Das TTDSG ist zum 1.12.2021 in Kraft getreten. Die Datenschutzkonferenz (DSK) hat zur Auslegung des Gesetzes eine Stellungnahme veröffentlicht. Die Orientierungshilfe (OH) für Anbieter:innen für Telemedien vom 20.12.2021 stellt die Auffassungen der DSK zum Verständnis des Gesetzestextes dar. Sie ist zwar nicht rechtsverbindlich. Dennoch enthält sie Empfehlungen wie die Regelungen aus dem TTDSG rechtssicher umgesetzt werden können. Auch Gerichte können die OH heranziehen, weshalb ihr große Bedeutung zukommt. In aller Kürze sollen hier einige Ansichten dargestellt werden.
Die DSK klärt zum einen die Abgrenzung der Anwendungsbereiche des TTDSG und der DSGVO, was seither umstritten ist. Nach der DSK gelten die speziellen Bestimmungen aus § 25 TTDSG vorrangig vor der DSGVO, soweit beim Speichern und Auslesen von Informationen in Endeinrichtungen personenbezogene Daten verarbeitet werden. Kommt es zu einer nachgelagerten Verarbeitung personenbezogener Daten ist selbstverständlich wieder DSGVO zu beachten.
Einige Ausführungen macht die DSK zur Benennung der Schaltflächen in einem Einwilligungsbanner. Ein Button mit „Alles akzeptieren“ soll den Anforderungen der DSK wohl genügen. Besonderen Wert legt die DSK ebenfalls darauf, dass das Ablehnen von Cookies und ähnlichen Technologien genau so einfach sein müsse, wie die Zustimmung. Zentrale stellt die DSK dafür auf Handlungsoptionen mit gleichwertigem Kommunikationseffekt ab. Sie macht einige Ausführungen zur Bannerebene und greift die Wichtigkeit der zu kommunizierenden Informationen im Banner auf. Für den Widerruf fordert sie einen stets sichtbaren Direktlink oder ein Icon, das unmittelbar zu den relevanten Einstellungsmöglichkeiten führt.
Update: 01.12.2021
Zum 01.12.2021 ist nun das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) in Kraft getreten. Weitere Hinweise zur Gesetzesentwicklung finden Sie im Folgenden.
Das TTDSG („Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien“) liegt nun in der endgültigen Fassung vor, die am 20. Mai 2021 im Bundestag beschlossen wurde und am 1. Dezember 2021 in Kraft treten soll. Ziel des Gesetzes ist die Zusammenführung der datenschutzrechtlichen Regelungen aus dem Telemedien- und dem Telekommunikationsgesetz (TMG, TKG). Wichtig ist insbesondere die Festschreibung der Einwilligungspflicht für Cookies und vergleichbare Technologien.
Neue Einwilligungspflicht für Cookies nach TTDSG
Zurzeit wird die Rechtspraxis bei Cookies in Deutschland vor allem durch die unionsrechtskonforme Auslegung des § 15 Abs. 3 TMG bestimmt, die der Bundesgerichtshof in seinem „Planet49“-Urteil in Fortführung der EuGH-Vorlageentscheidungen entwickelt hatte. Entgegen seinem Wortlaut wurde in die schon bestehende TMG-Regelung ein Einwilligungserfordernis für den Cookie-Einsatz hineingelesen, um den Widerspruch mit den europarechtlichen Vorgaben (resultierend aus der ePrivacy-Richtlinie) aufzulösen. Die Einwilligungspflicht für technisch nicht erforderliche Cookies ist nun explizit in § 25 TTDSG geregelt. Abs. 1 S. 1 sieht dementsprechend vor:
„Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat.“
Der Begriff der Endeinrichtung ist hier ausdrücklich technologieneutral gefasst und meint neben klassischen Endgeräten wie Smartphones oder Notebooks auch weitere internetfähige Geräte wie Smart TVs oder IoT-Geräte („internet of things“). Die Ausgestaltung der Einwilligung richtet sich nach den Vorgaben der DSGVO, insbesondere § 7 DSGVO und Erwägungsgrund 32. Die Einwilligung muss demnach freiwillig, informiert und aktiv erfolgen. Webseitenbetreiber und sonstige Telemedienanbieter müssen daher also weiterhin darauf achten, ein Opt-In-Verfahren zu nutzen und umfassende Informationen über die Umstände der Datenverarbeitung bereitzustellen, insbesondere über die Rechtsgrundlagen, die Verarbeitungszwecke, die Funktionsdauer der Cookies und Zugriffe von Dritten.
