21.01.2022

TTDSG: Gesetzliche Neuregelungen für Telemedien und Telekommunikation

Alle Neuigkeiten rund um das Thema TTDSG erfahren Sie in unserem Blog. Was haben Unternehmen diesbezüglich zu beachten?

Das TTDSG ist zum 1.12.2021 in Kraft getreten. Die Datenschutzkonferenz (DSK) hat zur Auslegung des Gesetzes eine Stellungnahme veröffentlicht. Die Orientierungshilfe (OH) für Anbieter:innen für Telemedien vom 20.12.2021 stellt die Auffassungen der DSK zum Verständnis des Gesetzestextes dar. Sie ist zwar nicht rechtsverbindlich. Dennoch enthält sie Empfehlungen wie die Regelungen aus dem TTDSG rechtssicher umgesetzt werden können. Auch Gerichte können die OH heranziehen, weshalb ihr große Bedeutung zukommt. In aller Kürze sollen hier einige Ansichten dargestellt werden.

Die DSK klärt zum einen die Abgrenzung der Anwendungsbereiche des TTDSG und der DSGVO, was seither umstritten ist. Nach der DSK gelten die speziellen Bestimmungen aus § 25 TTDSG vorrangig vor der DSGVO, soweit beim Speichern und Auslesen von Informationen in Endeinrichtungen personenbezogene Daten verarbeitet werden. Kommt es zu einer nachgelagerten Verarbeitung personenbezogener Daten ist selbstverständlich wieder DSGVO zu beachten.

Einige Ausführungen macht die DSK zur Benennung der Schaltflächen in einem Einwilligungsbanner. Ein Button mit „Alles akzeptieren“ soll den Anforderungen der DSK wohl genügen. Besonderen Wert legt die DSK ebenfalls darauf, dass das Ablehnen von Cookies und ähnlichen Technologien genau so einfach sein müsse, wie die Zustimmung. Zentrale stellt die DSK dafür auf Handlungsoptionen mit gleichwertigem Kommunikationseffekt ab. Sie macht einige Ausführungen zur Bannerebene und greift die Wichtigkeit der zu kommunizierenden Informationen im Banner auf. Für den Widerruf fordert sie einen stets sichtbaren Direktlink oder ein Icon, das unmittelbar zu den relevanten Einstellungsmöglichkeiten führt.


Update: 01.12.2021

Zum 01.12.2021 ist nun das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) in Kraft getreten. Weitere Hinweise zur Gesetzesentwicklung finden Sie im Folgenden.


Das TTDSG („Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien“) liegt nun in der endgültigen Fassung vor, die am 20. Mai 2021 im Bundestag beschlossen wurde und am 1. Dezember 2021 in Kraft treten soll. Ziel des Gesetzes ist die Zusammenführung der datenschutzrechtlichen Regelungen aus dem Telemedien- und dem Telekommunikationsgesetz (TMG, TKG). Wichtig ist insbesondere die Festschreibung der Einwilligungspflicht für Cookies und vergleichbare Technologien.

Neue Einwilligungspflicht für Cookies nach TTDSG

Zurzeit wird die Rechtspraxis bei Cookies in Deutschland vor allem durch die unionsrechtskonforme Auslegung des § 15 Abs. 3 TMG bestimmt, die der Bundesgerichtshof in seinem „Planet49“-Urteil in Fortführung der EuGH-Vorlageentscheidungen entwickelt hatte. Entgegen seinem Wortlaut wurde in die schon bestehende TMG-Regelung ein Einwilligungserfordernis für den Cookie-Einsatz hineingelesen, um den Widerspruch mit den europarechtlichen Vorgaben (resultierend aus der ePrivacy-Richtlinie) aufzulösen. Die Einwilligungspflicht für technisch nicht erforderliche Cookies ist nun explizit in § 25 TTDSG geregelt. Abs. 1 S. 1 sieht dementsprechend vor:

„Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat.“

Der Begriff der Endeinrichtung ist hier ausdrücklich technologieneutral gefasst und meint neben klassischen Endgeräten wie Smartphones oder Notebooks auch weitere internetfähige Geräte wie Smart TVs oder IoT-Geräte („internet of things“). Die Ausgestaltung der Einwilligung richtet sich nach den Vorgaben der DSGVO, insbesondere § 7 DSGVO und Erwägungsgrund 32. Die Einwilligung muss demnach freiwillig, informiert und aktiv erfolgen. Webseitenbetreiber und sonstige Telemedienanbieter müssen daher also weiterhin darauf achten, ein Opt-In-Verfahren zu nutzen und umfassende Informationen über die Umstände der Datenverarbeitung bereitzustellen, insbesondere über die Rechtsgrundlagen, die Verarbeitungszwecke, die Funktionsdauer der Cookies und Zugriffe von Dritten.

