Hintergrund
Eigentlich sollte zusammen mit der DSGVO auch die sogenannte ePrivacy-Verordnung in Kraft treten. Bis heute konnten sich die Mitgliedsstaaten nicht auf einen gemeinsamen Gesetzesentwurf einigen. Daher nimmt der deutsche Gesetzgeber den Datenschutz zu den Themen „Websites, Messaging- und Internettelefonie-Dienste, Apps und Co.“ jetzt selbst in die Hand. Es ist unter anderem auch eine Reaktion auf die zahlreichen Gerichtsverhandlungen rund um die Cookie-Nutzung, die es in den letzten Jahren zahlreich gab.
Ein neues Gesetz tritt in Deutschland zum 01.12.2021 in Kraft: das TTDSG
Der Bundestag verabschiedete das „Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien“ (kurz: TTDSG).
Ziel des TTDSG ist die erforderliche Anpassung der Datenschutzbestimmungen des Telekommunikationsgesetzes (TKG) und des Telemediengesetzes (TMG) an die Datenschutz-Grundverordnung (DSGVO) sowie die immer noch ausstehende Umsetzung der ePrivacy-Richtlinie. Damit sollen die Rechtsunsicherheiten beseitigt werden, die bisher durch das Nebeneinander von DSGVO, TMG und TKG entstanden sind.
Was ändert sich dadurch?
Der Anwendungsbereich des TTDSG umfasst nach § 1 Abs. 3 dabei alle Unternehmen und Personen, die im Geltungsbereich dieses Gesetzes eine Niederlassung haben oder Dienstleistungen erbringen oder daran mitwirken oder Waren auf dem Markt bereitstellen.
Vor allem die neuen Cookie-Richtlinien haben eine große Relevanz – sowohl für den Nutzer, wie auch für Unternehmen. Neben dem Umgang mit Cookies wird beispielsweise das Fernmeldegeheimnis, die Abhörverbote und die Rechte von Erben des Endnutzers von Telekommunikationsdiensten oder Telemedien thematisiert. Wir konzentrieren uns in dieser Mail allerdings auf die Cookies und die sogenannten Cookieless-Technologien (Bsp. Browser Fingerprinting) die vom TTDSG erfasst werden.
Im neuen § 24 TTDSG steht „Cookies und andere identifizierende Daten (sog. Verkehrsdaten) dürfen nur gespeichert oder ausgelesen werden, wenn der Endnutzer eingewilligt hat. Für die Einwilligung gelten die Voraussetzungen der DS-GVO. Die Einwilligung muss auf der Grundlage von klaren und umfassenden Informationen beruhen und mit einer eindeutigen bestätigenden Handlung erfolgen.“
Damit wird die Erfassung von personenbezogenen und auch von nicht personenbezogenen Daten (Verkehrsdaten) sehr klar geregelt. Neu ist die Hinzunahme der sogenannten Verkehrsdaten, also der nicht personenbezogenen Daten!
Ausnahmen gibt es nur, wenn Cookies und vergleichbare Erfassungen (Cookieless)
- unbedingt erforderlich sind, um einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung zu stellen, oder
- wenn ein Cookie oder eine Erfassung für die Übertragung einer Nachricht unverzichtbar ist.
Es ist also so, dass die Speicherung von Cookies oder die Erfassung von Informationen auf bzw. von beliebigen Endgeräten immer dann einwilligungspflichtig ist, wenn wir nicht zwingend nachweisen können, dass dies zur Erbringung einer gewünschten Leistung notwendig ist.
Eine weitere Neuigkeit
Als Lösung für die Einholung und Verwaltung von Einwilligungen sollen sogenannte Personal Information Management Systems (abgekürzt: PIMS) eingeführt werden.
Man versteht darunter Dienste, mit denen man persönliche Informationen verwalten kann. In einem solchen Programm könnte ein Nutzer also im Vorfeld angeben, ob, wo und unter welchen Bedingungen er Cookies erlauben oder ablehnen möchte. Das PIMS kann diese Anweisung dann selbstständig und automatisch auf den besuchten Websites umsetzen. Damit wird verhindert, dass NutzerInnen ständig Cookie Banner wegklicken müssen und zur Einwilligung der Verarbeitung ihrer personenbezogenen Daten gedrängt werden.
Die Bundesregierung soll bzw. muss jetzt noch eine Verordnung schaffen, in der die Anforderungen für solche Dienste festgelegt werden. Prüfung und Zulassung soll von den Datenschutzbehörden übernommen werden und die Betreiber von PIMS dürfen keine wirtschaftlichen Eigeninteressen von einer Einwilligung in Cookies verfolgen. Doch bis eine Rechtsverordnung erlassen wurde und die Zulassung von solchen Systemen erfolgen kann, können erfahrungsgemäß noch viele Monate vergehen. Ein gutes Consent-Management-Tool ist also weiterhin unerlässlich, wenn man Cookies setzen möchte bzw. andere identifizierbare Daten sammelt.
Verstöße werden teuer
Verstöße gegen das TTDSG werden als Ordnungswidrigkeit behandelt und insbesondere die Regelungen zur Cookie- oder Verkehrsdaten-Einwilligung können mit Bußgeldern in Höhe von bis zu 300.000 Euro bestraft werden!
Weitere Regelungen des TTDSG
Die Strafen für ungenehmigte, heimliche Ton- und Bildaufnahmen wurden erhöht und die Regelungen für unzulässige Werbeanrufe und das unerlaubte Unterdrücken einer Rufnummer verschärft.
Außerdem wird das Fernmeldegeheimnis deutlich ausgeweitet und auf zusätzliche Medien erweitert (E-Mails, Messenger und Internettelefonie). Das schließt vor allem große Anbieter wie Facebook und Google mit ein. Diese Technologiedienstleister sind in Zukunft nicht mehr befugt, die auf den Plattformen stattfindende Kommunikation zu analysieren. Wie das Ganze dann in der Praxis aussieht, wird sich vermutlich erst nach Inkrafttreten der Verordnung zeigen.