Neu: Wildcard-Zertifikate über Let’s Encrypt oder ZeroSSL
Mit einem Wildcard-Zertifikat schützen Sie Ihre Domain und beliebig viele Subdomains. Über ISPConfig können jetzt auch Wildcard-Zertifikate von Let’s Encrypt und ZeroSSL ausgestellt werden.
Das Telekommunikation-Telemedien-Datenschutzgesetz tritt in Deutschland zum 1.12.2021 in Kraft.
Zum einen soll damit die EU ePrivacy-Richtlinie (Datenschutzrichtlinie für die elektronische Kommunikation) in deutsches Recht umgesetzt werden. Zum anderen sollen die Datenschutzbestimmungen des Telekommunikationsgesetzes (TKG) und des Telemediengesetzes (TMG) in einem Gesetz zusammengefasst und damit an die DSGVO angepasst werden.
Gleichzeitig werden durch die Schaffung des TTDSG und der Novellierung des TKG bestehende Schutzlücken geschlossen und der europäische Kodex für die elektronische Kommunikation umgesetzt. Damit unterliegen nun auch neue Internetdienste, die eine interpersonelle nummernunabhängige Kommunikation ermöglichen, eindeutigen Rechtsgrundlagen, auf die das Telekommunikationsrecht bisher nicht anwendbar war. Das sind zum Beispiel sogenannte "Over-The-Top-(OTT)"-Kommunikationsdienste, wie webgestützte E-Mail-Dienste, Instant-Messaging-Dienste wie WhatsApp oder Threema sowie Voice-over-IP (VoIP-)Telefonie.
Das TTDSG gliedert sich in vier Teile. Neben Allgemeinen Vorschriften (1) enthält es Regelungen
Es gilt laut § 1 Abs. 3 für alle Unternehmen und Personen, die im Geltungsbereich
Das TTDSG ist anzuwenden auf Rundfunk, Telekommunikationsdienste bzw. telekommunikationsgestützte Dienste und Telemediendienste. Im weiteren Verlauf dieses Blogs befassen wir uns ausschließlich mit den Teilen des Gesetzes, die für Anbieter von Telemedien relevant sind.
Anbieter von Telemedien sind laut § 2 Abs. 2 Nr. 1 TTDSG natürliche und juristische Personen, die
Im Sinne des § 1 Abs. 1 S. 1 TMG sind Telemedien alle elektronischen Informations- und Kommunikationsdienste. Das können unter anderem sein:
Laut § 1 TTDSG regelt es unter anderem
Die Begriffsdefinitionen zu "Bestandsdaten", "Nutzungsdaten" und "Endeinrichtungen" gibt der Gesetzgeber in § 2 Nr. 2, 3 und 6 TTDSG.
Bestandsdaten | Nutzungsdaten | Endeinrichtungen |
sind die personenbezogenen Daten, deren Verarbeitung zum Zweck der Begründung, inhaltlichen Ausgestaltung oder Änderung eines Vertragsverhältnisses zwischen dem Telemedienanbieter und dem Telemediennutzer erforderlich sind. |
sind die personenbezogenen Daten eines Telemediennutzers, deren Verarbeitung erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen. Insbesondere gehören dazu:
|
ist jede direkt oder indirekt an die Schnittstelle eines öffentlichen Telekommunikationsnetzes angeschlossene Einrichtung zum Aussenden, Verarbeiten oder Empfangen von Nachrichten. Beispiele: PC, Laptop, Smartphone, Smart-Home-Geräte wie TV, Alarm- oder Heizsysteme |
Grundsätzlich lässt sich sagen, dass es im ersten Moment keine wirklichen Neuerungen gibt. Bisher gingen die Regelungen zum Datenschutz aus der DSGVO, dem TMG und dem TKG hervor. Mit dem TTDSG werden alle Vorschriften nun vereinheitlicht und das EU-Recht aus der ePrivacy-Verordnung im deutschen Recht umgesetzt.
Damit ist aber auch Fakt: Wenn Sie bezüglich der ePrivacy-Verordnung aus 2009 bisher noch nicht aktiv geworden sind, sollten Sie spätestens jetzt die nötigen Vorkehrungen treffen, denn bei Verstößen gegen das TTDSG können ab 1.12.2021 Bußgelder bis zu einer Höhe von 300.000 Euro auferlegt werden – bei gleichzeitigen Verstößen gegen die DSGVO können diese noch höher sein.
Die wohl entscheidenste Regelung für Betreiber von Websites und Onlineshops ist wahrscheinlich die sogenannte "Cookie-Richtlinie", die sich in § 25 TTDSG wiederfindet. Grundsätzlich gibt es dafür eine feste Regelung im TMG, die allerdings nicht europarechtskonform ist. Das ändert sich zum 1.12.2021.
Zusätzlich dazu ist noch § 26 TTDSG interessant, der Personal Information Management Services (PIMS) beschreibt und alternative Möglichkeiten zu Cookie-Bannern aufgreift.
