Das neue Datenschutzgesetz für Telemedien und Telekommunikation: Der Einsatz von Cookies nach dem TTDSG

Derzeit sind die datenschutzrechtlichen Anforderungen für Telemedien und die Telekommunikation noch unübersichtlich verteilt: Nicht nur in der DSGVO, sondern auch im TKG sowie im TMG finden sich Spezialregelungen für den Datenschutz. Um diese in einem einheitlichen Gesetzeswerk zusammenfassen und darüber hinaus an europarechtliche Vorgaben anzupassen, wird am 1. Dezember 2021 das Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien („TTDSG“) in Kraft treten. Zentraler Baustein des TTDSG ist die Einwilligungspflicht für Cookies, die wir Ihnen neben den wichtigsten anderen Neuerungen durch das Gesetz in diesem Beitrag vorstellen.

I. Einführung: Wen das TTDSG adressiert

Das TTDSG richtet sich an alle Anbieter von Telemedien- und Telekommunikationsdiensten und bestimmt, dass und wie diese die personenbezogenen Daten ihrer Nutzer:innen zu schützen haben. Die Frage, was ein Telemedienanbieter und was Telemedien nach dem Gesetz sind, beantwortet das TTDSG in § 2 Abs. 2 Nr. 1 in gleicher Weise wie bisher: Es handelt sich um „jede natürliche oder juristische Person, die eigene oder fremde Telemedien erbringt, an der Erbringung mitwirkt oder den Zugang zur Nutzung von eigenen oder fremden Telemedien vermittelt“. Telemedien sind dabei alle elektronischen Informations- und Kommunikationsdienste sind, soweit es sich nicht um Telekommunikationsdienste, telekommunikationsgestützte Dienste oder Rundfunk handelt. Es bleibt also dabei, dass darunter die meisten Internetangebote fallen, von Suchmaschinen und Blogs über E-Mail-Newsletter bis hin zu Onlineshops.

Neu ist hingegen die Erweiterung des Begriffs der Telekommunikationsanbieter beziehungsweise der Telekommunikationsdienste. Zusätzlich zu den herkömmlichen Telekommunikationsdiensten gehören nun auch durch den Begriff der „interpersonellen Kommunikationsdienste“ Over-the-Top-Dienste (OTT-Dienste) dazu. Von der gesetzlichen Definition umfasst sind diejenigen OTT-Dienste, die über das Internet angeboten werden, ohne dass der Internetanbieter dabei beteiligt ist. Gemeint sind in erster Linie E-Mail-Dienste, Instant-Messenger wie WhatsApp oder Telegram und Internettelefonie-Angebote.

II. Die Einwilligungspflicht für Cookies nach dem TTDSG

Der neue § 25 TTDSG beendet die unklare Rechtslage für Cookies, nach der in § 15 Abs. 3 TMG entgegen dem Wortlaut ein Einwilligungserfordernis hineingelesen wird, da die Norm anderenfalls dem Europarecht widerspräche. § 25 TTDSG formuliert nun eine klare Einwilligungspflicht mit einigen Ausnahmen. § 25 Abs. 1 S. 1 TTDSG:

„Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat.“

Die Formulierung ist bewusst neutral gehalten, damit sich die Regelung nicht nur auf Cookies, sondern auch auf alle anderen vergleichbaren Technologien erstreckt, mit denen Informationen auf Endgeräten gespeichert und ausgelesen werden. Hier geht es etwa um Browser-Fingerprinting, wenn Informationen über Browser-Einstellungen genutzt werden, Nutzer:innen zu identifizieren. Ebenfalls wird der Begriff der Endeinrichtung weit gefasst, um über die herkömmlichen Endgeräte wie Notebooks und Smartphones hinaus alle internetfähigen Geräte mit in den Anwendungsbereich einzuschließen; unter anderem also Smart-Geräte und Internet of Things („IoT“).

Die Art und Weise, wie die Einwilligung eingeholt werden muss, zeigt die DSGVO an. Es gelten also die bekannten Voraussetzungen: Die Nutzer:innen müssen über alle Umstände informiert werden und aktiv einwilligen, etwa durch Opt-In. Wichtig ist zudem, dass die Einwilligung freiwillig erteilt wird und dabei ist insbesondere von Bedeutung, dass die Erbringung des Dienstes nicht von der Erteilung der Einwilligung abhängig gemacht wird (vgl. Art. 7 Abs. 4 DSGVO).

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Abmeldelink in jedem Newsletter. Mehr in der Datenschutzerklärung.

III. Zwei Ausnahmen vom Einwilligungserfordernis

In Absatz 2 des § 25 TTDSG wurden zwei Konstellationen festgelegt, in denen keine Einwilligung erforderlich ist. Die erste Ausnahme greift dann, wenn ausschließlich zu dem Zweck, eine Nachricht über ein öffentliches Telekommunikationsnetz zu übertragen, Informationen auf Endeinrichtungen gespeichert werden beziehungsweise auf sie zugegriffen wird. Die erste Ausnahme ist für den Fall vorgesehen, dass Speicherung oder Zugriff für Telemedienanbieter unbedingt erforderlich sind, um Nutzer:innen einen ausdrücklich gewünschten Telemediendienst zur Verfügung zu stellen. Für die sogenannten technisch erforderlichen Cookies gibt es die zweite Ausnahme. Sie dienen, anders etwa als optionale Cookies für Werbe-Tracking, dem Betrieb einer Webseite, für die technische Sicherheit oder auch die Speicherung von Warenkörben in Onlineshops.

