Zum 1. Dezember 2021 wird das TTDSG, welches im Mai 2021 vom Bundestag beschlossen wurde, in Kraft treten. Das TTDSG soll die datenschutzrechtlichen Regelungen aus dem Telemedien- und dem Telekommunikationsgesetz zusammenführen. Wir haben für Sie in diesem Beitrag zusammengefasst, welche Regelungen ab Dezember zu erwarten sind und worauf sich Unternehmen in der Praxis einstellen müssen.
Anwendungsbereiche des TTDSG
Im Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG) werden die bereichsspezifischen Datenschutzregeln des Telemediengesetzes (TMG) und des Telekommunikationsgesetzes (TKG) zusammengefasst und an die Vorgaben der DSGVO sowie der ePrivacy-Richtlinie angepasst.
Laut § 1 Abs. 3 umfasst das TTDSG Unternehmen und Personen, die im Geltungsbereich des Gesetzes
- eine Niederlassung haben,
- Dienstleistungen erbringen oder daran mitwirken, oder
- Waren auf dem Markt bereitstellen.
Neben den Cookie-Richtlinien sind auch Aspekte des Fernmeldegeheimnis, Abhörverbote und die Rechte von Erben im Zusammenhang mit Telekommunikationsdiensten oder -medien beschrieben. Die grundsätzliche Unterscheidung zwischen Kommunikationsdiensten und Telemedien bleibt nach deutschem Recht jedoch weiterhin bestehen; das TTDSG ist somit für beide Bereiche anwendbar.
Auswirkungen für Unternehmen und Websitebetreiber
Im TTDSG wird nicht nur Bezug auf personenbezogene Daten genommen, sondern auf sämtliche Informationen, die im Rahmen der Nutzung von Telemedien- und Telekommunikationsdiensten erhoben werden. Insofern ist eine differenziertere Betrachtung notwendig. Wir fokussieren im Folgenden insbesondere auf die für unsere Kunden relevanten Aspekte:
Vertraulichkeit der Kommunikation / Fernmeldegeheimnis
Das Fernmeldegeheimnis wird in § 3 TTDSG deutlich ausgeweitet. Dies umfasst künftig weitere Medien wie beispielsweise E-Mails, Messengerdienste (z.B. WhatsApp, iMessage, Signal, Threema) sowie die Internet- und Videotelefonie (z.B. Skype, FaceTime, Google Duo). Vor allem große Anbieter wie Facebook, Apple, Microsoft und Google sind hier betroffen. Diese sind in Zukunft nicht mehr befugt, die auf den Plattformen stattfindende Kommunikation zu analysieren. Wie schnell und umfangreich diese Vorgaben in der Praxis nach Inkrafttreten des Gesetzes umgesetzt werden, bleibt abzuwarten.
Verarbeitung von Verkehrs- und Standortdaten
Die Verarbeitung von Verkehrs- und Standortdaten ist nur noch zu den in § 9 Abs. 1 bzw. § 13 TTDSG festgelegten Zwecken und nur bei Erforderlichkeit erlaubt. Dazu gehören beispielsweise die Aufrechterhaltung der Telekommunikation oder Abrechnungszwecke. Der Gesetzgeber untersagt ausdrücklich eine Verarbeitung von Daten, die außerhalb der festgelegten Zwecke und Erforderlichkeit stattfindet.
Auskünfte gegenüber öffentlichen Stellen
Nutzungsdaten – beispielsweise IP-Adressen – dürfen laut § 24 TTDSG zur Erfüllung von Auskunftspflichten an eine öffentliche Stelle verwendet werden. Anfragen dürfen jedoch nur beantwortet werden, wenn diese schriftlich oder elektronisch erfolgen und die eine Erhebung erlaubenden gesetzlichen Bestimmungen ausdrücklich benannt werden. Somit ist aus datenschutzrechtlicher Sicht eine zusätzliche Absicherung eingebaut.
Cookies und Tracking
Für den Einsatz bzw. die Speicherung von Cookies, die Auswertung entsprechender Daten und den Einsatz anderer Trackingmaßnahmen ist eine klare und eindeutige Einwilligung des Endnutzers gemäß § 25 TTDSG erforderlich. Das TTDSG setzt somit endlich die ePrivacy-Richtlinie in nationales Recht um. Dabei wurde das BGH-Urteil vom 28.05.2020 (Cookie-Einwilligung II) berücksichtigt. In der Theorie bedeutet dies im Vergleich zur aktuellen Rechtslage zwar keine wesentlichen Änderungen; für die praktische Umsetzung mittels Cookie-Bannern oder Consent-Boxen sollten Anbieter von Websites und Apps jedoch folgende Fragestellungen – auch mit Blick auf das Urteil des LG Rostock vom 15.09.2020, Az. 3 O 762/19 – überprüfen:
- Holen Sie noch vor dem Einsatz von Trackingmaßnahmen und/oder Cookies eine explizite Einwilligung von Endnutzern ein, sofern es sich nicht nur um technisch notwendige Cookies handelt?
- Bieten Sie den Endnutzern klare, umfassende und leicht auffindbare Informationen über die eingesetzten Trackingmaßnahmen und/oder Cookies?
- Geben Sie den Endnutzern eine einfache Möglichkeit zur Ablehnung aller bzw. Einwilligung nur in einzelne Trackingmaßnahmen und/oder Cookies?
- Sind die verschiedenen Optionen, insbesondere die Ablehnungsmöglichkeit, deutlich erkennbar und verzichten Sie auf Nudging-Techniken wie beispielsweise die optische Hervorhebung der Zustimmungsmöglichkeit oder eine unzulässige Vorauswahl der Einwilligung?
- Können Endnutzer ihre Einwilligung auch nachträglich einsehen und ändern bzw. widerrufen?
Einwilligungsmanagement
In § 26 TTDSG werden die Anforderungen an anerkannte Dienste zur Einwilligungsverwaltung – die sogenannten PIMS (Personal Information Management Services) – beschrieben. Diese gibt es derzeit noch nicht. Anbieter von PIMS-Diensten müssen sich u.a. akkreditieren lassen und sie dürfen kein wirtschaftliches Eigeninteresse an der Erteilung der Einwilligung haben.
Durch das Einwilligungsmanagement soll Endbenutzern zukünftig generell mehr Kontrolle über personenbezogene Daten und den Zugriff auf Informationen gegeben werden. Der Vorteil läge dann insbesondere darin, dass Nutzer die gewünschten Einstellungen nicht bei jedem Anbieter einzeln sondern zentral hinterlegen können. Die in den vergangenen Jahren immer präsenter gewordenen Cookie-Zustimmungsfenster könnten dank PIMS irgendwann der Vergangenheit angehören. Voraussetzung hierfür wäre dann, dass Webseitenbetreiber die neuen Möglichkeiten adaptieren.
Haben Sie Fragen zur den praktischen Auswirkungen des TTDSG auf Ihr Unternehmen bzw. die von Ihnen angebotenen Websites oder Apps, zögern Sie nicht uns zu kontaktieren.
