HMDATA Datenschutz-Newsletter 11/21

TTDSG - ohne Übergangsfrist zum 01.12.2021

HMDATA Datenschutz-Newsletter 11/2021, Autor: Dipl.-Ing. (FH) Harald Müller-Delius, MBA, ©HMD 2024

Mit dem TTDSG (Telekommunikation-Telemedien-Datenschutzgesetz oder "Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien") tritt nicht nur eine kreative Wortschöpfung, sondern auch ein - aus Sicht von Juristen - handwerklich und fachlich nicht ganz souveränes Gesetz in Kraft. Und das ohne Übergangsfrist.
Das Gute vorweg: wer vorher schon alles richtig gemacht hat, für den gibt es nicht sonderlich viele Neuerungen. In erster Linie ist das Gesetz auch für Unternehmen der Telekommunikationsbranche und "On-Top"-Diensten, also bspw. Twitter, WhatsApp & Co. von Interesse.
Vor allem das Marktort-Prinzip wird für große Anbieter von Telemedien oder On-Top-Diensten ein paar Extra-Klimmzüge bedeuten.

Der Geltungsbereich in §2 Abs. 2 TTDSG wird wie folgt definiert: „Anbieter von Telemedien jede natürliche oder juristische Person, die eigene oder fremde Telemedien erbringt, an der Erbringung mitwirkt oder den Zugang zur Nutzung von eigenen oder fremden Telemedien vermittelt." Also auch alle gewerblichen Website-Betreiber.

Eigentliches Ziel des TTDSG ist, eine Zusammenführung der bisherigen Gesetze aus TMG (Telemediengesetz), TKG (Telekommunikationsgesetz) und der DSGVO zu schaffen. Zumindest, bis die europäische ePrivacy-Verordnung in Kraft tritt. So hat der Gesetzgeber noch auf die Schnelle versucht, vor der Bundestagswahl eine drohende Lücke zu schließen.

Wo wird das TTDSG nun für Unternehmen interessant?

Zum einen bewahrheitet sich der Grundsatz, das private Surfen und Mailen von Mitarbeitern auf betrieblich genutzter IT grundsätzlich zu verbieten. Dann fällt man als Unternehmer auch gar nicht möglicherweise unter das TKG.
Praktische Anwendung findet das TTDSG aber bei allen Online-Aktivitäten der Unternehmen, insb. bei der Einwilligungspflicht für Cookies und vergleichbare Techniken.

Und hier findet im Vergleich zur bisherigen gesetzlichen Grundlage aus §15 Abs. 3 TMG der neue §25 TTDSG Anwendung: „Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat.“

Das wirklich Spannende und Neue hierbei ist: der Begriff Endeinrichtung. Damit ist nun eben nicht mehr nur der Browser gemeint, sondern technologieneutral alles, was an Technik für Onlineaktivitäten seitens eines Endanwenders genutzt werden kann. Also auch: Smartphone, Kfz, SmartTV, SmartHome, SmartMeter, IoT, Fitnesstracker, usw. Und die Einwilligung greift auf Art. 7 DSGVO und ErwgGr. 32 zurück, was den formalen Rahmen und der Gültigkeit der Einwilligung einen Rahmen setzt.

Das TTDSG setzt allerdings der DSGVO noch einen drauf: es geht nicht nur um personenbezogene Daten, sondern auch alle möglichen weiteren durch den Nutzer generierten Daten, also bspw. Messwerte, Finger-Printing-Daten, usw.

Zudem gibt es in §28 einen eigenen Bußgeldkatalog nach TTDSG. Der ist zwar mit max. 300.000 Euro erheblich geringer als bei der DSGVO, wird aber bei Verstoß gegen die Verarbeitung personenbezogener Daten zusätzlich zum Bußgeld nach DSGVO herangezogen. Das senkt die Hürde für Bußgelder bei fehlerhaften Cookie-Consent-Layern erheblich, da nicht unbedingt mehr der Datenschutzverstoß maßgeblich ist.
Da sehr leicht von Extern zu kontrollieren ist, ob die Cookie-Einwilligung korrekt nach TTDSG umgesetzt ist, droht hier sehr leicht, Opfer eines Abmahnverfahrens zu werden. Die Hürden sind wesentlich geringer als bei der DSGVO. Der österreichische Datenschutzaktivist Schrems hat bereits seit längerem Sammelklagen gegen intransparente Cookie-Consent-Layer am Laufen. Die TTDSG würde hier durch die Festlegung der formalen Kriterien ab dem 1.12.21 ganz schnell kurzen Prozess machen.