IV. Neue Möglichkeiten zur Verwaltung von Einwilligungen

Die immer neue Aufforderung auf Webseiten, sich über die Nutzung von Cookies zu entscheiden, wird von vielen Besucher:innen als störend empfunden. Technisch war es längst möglich, eine Entscheidung darüber einmalig zu treffen und mittels einer Anwendung zu speichern, um die Information nicht jedes Mal wieder erteilen zu müssen. Bislang fehlte aber der entsprechende rechtliche Rahmen, der nun mit § 26 TTDSG gezogen wurde. Personal Information Management Devices (PIMS) und sonstige Dienste zum Einwilligungsmanagement werden nun erlaubt, müssen allerdings erst von einer unabhängigen Stelle anerkannt werden. Die Entscheidung darüber ist von den im Gesetz genannten Voraussetzungen abhängig, die alle zugleich gegeben sein müssen.

a) Das Verfahren und die technische Anwendung zur Einwilligungsverwaltung ist nutzerfreundlich und wettbewerbskonform.
b) Der Dienst hat kein wirtschaftliches Eigeninteresse an der Erteilung der Einwilligung sowie den damit verbundenen Daten und es besteht keine Abhängigkeit zu Unternehmen mit solchen Interessen.
c) Die personenbezogenen Daten werden nur zum Zweck der Einwilligungsverwaltung verarbeitet.
d) Es gibt ein Sicherheitskonzept, das eine Qualitäts- und Zuverlässigkeitsbewertung ermöglicht und alle technisch-organisatorischen Maßnahmen für Datenschutz und Datensicherheit aus der DSGVO werden erfüllt.

V. Was das TTDSG noch beinhaltet

Von den weiteren Bestimmungen des TTDSG sind vor allem noch zwei relevant – zum einen befindet sich in § 3 TTDSG eine neue Regelung des Fernmeldegeheimnisses. Dass sich dieses auf den Inhalt der Kommunikation und ihre näheren Umstände, etwa ob jemand an einem Telekommunikationsvorgang beteiligt war oder es erfolglose Verbindungsversuche gegeben hat, erstreckt, ist alte wie neue Rechtslage. Allerdings ist der Adressatenkreis, der zur Einhaltung des Fernmeldegeheimnisses verpflichtet ist, neu gefasst worden. Er beinhaltet mit dem neuen TTDSG alle Anbieter öffentlich zugänglicher und ganz oder teilweise geschäftsmäßig angebotener Telekommunikationsdienste; darüber hinaus alle natürlichen und juristischen Personen, die an der Erbringung dieser Dienste beteiligt sind und schließlich alle Betreiber öffentlicher Telekommunikationsnetze sowie von Telekommunikationsanlagen, mit denen geschäftsmäßig Telekommunikationsdienste erbracht werden.

Des Weiteren sind alle Personen, die geschäftsmäßig Telemediendienste erbringen, dazu verpflichtet, unter bestimmten Voraussetzungen Bestands- und Nutzungsdaten an öffentliche Stellen herauszugeben. Nach § 22 bzw. § 24 Abs. 3 TTDSG geht es dabei allerdings allein um besonders schwerwiegende Gründe im öffentlichen Interesse. Dazu gehört etwa die Verfolgung einiger Straftaten oder der Schutz von Leib und Leben Einzelner oder der öffentlichen Sicherheit. Hierbei sind Bestandsdaten personenbezogene Daten, die zur Begründung, inhaltlichen Ausgestaltung oder Änderung eines Vertragsverhältnisses zwischen Telemedienanbieter und Nutzer:in über die Nutzung von Telemedien verarbeitet werden müssen. Nutzungsdaten sind personenbezogene Daten über Telemediennutzer:innen, die verarbeitet werden müssen, damit die Telemedien genutzt und abgerechnet werden können. Vor allem gehören dazu Merkmale zur Identifikation, Angaben über Beginn, Ende und Umfang der Nutzung sowie über die in Anspruch genommenen Telemedien (§ 2 Abs. 2 Nr. 2 und 3 TTDSG).


Mehr zum Thema

Update zum TTDSG: Neues Datenschutzrecht für Tele­kommunikation & Telemedien
Ratgeber für Nutzertracking und Cookies – mit Ausblick auf TTDSG und ePrivacy-VO


VI. Ausblick

Mit dem TTDSG ergeben sich vor allem Fortschritte in der Übersichtlichkeit der datenschutzrechtlichen Vorgaben für Telemedien- und Telekommunikationsdienste. Die umständliche unionsrechtskonforme Auslegung des § 15 Abs. 3 TMG ist nunmehr ebenso Geschichte wie das Nebeneinander von Regeln in unterschiedlichen Gesetzen. Unternehmen sollten allerdings beachten, dass nach wie vor die ePrivacy-Verordnung geplant ist, nach deren Inkrafttreten erneute Änderungen anstehen, die zumindest teilweise auch das TTDSG betreffen werden dürften. Inhaltlich hält das TTDSG verhältnismäßig wenig Änderungen bereit und belässt es leider auch bei einigen Unklarheiten. Beispielsweise muss erst die Rechtspraxis zeigen, wie Cookies, die zwar nicht zum Tracking, aber immerhin zur Optimierung des Webseitenbetriebs eingesetzt werden, eingeordnet werden. Trotzdem sollten Unternehmen sich auf das TTDSG frühzeitig einstellen: Bußgelder können nach dem neuen Gesetz in Höhe von bis zu 300.000 Euro verhängt werden.

Kontakt

office@srd-rechtsanwaelte.de

Berlin

+49 (0)30 21 30 028-0

Düsseldorf

+49 (0)211 41 55 868-0

München

+49 (0)89 61 42 412-70

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Abmeldelink in jedem Newsletter. Mehr in der Datenschutzerklärung.