Das TTDSG tritt am 1. Dezember 2021 in Kraft. Doch was ändert sich denn jetzt genau durch die Einführung des TTDSG? Wozu wurde es überhaupt entwickelt und für wen gilt das Gesetz? Wir möchten zum Start des neuen Telekommunikation-Telemedien-Datenschutz-Gesetzes auf die wichtigsten Punkte eingehen und etwas Licht ins Dunkel bringen.

Für Online-Dienste gelten in Deutschland datenschutzrechtliche Bestimmungen, die sich neben der DSGVO auch im Telekommunikationsgesetz (TKG) und Telemediengesetz (TMG) wiederfinden. Fraglich für Unternehmen in Deutschland ist häufig, ob neben der DSGVO auch das TKG und TMG noch Anwendungen finden muss. Das ist nicht nur mühselig, sondern auch äußerst uneinheitlich. Die Gefahr für viele Betriebe, hierbei Fehler zu begehen oder wichtige Aspekte zu übersehen, ist also nicht gerade klein. Um die Idee hinter dem TTDSG genauer zu vermitteln, müssen wir allerdings etwas weiter ausholen und schauen uns zunächst einmal kurz die drei bereits bestehenden Verordnungen an.

Das TKG trat 1996 in Kraft und reguliert seither den Telekommunikations­wettbewerb in Deutschland, um ein breit aufgestelltes Angebot an Dienstleistungen im Bereich der Telekommunikation gewährleisten zu können. Zwei Hauptziele des TKG sind unter anderem die Stärkung von Verbraucherinteressen sowie die Wahrung des Fernmeldegeheimnisses (§ 88 TKG). Außerdem umfasst es eine ganze Reihe an Datenschutzvorschriften (§§ 91 – 107 TKG), die zu beachten sind. Das TKG wurde im Zuge des Telekommunikations­modernisierungsgesetzes vollständig überarbeitet und neu gefasst. Die Novelle tritt parallel mit dem TTDSG am 1. Dezember 2021 in Kraft.

Das TMG regelt die rechtlichen Rahmenbedingungen für Telemedien. Telemedien sind unter anderem Websites, Streaming-Portale, Online-Angebote von Waren und Dienstleistungen mit unmittelbarer Bestellmöglichkeit oder Suchmaschinen. Das TMG enthält unter anderem konkrete Vorschriften zur allgemeinen Informationspflicht für Telemediendienste (§ 5 TMG), zur Bekämpfung von Spam, zur Haftung von Dienstbetreibern und zum Datenschutz beim Betrieb von Telemediendiensten.

Die Datenschutzgrundverordnung (DSGVO) stellt Regelungen bereit, die bei der Verarbeitung von personenbezogenen Daten zu berücksichtigen sind. Diese Verordnung gilt in der gesamten Europäischen Union, vereinheitlicht den Schutz persönlicher Daten innerhalb der EU und gewährleistet den Datenverkehr innerhalb des Europäischen Binnenmarktes.

Ziel des nun am 01.12.2021 in Kraft tretenden TTDSG ist zum einen, die Datenschutzbestimmungen von TKG und TMG in einem Gesetz zusammenzufassen und im selben Schritt an die DSGVO anzupassen. Andererseits wird die ePrivacy-Richtlinie, die seit 2002 Datenschutzrichtlinien für elektronische Kommunikation regelt, in weiten Teilen in deutsches Recht umgesetzt. Auch „neue“ Kommunikationsdienste wie zum Beispiel WhatsApp, webgestützte E-Mail-Anbieter oder Voice-over-IP Telefonie, auf die bislang geltende Telekommunikationsregelungen nicht anwendbar waren, werden im novellierten TKG und TTDSG berücksichtigt.

Der vollständige Name des TTDSG trägt übrigens im vollen Wortlaut die schlanke Bezeichnung „Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien“. Ab sofort ist die Speicherung von Daten auf den Endgeräten der User nur noch mit einer eindeutigen vorab eingeholten Einwilligung zulässig. Zwei Ausnahmen, für die eine Zustimmung nicht zwingend erforderlich sind, gibt es aber dennoch. Darüber hinaus stellt das TTDSG auch einen neuen Service in Aussicht, der den Nutzern eine größere Kontrolle über ihre Daten geben soll.

