Das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) wurde zum Schutz der Personendaten und Privatsphäre in der Telekommunikation und bei Telemedien, wie z.B. für Websites und Apps erlassen und trat am 1. Dezember 2021 in Deutschland in Kraft. Das TTDSG als Bundesgesetz ersetzt die seitherigen Datenschutzregelungen des Telekommunikationsgesetzes (TKG) und des Telemediengesetzes (TMG) und basiert auf der DSGVO Verordnung der EU von 2016. Das TTDSG soll unerwünschte Zugriffe auf Nutzerdaten verhindern, die auf unterschiedlichen Geräten und in Browsern gespeichert werden. Wichtige Neuerungen gab es hier vor allem für das Thema Cookies und für das Einholen der Nutzer-Einwilligung bzw. CMP (Consent Management Platform) Visualisierungen.
Warum zusätzlich TTDSG zur DSGVO?
Als die DSGVO 2016 mit den neuen Datenschutzverordnungen erlassen wurde, war auch die ePrivacy Verordnung geplant, die explizit die digitale Kommunikation regeln sollte und in der u.a. bereits Cookie-Regelungen formuliert wurden. Aufgrund von Unstimmigkeiten und der Komplexität, ist sie jedoch bisher nicht in Kraft getreten, wodurch es in der Vergangenheit oft zu Rechtsunsicherheiten in den Telemedien kam.
Als Beispiel konnte der BGH zur Beantwortung der Frage eines Einwilligungserfordernisses bei Cookies nicht auf Art. 5 Abs. 3 der ePrivacy-Richtlinie zurückgreifen, da die Richtlinie zum einen nie erlassen und zum anderen in Deutschland nicht in nationales Recht umgesetzt war. Um den Vorgaben des EuGH zum Einwilligungserfordernis dennoch zu entsprechen, legte der BGH in § 15 Abs. 3 TMG schließlich im Sinne der ePrivacy-Richtlinie unter hohem Rechtsaufwand aus.
Mit dem TTDSG wurden dann europarechtliche Vorgaben, wie die DSGVO und die Ansätze der ePrivacy Verordnung (z.B. für Cookies) übernommen und in nationales Recht umgesetzt. Somit existiert jetzt im Bezug auf digitalen Datenschutz kein Anwendungskonflikt mehr.
Geltungsbereiche des TTDSG
Die TTDSG regelt nach §1 in der Bundesrepublik Deutschland:
- das Fernmeldegeheimnis (Abhörverbot und Geheimhaltungspflicht der Betreiber von Funkanlagen)
- besondere Vorschriften zum Schutz personenbezogener Daten bei der Nutzung von Telekommunikationsdiensten und Telemedien,
- die Anforderungen an den Schutz der Privatsphäre für ankommende Verbindungen, die Rufnummernunterdrückung und -anzeige und die automatische Anrufweiterschaltung,
- die Anforderungen an die Aufnahme in Endnutzerverzeichnisse und die Bereitstellung von Endnutzerdaten an Auskunftsdienste, Dienste zur Unterrichtung über einen individuellen Gesprächswunsch eines anderen Nutzers bzw. einer anderen Nutzerin und Anbieter von Endnutzerverzeichnissen,
- die von Anbietern von Telemedien zu beachtenden technischen und organisatorischen Vorkehrungen,
- die Anforderungen an die Erteilung von Auskünften über Bestands- und Nutzungsdaten durch Anbieter von Telemedien,
- den Schutz der Privatsphäre bei Endeinrichtungen hinsichtlich der Anforderungen an die Speicherung von Informationen in Endeinrichtungen der Endnutzer:innen und den Zugriff auf Informationen, die bereits in Endeinrichtungen der Endnutzer:innen gespeichert sind, und
- die Aufsichtsbehörden und die Aufsicht im Hinblick auf den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation; bei Telemedien bleiben die Aufsicht durch die nach Landesrecht zuständigen Behörden und § 40 des Bundesdatenschutzgesetzes unberührt.
Neue Verordnungen für Cookies & Cookie-Banner
Nach § 25 Schutz der Privatsphäre bei Endeinrichtungen ist “die Speicherung von Informationen in der Endeinrichtung des Endnutzers bzw. der Endnutzerin oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, nur zulässig, wenn der Endnutzer bzw. die Endnutzerin auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat.”
Die Information des Endnutzers bzw. der Endnutzerin und die Einwilligung haben gemäß den Anforderungen der DSGVO Verordnung (EU) 2016/679 zu erfolgen. Sie sollten mit offiziellen CMPs (Consent Management Plattformen) abgewickelt werden, die entsprechend auf den Vorgaben der DSGVO und dem Transparency and Consent Framework v2.0 basieren. Hier findest du unseren Artikel zu CMPs und deren Anforderungen.
Wichtig ist vor allem, dass die Einwilligung einer aktiven Handlung bedarf, sodass Cookiebanner mit ähnlichen Wortlauten wie: “Wenn Sie diese Website weiter nutzen, erklären Sie sich mit Cookies einverstanden“ nun unwirksam sind.