Ausnahmen von der Einwilligungspflicht im TTDSG

In § 25 Abs. 2 TTDSG sind Ausnahmen vorgesehen, die Anbieter von der Pflicht zur Einholung einer Einwilligung befreien. Auch die Ausnahmen sind im Vergleich zum Entwurf noch einmal verändert worden und bestehen in zwei Fällen.

Zum einen muss keine Einwilligung eingeholt werden, „wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist“ (§ 25 Abs. 2 Nr. 1 TTDSG). Zum anderen ist eine Einwilligung dann nicht erforderlich, „wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann“ (§ 25 Abs. 2 Nr. 2 TTDSG). Die zweite Ausnahme bezieht sich vor allem auf die technische Erforderlichkeit im Gegensatz zu optionalen Cookies, die etwa für personalisiertes Werbe-Tracking eingesetzt werden.

Personal Information Management Services (PIMS)

Im ursprünglichen TTDSG-Entwurf war noch vorgesehen, die Einwilligung durch eine dafür vorgesehene Auswahl des Browsers oder einer anderen Anwendung erklären zu können. Damit hätten Nutzer nicht mehr, wie bislang vor dem Besuch jeder Webseite Cookie-Banner vor sich gehabt, um die Einwilligung zu erklären. Der Absatz wurde in der jetzigen Fassung allerdings gestrichen. Stattdessen ist in § 26 TTDSG ein Anerkennungsverfahren für PIMS und alle Dienste vorgesehen, die Einwilligungen technisch verwalten. Nutzer können damit vorab für alle Webseiten angeben, ob und unter welchen Bedingungen sie eine Einwilligung erklären wollen. Der jeweilige Dienst gibt diese Informationen daraufhin automatisch auf den besuchen Webseiten weiter. Danach können solche Dienste anerkannt werden, wenn sie

  1. auf einem nutzerfreundlichen und wettbewerbskonformen Verfahren beruhen,
  2. unabhängig von einem wirtschaftlichen Interesse an der Einwilligungserklärung und den verwalteten Daten sind,
  3. die Daten für keine anderen Zwecke verarbeiten und
  4. ein angemessenes Sicherheitskonzept vorlegen.

Eine unabhängige Stelle soll künftig Anwendungen als rechtskonform zertifizieren und freigeben. Damit sollen die Anwendungen besser reguliert und das notwendige Vertrauen der Endnutzer geschaffen werden. Das genaue Verfahren wird die Bundesregierung mit einer Verordnung allerdings erst noch festlegen müssen.

Kostenfreie Expertise im E-Mail-Postfach

Alle wichtigen Neuigkeiten zum Datenschutz & zur Informationssicherheit einmal monatlich bequem im E-Mail-Postfach – natürlich kostenlos.

Was ist die Summe aus 1 und 9?

Mit Klick auf den Button stimmen Sie dem Versand unseres Newsletters und der aggregierten Nutzungsanalyse (Öffnungsrate und Linkklicks) zu. Sie können Ihre Einwilligung jederzeit widerrufen, z.B. über den Abmeldelink im Newsletter. Mehr Informationen: Datenschutzerklärung.

Was gibt es sonst zu beachten?

Mit dem neuen Gesetz befindet wurde das Fernmeldegeheimnis zudem aus dem TKG herausgelöst. Es befindet sich nun in § 3 TTDSG. Hier wurden die entsprechenden Regelungen des § 88 Abs. 1, 3 und 4 TKG wortgleich übernommen, während allerdings in § 3 Abs. 2 TTDSG genauere Angaben über den Kreis der zur Wahrung des Fernmeldegeheimnisses Verpflichteten mit in das Gesetz aufgenommen wurden. Dazu gehören Anbieter von öffentlich zugänglichen sowie ganz oder teilweise geschäftsmäßig angebotenen Telekommunikationsdiensten und natürliche oder juristische Personen, die an der Erbringung solcher Dienste mitwirken, Betreiber öffentlicher Telekommunikationsnetze und Betreiber von Telekommunikationsanlagen.

Darüber hinaus regeln die §§ 22-24 TTDSG das Auskunftsverfahren bei Bestands- und Nutzungsdaten. Bestandsdaten sind personenbezogene Daten, die zur Begründung, inhaltlichen Ausgestaltung oder Änderung des Vertragsverhältnisses zwischen Telemedienanbieter und Nutzer verarbeitet werden müssen. Nutzungsdaten sind personenbezogene Daten, die zur Inanspruchnahme von Telemedien und zur Abrechnung verarbeitet werden müssen. Zu ihnen zählen insbesondere Identifikationsmerkmale, Daten über den Umfang der Telemediennutzung und Angaben über die in Anspruch genommenen Telemedien (§ 2 Abs. 2 Nr. 2, 3 TTDSG). Sowohl für Bestands- als auch für Nutzungsdaten gilt: Alle Personen, die geschäftsmäßig Telemediendienste erbringen, müssen unter den Voraussetzungen von § 22 bzw. 24 Abs. 3 TTDSG Auskünfte auf Verlangen öffentlicher Stellen erteilen. Zu den Voraussetzungen zählen allerdings ausschließlich gewichtige und im öffentlichen Interesse liegende Gründe, unter anderem die Verfolgung bestimmter Straftaten, der Schutz von Leib und Leben oder der öffentlichen Sicherheit. Der Umfang der Auskunftspflicht erstreckt sich auf alle unternehmensinternen Datenquellen, bei Bestandsdaten nach § 22 Abs. 1 S. 1 TTDSG allerdings nicht auf Passwörter oder andere Daten, die den Zugriff auf Endgeräte ermöglichen.

