Tl;dr:  

• Das TTDSG regelt Bestimmungen zum Fernmeldegeheimnis und zum Datenschutz bei Telemedien, also auf Websites. Es ersetzt die Datenschutzregelungen des Telemediengesetzes (TMG) und des Telekommunikationsgesetzes (TKG), passt sie an die Regelungen der DSGVO an und dient in erster Linie der Umsetzung der ePrivacy-Richtline 
• Ziel ist es, vor allem Rechtsklarheit zu schaffen 
• Schutz der Geräteintegrität: Websites brauchen ab dem 1. Dezember 2021 für Cookies und Tracking eine echte Einwilligung der Nutzer*innen 
• Nahezu jede Website braucht damit ein DSGVO-konformes Consent Banner  
• Das TTDSG gilt auch für Messengerdienste und Apps
  

 

Hintergrund zum TTSDG 

Am 01.12.2021 trat das neue deutsche Telekommunikations-Telemedien-Datenschutzgesetz, kurz TTDSG, in Kraft, nachdem es im Mai 2021 im Bundestag beschlossen wurde. Da der erste Entwurf zum TTDSG erst vom Juli 2020 stammt, könnte man von einem sehr strikten Zeitplan und einer wirklich schnellen Umsetzung sprechen. Doch genau das Gegenteil ist der Fall: Der deutsche Gesetzgeber ist der letzte der europäischen Gesetzgeber, der der Umsetzungspflicht aus der ePrivacy-Richtlinie aus 2009 nachkommt. Impulsgebend für das am Ende doch zügige Vorgehen war sicherlich auch die höchstrichterliche Rechtsprechung des EuGH und BGH, die dem deutschen Gesetzgeber kein gutes Zeugnis ausgestellt hat.  

 

Die wichtigsten Regelungen im TTDSG für Website- und Shopbetreiber 

Im Folgenden finden Sie die wichtigsten Punkte, die Sie beim Tracking Ihrer Kund*innen und Nutzer*innen auf Ihrer Website oder App berücksichtigen müssen. 

Die gute Nachricht vorweg: Es kommt zu keinen gravierenden Änderungen der Rechtslage. Ähnlich  wie beim Inkrafttreten der DSGVO setzt das neue Gesetz die bereits seit dem Cookie-Urteil des BGH vom 28. Mai 2020 gelebte Praxis um und bringt die an dieser Stelle eher unklaren Bereiche der DSGVO mit den Anforderungen aus der ePrivacy-Richtlinie miteinander in Einklang. 

 

Gültigkeit und Geltungsbereich 

Das TTDSG ist ab dem Tag des Inkrafttretens anwendbar (1. Dezember 2021). Es gibt keine Übergangszeit. Es gilt für alle Unternehmen, die eine Niederlassung in Deutschland haben oder Waren/Dienstleistungen auf dem deutschen Markt anbieten.  

Es gilt technologieunabhängig! D.h. es gilt im Bereich der Tracking-Technologien nicht nur für Cookies, sondern beispielsweise auch für die Nutzung von Browser Fingerprinting oder der Nutzung des Local Storage. 

 

Fokus und Abgrenzung zur DSGVO 

Das TTDSG nimmt die Speicherung auf den Endgeräten der Nutzer*innen und das Auslesen von Geräte-Identifiern in den Fokus; die Verarbeitung von personenbezogenen Daten wird hingegen weiterhin durch die DSGVO geregelt. 

 

Speicherorte 

Das neue TTDSG macht in Hinblick auf die Speicherung der Daten keinen Unterschied, wo die Daten aufbewahrt werden (z.B. lokal oder in der Cloud). 

 

Speicherung/Auslesen von Informationen ohne Einwilligung  

Das TTDSG erlaubt es, Informationen in der Endeinrichtung der Nutzer*innen zu speichern (Cookie zu setzen) oder auf Informationen, die in der Endeinrichtung der Nutzer*innen bereits gespeichert sind, zuzugreifen (Cookies auszulesen). Dies geht ohne die Einwilligung des Nutzers, wenn das Speichern bzw. der Zugriff unbedingt erforderlich ist, damit der von Nutzer*innen ausdrücklich gewünschte Telemediendienst (Website/App) vom Anbieter zur Verfügung gestellt werden kann.

Die anschließende Verarbeitung von personenbezogenen Daten ist dann auch einwilligungsfrei erlaubt. 

 

Technische Erforderlichkeit von Analyse- & Verwaltungsfunktionen 

Analyse-Technologien (Cookies) können als unbedingt erforderlich betrachtet werden, wenn sie beispielsweise zur Leistungsmessung, dem Erkennen von Navigationsproblemen, der Schätzung erforderlicher Serverkapazitäten oder zur Analyse abgerufener Inhalte eingesetzt werden.

 

Tag Management Systeme 

Der Einsatz von Tag Management Systemen ist grundsätzlich einwilligungsfrei erlaubt. Beim Einsatz von Google Tag Manager (GTM), der Teil von Google Universal Analytics ist, bestehen Bedenken hinsichtlich der einwilligungsfreien Nutzung. Der einwilligungsfreie Einsatz des GTM sollte daher mit der eigenen Rechtsberatung abgeklärt werden.

 

Berechtigtes Interesse 

Sollen Cookies oder andere Tracking-Technologien gemäß berechtigtem Interesse eingesetzt werden, muss das berechtigte Interesse in den Datenschutzbestimmungen beschrieben und begründet werden. 