Der EuGH entschied aber nicht nur, dass eine Einwilligung aktiv erfolgen muss, sondern auch, dass Nutzer:innen die folgenden Informationen bereitgestellt werden müssen:
- Art und Funktionsweise der Cookies – Nutzer:innen müssen wissen, welche Arten von Daten zu welchen Zwecken verarbeitet werden (z.B. IP-Adressen, verhaltens- und interessensbezogene Angaben zu Zwecken von Onlinemarketing, Profiling etc.). Diese Aufklärung kann umfangreich ausfallen, weshalb sie in voller Länge in der Datenschutzerklärung platziert werden kann. Eine Erläuterung der verwendeten Bezeichnungen der Cookie-Gruppen (z.B. “Marketing” oder “Statistik”), ist bereits im “Cookie Banner” zu empfehlen.
- Lebensdauer von Cookies – Die Lebensdauer von Cookies beträgt bei den meisten Marketingdiensten 24 Monate. Jedoch solltest Du dies für die von Dir eingesetzten Dienstleister prüfen oder sie nach der Lebensdauer fragen. Anbieter von Consent-Management-Plattformen haben die Lebensdauer für die am häufigsten verwendeten Dienste häufig schon voreingetragen.
- Identität der Dienstleister, die die Cookies verarbeiten – Du musst die eingesetzten Dienstleister benennen, im Optimalfall schon im Cookie-Banner und mit Link zu deren Datenschutzerklärung. Du solltest auch mitteilen, wenn die Cookies nur in Deiner Verantwortung verarbeitet werden.
- Widerspruchsmöglichkeit – Bereits aus dem Gesetz ergibt sich, dass den Nutzer:innen der Widerspruch so leicht fallen muss, wie die ursprüngliche Einwilligung.
Mit der Aussage, dass der Widerspruch genauso leicht fallen muss wie die Einwilligung, kommt jetzt die Neuerung, dass es neben dem “Alle Akzeptieren Button” auch einen “Alle Ablehnen Button” geben muss. Bis vor kurzem haben auch die meisten CMPs noch Cookiebanner verwendet, die es erst in einer zweiten Ebene über den Button “Weitere Einstellungen” ermöglichten Cookies abzulehnen. Das LG Rostock hat das bereits für unzulässig erachtet.
So würde ein datenschutzkonformer Cookiebanner aussehen: (Beispiel Cookiebot)
Allerdings sind einige Regelungen bisher eher schwammig formuliert, sodass man z.B. auch bei Farben vorsichtig sein sollte. Wer beispielsweise die “Akzeptieren“-Schaltfläche farblich knallig gestaltet und die “Ablehnen“-Schaltfläche grau, so dass sie in den Hintergrund tritt, könnte vorgeworfen bekommen, die Nutzer:innen bewusst in die Irre zu führen.
In der Realität werden diese “Grauzonen” bzw. vielseitig auslegbare Regeln bei der Gestaltung der Cookie-Banner jedoch meistens im Sinne des Anbieters umgesetzt. Grund dafür ist der mangelnde Strafvollzug, denn es kommt selten vor, dass Aufsichtsbehörden Untersagungsverfügungen sowie Bußgelder oder Warnungen erteilen oder Abmahnungen ausgesprochen werden. Wenn sie es allerdings täten, würden sie im Zweifel vor Gericht (entsprechend der bisherigen Tendenz) eher Recht bekommen.
Ausnahmen von der Einwilligungspflicht - Notwendige Cookies
Die einzigen Ausnahmen von der Einwilligungspflicht bilden die “notwendigen Daten”. Nach dem Gesetz:
- Notwendige Übertragungen von Daten: Der alleinige Zweck ist die Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz.
- Notwendig, um den Dienst zur Verfügung zu stellen: Diese Ausnahme ist relevant, allerdings nur, wenn der Zugriff auf das Endgerät unbedingt erforderlich ist, um den Dienst bereitzustellen.
Nach § 25 TTDSG, Abs.2: “Die Einwilligung nach Absatz 1 ist nicht erforderlich, […] wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.”
Als unbedingt notwendige Cookies werden z.B. folgende Cookies erachtet:
- Warenkorb-Cookie – Speicherung der im Onlineshop ausgewählten Produkte in einem Cookie.
- Nutzereingaben – z.B. in Onlineformularen, auch die sich über mehrere Webseiten erstrecken
- Login – Der Login-Status, wird z.B. in einer Community erwartet und kann daher als unbedingt erforderlich betrachtet werden.
- Sicherheit der Nutzer:innen – hier muss neben deren Notwendigkeit, auch deren Zweck betrachtet werden. Zulässig sind vor allem erforderliche Maßnahmen, die dem Schutz der Nutzer:innen und ihrer Daten dienen (z.B. die Verhinderung von Brute-Force-Angriffen durch wiederholte Login-Versuche).
- Sprachauswahl – Sprachauswahl auf einer internationalen Webseite wird von Nutzer:innen erwartet und gilt als erforderlich.
- Cookie-Opt-In – Cookies, die eine Cookie-Einwilligung speichern sind ebenfalls unbedingt erforderlich, z.B. damit das “Cookie-Banner” nicht bei jedem Aufruf der Webseite neu erscheint.
- Wiedergabe von Multimedia-Inhalten – Sofern die Cookies für die Wiedergabe essenziell sind, dürfen sie eingesetzt werden
- Lastenverteilung – Cookies, die der gleichmäßigen Lastenverteilung (Load Balancing) einer Website dienen, gelten als unbedingt erforderlich.
Sobald es allerdings um die Erhebung von Nutzerdaten für z.B. Analyse- oder Marketingzwecke geht oder Daten an Drittanbieter übermittelt werden, müssen unbedingt Nutzereinwilligungen eingeholt werden.