Am 01.12.2021 war es endlich soweit – das neue TTDSG trat in Kraft! Auch für die Datenschutzwelt ergeben sich hieraus einige Änderungen. Dies gilt vor allem für den Bereich des Trackings, egal ob mit oder ohne Cookies. Wir haben uns die wichtigsten Punkte des neuen Gesetzes und deren Auswirkungen einmal angeschaut.
Der Inhalt im Überblick
Von Cookies und Richtlinien
Das TTDSG – oder wie es mit richtigem Namen heißt: Telekommunikation-Telemedien-Datenschutz-Gesetz – führt die Regelungen des Telekommunikationsgesetzes (TKG) und des Telemediengesetzes (TMG) zusammen. Das TKG und das TMG wurden dabei deutlich verschlankt. Zudem werden Regelungen zur Verwendung von Cookies aus der ePrivacy-Richtlinie aus dem Jahr 2002 bzw. ihrer Novelle aus dem Jahr 2009 umgesetzt. Cookies? Ach ja, da war doch was! Spätestens seit dem sogenannten „Planet49-Urteil“ des EuGH vom 01.10.2019 ist klar, dass diese kleinen Textbausteine, welche nicht unbedingt für den Betrieb einer Website erforderlich sind, einer ausdrücklichen Einwilligung des Nutzers bedürfen. Dies wurde im neuen TTDSG endlich einmal ausdrücklich geregelt.
Und warum kommen diese Regelungen erst jetzt? Die Antwort ist ganz einfach: Anders als eine Verordnung – wie z. B. die DSGVO – entfalten Richtlinien der EU keine unmittelbare Wirkung, sondern müssen erst in nationales Recht umgesetzt werden. Allerdings hat Deutschland es in den letzten Jahren nicht geschafft, die ePrivacy-Richtlinie zufriedenstellend umzusetzen. Dies galt insbesondere für den Einsatz von Cookies. Mit dem TTDSG konnte der deutsche Gesetzgeber dieses Problem nun erstmalig lösen. Über allem schwebt aber weiterhin die ePrivacy-Verordnung, die wohl doch irgendwann einmal kommen soll.
Anwendungsbereich des TTDSG
Das TTDSG enthält allerdings nicht nur Regeln zum Datenschutz, sondern darüber hinaus Vorschriften zu den Bereichen Telemedien und Telekommunikation. Daraus ergeben sich auch unterschiedliche Anwendungsbereiche und Schutzzwecke im Vergleich zur DSGVO. Die DSGVO soll bekanntlich den Schutz personenbezogener Daten gewährleisten und damit das Persönlichkeitsrecht und das Recht auf Informationelle Selbstbestimmung natürlicher Personen wahren. Beim TTDSG hingegen ist als Schutzzweck die Integrität des Endgeräts beim Nutzer zu sehen. Bei den dabei betroffenen Informationen muss es nicht unbedingt um personenbezogene Daten gehen.
Das neue Gesetz sieht in § 1 Nr. 2 „besondere Vorschriften zum Schutz personenbezogener Daten bei der Nutzung von Telekommunikationsdiensten und Telemedien“ vor. Wer Anbieter von Telemedien ist, definiert § 2 Abs. 2 Nr. 1 wie folgt:
„jede natürliche oder juristische Person, die eigene oder fremde Telemedien erbringt, an der Erbringung mitwirkt oder den Zugang zur Nutzung von eigenen oder fremden Telemedien vermittelt“
Unter dem Begriff „Telemedien“ sind auch weiterhin alle elektronischen Informations- und Kommunikationsdienste zu verstehen. Dazu gehören beispielsweise Online-Shops, also sämtliche Angebote, welche eine unmittelbare Bestellmöglichkeit von Waren oder Dienstleistungen beinhalten. Aber auch Streaming-Dienste wie z. B. Netflix fallen darunter.
Weitere Regelungen zum Telemediendatenschutz
Zudem enthalten die Regelungen der §§ 19 bis 24 TTDSG weitere Konkretisierungen im Bereich des Telemediendatenschutzes. Dabei handelt es sich zumeist um organisatorische Vorgaben. Anbieter von Telemedien haben dabei sicherzustellen, dass:
- der Nutzer von Telemedien die Nutzung des Dienstes jederzeit beenden und er Telemedien gegen Kenntnisnahme Dritter geschützt in Anspruch nehmen kann,
- die Nutzung von Telemedien und ihre Bezahlung anonym oder unter Pseudonym möglich ist, soweit dies technisch möglich und zumutbar ist, einschließlich der Information über diese Möglichkeit, und
- kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und diese gegen Störungen gesichert sind, auch soweit solche durch äußere Angriffe bedingt sind (§ 19 TTDSG)
- Daten, die zum Zweck des Jugendschutzes erhoben werden, nicht für andere, kommerzielle Zwecke, verarbeitet werden dürfen (§ 20 TTDSG)
- Pflichten zur Herausgabe von Bestandsdaten an Behörden oder auf Grund gerichtlicher Anordnung eingehalten werden (§§ 21 bis 24 TTDSG)
Vor allem die Regelungen des § 19 TTDSG sollen den Schutz personenbezogener Daten bestmöglich gewährleisten. Ähnlichkeiten zu Vorgaben aus der DSGVO sind unverkennbar.
