Der Experten-Blog im Datenschutz

Cookies und das TTDSG: Was sich seit dem 01.12.2021 ändert

Cookies und das TTDSG: Was sich seit dem 01.12.2021 ändert

Seit dem 01. Dezember 2021 gilt das neue Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG). Mit der Einführung des Gesetzes wurden die Datenschutzvorschriften des Telemediengesetz (TMG) sowie des Telekommunikationsgesetz (TKG) in einem Gesetz zusammengefasst. Das Gesetz setzt zudem wesentliche Anforderungen der ePrivacy-Richtlinie sowie die einschlägige Rechtsprechung um. So blieb zeitweise unklar, wie Webseiten-Betreiber mit Cookie-Bannern und Consent-Tools zu verfahren hatten und für welche Verarbeitungen eine Einwilligung konkret erforderlich ist. In diesem Beitrag beleuchten wir, was sich nun ändert.

Cookies und das TTDSG

Die für die Praxis vielleicht wichtigste Frage ist, ob ein strengerer Einwilligungsvorbehalt für Cookies und ähnliche Technologien gelten soll und wie das Cookie-Management jetzt und in Zukunft zu gestalten ist. Neben der im TTDSG auch umgesetzten ePrivacy-Richtlinie wird zudem eine ursprünglich für 2018 geplante ePrivacy-Verordnung ab 2023 erwartet. Diese sollte ursprünglich mit der DSGVO zeitgleich am 25.05.2018 gelten. Die ePrivacy-Verordnung wäre zudem als Spezialgesetz für den Bereich der elektronischen Kommunikation vorrangig zur DSGVO anzuwenden. Es stellt sich somit die Frage, ob und wenn ja welche abweichenden Vorschriften zum heutigen Stand bzw. zum TTDSG enthalten sein werden.

Die Einwilligungsverwaltung

Das TTDSG stellt in § 26 Abs. 1 auf Dienste zur "Verwaltung" erteilter Einwilligungen ab. Die Einwilligung selbst richtet sich dann nach § 25 Abs. 1. Die Vorschrift verweist in dem Zusammenhang ergänzend auf die Bedingungen und Informationspflichten der DSGVO, so dass es sich beim Einwilligungsvorbehalt des TTDSG um eine klarstellende Regelung handelt. Die Anforderung, dass eine Verwaltung der erteilten Einwilligungen möglich sein soll, ist nämlich im Grunde nicht neu. Bereits die DSGVO sieht vor, dass der Widerruf einer Einwilligung so leicht erfolgen soll wie die Erteilung selbst. Das wird entsprechend nur über (auch nachträgliche) Verwaltungs- bzw. Einstellungsmöglichkeiten zu erreichen sein.

Wann der Einwilligungsvorbehalt gilt

Grundsätzlich immer. Das Gesetz hat jedoch zwei Ausnahmen vom Einwilligungserfordernis in § 25 Abs. 2 festgelegt:

(...) wenn der alleinige Zweck (…) die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder

wenn die Speicherung von Informationen (...) oder der Zugriff auf bereits (...) gespeicherte Informationen unbedingt erforderlich ist (...)“

Die Ausnahmen beziehen sich somit auf die Signal- und Datenübertragung an sich und zudem auf solche Informationen, die zwingend zur Bereitstellung von Telemediendiensten erforderlich sind. Das Gesetz sieht somit einen umfassenden Einwilligungsvorbehalt vor.

Im Umkehrschluss muss eine Einwilligung immer dann erfolgen, wenn die Verarbeitung nicht zwingend erforderlich ist. Erforderlich sind beispielsweise technisch und funktional erforderliche Session- oder Warenkorb-Cookies, gegebenenfalls noch Identifier zum Vorhalten der Präferenzen für Bild- und Spracheinstellungen sein. Daneben ist auch für Verkehrsdaten i. S. d. § 9 Abs. 1 keine Einwilligung einzuholen.

 

Bedeuten „PIMS“ das Ende der Cookie-Einstellungen?

Die vielleicht auffälligste Regelung findet sich in § 26. Hinsichtlich der Einwilligungsverwaltung sieht die Vorschrift unabhängige Dienste vor, die insbesondere:

(...) kein wirtschaftliches Eigeninteresse an der Erteilung der Einwilligung und an den verwalteten Daten haben und unabhängig von Unternehmen sind, die ein solches Interesse haben können (…)“

Die dezentrale Steuerung durch den Nutzer könnte sich somit in Zukunft ändern. Im Gespräch ist ein sogenanntes „PIMS“ (Personal Information Management System), das als zentrale Lösung eingeführt werden könnte. Dafür soll innerhalb von 2 Jahren seit Geltung des TTDSG eine nationale Verordnung entstehen.

 

Was bringt das TTDSG noch mit sich?

Neben einer Klarstellung in § 4, dass das Fernmeldegeheimnis den Rechten eines Erben gegenüber Dienstanbietern nicht entgegensteht, ist zudem der Begriff der „Endeinrichtung“ neu, der sich als Begriffserweiterung damit auf das Internet of Things (IoT) bezieht:

(...) jede direkt oder indirekt an die Schnittstelle eines öffentlichen Telekommunikationsnetzes angeschlossene Einrichtung zum Aussenden, Verarbeiten oder Empfangen von Nachrichten (…)“

Weitere Anforderungen sind in §§19ff. zu finden. Hier werden weitere Anforderungen an technischen und organisatorischen Maßnahmen festgelegt und spezielle Verfahrensweisen, etwa zu Auskunftsverfahren hinsichtlich vorhandener Bestandsdaten und Zugangsdaten der Nutzer. Das Gesetz kann im Bundesgesetzblatt abgerufen werden.

 

Zum DSGVO Webseiten-Check.


Mit Rocketlegal.de im Datenschutz durchstarten

Wer schreibt hier?

Wir beraten als externe Datenschutzbeauftragte Unternehmen jeder Größe in den Bereichen Datenschutz, IT-Sicherheit & Compliance. Neben einem All-In-One-Portfolio innovativer Compliance- und Security-Lösungen bieten wir Schulungen und Fortbildungen in den Beratungsfeldern.

Externer Datenschutz-beauftragter

ab 150 EUR im Monat

inklusive DSMS und Webseiten-Audit

Externer Datenschutz

Stets aktuelle News in unserem Datenschutz Experten-Blog.

Rocketlegal | Datenschutz-Blogim Blogverzeichnis Bloggerei.de
Blogtotal
TopBlogs.de das Original - Blogverzeichnis | Blog Top Liste
Blogverzeichnis von Trusted Blogs
RSS-Feed für Abonnenten und Verzeichnisse

© 2022 Rocketlegal.de ImpressumDatenschutzerklärungAGNB

Im