Daher werden wir uns diese Paragraphen im Folgenden einmal genauer anschauen.
Um was geht es bei diesem Paragraphen?
Dieser Paragraph dient dem "Schutz der Privatsphäre bei Endeinrichtungen" und sagt aus, dass der Zugriff oder die Speicherung von Informationen in der Endeinrichtung des Endnutzers nur zulässig sind, wenn er auf der Basis von klaren und umfassenden Informationen eingewilligt hat.
Damit reicht es ab 1.12.2021 nicht mehr aus, dass ein berechtigtes Interesse vorliegt und der Nutzer informiert wurde. § 25 TTDSG schafft ein explizites Einwilligungserfordernis. Im Paragraph wird auf die DSGVO (Verordnung (EU) 2016/679) verwiesen, was drei wichtige Punkte mit sich bringt:
1. Art und Weise der Einwilligung
Der Endnutzer muss nun
seine Einwilligung erteilen und diese jederzeit widerrufen können.
» Ausdrücklich meint, dass der Nutzer aktiv, zum Beispiel über das Setzen eines Häkchens oder durch den Klick auf einen Button, zustimmen muss.
» Dies muss freiwillig erfolgen. Das heißt, dass die Einwilligung nicht von einer Bereitstellung von Services oder Dienstleistungen abhängig gemacht werden darf.
» Zusätzlich muss der Telemedienanbieter darüber informieren, welche Cookies im Einzelnen enthalten sind, für welchen Zweck sie verwendet werden und wie lange sie gültig sind. Zudem muss es im Einzelnen eine Auswahlmöglichkeit für den Nutzer geben.
2. Art der Daten
Mit dem Verweis auf die ePrivacy-Richtlinie gilt § 25 TTDSG nicht nur für personenbezogene, sondern für alle Daten, die bei einem Zugriff auf die Endeinrichtung anfallen.
3. Technologie-Neutralität
Oft spricht man im Zusammenhang mit der ePrivacy-Richtlinie und nun, mit dem TTDSG, von der Cookie-Richtlinie. Tatsächlich umfasst der Paragraph aber alle Techniken, die ein Speichern, und/oder Auslesen von Informationen auf Endgeräten erfordern. Damit betrifft die Regelung nicht nur Cookies, sondern beispielsweise auch Tags oder Pixel.
Ausnahmen hierzu finden sich in § 25 Abs. 2 TTDSG,
Den letzten Punkt klärt das TTDSG allerdings nicht abschließend und eindeutig, sodass abzuwarten bleibt, was für den Gesetzgeber unter "unbedingt erforderlich" fällt. Aktuell gehen Datenschützer davon aus, dass technisch notwendige Cookies unter diese Ausnahme fallen, da sie die Funktionalität einer Website gewährleisten. Um das etwas abzugrenzen, möchten wir daher im nächsten Teil unseres Blogs einmal erklären, was Cookies überhaupt sind und in welche Kategorien sie eingeteilt werden können.
Beim Aufrufen einer Website speichert der Browser auf dem Computer des Nutzers Cookies ab. Das sind kleine Textdateien, die Daten zum Besuch der Website oder des Onlineshops enthalten und die Nutzerfreundlichkeit erhöhen. Das können beispielsweise Spracheinstellungen sein, die bei einem späteren nochmaligen Besuch der Seite durch den Browser übermittelt werden.
Die in der Textdatei hinterlegten Daten können nur von dem Webserver ausgelesen werden, der das Cookie gesetzt hat. Sie enthält im Normalfall eine zufällig generierte Nummer zur Wiedererkennung des Computers und eine Angabe über die Lebensdauer der Textdatei. Ein Session-Cookie ist nur für die Dauer der Session aktiv und wird dann gelöscht. Ein Permanent bzw. Persistent Cookie bleibt so lange gespeichert, bis es über den Browser manuell gelöscht wird, beispielsweise, wenn Sie auf einer Seite die "Passwort merken" Funktion aktivieren.
Gerade in Bezug auf die Datenschutzbestimmungen wird zwischen technisch notwendigen und technisch nicht notwendigen Cookies unterschieden.
Technisch notwendige Cookies sind für das Bereitstellen und die Funktionsfähigkeit einer Website essentiell. Ohne sie könnten bestimmte Funktionen, wie beispielsweise die Anmeldung in einem Kundenkonto oder das Speichern eines Warenkorbs, gar nicht umgesetzt werden. Dabei handelt es sich meist um sogenannte First Party Cookies, die vom Website-Betreiber gesetzt werden, auf dessen Seite sich der Nutzer gerade befindet.
Auch wenn § 25 TTDSG nicht eindeutig klärt, ob First Party Cookies als unbedingt erforderlich gelten, so gehen Datenschützer davon aus, dass diese Cookies keiner expliziten Einwilligung durch den Endnutzer bedürfen.
Technisch nicht notwendige Cookies hingegen, dienen neben den Funktionen einer Website auch noch anderen Zwecken und benötigen die Einwilligung des Endnutzers. