TTDSG – neues Datenschutzgesetz tritt in Kraft

TTDSG – neues Datenschutzgesetz tritt in Kraft

Heute tritt das TTDSG (Telekommunikations-Telemedien-Datenschutzgesetz) in Kraft. Worum es dabei geht und was du beachten solltest, wollen wir in diesem kurzen Blogpost beleuchten.

Das neue TTDSG setzt die Richtlinie 2002/58/EG – ja richtig gelesen, 2002 (!) und deren Änderung in der Richtlinie 2009/136/EG (auch als ePrivacy-Richtlinie bezeichnet) um. Es fasst das bisherige Telekommunikationsgesetz (TKG) und das Telemediengesetzes (TMG) zusammen. Hier ist nochmal darauf hinzuweisen, dass es sich um die Richtlinie handelt und noch nicht um die bereits lange diskutierte ePrivacy-Verordnung, die ursprünglich zeitgleich zum Start der Datenschutz-Grundverordnung (DSGVO) im Mai 2018 kommen sollte. Inwieweit die TTDSG langfristig Bestand haben wird oder aber durch ein irgendwann kommende ePrivacy-Verordnung wieder überholt wird, bleibt abzuwarten.

Ziel des TTDSG soll rechtliche Klarheit sein, die bislang im Wechselspiel von DSGVO, TMG und TKG nicht unbedingt gegeben war und zu sehr viel Interpretationsspielraum auf Seiten der Websitebetreiber gefĂĽhrt hat.

Was sind Telemedien?

Zunächst vorab eine definitorische Klärung: Unter Telemedien kann so ziemlich alles verstanden werden, was Zugang zum Internet hat. D.h. klassischerweise Websites, Apps, E-Mail Dienste, aber auch Anwendungen und Geräte im sogenannten Smart Home, Smart TV usw.

Was ist neu beim TTDSG?

Der Großteil der Bestimmungen des TTDSG ist eine Übernahme der bisherigen Bestimmungen aus TKG und TMG. Neu ist unter anderem §4 in Teil 2, der ein digitales Erbe regelt und Erben eindeutig Rechte an der Privatsphäre des ursprünglichen Nutzers zusagt. In erster Linie aber regelt das TTDSG den Umgang mit der Privatsphäre der Nutzer und dessen Einwilligung zur Speicherung seiner Daten.

Aktive Einwilligung fĂĽr Cookies

Die bislang bereits von einem großen Teil der Websitebetreiber umgesetzte Praxis eines Opt-In’s bzw. des Consent Managements, also einer aktiven Einwilligung zur Speicherung von Cookies ist mit dem TTDSG nun auch rechtlich klar geregelt.

Eine Einwilligung ist nur dann nicht mehr erforderlich, wenn „die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.“ (§25, Art. 2)

Beispielsweise Session-Cookies für einen Warenkorb oder die Spracheinstellung einer Website sind also weiterhin nicht einwilligungspflichtig. In manchen Grenzfällen bleibt jedoch das Potenzial für Diskussionen.

Die bislang laut DSGVO einem „berechtigten Interesse“ folgende Formulierung kann durchaus als verschärft verstanden werden. Es ist in jedem Fall gut abzuwägen, welche Cookies man in die Kategorie der essenziellen/funktionalen Cookies platziert, die man also nicht abwählen kann, und welche Dienste man in die freiwilligen Marketing- bzw. Werbe-Kategorien ablegt. Wer bislang Webanalyse-Tools wie Matomo oder Google Analytics noch ohne Einwilligung eingesetzt hat, sollte deren „unbedingte Erforderlichkeit“ gegenüber dem bisherigen „berechtigen Interesse“ überprüfen und im Bedarfsfall gute Argumente bereitlegen.

Der Wortlaut „Endeinrichtung eines Endnutzers“ verdeutlicht zudem, dass hierbei mehr Geräte als Computer und Smartphone einbezogen werden. Auch geht es hier nicht nur um Cookies, sondern weitere Methoden des Trackings wie das sog. Browser-Fingerprinting (siehe weiterführende Links am Ende des Beitrags) sind vom TTDSG betroffen.

Wie muss das Cookie-Banner gemäß TTDSG aussehen?

Klarheit darüber, wie ein Cookie-Banner genau auszusehen hat, gibt das neue Gesetz leider nicht. So bleibt weiterhin abzuwägen, inwieweit ein gewisses „Nudging“ (bspw. bewusstes Einfärben von Buttons) betrieben werden soll. Dringend empfehlenswert bleibt aufgrund vorangegangener Urteile, die Opt-In Checkbox in keinem Falle vorausgewählt vorzugeben und ganz besonders die Dienste tatsächlich erst dann zu aktivieren, wenn der User diesen zugestimmt hat.

TTDSG als Türöffner für PIMS

Mit § 26 „Anerkannte Dienste zur Einwilligungsverwaltung, Endnutzereinstellungen“ stößt das neue Gesetz zudem die Tür für neue technische Lösungen auf. Konkret geht es dabei um sog. Personal Information Management Systems (PIMS). Die Idee hierbei ist, dass es statt unendlich vieler Cookie-Banner Einzellösungen je Website oder Applikation zukünftig eine zentrale Schnittstelle gibt, die individuelle Einstellungen von zentraler Stelle an angeschlossene Websites übermittelt. Dieser „Daten-Treuhänder“ würde die in der Regel als störend und Hindernis empfundenen Cookie-Banner hinfällig machen. Voraussetzung wäre dabei ein vertrauenswürdiges, unabhängiges und sicheres Verfahren, das zudem „kein wirtschaftliches Eigeninteresse an der Erteilung der Einwilligung und an den verwalteten Daten hat und unabhängig von Unternehmen ist, die ein solches Interesse haben…“.

 

WeiterfĂĽhrende Links zum TTDSG:

TTDSG als PDF des Bundesanzeiger Verlags:
https://bit.ly/3Eb0FGH

Kritischer Podcast zum TTDSG „Alter Datenschutz in neuen Schläuchen“:
https://www.heise.de/hintergrund/Auslegungssache-49-Das-TTDSG-Alter-Datenschutz-in-neuen-Schaeuchen-6209436.html

Konkrete Praxishilfe (PDF) der Gesellschaft fĂĽr Datenschutz und Datensicherheit e.V.:
https://www.gdd.de/downloads/praxishilfen/prax-praxishilfen-neustrukturierung/gdd-praxishilfe-ttdsg-im-ueberblick

Erklärung Browser Fingerprinting:
https://www.avast.com/de-de/c-what-is-browser-fingerprinting#gref