 

Dynamische Zweckbindung von Cookies 

Wird ein Cookie gesetzt, der sowohl einwilligungsfreie als auch einwilligungsbedürftige Informationen speichert bzw. ausliest, und erteilen Nutzer*innen keine Einwilligung, darf der im Cookie gespeicherte Identifier nur für die einwilligungsfreien Zwecke genutzt werden. Die Einwilligungspflichtigen müssen unterbleiben. Diese Zwecke müssen im Vorwege festgelegt, bei dem Einsatz eingehalten und Nutzer*innen darüber transparent informiert werden.  

Dies ist beispielsweise der Fall, wenn zur Reichweitemessung bei der Umsetzung eines anonymen Trackings das Tracking Cookie modifiziert wurde. Stimmt der Nutzer oder die Nutzerin dem einwilligungspflichtigen Standardtracking zu, müsste der vorher gesetzte Cookie gelöscht und ersetzt werden. Dies sollte dann bei jeder Änderung der Zustimmung in den Privatssphäre-Einstellungen erfolgen. 

 

Informationspflichten und Consent Management 

Das TTDSG schreibt eine umfassende Informationspflicht nur bei einwilligungspflichtigen Zugriffen vor. Die Einholung der Einwilligung unterliegt den gleichen Bedingungen wie nach der DSGVO und muss durch eine bestätigende Handlung z.B. auf einem entsprechenden Button eines Consent-Banners ausgeführt und auch aufwandsgleich wieder zurückgenommen werden können. Vorhandene installierte Consent Management Plattformen können also weiterhin wie gehabt genutzt werden und dürfen ebenfalls einwilligungsfrei zum Einsatz kommen. 

 

Speicherdauern und Kriterien 

Bei der Bereitstellung der Informationen ist darauf zu achten, dass nicht nur die Speicherdauer, sondern auch die Kriterien für die Lebensdauer der Cookies angegeben werden (z.B. automatische Löschung durch den Browser wegen Inaktivität). 

 

Browsereinstellungen, PIMS und Plug-Ins 

Das TTDSG schreibt nicht vor, dass individuelle Einstellungen im Browser (Opt-Out) zu berücksichtigen sind. Das TTDSG verpflichtet jedoch die künftige Bundesregierung, durch Rechtsverordnung sicher zu stellen, dass Browser den jeweils aktuellen Einwilligungsstatus der Nutzer*innen berücksichtigen. Das soll mit Hilfe von Diensten zur Einwilligungsverwaltung, den sogenannten PIMS (Personal Information Management Systems) erfolgen. PIMS ermöglichen den Nutzer*innen ihre erklärten Einwilligungen und Widersprüche für die genutzten Websites übersichtlich zu dokumentieren und zu steuern. Die Rechtsverordnung soll auch Vorgaben für die Ausgestaltung der PIMS hinsichtlich der Nutzer*innenfreundlichkeit, der Wettbewerbskonformität und technische Umsetzung enthalten. Mit der entsprechenden Verordnung wird für kommendes Jahr gerechnet. Einstweilen finden Sie hier weitere Informationen zur Einordnung des ADPC-Programms des österreichischen Datenschutzvereins noyb als PIMS. 

 

Bußgelder und Strafen 

Das TTDSG bedient sich eines eigenen Bußgeldrahmens mit einer Obergrenze von EUR 300.000, der bei Verstößen gegen das Einwilligungsgebot wirksam wird. Derselbe Verstoß kann dann aber nicht mehr zusätzlich durch die DSGVO sanktioniert werden. 

 

Ausblick: Wie geht’s weiter mit Datenschutzrecht, Cookies und Tracking? 

Einer der spannendsten Punkte im TTDSG sind die bereits erwähnten PIMS, zu deren Konzeption, Umsetzung und Einsatz noch keine endgültige Klarheit herrscht. Eine Experten-Kommission des Bundeswirtschaftsministeriums berät im Jahr 2022 über die technische Beschaffenheit und mögliche Einsatzvarianten von PIMS. Bis Ende 2022 will die Kommission im Parlament die technischen Voraussetzungen verabschiedet haben, sodass diese Veränderung in absehbarer Zukunft zu berücksichtigen sein wird. (Quelle: Tagesspiegel Background Newsletter vom 04.11.2021 “Delegierte Datensouveränität”) 

Dies könnte dazu führen, dass Ende des kommenden Jahres das “Consent Management” allein bei den Nutzer*innen liegt und Zustimmungen und Widerrufe mit einem Klick zentral verwaltet werden können – beispielsweise in einem Browser-Plug-In. Dadurch besteht die Möglichkeit, dass Consent Management Systeme auf den Websites überflüssig werden, da letztere angehalten sind, auf den Nutzer*innenwillen gemäß der PIMS zu hören. Allerdings halten wir das Aussterben von klassischen Consent Management Systemen derzeit für nicht sehr wahrscheinlich, da ein Nutzer*innenwille durch den gezielten Opt-In oder Opt-Out auf einer Website direkt letztlich unmittelbarer abgebildet werden kann, als über eine globale Zustimmung oder Ablehnung via PIMS. Wie sich das jedoch genau gestalten wird, wird zu sehen sein. Auch eine neue Erfolgswelle für Micro-Consents – also Consents, die an der jeweiligen Stelle der Website direkt abgefragt werden, z.B. ob man auf Nachrichtenseiten die originalen Tweets eingeblendet bekommen möchte – ist durchaus denkbar.  

Darüber hinaus könnten in Zukunft auch die noch immer in Abstimmung befindliche ePrivacy-Verordnung sowie der Digital Services Act einige Neuerungen bringen. Sie sehen: Beständig ist in der digitalen Datenschutzwelt nur der Wandel.  

 

Kontaktieren Sie uns, wenn Sie den Wandel bei Ihnen mit uns gemeinsam gestalten möchten.  

Diese Information wurde zusammen mit den Datenschutzexpert*innen von Bay-Q erarbeitet (http://www.bay-q.com/).