Es klingt wie eine Jugendbuch-Reihe über einen Hobby-Detektiv-Club, ist aber das Ergebnis einer Aufräumaktion im deutschen Datenschutzrecht: Das am 1. Dezember 2021 in Kraft getretene Telekommunikations-Telemedien-Datenschutz-Gesetz (TTDSG) soll die bisher über verschiedenste deutsche Gesetze verstreuten datenschutzrechtlichen Regelungen im Telemedien- und im Telekommunikationsrecht an einem Ort zusammenführen. Das TTDSG regelt unter anderem den Schutz der Vertraulichkeit und Privatsphäre bei der digitalen Kommunikation (z.B. über Websites, Messenger-Dienste oder E-Mail) sowie der Nutzung von internetfähigen Endgeräten wie Smart-Home-Geräten. Dafür werden die Datenschutzbestimmungen des Telemediengesetztes (TMG) und des Telekommunikationsgesetzes (TKG) aufgehoben und im neuen TTDSG vereint. Weiterhin werden darin auch die Zuständigkeiten der Bundesnetzagentur und des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) geregelt. Für Website- und App-Betreiber ergeben sich durch das Inkrafttreten des TTDSG jedoch keine neuen Verpflichtungen. Vielmehr sorgt das TTDSG für Klarstellungen und mehr Rechtssicherheit bei der Verarbeitung von (personenbezogenen) Daten z.B. im Zusammenhang mit Cookies.
Neue Regelung für Cookies und Cookie-Banner?
Die meiste Aufmerksamkeit wird in der öffentlichen Diskussion dem § 25 TTDSG gewidmet. Dieser regelt die Speicherung und Nutzung von Informationen auf sog. „Endeinrichtungen“ der Benutzer, worunter insbesondere auch Cookies zählen. Die gute Nachricht vorab: Sofern Website-Betreiber die Vorgaben des Europäischen Gerichtshofes (EuGH) hinsichtlich Art. 5 Abs. 3 der ePrivacy-Richtlinie bereits umgesetzt haben, ergeben sich aus § 25 TTDSG keine neuen Verpflichtungen bei der Verwendung von Cookies. Denn die Vorschrift kodifiziert lediglich das, was der EuGH bereits 2019 in der sog. Planet49-Entscheidung festgestellt hat: Der Endnutzer einer Website muss gemäß Art. 5 Abs. 3 der ePrivacy-Richtline für die Verwendung von nicht zwingend erforderlichen Cookies seine Einwilligung geben. Entsprechend regelt nun § 25 TTDSG, dass für den Einsatz von Cookies und vergleichbaren technischen Werkzeugen, die nicht für den Betrieb der Website notwendig sind, wirksame Einwilligungen der Endbenutzer einzuholen sind. Dafür muss die Einwilligung den Anforderungen der DSGVO genügen, also freiwillig, bestimmt, informativ, unmissverständlich sowie ausdrücklich erfolgen und jederzeit widerrufbar sein. Keiner Einwilligung bedürfen also technisch zwingend notwendige Cookies sowie Cookies, welche ausschließlich der Übertragung von Nachrichten über ein öffentliches Telekommunikationsnetz dienen. Ein Verstoß gegen das Einwilligungserfordernis des § 25 Abs. 1 TTDSG kann mit einer Geldbuße von bis zu 300.000 Euro bestraft werden.
Ergänzend regelt § 26 TTDSG Dienste zur Verwaltung von Einwilligungen, etwa sogenannte „Personal Information Management Services“ (PIMS) oder Single-Sign-On-Lösungen. Solche Dienste sollen es den Endnutzern ermöglichen, ihre Entscheidung über eine Einwilligung oder Ablehnung zum Setzen von Cookies vorab zu treffen und automatisch an Websites zu übermitteln. § 26 TTDSG knüpft die Verwendung solcher Dienste an die Anerkennung durch eine unabhängige Stelle. Die Frage, ob durch derartige Dienste Cookie-Banner obsolet werden, kann jedoch noch nicht abschließend beantwortet werden, da solche Dienste noch gar nicht auf dem Markt sind.
Erweiterter Anwendungsbereich: Internet of Things
Immer beliebter unter Verbrauchern sind Produkte, die mit dem Internet verbunden werden können, wie beispielsweise in den Bereichen Connected Car oder Smart Living. Während die ePrivacy-Richtlinie solche mit dem Internet verbundenen Gegenstände regelmäßig nicht erfasst, geht das TTDSG weiter: Der bereits genannte § 25 regelt „Endeinrichtungen“, die auch die meist in der Cloud gespeicherte Infrastruktur von Gegenständen umfassen, die im Internet der Dinge (Internet of Things) an das öffentliche Kommunikationsnetz angeschlossenen sind. Dadurch unterscheiden sich diese „Endeinrichtungen“ von den „Endgeräten“ der ePrivacy-Richtlinie.
Weitere Regelungen
Neue Regelung für Cookies und Cookie-Banner?
