Blog-Layout

Cookies und das TTDSG: Was sich seit dem 01.12.2021 ändert

Was sich seit Dezember ändert


Seit dem 01. Dezember 2021 gilt das neue Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG). Mit der Einführung des Gesetzes wurden die Datenschutzvorschriften des Telemediengesetzes (TMG) sowie des Telekommunikationsgesetzes (TKG) in einem Gesetz zusammengefasst. Das Gesetz setzt zudem wesentliche Anforderungen der ePrivacy-Richtlinie sowie die einschlägige Rechtsprechung um. So blieb zeitweise unklar, wie Webseiten-Betreiber mit Cookie-Bannern und Consent-Tools zu verfahren hatten und für welche Verarbeitungen eine Einwilligung erforderlich ist. In diesem Artikel beleuchten wir, was sich nun ändert.

Cookies und das TTDSG, wie ist die Lage?

Die für die Praxis vielleicht wichtigste Frage ist, ob ein strengerer Einwilligungsvorbehalt für Cookies und ähnliche Technologien gelten soll und wie das Cookie-Management heute und auch in Zukunft zu gestalten ist. Neben der im TTDSG auch umgesetzten ePrivacy-Richtlinie, wird zudem eine ursprünglich für 2018 geplante ePrivacy-Verordnung ab dem Jahr 2023 erwartet. Diese sollte ursprünglich mit der Datenschutz-Grundverordnung (DSGVO) zeitgleich am 25.05.2018 anwendbar sein. Die ePrivacy-Verordnung wäre zudem als Spezialgesetz für den Bereich der elektronischen Kommunikation vorrangig zur DSGVO anzuwenden. Es stellt sich somit auch die Frage, ob und in welchem Umfang abweichende Vorschriften zum heutigen Stand des TTDSG enthalten sein werden.


Die "Verwaltung" erteilter Einwilligungen

Das TTDSG stellt in § 26 Abs. 1 auf Dienste zur "Verwaltung" erteilter Einwilligungen ab. Die Einwilligung selbst richtet sich nach § 25 Abs. 1 TTDSG. Die Vorschrift verweist in dem Zusammenhang ergänzend auf die Bedingungen und Informationspflichten der DSGVO, so dass es sich beim Einwilligungsvorbehalt des TTDSG lediglich um eine klarstellende Regelung handelt. Die Anforderung, dass eine Verwaltung der erteilten Einwilligungen möglich sein soll, ist nämlich im Grunde nicht neu. Bereits die DSGVO sieht vor, dass der Widerruf einer Einwilligung so leicht zu erfolgen hat wie die Erteilung. Das wird entsprechend nur über (auch nachträgliche) Einstellungsmöglichkeiten zu erreichen sein. Für die Verwaltung haben sich daher sogenannte CMP's etabliert (Consent Management Plattformen).

Wann der Einwilligungsvorbehalt gilt

Grundsätzlich gilt dieser immer. Das Gesetz hat jedoch zwei Ausnahmen vom Einwilligungserfordernis in § 25 Abs. 2 TTDSG festgelegt, die nach dem Wortlaut des Gesetz "streng auszulegen" sind, nämlich

"...wenn der alleinige Zweck...die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder

wenn die Speicherung von Informationen...oder der Zugriff auf bereits...gespeicherte Informationen unbedingt erforderlich ist...".

Die Ausnahmen beziehen sich somit auf die Signal- und Datenübertragungstätigkeit als technischer Vorgang einerseits und zudem auf solche Informationen, die zwingend zur Bereitstellung von Telemediendiensten erforderlich sind. Das Gesetz sieht somit einen umfassenden Einwilligungsvorbehalt vor. Im Umkehrschluss muss eine Einwilligung immer dann erfolgen, wenn die Verarbeitung nicht zwingend erforderlich ist. Letzteres ist beispielsweise bei technisch und funktional erforderlichen Session- oder Warenkorb-Cookies, gegebenenfalls noch bei sogenannten "Identifizierern" zum Vorhalten der Präferenzen für Bild- und Spracheinstellungen der Fall. Daneben ist auch für "Verkehrsdaten" i. S. d. § 9 Abs. 1 TTDSG keine Einwilligung einzuholen.

Sind "PIMS" bald das Ende der CMP?

Die vielleicht auffälligste Regelung findet sich in § 26 TTDSG. Hinsichtlich der Einwilligungsverwaltung sieht die Vorschrift unabhängige Dienste vor, die insbesondere

"...kein wirtschaftliches Eigeninteresse an der Erteilung der Einwilligung und an den verwalteten Daten haben und unabhängig von Unternehmen sind, die ein solches Interesse haben könnten...".

Die dezentrale Steuerung durch den Nutzer könnte sich zukünftig dadurch ändern. Im Gespräch ist ein sogenanntes „PIMS“ (Personal Information Management System), das als zentrale Lösung eingeführt werden soll. Dafür sieht das Gesetz vor, dass innerhalb von 2 Jahren seit Geltung des TTDSG eine nationale Verordnung entsteht, ein neuartiges Consent Management zu regeln - und damit die etablierte "Consent Management Plattform (CMP)" abzulösen?