Was muss ich nun tun?

Das große ToDo in Bezug auf das TTDSG für Unternehmen heißt: Cookie-Consent-Layer. Der bisherige Einsatz ist nun unbedingt bis zum 1.12.2021 zu prüfen, da keine Übergangsfrist besteht. Das TTDSG hat auf alle Fälle wesentlich mehr Abmahnpotenzial als die DSGVO!
Wie muss der Cookie-Consent-Layer nun korrekt aussehen:

  • es ist eine formal korrekte Einwilligung nach Art. 7 DSGVO einzuholen (hier also inbs. die Informationspflichten und die aktive Einwilligung beachten)
  • die technische Umsetzung ist korrekt vorzunehmen (also Einbetten von Scripts, Tracking- und Marketing-Tools, Speichern personenbezogener Daten oder Session-übergreifenden Informationen in Cookies, Informationen für Werbenetzwerke, usw.) erst NACH der erfolgten Einwilligung
  • prüfen auf technische Notwendigkeit: für Cookies, die technisch unbedingt notwendig zum Betrieb des Telemedienangebotes notwendig sind, benötigt es keine Einwilligung. Dies ist jedoch im Einzelfall genau zu prüfen, typische Ausnahmen wären (Session-Cookies und Warenkorb-Cookies).
  • Transparenz bei der Gestaltung: zum Einen muss es ebenso leicht abzuwählen wie anzuwählen sein. Optisch verstecktes Opt-Out wird nicht funktionieren und farblich hervorgehobene "Zustimmen"-Buttons wären unzulässig. Auch ist strittig, ob das Deaktivieren von 25 einzelnen Tools zur Transparenz beiträgt. Idealerweise umfasst der Cookie-Consent-Layer also nur die drei Optionen "Technisch notwendig", "Analyse- und TrackingTools", "Marketing- und Werbetools", die dann summierend alle Dienste aktivieren oder deaktivieren. Genannt werden müssen alle Dienste aber selbstverständlich, damit sich der Nutzer informieren kann.
Also kurz gesagt: prüfen Sie nochmals die Implementierung Ihres Cookie-Consent-Layers und prüfen, ob das ein oder andere Tool auch wirklich notwendig ist. Kleine Idee aus der Technikkiste: eine WebSite-Statistik kann man sich mit gängigen Tools auch per anonymisierten Server-LogFiles einholen, und das ganz ohne Cookie-Consent-Layer und Datenschutzverrenkung.
Sollten Sie eines der gängigen Tools für den Cookie-Layer einsetzen, sollte die Umsetzung aber auch schon an das TTDSG angepasst sein.

Und sonst so?

Anbei bemerkt sei noch, dass das TTDSG auch noch weitere Sachverhalte regelt. Als Beispiel sei genannt, dass das Fernmeldegeheimnis nun auch das Erbe eines Online-Nachlasses regelt und neue Regelungen zur Rufnummerunterdrückung stattfinden. Interessant womöglich für alle Call-Center- und Akquisetätigkeiten.

Der Ausblick

Das TTDSG ist ganz klar nur eine juristische Zwischenlösung als Reaktion auf die BGH-Urteile, bis die ePrivacy-Verordnung in Kraft tritt. Da aber der Gesetzgeber nun auf die Schnelle eine nationale Zwischenlösung geschaffen hat, gilt es erst einmal das Geflecht aus TMG, TKG, TTDSG und DSGVO zu entschlüsseln, insb. die Definition der Begrifflichkeiten ist Abenteuer genug.
Und was dann passieren soll, wenn perspektivisch die ePrivacy-Verordnung als europäische Gesamtlösung in Kraft tritt und damit noch mehr vernetzte Regelungen über die bestehenden Gesetze ausgeschüttet werden, bleibt abzuwarten. Aber vor 2023 wird das nicht der Fall sein, und bis dahin mag ja eine spannende, einheitliche, verständliche Lösung gefunden sein.

©2024 by Harald Müller-Delius. Dieser Text ist urheberrechtlich geschützt. Das Verwenden - auch in Auszügen - ist nur nach ausdrücklicher schriftlicher Genehmigung durch den Autor gestattet. Jede widerrechtliche Nutzung ist untersagt. Für diesen Text können Nutzungsrechte erworben werden, Anfragen zur Nutzung per E-Mail an hmd@hmdata.de