Für Betreiber von Websites und Online-Shops ist die sogenannte ePrivacy Richtlinie oder auch umgangssprachlich „Cookie-Richtlinie“ von großer Bedeutung. § 25 TTDSG befasst sich mit dem „Schutz der Privatsphäre bei Endeinrichtungen“ – sprich Mobiltelefon, Tablet, PC, Laptop oder vergleichbare Geräte, auf denen Daten und Informationen gespeichert werden können. Der Zugriff oder die Speicherung von Daten in der Endeinrichtung des Nutzers sind nur dann zulässig, wenn zuvor ausdrücklich auf „Grundlage von klaren und umfassenden Informationen“ eingewilligt worden ist. Die Art und Weise bedarf einer ausdrücklichen Einwilligung. Besonders hierbei ist, dass laut § 25 TTDSG nicht ausschließlich personenbezogene, sondern sämtliche Daten gemeint sind, die bei einem Zugriff auf die Endeinrichtung anfallen können. Alle technischen Möglichkeiten, die ein Auslesen und/oder Speichern von Daten und Informationen auf den Endgeräten der Nutzer erfordern, sind hierbei gemeint. Neben dem Einsatz von Cookies also auch Pixel oder Tags, die auf den Geräten der User gespeichert werden können.

Eine ausdrückliche Einwilligung wird lediglich in zwei Fällen nicht benötigt,

• wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder
• bei technisch notwendigen Cookies / wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.

Das TTDSG schreibt also ab Dezember 2021 fest, dass eine echte Einwilligung seitens der User für Cookies und Tracking benötigt wird. Der Einsatz eines Cookie Consent Banners ist damit auf fast allen Websites Pflicht und eindeutig gesetzlich verankert. Darüber hinaus gilt das Gesetz ebenso für Messenger-Dienste und Apps.

Personal Information Management Services sind Systeme, die den Nutzern mehr Kontrolle über ihre personenbezogenen Daten geben sollen. Über ein zentrales Einwilligungssystem können Zustimmungen global verwaltet werden. Ein User kann so auf einer vor- oder zwischengeschalteten Website nur einmal das Einverständnis geben, wo und unter welchen Voraussetzungen er oder sie dem Einsatz von Cookies zustimmt oder ablehnt. Dies würde das Surfen im Internet sehr viel angenehmer gestalten, da nicht bei jedem Besuch einer neuen Website die Einwilligung oder Ablehnung beispielsweise über das Cookie Banner erneut vorgenommen werden müsste. Die Möglichkeit der Nutzung solcher Systeme wird durch das TTDSG eindeutig vorgezeichnet. Ein Anbieter eines PIMS muss nach § 26 TTDSG allerdings einige Voraussetzungen erfüllen:

• die Einholung und Verwaltung der Einwilligung muss nutzerfreundlich und wettbewerbskonform gestaltet sein
• das System darf kein wirtschaftliches Eigeninteresse an der Erteilung der Einwilligung und an den verwalteten Daten haben
• Daten und Informationen dürfen für keine anderen Zwecke als für die Verwaltung der Einwilligung verarbeitet werden
• es muss ein Sicherheitskonzept vorliegen, das eine Bewertung der Qualität und Zuverlässigkeit des Dienstes und der technischen Anwendungen ermöglicht

Die Antragsstellung für Anbieter von PIMS wird allerdings noch etwas auf sich warten, da die hierfür notwendige Verordnung aktuell noch erarbeitet werden muss. Ein Referentenentwurf ist für das erste Quartal 2022 geplant.

Das TTDSG bringt europäische und deutsche Vorschriften zum Datenschutz in Einklang. Allgemein sorgt es für mehr Rechtssicherheit, Rechtsklarheit und Schutz der Privatsphäre in der digitalen Welt. Die datenschutzrechtlichen Anforderungen an die Unternehmen, App- und Webseitenbetreiber in Deutschland steigen somit. Damit auch weiterhin datenschutzkonform gearbeitet werden kann, sollte vor allem der Einwilligungsprozess genau unter die Lupe genommen, überprüft und gegebenenfalls überarbeitet werden.

Sofern Sie Unterstützung bei der Umsetzung benötigen, einen Datenschutz-Check wünschen oder noch offene Fragen zum Thema haben, sprechen Sie uns gerne an. Wir helfen Ihnen dabei, auch nach Inkrafttreten der TTDSG weiterhin Einfach. Sicher. Arbeiten. zu können.