Das TTDSG im Überblick
Mit Wirkung zum 01.12.2021 trat das neue Telekommunikation-Telemedien-Datenschutzgesetz, kurz TTDSG, in Kraft. Für Unternehmen sind vor allem die teilweise Regulierung von Cookies auf Webseiten sowie die Dienste zur Einwilligungsverwaltung interessant.
Ziel und Adressaten
Das TTDSG verfolgt neben der Umsetzung der ePrivacy-Richtlinie das Ziel, die teilweise unübersichtliche Rechtslage bezüglich Cookies zu vereinheitlichen. Es führt die Datenschutzvorschriften aus dem Telekommunikationsgesetz (TKG) und dem Telemediengesetz (TMG) unter Berücksichtigung der dazu ergangenen Rechtsprechung zusammen.
Die Pflichten des TTDSG treffen neben den Anbietern von Telekommunikationsdiensten vor allem Anbieter sog. Telemedien, also alle Unternehmen, die für den Inhalt einer Webseite oder eine App verantwortlich sind. Damit sind nicht die Unternehmen gemeint, die den technischen Hintergrund einer Webseite oder App bereitstellen, sondern Unternehmen, die sich selbst auf der Webseite oder in der App präsentieren, über ihre Produkte informieren oder diese veräußern. Der Anwendungsbereich des neuen Datenschutzgesetzes erstreckt sich auf alle Unternehmen, die in Deutschland eine Niederlassung haben, Dienstleistungen erbringen oder daran mitwirken (§ 1 Abs. 3 TTDSG).
Die wichtigsten Inhalte für Unternehmen
Cookies setzen
Das TTDSG vereinheitlicht die Anforderungen an das Setzen von Cookies auf Webseiten. Das TTDSG regelt dabei, ähnlich wie die Datenschutz-Grundverordnung (DSGVO) ein Verbot mit Erlaubnisvorhalt. Demnach dürfen grundsätzlich keine Cookies gesetzt werden, es sei denn § 25 TTDSG erlaubt dies.
§ 25 TTDSG ist technologieneutral ausgestaltet und spricht nicht von Cookies, sondern von dem „Speichern von Informationen in der Endeinrichtung des Endnutzers“. Das Speichern der Informationen entspricht dem Setzen der Cookies und unter den Begriff der Endeinrichtung werden Geräte gefasst, die eine Webseite oder App darstellen können, also etwa PCs, Smartphones, Tablets usw.
Cookies dürfen gesetzt werden, wenn der Endnutzer seine Einwilligung auf Grundlage von klaren und umfangreichen Informationen erteilt hat (§ 25 Abs. 1 TTDSG). Bezüglich der Informationen und der Einwilligung verweist das Gesetz an dieser Stelle auf die Datenschutzgrundverordnung (DSGVO).
Liegt keine Einwilligung vor, dürfen Cookies nur gesetzt werden, wenn sie unbedingt erforderlich sind, um einen ausdrücklich gewünschten Dienst zur Verfügung zu stellen (§ 25 Abs. 2 TTDSG). Zu ausdrücklich gewünschten Dienste zählen beispielsweise Webseiten. Technisch notwendige Cookies, die erforderlich sind, um eine Webseite anzuzeigen, können also gesetzt werden. Auch der Warenkorb innerhalb eines Onlineshops gilt als ausdrücklich gewünschter Dienst. Hier sorgen Cookies beispielsweise dafür, dass die Produkte im Warenkorb gespeichert bleiben, während der Nutzer nach weiteren Produkten sucht. Ein anderes Beispiel bezieht sich auf den Mitgliederbereich einer Webseite: Hier ist das Speichern der Anmeldedaten ohne Einwilligung zulässig, sodass sich die Nutzer nicht jedes Mal neu einloggen müssen, wenn sie eine Unterseite aufrufen.
Dienste zur Einwilligungsverwaltung
§ 26 TTDSG regelt sogenannte anerkannte Dienste zur Einwilligungsverwaltung und Endnutzereinstellungen, auch bekannt als Personal Information Management Systeme (PIMS). Dabei handelt es sich um noch zu etablierende Dienste, in denen die Endnutzer ihre personenbezogenen Daten und erteilten Einwilligungen in einem Dashboard einsehen und verwalten können. Dies soll den Endnutzern einen besseren Überblick darüber gewähren, welche Webseiten oder Apps ihre personenbezogenen Daten verarbeiten und wo sie Einwilligungen erteilt haben, um diese ggf. zu widerrufen.
Wer solche Dienste anbieten möchte, muss sich von einer unabhängigen Stelle, welche die Bundesregierung durch Rechtsverordnung bestimmt, anerkennen lassen. Die Anforderungen an die Diensteanbieter sind in § 26 TTDSG normiert. So muss ein Sicherheitskonzept vorgelegt werden und das Unternehmen darf selbst kein wirtschaftliches Interesse an der Erteilung der Einwilligung haben.
Für Unternehmen heißt dies in Zukunft, die mittels Einwilligungsverwaltung getroffenen Entscheidungen auf ihrer Webseite oder App zu berücksichtigen. Technisches Ziel sollte es sein, entsprechende Schnittstellen zu integrieren, welche die in der Einwilligungsverwaltung getroffenen Entscheidung automatisch erfassen.
Handlungsbedarf für Unternehmen
Unternehmen, die eine Webseite oder App inhaltlich verantworten, sollten überprüfen:
- welche Cookies beim Aufrufen ihrer Webseite oder App automatisch gesetzt, also gespeichert werden.
- welche Cookies nur aufgrund einer Einwilligung zum Tragen kommen.
- ob überhaupt die Möglichkeit einer Einwilligung in unterschiedliche Cookies besteht. Ist dies nicht der Fall, sollte dies entsprechend den Anforderungen des TTDSG angepasst werden.
Für Verstöße gegen § 25 TTDSG, also dem rechtswidrigen Setzen von Cookies, sieht das Gesetz Bußgelder vor. Nicht sanktioniert wird bislang die Nichtberücksichtigung der mittels Einwilligungsverwaltung getroffenen Entscheidungen.