Ausnahmen von der Einwilligungspflicht im TTDSG
In § 25 Abs. 2 TTDSG sind Ausnahmen vorgesehen, die Anbieter von der Pflicht zur Einholung einer Einwilligung befreien. Auch die Ausnahmen sind im Vergleich zum Entwurf noch einmal verändert worden und bestehen in zwei Fällen.
Zum einen muss keine Einwilligung eingeholt werden, „wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist“ (§ 25 Abs. 2 Nr. 1 TTDSG). Zum anderen ist eine Einwilligung dann nicht erforderlich, „wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann“ (§ 25 Abs. 2 Nr. 2 TTDSG). Die zweite Ausnahme bezieht sich vor allem auf die technische Erforderlichkeit im Gegensatz zu optionalen Cookies, die etwa für personalisiertes Werbe-Tracking eingesetzt werden.
Das könnte Sie auch interessieren:
- Neues zum Thema Cookies: Urteile und aktuelle Gesetzesentwürfe
- Cookie-Banner im Blick der Datenschutzbehörden
Personal Information Management Services (PIMS)
Im ursprünglichen TTDSG-Entwurf war noch vorgesehen, die Einwilligung durch eine dafür vorgesehene Auswahl des Browsers oder einer anderen Anwendung erklären zu können. Damit hätten Nutzer nicht mehr, wie bislang vor dem Besuch jeder Webseite Cookie-Banner vor sich gehabt, um die Einwilligung zu erklären. Der Absatz wurde in der jetzigen Fassung allerdings gestrichen. Stattdessen ist in § 26 TTDSG ein Anerkennungsverfahren für PIMS und alle Dienste vorgesehen, die Einwilligungen technisch verwalten. Nutzer können damit vorab für alle Webseiten angeben, ob und unter welchen Bedingungen sie eine Einwilligung erklären wollen. Der jeweilige Dienst gibt diese Informationen daraufhin automatisch auf den besuchen Webseiten weiter. Danach können solche Dienste anerkannt werden, wenn sie
- auf einem nutzerfreundlichen und wettbewerbskonformen Verfahren beruhen,
- unabhängig von einem wirtschaftlichen Interesse an der Einwilligungserklärung und den verwalteten Daten sind,
- die Daten für keine anderen Zwecke verarbeiten und
- ein angemessenes Sicherheitskonzept vorlegen.
Eine unabhängige Stelle soll künftig Anwendungen als rechtskonform zertifizieren und freigeben. Damit sollen die Anwendungen besser reguliert und das notwendige Vertrauen der Endnutzer geschaffen werden. Das genaue Verfahren wird die Bundesregierung mit einer Verordnung allerdings erst noch festlegen müssen.
Was gibt es sonst zu beachten?
Mit dem neuen Gesetz befindet wurde das Fernmeldegeheimnis zudem aus dem TKG herausgelöst. Es befindet sich nun in § 3 TTDSG. Hier wurden die entsprechenden Regelungen des § 88 Abs. 1, 3 und 4 TKG wortgleich übernommen, während allerdings in § 3 Abs. 2 TTDSG genauere Angaben über den Kreis der zur Wahrung des Fernmeldegeheimnisses Verpflichteten mit in das Gesetz aufgenommen wurden. Dazu gehören Anbieter von öffentlich zugänglichen sowie ganz oder teilweise geschäftsmäßig angebotenen Telekommunikationsdiensten und natürliche oder juristische Personen, die an der Erbringung solcher Dienste mitwirken, Betreiber öffentlicher Telekommunikationsnetze und Betreiber von Telekommunikationsanlagen.