Schutz der Privatsphäre bei Endgeräten
Aus datenschutzrechtlicher Sicht ist § 25 TTDSG eine der wichtigsten Vorschriften. Diese regelt das Einwilligungserfordernis für Cookies und andere Technologien. Dabei ist wichtig, dass nicht nur Cookies, sondern jegliche Tracking-Möglichkeiten erfasst sind. Das können also auch Pixel oder Fingerprinting sein. Da es um die Integrität des Endgerätes geht, kommt es nicht zwingend auf einen Personenbezug an.
Nach § 25 Abs. 2 TTDSG ist keine Einwilligung erforderlich,
- wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder
- wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.
Hier ergeben sich im Grunde allerdings keine wesentlichen Änderungen zur bisherigen Rechtslage. Es wird also weiterhin vor allem auf das Merkmal der Erforderlichkeit abgestellt (Nr. 2). Im anderen Ausnahmefall geht es um die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz. Ein klassisches Beispiel für erforderliche Cookies ist das gute alte Warenkorb-Cookie. Dies kann auch weiterhin ohne Einwilligung gesetzt werden, da der Betrieb eines Online-Shops ohne dieses Cookie im Grunde nicht praktikabel ist. Marketing- oder Tracking-Maßnahmen, welche auf das Endgerät zugreifen, bedürfen allerdings weiterhin der Einwilligung. In aller Regel kann man nicht davon ausgehen, dass solche Maßnahmen dem Wunsch des Nutzers entsprechen. Verstöße gegen das TTDSG sind bußgeldbewehrt. Im schlimmsten Fall droht ein Bußgeld von 300.000 EUR. Daneben ist natürlich noch ein Bußgeld nach den Vorgaben der DSGVO möglich, wenn personenbezogene Daten betroffen sind.
Personal Information Management Systems
Neu ist allerdings die Einrichtung von sogenannten „Personal Information Management Systems“ in § 26 TTDSG. Dies soll Nutzern zukünftig ermöglichen, die Einwilligung zu den in § 25 genannten Maßnahmen gegenüber einem Datentreuhänder zu erteilen, welcher dann diese Einwilligungen verwaltet. Gehört damit das lästige Wegklicken von Cookie-Bannern endlich der Vergangenheit an? Leider noch nicht, denn wie genau die Umsetzung dieser treuhänderischen Verwaltung aussehen kann, regelt das TTDSG nicht. Hierfür ist eine Rechtsverordnung notwendig. Insofern ist das Ganze derzeit noch Zukunftsmusik.
Gesetz mit begrenzter Haltbarkeit?
In der praktischen Anwendung enthält das TTDSG also zunächst keine wesentlichen Änderungen. Da allerdings nunmehr eine weitere Möglichkeit hinzukommt, Bußgelder zu verhängen, ist es denkbar, dass betroffene Personen häufiger Beschwerden einreichen oder Aufsichtsbehörden selbst verstärkt aktiv werden. Darauf sollten sich Unternehmen einstellen. Spannend wird auch sein, wie Aufsichtsbehörden und vor allem Gerichte die neuen Regelungen auslegen werden. Zwar ist insbesondere in § 25 TTDSG eine Klarstellung erfolgt, allerdings dürfte die Auslegung in Einzelfällen – wie bisher auch – nicht immer eindeutig sein. Zudem bleibt abzuwarten, welche Anpassungen nötig sein werden, wenn dann doch einmal die ePrivacy-Verordnung in Kraft tritt. Insofern wird das TTDSG wahrscheinlich nur eine Übergangslösung darstellen.
Update 20.12.2021: Die DSK hat ihre Orientierungshilfe für Telemedienanbieter aktualisiert und befasst sich in deren Rahmen nun ausführlich mit dem § 25 TTDSG.
