Das neue TTDSG KTR.legal

Das neue TTDSG

Seit dem 1. Dezember 2021 gilt in Deutschland ein neues Datenschutzschutzgesetz, das „Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien“ oder kurz TTDSG. Schon wieder ein neues Datenschutzgesetz? Haben wir nicht eben erst die Datenschutzgrundverordnung (DSGVO) umgesetzt? Hier erfahrt ihr, ob euch die neuen Vorschriften ins Schwitzen bringen müssen. Die Buzzwords sind Cookies, PIMS und Single-Sign-On.

Für wen ist das TTDSG interessant?

Ein Großteil der neuen Regeln adressiert die Anbieter von Telekommunikationsdiensten. Interessant ist aber das zweite „T“ im TTDSG, insbesondere für Betreiber:innen von Webseiten, Apps und anderen Online-Diensten, denn diese bieten in aller Regel Telemediendienste an.

Was regelt das neue Gesetz?

Das TTDSG vereint die Datenschutzregeln des Telekommunikationsgesetzes (TKG) und des Telemediengesetzes (TMG) in einem eigenen Stammgesetz. Es setzt Regelungen aus der ePrivacy-Richtlinie aus den Jahren 2002 und 2009 (ja wirklich!) in nationales Recht um, die man teilweise bereits für umgesetzt hielt und über die in der Vergangenheit in Deutschland oft gestritten wurde. Das soll der Rechtssicherheit dienen und das Recht der EU-Mitgliedsstaaten angleichen.

Unter anderem geht es beim TTDSG um den Schutz personenbezogener Daten, aber auch um den Schutz der Privatsphäre der Nutzer:innen auf ihren Endgeräten sowie um technische und organisatorische Vorkehrungen, die Anbieter von Telemedien beachten müssen. Für die für uns interessanten Bereiche erweitert das TTDSG den Anwendungsbereich im Vergleich zum Wortlaut der Richtlinie über die Endgeräte wie Smartphones, Tablets, Laptops und ihresgleichen hinaus, auf sogenannte Endeinrichtungen. Damit sollen auch vernetzte Geräte wie Smart-Home-Geräte oder Multi-Room-Lautsprecher erfasst sein.

TTDSG, DSGVO, wo ist da der Unterschied?

Das TTDSG tritt neben die DSGVO; die Gesetze haben einen unterschiedlichen Anwendungsbereich: Das TTDSG soll nicht erwünschte Zugriffe auf Informationen verhindern, die auf unseren Endgeräten gespeichert sind – ganz unabhängig von der Frage, ob personenbezogene Daten verarbeitet werden. Wenn im Anschluss personenbezogene Daten verarbeitet werden, greifen die Regeln der DSGVO ein. Für bestimmte Tools (z.B. Cookies) müssen deshalb beide Gesetze beachtet werden.

Cookies, Browser-Fingerprinting und Co.

Im Rampenlicht stand bisher die neue Regelung für Cookies auf Webseiten oder in Apps. Cookies sind Datensätze, die im Endgerät der Nutzer:innen von deren Browser gespeichert und verwaltet werden. Das Gesetz beinhaltet keine Regel, wie Cookie-Banner auf Webseiten oder in Apps konkret auszusehen haben, macht aber strenge Vorgaben, wann ihr Cookies setzen dürft. Darüber hinaus sind nicht nur Cookies reguliert, sondern auch ähnliche Tracking-Methoden (cookieless tracking), denn das Gesetz formuliert abstrakt und technologieneutral:

„Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat.“

§ 25 Abs. 1 S. 1 TTDSG

Einige Datenschutzaufsichtsbehörden sprechen exemplarisch von Cookies, WebStorage und Browser-Fingerprinting. Beim Browser-Fingerprinting werden Informationen über den Browser, dessen Konfiguration und weitere Merkmale zur Wiedererkennung von Nutzer:innen genutzt; die individuelle Kombination der Merkmale soll bestenfalls einen einzigartigen Fingerabdruck ergeben. Ob das Browser-Fingerprinting unter die neue Regelung fällt, hängt davon ab, ob entweder Informationen im Browser der Nutzer:innen gespeichert werden oder auf schon gespeicherte Informationen zugegriffen wird. Das hängt im Einzelnen von der Art des Fingerprintings ab und ist zu allem Überfluss auch noch umstritten.

Fingerprinting das neue ttdsg

Die Einwilligung wird wichtiger

Wollt ihr (in welcher Form auch immer) Informationen in der Endeinrichtung eurer Nutzer:innen speichern oder auf gespeicherte Informationen zugreifen, müsst ihr grundsätzlich eine Einwilligung einholen. Diese Einwilligung muss den strengen Anforderungen genügen, die die DSGVO an die Einwilligung stellt. Ihr müsst keine Einwilligung einholen, wenn beispielsweise das Setzen oder Auslesen eines Cookies unbedingt erforderlich ist, damit ihr den vom Nutzer ausdrücklich gewünschten Dienst zur Verfügung stellen könnt. Rein funktionelle Cookies sind damit auch weiterhin ohne Einwilligung erlaubt.

