubar. Die Regelung zum Einwilligungserfordernis bei Cookies folgt weitestgehend den Vorgaben, die bereits jetzt umgesetzt werden müssen. Dennoch ist eine gesetzliche Festschreibung aus Gründen der Rechtsklarheit zu begrüßen. Gleiches gilt für die Bündelung der unterschiedlichen Vorgaben in einem einheitlichen Gesetz. Allerdings droht bald ein neues Nebeneinander von Gesetzen, sollte es zur Verabschiedung der geplanten ePrivacy-Verordnung kommen.
Wichtig ist darüber hinaus die Neuerung, dass Verstöße gegen die Einwilligungspflicht (und auch gegen andere Vorgaben des TTDSG) mit dem neuen § 28 TTDSG bußgeldbewehrt sind. Die Höhe der Geldbußen ist zwar nicht mit der DSGVO vergleichbar, kann aber dennoch bis zu 300.000 EUR betragen. Es kann daher sinnvoll sein, die bisherige Praxis noch einmal auf die Vorgaben des TTDSG hin zu überprüfen.
Weitere Neuigkeiten
26.08.2024
Datenschutzmanagementsystem (DSMS): Ihr Schlüssel zur DSGVO-Compliance
Um den Anforderungen der Datenschutz-Grundverordnung (DSGVO) gerecht zu werden, empfiehlt sich ein Datenschutzmanagementsystem (DSMS). Denn damit lassen sich die datenschutzrechtlichen Anforderungen regeln, planen, umsetzen und kontrollieren. Das vereinfacht die Compliance für Unternehmen und deren Mitarbeiter:innen wesentlich. Lesen Sie hier, wie der DSGVO-konforme Aufbau eines DSMS gelingt, wer im Unternehmen dafür Verantwortlich ist und welche Software Ihnen helfen kann.
Weiterlesen … Datenschutzmanagementsystem (DSMS): Ihr Schlüssel zur DSGVO-Compliance
15.08.2024
Meldung eines Datenschutzvorfalls – ein Leitfaden
Stellt ein Unternehmen fest, dass es zu einer Datenschutzpanne gekommen ist, fallen Mitarbeitern und Geschäftsführung in aller Aufruhr meist zuerst das Bußgeld ein. Wir zeigen Ihnen im Folgenden, wie Sie dabei am besten vorgehen und wann sie überhaupt einen Vorfall melden müssen.
Weiterlesen … Meldung eines Datenschutzvorfalls – ein Leitfaden
29.07.2024
Datenschutzaudit: DSGVO-Lücken erkennen & schließen – mit Selbstcheck zum Download
Die DSGVO sieht an vielen Stellen Kontrollmechanismen für Unternehmen vor, um regelmäßig zu überprüfen, ob die Vorgaben eingehalten werden und wo mögliche Risiken bestehen. Einer dieser Mechanismen ist das Datenschutzaudit. Wann und für wen ist es notwendig? Alles über Ablauf, Umfang und Notwendigkeit von Datenschutzaudits sowie einen ausführlichen Leitfaden inkl. Selbstcheck zum Download finden Sie hier.
Weiterlesen … Datenschutzaudit: DSGVO-Lücken erkennen & schließen – mit Selbstcheck zum Download