Darüber hinaus regeln die §§ 22-24 TTDSG das Auskunftsverfahren bei Bestands- und Nutzungsdaten. Bestandsdaten sind personenbezogene Daten, die zur Begründung, inhaltlichen Ausgestaltung oder Änderung des Vertragsverhältnisses zwischen Telemedienanbieter und Nutzer verarbeitet werden müssen. Nutzungsdaten sind personenbezogene Daten, die zur Inanspruchnahme von Telemedien und zur Abrechnung verarbeitet werden müssen. Zu ihnen zählen insbesondere Identifikationsmerkmale, Daten über den Umfang der Telemediennutzung und Angaben über die in Anspruch genommenen Telemedien (§ 2 Abs. 2 Nr. 2, 3 TTDSG). Sowohl für Bestands- als auch für Nutzungsdaten gilt: Alle Personen, die geschäftsmäßig Telemediendienste erbringen, müssen unter den Voraussetzungen von § 22 bzw. 24 Abs. 3 TTDSG Auskünfte auf Verlangen öffentlicher Stellen erteilen. Zu den Voraussetzungen zählen allerdings ausschließlich gewichtige und im öffentlichen Interesse liegende Gründe, unter anderem die Verfolgung bestimmter Straftaten, der Schutz von Leib und Leben oder der öffentlichen Sicherheit. Der Umfang der Auskunftspflicht erstreckt sich auf alle unternehmensinternen Datenquellen, bei Bestandsdaten nach § 22 Abs. 1 S. 1 TTDSG allerdings nicht auf Passwörter oder andere Daten, die den Zugriff auf Endgeräte ermöglichen.
Fazit zum TTDSG
Die durch das TTDSG erfolgten praktischen Änderungen sind für Unternehmen erst einmal überschaubar. Die Regelung zum Einwilligungserfordernis bei Cookies folgt weitestgehend den Vorgaben, die bereits jetzt umgesetzt werden müssen. Dennoch ist eine gesetzliche Festschreibung aus Gründen der Rechtsklarheit zu begrüßen. Gleiches gilt für die Bündelung der unterschiedlichen Vorgaben in einem einheitlichen Gesetz. Allerdings droht bald ein neues Nebeneinander von Gesetzen, sollte es zur Verabschiedung der geplanten ePrivacy-Verordnung kommen.
Wichtig ist darüber hinaus die Neuerung, dass Verstöße gegen die Einwilligungspflicht (und auch gegen andere Vorgaben des TTDSG) mit dem neuen § 28 TTDSG bußgeldbewehrt sind. Die Höhe der Geldbußen ist zwar nicht mit der DSGVO vergleichbar, kann aber dennoch bis zu 300.000 EUR betragen. Es kann daher sinnvoll sein, die bisherige Praxis noch einmal auf die Vorgaben des TTDSG hin zu überprüfen.
-
Informationssicherheit im Gesundheitssektor – neue Regeln für die Cybersecurity
Mit der zunehmenden Vernetzung und der fortschreitenden Digitalisierung des Gesundheitswesens ist der Schutz informationstechnischer Systeme zu einem zentralen Anliegen der Branche geworden. Denn funktionierende IT-Systeme sind eine wesentliche Voraussetzung für die Sicherheit der Versorgung im Allgemeinen und die Patientensicherheit im Besonderen.
-
Ransomware-Prävention in Zeiten von KI – Wie Unternehmen Attacken vorbeugen können
Ransomware ist nach wie vor eine der größten Bedrohungen für Wirtschaftsunternehmen. Besonders IT-Dienstleister sind in den vergangenen Jahren in den Fokus von Cyberkriminellen gerückt. Durch präventive Maßnahmen der Cybersicherheit werden personenbezogene Daten angemessen und wirksam vor den alltäglichen Gefahren des digitalen Zeitalters geschützt.
-
Die Deadline naht: Machen Sie Ihr Unternehmen noch vor Oktober fit für NIS-2
Mit der nahenden Deadline im Oktober für die nationale Umsetzung der Network and Information Security (NIS) Directive 2 (NIS-2) stehen Unternehmen vor der Herausforderung, nicht nur gesetzliche Vorgaben zu erfüllen, sondern auch ihre eigenen Geschäftsprozesse und die Sicherheit ihrer Informationstechnologie nachhaltig zu verbessern.