Was bringt das TTDSG noch mit sich?

Neben einer Klarstellung in § 4 TTDSG, dass das Fernmeldegeheimnis den Rechten eines Erben gegenüber Dienstanbietern, wie z. B. Social Media Plattformen, nicht entgegensteht, ist zudem der Begriff der „Endeinrichtung“ neu, der sich als Begriffserweiterung damit auf das Internet of Things (IoT) bezieht. Gemeint ist

"...jede direkt oder indirekt an die Schnittstelle eines öffentlichen Telekommunikationsnetzes angeschlossene Endeinrichtung zum Aussenden, Verarbeiten oder Empfangen von Nachrichten...".

Weitere Anforderungen sind in §§ 19ff. TTDSG zu finden. Hier werden etwa spezielle Anforderungen an technische und organisatorische Maßnahmen gestellt und bestimmte Verfahrensweisen festgelegt, etwa was Auskunftsverfahren hinsichtlich vorhandener Bestandsdaten und Zugangsdaten der Nutzer betrifft. Der neue Gesetzestext kann hier im Bundesgesetzblatt abgerufen werden.

WhatsApp und die DSGVO im Fokus von Unternehmen

DSGVO-Gefahren, die bei der Nutzung von WhatsApp lauern

13 Sept., 2023
Welche Sanktionsgefahren und DSGVO-Risiken sind bei der Nutzung von WhatsApp im Unternehmen zu beachten? Der Artikel beleuchtet die wichtigsten Aspekte.
Datenschutz ist im digitalen Überwachungszeitalter wichtig

Basics: Was ist Datenschutz und welche Bedeutung hat er?

13 Juni, 2023
Sie suchen einen fundierten Einstieg zum Thema Datenschutz und DSGVO? In diesem Artikel gehen wir auf die grundlegenden Aspekte und Basics ein.
Die Überwachung von Fluggästen nimmt an Fahrt auf

Gläserne Passagiere: 5 wichtige Hinweise zum Datenschutz

10 Apr., 2023
5 wichtige Hinweise zum Datenschutz, die Sie bei der nächsten Urlaubsplanung zum Schutz Ihrer Privatsphäre beachten sollten.
Im Home Office sind viele Aspekte des Datenschutzes zu beachten

New Work und Homeoffice: Und der Datenschutz?

12 Aug., 2022
Worauf sollten Unternehmen und Beschäftigte in Zeiten von New Work und Home Office achten? Ein kurzer Überblick wie Sie Ihr Unternehmen schützen können.
Die Rechtsprechung zum Auskunftsrecht nach der DSGVO ist da

Die DSGVO-Auskunft, Rechtsprechung und Schadenersatz

08 Juni, 2022
Die aktuelle Rechtsprechung zum Auskunftsrecht nach der DSGVO und ihre Auswirkungen in der betrieblichen Praxis im Überblick.
Der Datentransfer zwischen der EU und den USA steht zur Debatte

EU-US Privacy Shield 2.0: Ist das Warten vorbei?

28 März, 2022
Das Privacy Shield 2.0 und der transatlantische Datenschutzrahmen im Überblick. Was enthalten die neuen Rahmenbedingungen zum US-Datentransfer?
Das E-Mail-Marketing findet auf vielen Endgeräten und Kanälen statt

E-Mail-Marketing und DSGVO: Worauf ist zu achten?

21 Feb., 2022
Die rechtlichen Anforderungen im E-Mail-Marketing sind vielfältig. Neben der Einwilligung nach DSGVO zählt auch das Wettbewerbsrecht.
Die DSGVO ist für Vereine nach wie vor eine schwierige Herausforderung

Datenschutz im Verein, wie am besten umsetzen?

14 Feb., 2022
Wie lässt sich der Datenschutz im Verein am besten umsetzen? Hier finden Vereine mit Nachholbedarf wichtige Tipps für die Umsetzung der DSGVO.
Arbeitsplätze könnten in Zukunft noch intensiver überwacht werden als bisher

Entwurf eines Beschäftigtendatenschutzgesetzes des DGB

11 Feb., 2022
Was enthält der Entwurf für ein Beschäftigtendatenschutzgesetz des DGB? Eine näherer Blick auf die Entwicklung der digitalen Überwachung am Arbeitsplatz .
Google Analytics ist das bekannteste Tool für Webseitenebtreiber

Google-Analytics und DSGVO: Ist der Einsatz rechtswidrig?

21 Jan., 2022
Der US-Datentransfer ist nach der DSGVO und durch Schrems-II-Urteils zunehmend problematisch. Ist auch der Einsatz von Google Analytics rechtswidrig?
Weitere Beiträge
Share by: