08. Juni 2021

TTDSG: Gesetzliche Neuregelungen für Telemedien und Telekommunikation

Das TTDSG („Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien“) liegt nun in der endgültigen Fassung vor, die am 20. Mai 2021 im Bundestag beschlossen wurde und am 1. Dezember 2021 in Kraft treten soll. Ziel des Gesetzes ist die Zusammenführung der datenschutzrechtlichen Regelungen aus dem Telemedien- und dem Telekommunikationsgesetz (TMG, TKG). Wichtig ist insbesondere die Festschreibung der Einwilligungspflicht für Cookies und vergleichbare Technologien.

Neue Einwilligungspflicht für Cookies nach TTDSG

Zurzeit wird die Rechtspraxis bei Cookies in Deutschland vor allem durch die unionsrechtskonforme Auslegung des § 15 Abs. 3 TMG bestimmt, die der Bundesgerichtshof in seinem „Planet49“-Urteil in Fortführung der EuGH-Vorlageentscheidungen entwickelt hatte. Entgegen seinem Wortlaut wurde in die schon bestehende TMG-Regelung ein Einwilligungserfordernis für den Cookie-Einsatz hineingelesen, um den Widerspruch mit den europarechtlichen Vorgaben (resultierend aus der ePrivacy-Richtlinie) aufzulösen. Die Einwilligungspflicht für technisch nicht erforderliche Cookies ist nun explizit in § 25 TTDSG geregelt. Abs. 1 S. 1 sieht dementsprechend vor:

„Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat.“

Der Begriff der Endeinrichtung ist hier ausdrücklich technologieneutral gefasst und meint neben klassischen Endgeräten wie Smartphones oder Notebooks auch weitere internetfähige Geräte wie Smart TVs oder IoT-Geräte („internet of things“). Die Ausgestaltung der Einwilligung richtet sich nach den Vorgaben der DSGVO, insbesondere § 7 DSGVO und Erwägungsgrund 32. Die Einwilligung muss demnach freiwillig, informiert und aktiv erfolgen. Webseitenbetreiber und sonstige Telemedienanbieter müssen daher also weiterhin darauf achten, ein Opt-In-Verfahren zu nutzen und umfassende Informationen über die Umstände der Datenverarbeitung bereitzustellen, insbesondere über die Rechtsgrundlagen, die Verarbeitungszwecke, die Funktionsdauer der Cookies und Zugriffe von Dritten.

Ausnahmen von der Einwilligungspflicht im TTDSG

In § 25 Abs. 2 TTDSG sind Ausnahmen vorgesehen, die Anbieter von der Pflicht zur Einholung einer Einwilligung befreien. Auch die Ausnahmen sind im Vergleich zum Entwurf noch einmal verändert worden und bestehen in zwei Fällen.

Zum einen muss keine Einwilligung eingeholt werden, „wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist“ (§ 25 Abs. 2 Nr. 1 TTDSG). Zum anderen ist eine Einwilligung dann nicht erforderlich, „wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann“ (§ 25 Abs. 2 Nr. 2 TTDSG). Die zweite Ausnahme bezieht sich vor allem auf die technische Erforderlichkeit im Gegensatz zu optionalen Cookies, die etwa für personalisiertes Werbe-Tracking eingesetzt werden.


Mehr zum Thema

Neues zum Thema Cookies: Urteile und aktuelle Gesetzesentwürfe


Personal Information Management Services (PIMS)

Im ursprünglichen TTDSG-Entwurf war noch vorgesehen, die Einwilligung durch eine dafür vorgesehene Auswahl des Browsers oder einer anderen Anwendung erklären zu können. Damit hätten Nutzer nicht mehr, wie bislang vor dem Besuch jeder Webseite Cookie-Banner vor sich gehabt, um die Einwilligung zu erklären. Der Absatz wurde in der jetzigen Fassung allerdings gestrichen. Stattdessen ist in § 26 TTDSG ein Anerkennungsverfahren für PIMS und alle Dienste vorgesehen, die Einwilligungen technisch verwalten. Nutzer können damit vorab für alle Webseiten angeben, ob und unter welchen Bedingungen sie eine Einwilligung erklären wollen. Der jeweilige Dienst gibt diese Informationen daraufhin automatisch auf den besuchen Webseiten weiter. Danach können solche Dienste anerkannt werden, wenn sie

  1. auf einem nutzerfreundlichen und wettbewerbskonformen Verfahren beruhen,
  2. unabhängig von einem wirtschaftlichen Interesse an der Einwilligungserklärung und den verwalteten Daten sind,
  3. die Daten für keine anderen Zwecke verarbeiten und
  4. ein angemessenes Sicherheitskonzept vorlegen.