Aber Vorsicht: gemeint ist die technische, nicht die wirtschaftliche Notwendigkeit. Die Ausnahme trifft beispielsweise auf Session-Cookies zu, mit denen ihr einen Warenkorb für euren Shop umsetzt. Wer schon die DSGVO umgesetzt und diesen Text aufmerksam gelesen hat, dem wird aufgefallen sein, dass die Begriffe des TTDSG nicht identisch sind mit denen der DSGVO: „unbedingt erforderlich“ und „vom Nutzer ausdrücklich gewünscht“ ist eben enger als ein „berechtigtes Interesse“. Die neuen Begriffe sorgen für eine neue Rechtsunsicherheit. Die konkreten Unterschiede werden sich erst in der praktischen Anwendung durch die Gerichte und Aufsichtsbehörden zeigen. Die Konferenz der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat bereits angekündigt, Anfang 2022 eine neue Orientierungshilfe für Telemedienanbieter zu veröffentlichen.

PIMS und Single-Sign-On: Ist das TTDSG wirklich das Ende der Cookie-Banner?

Einwilligungen werden also eher häufiger als bisher. Damit die Nutzer:innen nicht aufgrund der schieren Masse der Cookie-Banner, die nach einer Einwilligung verlangen, entnervt aufgeben, möchte der Gesetzgeber eine zentrale Steuerungsmöglichkeit schaffen. Spät im Gesetzgebungsprozess wurden deshalb die sogenannten „anerkannten Dienste zur Einwilligungsverwaltung“ in das TTDSG eingefügt. Gemeint sind sogenannte Personal Information Management Systems (PIMS) und Single-Sign-On-Dienste.

Mit diesen sollen die Nutzer:innen ihre Einwilligungen und Datenschutzpräferenzen zentral hinterlegen und verwalten können. Besuchen sie später eine Webseite, kann diese nachschauen, wie es die Nutzer:innen mit der Einwilligung halten – so weit die Theorie. Die rechtskonforme Umsetzbarkeit in der Praxis ist umstritten. Es müssen beispielsweise trotzdem die datenschutzrechtlichen Informationspflichten gebührend berücksichtigt werden. Ob PIMS wirklich der Anfang vom Ende der Cookie-Banner sind, von denen der Gesetzgeber die Nutzer:innen befreien möchte, sei dahingestellt. Das TTDSG stellt lediglich die Leitplanken für die Einführung solcher Dienste auf – die konkreten Anforderungen werden erst noch durch eine Verordnung festgesetzt.

Was muss jetzt beachtet werden?

Die neue Cookie-Regelung des TTDSG setzt im Wesentlichen die ePrivacy-Richtlinie und die zu ihrer Auslegung ergangenen Urteile des Bundesgerichtshofs und des Europäischen Gerichtshofs um (Stichwort: „Planet49“-Urteil). Auch wenn es auf den ersten Blick so aussieht, als habe der Gesetzgeber lediglich den status quo bestätigt, besteht Handlungsbedarf: Betreiber:innen von Webseiten, Apps und Online-Diensten sollten überprüfen, ob Cookies (oder andere Tracking-Werkzeuge), die bisher unter dem „berechtigten Interesse“ der DSGVO liefen, auch von der neuen Ausnahmeregel des TTDSG gedeckt sind. Wenn nicht, müssen sie um die Einwilligung ihrer Nutzer:innen werben. Das ist kein Grund zur Panik – das TTDSG sollte aber keinesfalls ignoriert werden: Es drohen Geldbußen bis zu 300.000 €. Davon erfasst ist auch die neue Cookie-Regelung.

Ausblick: ePrivacy-Verordnung

Das TTDSG nimmt eine Regelung zum Tracking vorweg, die so oder anders in der ePrivacy-Verordnung auftauchen könnte (nicht zu verwechseln mit der ePrivacy-Richtlinie aus dem Jahr 2002 – Verordnungen gelten unmittelbar, Richtlinien müssen erst in nationales Recht umgesetzt werden, womit sich der Gesetzgeber bisweilen schwertut, wie wir gesehen haben). Die ePrivacy-Verordnung steckt noch auf EU-Ebene im Gesetzgebungsprozess fest. Bis zum Inkrafttreten regelt das TTDSG die Übergangszeit. Wir werden also spätestens wieder nach Einführung der ePrivacy-Verordnung über Cookies und andere Tracking-Werkzeuge sprechen.

Bild 1 – Shakti Rajpurohit on Unsplash

Bild 2 – George Prentzas on Unsplash

Beitrag Teilen

Aktuelle Beiträge

Markenanmeldung; Marke; Markenschutz
Janina Albrecht

Wann Marke anmelden?

Wann ist der perfekte Zeitpunkt, um eine Markenanmeldung vorzunehmen? Bei der Markenanmeldung sind mehrere Faktoren zu berücksichtigen, allen voran: Zeit, Geld und Investitionen. Inhaltsverzeichnis Welches Budget

Weiterlesen »
Influencer; BGH-Urteile; Tap Tags; Kennzeichnung als Werbung
Pauline

Neues aus der Influencer-Welt

Nachdem das OLG Frankfurt 2019 in dem Fall der Influencerin “Sonnyloops” ein bedeutendes Urteil für alle Influencer ausgesprochen hatte, folgte dieses Jahr der BGH. In gleich drei Verfahren

Weiterlesen »
Habt ihr noch weitere Fragen?
Wir freuen uns von euch zu hören!