Das im Mai vom Bund beschlossene Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) tritt nun mit dem ersten Dezembertag in Kraft. Was sich nun für Datenschutzverantwortliche und Webseitenbetreiber ändert, lesen Sie in dieser Zusammenfassung des TTDSG.
Grundlagen: Worauf genau bezieht sich das TTDSG?
Das TTDSG können Sie als Erweiterung der DSGVO sehen. Das Gesetz soll grundsätzlich den Datenschutz und den Schutz der Privatsphäre in der elektronischen Kommunikation sowie in Telemedien genauer regeln. Es löst Telemedien-Gesetz (TMG) und Telekommunikations-Gesetz (TKG) ab.
Das neue Telekommunikation-Telemedien-Datenschutzgesetz soll voraussichtlich bis 2023 gelten. Sollte die EU in den nächsten Monaten tatsächlich die ePrivacy-Verordnung verabschieden, wird diese wiederum mit einer Umsetzungsfrist von zwei Jahren in Kraft treten und das TTDSG dann in relevanten Teilen ersetzen. Bislang steht das jedoch noch nicht fest – richten Sie sich also vorerst auf die Vorgaben des TTDSG ein.
Das bedeutet das TTDSG für Webseitenbetreiber
Für Webseitenbetreiber ist besonders § 25 TTDSG von Bedeutung. Der regelt die Vertraulichkeit der Kommunikation nach Art. 5 Abs. 3 der ePrivacy-Richtlinie und führt das Thema so nach fast 10 Jahren Verspätung in deutsches Recht über. Konkret heißt es in § 25 TTDSG:
- Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat.
- Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 zu erfolgen.
Ausnahmen: Die Speicherung oder der Zugriff erfolgt zum Übertragen einer Nachricht über ein öffentliches Netz oder damit der Anbieter einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.
Das TTDSG regelt nun ausdrücklich die Rechtslage für das Einwilligen in Cookies
Webseitenbetreiber und andere Anbieter von Telemedien müssen mit dem neuen Gesetz die ausdrückliche und informierte Einwilligung von jedem Besucher ihrer Webseite einholen. Heißt: Sobald eine Einwilligung erforderlich ist, muss diese gemäß der DSGVO (besonders Art. 7 DSGVO)
- aktiv
- freiwillig
- bestimmt
- informiert
- unmissverständlich
- ausdrücklich
- und jederzeit widerrufbar
erfolgen. Erst dann dürfen Cookies auf dem Endgerät des Nutzers gespeichert werden.
Anders gesagt: Mit versteckten Optionen zum Ablehnen oder Phrasen wie „Mit der weiteren Nutzung stimmen Sie der Nutzung von Cookies zu“ ist nun endgültig Schluss. Das gilt sowohl für simple Cookies als auch für Tracking-Tools, die etwa Fingerprinting ermöglichen.
Umgekehrt bedeutet dies – Achtung! – dass Ihre Webseite auch ohne Einwilligung in optionale Cookies nutzbar sein muss.
Wie schon gewohnt sind davon Cookies ausgenommen, die die ordnungsgemäße Funktionalität der Webseite oder relevanter Dienste (wie etwa des Consent Managers oder des Warenkorbs) gewährleisten.
Was bedeutet „Endeinrichtung“ hier?
In diesem Paragraphen wird von Informationen gesprochen, die in der „Endeinrichtung“ des Nutzers gespeichert werden. Diesen Begriff fasst das TTDSG ausdrücklich technologieneutral. Er umfasst klassische Endgeräte wie Smartphones und Tablets, aber auch die bisher wenig beachteten Geräte im „Internet of Things“. Damit greift das TTDSG auch Datenschutz und Privatsphäre in allen smarten Geräten auf – bis hin zur Glühbirne mit Anschluss ans heimische WLAN.
Alle zukünftig entwickelten Geräte und Technologien fallen ebenfalls unter die Vorgaben.
Ändert sich mit dem TTDSG in der Praxis überhaupt etwas?
Auf den ersten Blick ändert sich mit dem Inkrafttreten des TTDSG wenig. Schon aufgrund eines Urteils des Bundesgerichtshofs im Jahr 2020 war klar, dass bei der Verwendung nicht technisch notwendiger Cookies eine ausdrückliche und informierte Einwilligung der Webseiten-Besucher notwendig ist.
Allerdings hatten die Aufsichtsbehörden – möglicherweise wegen der unklaren Gesetzeslage – davon abgesehen, zahlreiche Bußgelder nach den Regeln des TMG zu verhängen. Diese Schonfrist ist jetzt definitiv vorbei. Und das haben die Behörden auch schon ziemlich deutlich kommuniziert. Webseitenbetreiber sollten spätestens jetzt dringend überprüfen, ob – je nach konkretem Einsatz von Cookies/Tracking-Tools – eine Einwilligung notwendig ist und ob diese wirksam eingeholt wird. Wichtige Fragen sind hierbei etwa:
- Passen die Datenschutzhinweise mit dem überein, was auf der Webseite technisch passiert?