Die meiste Aufmerksamkeit wird in der öffentlichen Diskussion dem § 25 TTDSG gewidmet. Dieser regelt die Speicherung und Nutzung von Informationen auf sog. „Endeinrichtungen“ der Benutzer, worunter insbesondere auch Cookies zählen. Die gute Nachricht vorab: Sofern Website-Betreiber die Vorgaben des Europäischen Gerichtshofes (EuGH) hinsichtlich Art. 5 Abs. 3 der ePrivacy-Richtlinie bereits umgesetzt haben, ergeben sich aus § 25 TTDSG keine neuen Verpflichtungen bei der Verwendung von Cookies. Denn die Vorschrift kodifiziert lediglich das, was der EuGH bereits 2019 in der sog. Planet49-Entscheidung festgestellt hat: Der Endnutzer einer Website muss gemäß Art. 5 Abs. 3 der ePrivacy-Richtline für die Verwendung von nicht zwingend erforderlichen Cookies seine Einwilligung geben. Entsprechend regelt nun § 25 TTDSG, dass für den Einsatz von Cookies und vergleichbaren technischen Werkzeugen, die nicht für den Betrieb der Website notwendig sind, wirksame Einwilligungen der Endbenutzer einzuholen sind. Dafür muss die Einwilligung den Anforderungen der DSGVO genügen, also freiwillig, bestimmt, informativ, unmissverständlich sowie ausdrücklich erfolgen und jederzeit widerrufbar sein. Keiner Einwilligung bedürfen also technisch zwingend notwendige Cookies sowie Cookies, welche ausschließlich der Übertragung von Nachrichten über ein öffentliches Telekommunikationsnetz dienen. Ein Verstoß gegen das Einwilligungserfordernis des § 25 Abs. 1 TTDSG kann mit einer Geldbuße von bis zu 300.000 Euro bestraft werden.
Ergänzend regelt § 26 TTDSG Dienste zur Verwaltung von Einwilligungen, etwa sogenannte „Personal Information Management Services“ (PIMS) oder Single-Sign-On-Lösungen. Solche Dienste sollen es den Endnutzern ermöglichen, ihre Entscheidung über eine Einwilligung oder Ablehnung zum Setzen von Cookies vorab zu treffen und automatisch an Websites zu übermitteln. § 26 TTDSG knüpft die Verwendung solcher Dienste an die Anerkennung durch eine unabhängige Stelle. Die Frage, ob durch derartige Dienste Cookie-Banner obsolet werden, kann jedoch noch nicht abschließend beantwortet werden, da solche Dienste noch gar nicht auf dem Markt sind.
Erweiterter Anwendungsbereich: Internet of Things
Immer beliebter unter Verbrauchern sind Produkte, die mit dem Internet verbunden werden können, wie beispielsweise in den Bereichen Connected Car oder Smart Living. Während die ePrivacy-Richtlinie solche mit dem Internet verbundenen Gegenstände regelmäßig nicht erfasst, geht das TTDSG weiter: Der bereits genannte § 25 regelt „Endeinrichtungen“, die auch die meist in der Cloud gespeicherte Infrastruktur von Gegenständen umfassen, die im Internet der Dinge (Internet of Things) an das öffentliche Kommunikationsnetz angeschlossenen sind. Dadurch unterscheiden sich diese „Endeinrichtungen“ von den „Endgeräten“ der ePrivacy-Richtlinie.
Weitere Regelungen
- Neu regelt § 4 TTDSG die Rechte von Erben von Telekommunikations-Nutzern und schafft damit praktikable Regelungen: Im Todesfall sollen so elektronische Kommunikationskanäle wie E-Mails etc. für die Erben zugänglich werden.
- Endlich sind auch die Regelungen zur Ermittlung von Standortdaten an einem Ort vereint (§ 13 TTDSG).
- Die umfangreichen §§ 22 bis 24 TTDSG regeln das Auskunftsverfahren über Bestands- und Nutzungsdaten neu; sie setzen damit letztlich die Vorgaben aus dem Urteil des Bundesverfassungsgerichts vom 27. Mai 2020 um (1 BvR 1873/13, 1 BvR 2618/13 – Bestandsdatenauskunft II), mit dem auch § 113 TKG für verfassungswidrig erklärt wurde.
- § 9 TTDSG regelt die Rechte zur Verarbeitung (und damit Pflichten zur Löschung) von Verkehrsdaten. Er entspricht inhaltlich aber der bisherigen Regelung in § 96 TKG.
Ausblick
In diesem Zusammenhang, und zur Erleichterung der Anwendung des TTDSG, hat die deutsche Datenschutzkonferenz (DSK) nun eine neue Orientierungshilfe für Telemedienanbieter publiziert. Diese behandelt unter anderem die Frage, wann genau eine Einwilligung nach § 25 TTDSG eingeholt werden muss, und ersetzt die bisherige Orientierungshilfe der DSK aus dem Jahr 2019 zu Art. 5 Abs. 3 ePrivacy-Richtlinie (OH Telemedien 2019). Parallel wird auf europäischer Ebene weiterhin an einer ePrivacy-Verordnung gearbeitet, die zum Beispiel § 25 TTDSG wieder verdrängen würde (aber ohnehin frühestens in zwei Jahren in Kraft treten würde).
In diesem Zusammenhang, und zur Erleichterung der Anwendung des TTDSG, hat die deutsche Datenschutzkonferenz (DSK) nun eine neue Orientierungshilfe für Telemedienanbieter publiziert. Diese behandelt unter anderem die Frage, wann genau eine Einwilligung nach § 25 TTDSG eingeholt werden muss, und ersetzt die bisherige Orientierungshilfe der DSK aus dem Jahr 2019 zu Art. 5 Abs. 3 ePrivacy-Richtlinie (OH Telemedien 2019). Parallel wird auf europäischer Ebene weiterhin an einer ePrivacy-Verordnung gearbeitet, die zum Beispiel § 25 TTDSG wieder verdrängen würde (aber ohnehin frühestens in zwei Jahren in Kraft treten würde).