Liebes Dr. Datenschutz-Team,
wie Sie richtig anmerken wird die „Erforderlichkeit“ wohl der Hauptstreitpunkt der Diskussionen und Auslegungen sein. Sind Ihnen hier schon Richtungen bekannt, wie bspw. mit selbstbetriebenem Tracking (z.B. Matomo) zu verfahren ist? Die Statistikerfassung war ja u.a. mal als Ausnahme in der – erfolgreich dauerblockierten – ePrivacyVO vorgesehen bzw. als Ausnahme für die Einwilligung nach alten TMG-Normen bewertet worden.
Besten Dank und ein frohes Weihnachtsfest!
Bisher kamen die meisten Handreichungen dazu aus anderen europäischen Ländern, die die ePrivacy-Richtlinie bereits umgesetzt hatten. Nach dem Planet49 Urteil hatten wir u.a. die Guidelines der CNIL vorgestellt und teilweise übersetzt. Daneben haben auch jüngst die italienische und die luxemburgische Aufsichtsbehörde, die Erforderlichkeit eher weit interpretieren und darunter ein reduziertes Tracking zulassen. Leider fehlen bei diesen eine rechtliche Begründung, wieso man von der im Working Paper 194 von den europäischen Aufsichtsbehörden gefassten Meinung abweicht.
Restriktiv und unter Verweis auf eben dieses Arbeitspapier wird die Erforderlichkeit von der spanischen und irischen Aufsichtsbehörde interpretiert. Auch einige deutsche Aufsichtsbehörden haben bereits eine restriktive Handhabung des Ausnahmetatbestand angekündigt. (Hamburg, Niedersachsen , Sachsen und RLP). Eine offizielle Positionierung der DSK dazu soll Anfang 2022 durch die Aktualisierung der Orientierungshilfe Telemedien folgen.
Wir wünschen Ihnen ebenfalls ein frohes Weihnachtsfest!
Liebes Dr. Datenschutzteam,
danke für die ausführliche Zusammenfassung. Intern haben wir diskutiert, ob durch § 25 TTDSG nunmehr auch ein Cookiebanner erforderlich ist, wenn keine personenbezogenen Daten der Nutzer, wohl aber z.B. Hashwerte von deren Endgeräten (wie z.B. mit Matomo möglich) zu statistischen Zwecken erfasst werden. Nach unserer Lesart unterliegen diese Analysedaten dann wohl der Einwilligung nach § 25 TTDSG, da hier – wie Sie auch selbst feststellen – kein expliziter Personenbezug notwendig ist.
Aus meiner Sicht wäre dies ja eine erhebliche Änderung der Rechtslage, da jedenfalls nach meinem Verständnis hashgebundene Analysedaten ohne Personenbeziehbarkeit / Personenbezug bisher keiner Einwilligung des Nutzers bedurften.
Herzlichen Dank und eine besinnliche Weihnachtszeit…
Hashwerte stellen eine Form der Pseudonymisierung dar, da der Personenbezug nicht vollständig aufgehoben ist. Pseudonyme Daten sind daher personenbezogene Daten, so dass dies dann auch für Hashwerte zutrifft. In der Praxis dürfte dies auch der Regelfall sein.
Liebes Dr. Datenschutz-Team,
für wen findet das TTDSG Anwendung? Nur für deutsche Unternehmen oder auch bspw. für ein liechtensteinisches Versicherungsunternehmen, welches eine Webseite mit Kontaktformular hat?
Vielen Dank für Ihre Antwort und eine besinnliche Weihnachtszeit!
Nach § 1 Abs. 3 TTDSG 1 unterliegen dem Gesetz „alle Unternehmen und Personen, die im Geltungsbereich dieses Gesetzes eine Niederlassung haben oder Dienstleistungen erbringen oder daran mitwirken oder Waren auf dem Markt bereitstellen.“ Es ist also – wie bei der DSGVO – ein Marktortprinzip vorgesehen, das auch Webseiten erfasst, die sich an den deutschen Markt richten.
Wir wünschen ebenfalls eine besinnliche Weihnachtszeit.
Sehr geehrte Damen und Herren, Etracker wirbt damit, dass keine Einwilligung für die Verwendung notwendig sei und auch das TTDSG nicht einschlägig sei. Laut Aussage von etracker werden Angaben, die zum Aufbau der Website notwendig sind (zB. IP-Adresse) im Nachgang dann zur Auswertung verwendet. Dies ist doch nicht vereinbar mit dem TTDSG oder sehe ich das falsch? Danke für eine Rückmeldung.
Auch etracker muss sich an die Vorgaben aus dem TTDSG halten. Komplett ohne Einwilligungen dürfte etracker nicht auskommen.