- Sind meine angegebenen Rechtsgrundlagen noch korrekt?
- Informiere ich ausreichend bei Datentransfers in Drittstaaten, vor allem in die USA?
- Passen meine Formulare, mein Newsletter-Programm und ist meine Webseite (auch was die Sicherheit betrifft) auf dem aktuellen Stand der Technik?
Spätestens jetzt sind Consent Manager Pflicht
Um einen Consent Manager kommen Sie mit Inkrafttreten des TTDSG nicht mehr herum. Wenn Sie sich bisher nicht darum gekümmert haben, sollte Sie allerspätestens jetzt nach einem Tool Ausschau halten, das diese Bedingungen erfüllt:
- Cookies müssen so lange deaktiviert bleiben, bis die Einwilligung erteilt wird. Die Einwilligung sollte schließlich nachweisbar sein.
- Checkboxen dürfen nicht vorausgewählt sein.
- „Annehmen“- und „Ablehnen“-Buttons müssen gleichwertig designed sein und auf derselben Ebene der Nutzeroberfläche erscheinen.
- Eine Widerrufs-Möglichkeit muss dem User zur Verfügung stehen.
So setzen Sie das TTDSG praktisch um
Aus meiner Sicht ist es wenig sinnvoll, selbst an der Webseite „herumzudoktern“, um die Vorgaben des TTDSG zu erfüllen. Webentwickler und die IT-Abteilung stecken hingegen im Regelfall nicht tief genug im Thema, was die rechtliche Umsetzung betrifft. Und Rechtsanwälte wiederum tun sich bei der technischen Umsetzung schwer.
Ein Teufelskreis, der in Abmahnungen und Bußgeldern von bis zu 300.000 Euro endet? Davor will ich Sie gerne bewahren.
Die Barth Datenschutz GmbH bietet Ihnen ein Online-Datenschutz Audit Ihrer Webseite an. Dabei prüfen mein Team und ich Ihre Webseite aus dem Blickwinkel des neuen TTDSG, der DSGVO und des UWG-Gesetz. Zusätzlich führen einen Penetrationstest zur Ermittlung der IT-Sicherheit durch.
Am Ende erhalten Sie nicht nur einen ausführlichen Audit-Bericht, sondern wir liefern Ihnen neben praktikablen Maßnahmenvorschlagen auch direkt einen rechtskonformen Cookie-Consent-Manager und vollständige Datenschutzhinweise. Optional können wir durch ein permanentes Webseiten-Monitoring Ihre Webseite 24/7 überwachen, sodass Sie auch zukünftig vor bösen Überraschungen und Hackerangriffen bestens geschützt sind.
Sichern Sie sich ein Beratungsgespräch für das Datenschutz-Webseiten-Audit Online oder beauftragen Sie Ihr Audit direkt.
Fazit: Jetzt handeln und teure Bußgelder durch Missachtung des TTDSG vermeiden
Durch das TTDSG ist ab 1. Dezember nicht alles neu, jedoch ist die Rechtsgrundlage in Deutschland jetzt geklärt. Diese Klarheit ruft Aufsichtsbehörden und Abmahner auf den Plan.
Im schlimmsten Fall drohen Ihnen gleich mehrere Bußgelder, wenn Sie nach Inkrafttreten des TTDSG keine ordnungsgemäße Einwilligung einholen.
- Zum einen können Sie einen Bußgeldbescheid wegen Verstoßes gegen die DSGVO erhalten. In diesem Fall drohen Ihnen Bußgelder in Höhe von bis zu 20 Millionen Euro oder bis zu vier Prozent Ihres Umsatzes.
- Zum anderen kann bei Verstoß gegen das TTDSG ein Bußgeld von bis zu 300.000 Euro gegen Sie festgesetzt werden. Es kann also richtig teuer für Sie werden.
- Drittens droht Ihnen eine Abmahnung, wenn Sie keinen ordnungsgemäßen Consent Banner im Einsatz haben.
Bringen Sie Ihre Webseite auf den aktuellen Stand der Technik und machen Sie sie DSGVO-konform. Dann sind Sie auf der sicheren Seite und können das TTDSG innerlich abhaken. Der Aufwand dazu ist überschaubar – und wer das Projekt jetzt schon angeht, sichert sich einen klaren Wettbewerbsvorteil und das Vertrauen seiner User und Kunden. Also handeln Sie so schnell wie möglich!