Ihre Strategie für den besten Schutz

Die Grundlage jeder guten Geschäftsbeziehung ist Vertrauen. Stärken Sie die Beziehung zu Ihren Kunden mit unserer Expertise im Datenschutz und der Informationssicherheit. Damit sichern Sie Ihrer Unternehmung einen starken Wettbewerbsvorteil und können sich voll auf Ihr Geschäft konzentrieren.

Termin vereinbaren

Fazit zum TTDSG

Die durch das TTDSG erfolgten praktischen Änderungen sind für Unternehmen erst einmal überschaubar. Die Regelung zum Einwilligungserfordernis bei Cookies folgt weitestgehend den Vorgaben, die bereits jetzt umgesetzt werden müssen. Dennoch ist eine gesetzliche Festschreibung aus Gründen der Rechtsklarheit zu begrüßen. Gleiches gilt für die Bündelung der unterschiedlichen Vorgaben in einem einheitlichen Gesetz. Allerdings droht bald ein neues Nebeneinander von Gesetzen, sollte es zur Verabschiedung der geplanten ePrivacy-Verordnung kommen.

Wichtig ist darüber hinaus die Neuerung, dass Verstöße gegen die Einwilligungspflicht (und auch gegen andere Vorgaben des TTDSG) mit dem neuen § 28 TTDSG bußgeldbewehrt sind. Die Höhe der Geldbußen ist zwar nicht mit der DSGVO vergleichbar, kann aber dennoch bis zu 300.000 EUR betragen. Es kann daher sinnvoll sein, die bisherige Praxis noch einmal auf die Vorgaben des TTDSG hin zu überprüfen.

Weitere Neuigkeiten

24.07.2024

Windows-Ausfall durch CrowdStrike-Update öffnete Tür und Tor für Betrüger

Vielen Experten zufolge war es der größte IT-Ausfall der Geschichte. Am 19. Juli 2024 stieß CrowdStrike auf ein bedeutendes Problem mit einem Inhaltsupdate für seinen Falcon-Sensor auf Windows-Betriebssystemen. Dieses Update verursachte unerwartetes Systemverhalten, das insbesondere zu Blue-Screen-Fehlern (BSOD) auf den betroffenen Windows-Systemen führte. Viele Betrüger nutzen diesen Ausfall sofort aus. CrowdStrike reagierte schnell und stellte einen Fix bereit, um das Problem zu beheben und negative Auswirkungen auf die Betriebsabläufe ihrer Kunden zu minimieren.

Weiterlesen …

17.07.2024

Neue Regelungen für Ihr ISMS: Diese gesetzlichen Anforderungen muss Ihre IT-Sicherheit erfüllen

In den letzten Jahren haben zahlreiche neue gesetzliche Regelungen zur IT-Sicherheit Unternehmen vor erhebliche Herausforderungen gestellt. Diese Gesetze fordern von Unternehmen umfassende Maßnahmen zur Sicherung ihrer IT-Infrastruktur und Daten. Angesichts dieser wachsenden Anforderungen bietet sich die Einführung eines Informationssicherheits-Managementsystems (ISMS) an. Ein ISMS hilft nicht nur dabei, die gesetzlichen Anforderungen zu erfüllen, sondern trägt auch zur Verbesserung der allgemeinen Sicherheitslage eines Unternehmens bei.

Weiterlesen …

09.07.2024

NIS2-Richtlinie: Machen Sie Ihr Unternehmen fit für Oktober 2024 – mit unserem Leitfaden zum Download

Mit der nahenden Deadline im Oktober 2024 für die nationale Umsetzung der Network and Information Security (NIS) Directive 2 (NIS2) stehen schätzungsweise 30.000 deutsche Unternehmen vor der Herausforderung, gesetzliche Vorgaben zu erfüllen und die Sicherheit ihrer Informationstechnologie nachhaltig zu verbessern. In diesem Zusammenhang bieten wir umfassende Lösungen an, die darauf ausgerichtet sind, Ihr Unternehmen durch maßgeschneiderte Risikoanalysen, die Implementierung fortschrittlicher Cyber-Risikomanagementpraktiken und robuste Geschäftskontinuitätspläne auf den neuesten Stand der Technik zu bringen.

Weiterlesen …