Seit dem 01. Dezember 2021 gilt das neue Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG). Mit der Einführung des Gesetzes wurden die Datenschutzvorschriften des Telemediengesetzes (TMG) sowie des Telekommunikationsgesetzes (TKG) in einem Gesetz zusammengefasst. Das Gesetz setzt zudem wesentliche Anforderungen der ePrivacy-Richtlinie sowie die einschlägige Rechtsprechung um. So blieb zeitweise unklar, wie Webseiten-Betreiber mit Cookie-Bannern und Consent-Tools zu verfahren hatten und für welche Verarbeitungen eine Einwilligung erforderlich ist. In diesem Artikel beleuchten wir, was sich nun ändert.
Die für die Praxis vielleicht wichtigste Frage ist, ob ein strengerer Einwilligungsvorbehalt für Cookies und ähnliche Technologien gelten soll und wie das Cookie-Management heute und auch in Zukunft zu gestalten ist. Neben der im TTDSG auch umgesetzten ePrivacy-Richtlinie, wird zudem eine ursprünglich für 2018 geplante ePrivacy-Verordnung ab dem Jahr 2023 erwartet. Diese sollte ursprünglich mit der DSGVO zeitgleich am 25.05.2018 anwendbar sein. Die ePrivacy-Verordnung wäre zudem als Spezialgesetz für den Bereich der elektronischen Kommunikation vorrangig zur DSGVO anzuwenden. Es stellt sich somit auch die Frage, ob und in welchem Umfang abweichende Vorschriften zum heutigen Stand des TTDSG enthalten sein werden.
Das TTDSG stellt in § 26 Abs. 1 auf Dienste zur "Verwaltung" erteilter Einwilligungen ab, die Einwilligung selbst richtet sich nach § 25 Abs. 1 TTDSG. Die Vorschrift verweist in dem Zusammenhang ergänzend auf die Bedingungen und Informationspflichten der DSGVO, so dass es sich beim Einwilligungsvorbehalt des TTDSG lediglich um eine klarstellende Regelung handelt. Die Anforderung, dass eine Verwaltung der erteilten Einwilligungen möglich sein soll, ist nämlich im Grunde nicht neu. Bereits die DSGVO sieht vor, dass der Widerruf einer Einwilligung so leicht erfolgen soll wie die Erteilung selbst. Das wird entsprechend nur über (auch nachträgliche) Einstellungsmöglichkeiten zu erreichen sein. Für die Verwaltung haben sich daher sogenannte CMP's etabliert (Consent Management Plattformen).
Grundsätzlich gilt dieser immer. Das Gesetz hat jedoch zwei Ausnahmen vom Einwilligungserfordernis in § 25 Abs. 2 TTDSG festgelegt, die nach dem Wortlaut des Gesetz streng auszulegen sind:
"...wenn der alleinige Zweck...die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder
wenn die Speicherung von Informationen...oder der Zugriff auf bereits...gespeicherte Informationen unbedingt erforderlich ist..."
Die Ausnahmen beziehen sich somit auf die Signal- und Datenübertragungstätigkeit als technischer Vorgang einerseits und zudem auf solche Informationen, die zwingend zur Bereitstellung von Telemediendiensten erforderlich sind. Das Gesetz sieht somit einen umfassenden Einwilligungsvorbehalt vor. Im Umkehrschluss muss eine Einwilligung somit immer dann erfolgen, wenn die Verarbeitung nicht zwingend erforderlich ist. Letzteres ist beispielsweise bei technisch und funktional erforderlichen Session- oder Warenkorb-Cookies, gegebenenfalls noch bei Identifiern zum Vorhalten der Präferenzen für Bild- und Spracheinstellungen der Fall. Daneben ist auch für Verkehrsdaten i. S. d. § 9 Abs. 1 TTDSG keine Einwilligung einzuholen.
Die vielleicht auffälligste Regelung findet sich in § 26 TTDSG. Hinsichtlich der Einwilligungsverwaltung sieht die Vorschrift unabhängige Dienste vor, die insbesondere:
"...kein wirtschaftliches Eigeninteresse an der Erteilung der Einwilligung und an den verwalteten Daten haben und unabhängig von Unternehmen sind, die ein solches Interesse haben könnten..."
Die dezentrale Steuerung durch den Nutzer könnte sich zukünftig dadurch ändern. Im Gespräch ist ein sogenanntes „PIMS“ (Personal Information Management System), das als zentrale Lösung eingeführt werden soll. Dafür sieht das Gesetz vor, dass innerhalb von 2 Jahren seit Geltung des TTDSG eine nationale Verordnung entsteht, ein neuartiges Consent Management zu regeln.
Neben einer Klarstellung in § 4 TTDSG, dass das Fernmeldegeheimnis den Rechten eines Erben gegenüber Dienstanbietern, wie z. B. Social Media Plattformen, nicht entgegensteht, ist zudem der Begriff der „Endeinrichtung“ neu, der sich als Begriffserweiterung damit auf das Internet of Things (IoT) bezieht:
"...jede direkt oder indirekt an die Schnittstelle eines öffentlichen Telekommunikationsnetzes angeschlossene Endeinrichtung zum Aussenden, Verarbeiten oder Empfangen von Nachrichten..."
Weitere Anforderungen sind in §§ 19ff. TTDSG zu finden. Hier werden etwa spezielle Anforderungen an technische und organisatorische Maßnahmen gestellt und Verfahrensweisen festgelegt, etwa was Auskunftsverfahren hinsichtlich vorhandener Bestandsdaten und Zugangsdaten der Nutzer betrifft. Das Gesetz kann im Bundesgesetzblatt abgerufen werden.
Zum DSGVO Webseiten-Check.
Wir beraten als externe Datenschutzbeauftragte Unternehmen jeder Größe in den Bereichen Datenschutz, IT-Sicherheit & Compliance. Neben einem All-In-One-Portfolio innovativer Compliance- und Security-Lösungen bieten wir Schulungen und Fortbildungen in den Beratungsfeldern.
Externer Datenschutz-beauftragter
ab 150 EUR im Monat
inklusive DSMS und Webseiten-Audit
Stets aktuelle News in unserem Datenschutz Experten-Blog.