Eine unabhängige Stelle soll künftig Anwendungen als rechtskonform zertifizieren und freigeben. Damit sollen die Anwendungen besser reguliert und das notwendige Vertrauen der Endnutzer geschaffen werden. Das genaue Verfahren wird die Bundesregierung mit einer Verordnung allerdings erst noch festlegen müssen.

Was gibt es sonst zu beachten?

Mit dem neuen Gesetz befindet wurde das Fernmeldegeheimnis zudem aus dem TKG herausgelöst. Es befindet sich nun in § 3 TTDSG. Hier wurden die entsprechenden Regelungen des § 88 Abs. 1, 3 und 4 TKG wortgleich übernommen, während allerdings in § 3 Abs. 2 TTDSG genauere Angaben über den Kreis der zur Wahrung des Fernmeldegeheimnisses Verpflichteten mit in das Gesetz aufgenommen wurden. Dazu gehören Anbieter von öffentlich zugänglichen sowie ganz oder teilweise geschäftsmäßig angebotenen Telekommunikationsdiensten und natürliche oder juristische Personen, die an der Erbringung solcher Dienste mitwirken, Betreiber öffentlicher Telekommunikationsnetze und Betreiber von Telekommunikationsanlagen.

Darüber hinaus regeln die §§ 22-24 TTDSG das Auskunftsverfahren bei Bestands- und Nutzungsdaten. Bestandsdaten sind personenbezogene Daten, die zur Begründung, inhaltlichen Ausgestaltung oder Änderung des Vertragsverhältnisses zwischen Telemedienanbieter und Nutzer verarbeitet werden müssen. Nutzungsdaten sind personenbezogene Daten, die zur Inanspruchnahme von Telemedien und zur Abrechnung verarbeitet werden müssen. Zu ihnen zählen insbesondere Identifikationsmerkmale, Daten über den Umfang der Telemediennutzung und Angaben über die in Anspruch genommenen Telemedien (§ 2 Abs. 2 Nr. 2, 3 TTDSG). Sowohl für Bestands- als auch für Nutzungsdaten gilt: Alle Personen, die geschäftsmäßig Telemediendienste erbringen, müssen unter den Voraussetzungen von § 22 bzw. 24 Abs. 3 TTDSG Auskünfte auf Verlangen öffentlicher Stellen erteilen. Zu den Voraussetzungen zählen allerdings ausschließlich gewichtige und im öffentlichen Interesse liegende Gründe, unter anderem die Verfolgung bestimmter Straftaten, der Schutz von Leib und Leben oder der öffentlichen Sicherheit. Der Umfang der Auskunftspflicht erstreckt sich auf alle unternehmensinternen Datenquellen, bei Bestandsdaten nach § 22 Abs. 1 S. 1 TTDSG allerdings nicht auf Passwörter oder andere Daten, die den Zugriff auf Endgeräte ermöglichen.

Fazit zum TTDSG

Die durch das TTDSG erfolgten praktischen Änderungen sind für Unternehmen erst einmal überschaubar. Die Regelung zum Einwilligungserfordernis bei Cookies folgt weitestgehend den Vorgaben, die bereits jetzt umgesetzt werden müssen. Dennoch ist eine gesetzliche Festschreibung aus Gründen der Rechtsklarheit zu begrüßen. Gleiches gilt für die Bündelung der unterschiedlichen Vorgaben in einem einheitlichen Gesetz. Allerdings droht bald ein neues Nebeneinander von Gesetzen, sollte es zur Verabschiedung der geplanten ePrivacy-Verordnung kommen.

Wichtig ist darüber hinaus die Neuerung, dass Verstöße gegen die Einwilligungspflicht (und auch gegen andere Vorgaben des TTDSG) mit dem neuen § 28 TTDSG bußgeldbewehrt sind. Die Höhe der Geldbußen ist zwar nicht mit der DSGVO vergleichbar, kann aber dennoch bis zu 300.000 EUR betragen. Es kann daher sinnvoll sein, die bisherige Praxis noch einmal auf die Vorgaben des TTDSG hin zu überprüfen.

Newsletter

Bleiben Sie immer up to date in Sachen Datenschutz!