Das TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz) ist zum 01.12.2021 in Kraft getreten und soll unter anderem dem Schutz von personenbezogenen Daten bei der Nutzung von Telekommunikationsdiensten und Telemedien dienen. Das TTDSG stellt somit das nationale Umsetzungsgesetz zur ePrivacy Richtlinie dar und ersetzt die datenschutzrechtlichen Regelungen des TKG (Telekommunikationsgesetz) und des TMG (Telemediengesetz).
Wen betrifft das TTDSG?
Zunächst einmal ist festzustellen, dass unter Telemediendienste im Sinne des TTDSG Online-Angebote von Waren und Dienstleistungen, Internetsuchmaschinen, aber auch reine Informations-Homepages fallen. Mit anderen Worten: Jedes Unternehmen in Deutschland, welches eine Webseite unterhält, fällt also in den Anwendungsbereich des TTDSG und muss die dortigen Regelungen beachten.
Und was ist nun mit der DSGVO?
Die DSGVO gilt natürlich weiter und ist grundsätzlich vorrangig gegenüber nationalen Datenschutzbestimmungen zu beachten. Allerdings beinhaltet die DSGVO eine Öffnungsklausel in Art. 95 DSGVO. Danach besteht keine Geltung der DSGVO, soweit die Datenschutzrichtlinie für Elektronische Kommunikationsdienste 2002/58/EG (ePrivacy-Richtlinie) und deren nationale Umsetzung (TTDSG) natürlichen oder juristischen Personen in Bezug auf die Verarbeitung in Verbindung mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in öffentlichen Kommunikationsnetzen in der Union zusätzlichen Pflichten auferlegt.
Darüber hinaus gibt es aber im Bereich der Webseiten eine Regelung im TTDSG, die nicht in Konkurrenz zur DSGVO tritt, nämlich die Vorschrift zum „Schutz der Privatsphäre bei Endeinrichtungen“ (§ 25 TTDSG).
Was genau besagt aber nun der § 25 TTDSG?
Die Speicherung von Informationen in der Endeinrichtung des Endnutzers (bspw. Computer, Handy) oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Diese Regelung gilt sowohl für personenbezogene als auch nicht personenbezogene Daten und setzt nunmehr die Anforderungen aus dem Planet49-Urteil in nationales Recht um.
Die Regelungenaus dem § 25 TTDSG erfasst neben Cookies auch sonstige Techniken, die ein Speichern und oder Auslesen von Informationen auf Endeinrichtungen erfordern (Werbe-Identifizierer, Kohorten-IDs, Webbrowser- Fingerprints, MAC-Adressen, IMEI-Nummern).
Und wie sieht die Einwilligung aus?
Die Information und die Einwilligung des Endnutzers soll nach den Grundsätzen der DSGVO erfolgen. Das bedeutet, dass der Endnutzer vor dem Einsatz dieser Technologien eine ausdrückliche und freiwillige Einwilligung für einen bestimmten Zweck erteilen muss. Diese Einwilligung kann aber wie für die Cookies auch über den Cookie-Banner eingeholt werden.
Ausnahmen von der Einwilligungspflicht
Nur wenn eine Ausnahme nach § 25 Abs. 2 Nr. 1 oder Nr. 2 TTDSG gegeben ist, kann von dieser Einwilligungspflicht abgesehen werden.
Die Ausnahme greift, soweit der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist. Dies kommt im Bereich der Webseitentechnologien nicht in Betracht.
Es kann aber auch von der Einwilligung abgesehen werden, wenn die Speicherung von Informationen oder der Zugriff auf bereits gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.
Dies bringt daher keine sonderlichen Neuerungen, denn bereits jetzt dürfen Cookies, die nicht unbedingt technisch notwendig sind, nur mit vorheriger Einwilligung des Webseitenbesuchers gesetzt werden. Als technisch notwendige Cookies wurden bisher Warenkorb- und Session-Cookies sowie Cookies für Sprach- und Bildschirmeinstellungen oder zur Gewährleistung der technischen Sicherheit und Integrität der Website angesehen. Diese Auslegung wird daher auch für alle weiteren Technologien gelten.
Bußgelder
Damit die Unternehmen diese neuen Anforderungen auch umsetzen, sieht das TTDSG auch Bußgelder vor. Diese können bei einem Verstoß in einer Höhe von bis zu 300.000 € ausgesprochen werden.
Was ist also nun zu tun?
Sie sollten überprüfen, ob Sie auf Ihrer Webseite außer Cookies – für die Sie ja bereits in der Vergangenheit in der Regel die Einwilligung eingeholt haben – noch weitere Technologien einsetzen, die eine Einwilligung von Endnutzern notwendig machen. Hierunter fallen alle Technologien, die Informationen auf der Endeinrichtung eines Nutzers speichern oder dort hinterlegte Informationen auslesen, unabhängig davon ob diese personenbezogene oder anonyme Daten enthalten.
Sollte dies der Fall sein, dann müssen diese in den Cookie-Banner mit aufgenommen und die Einwilligung entsprechend vor Ausspielen dieser Tools eingeholt werden. Darüber hinaus sollte eine Information über die Technologie im Rahmen des Cookie-Banners oder in der Datenschutzerklärung erfolgen.
Noch keine Orientierungshilfe der DSK
Mit Spannung wird die von der DSK (Deutsche Datenschutzkonferenz) angekündigte Orientierungshilfe zum TTDSG erwartet. Die Datenschutz-Aufsichtsbehörden haben auch noch keine eigenen Guidelines veröffentlicht. Es bleibt also abzuwarten, wie die Aufsichtsbehörden die praktische Umsetzungsmöglichkeiten der neuen gesetzlichen Vorschriften einschätzen.
Sie haben Fragen hierzu oder suchen einen Datenschutzbeauftragten für Ihr Unternehmen. Rufen Sie an oder schreiben Sie uns eine E-Mail an info@sidit.de.
[…] gilt nur bei technisch notwendigen Diensten. Näheres können Sie in unserem entsprechenden Blogbeitrag […]
[…] trat am 01.12.2021 in Kraft. Über die wichtigen Regelungen aus diesem Gesetz hatten wir bereits hier […]
[…] Spätestens seit der Geltung des TTDSG (wir berichteten bereits über das TTDSG und seine Folgen https://sidit.de/blog/das-ttdsg-und-seine-folgen-schnittpunkte-mit-dsgvo/) ist in jedem Fall eine ordnungsgemäße, informierte, freiwillige Einwilligung von Nutzern der […]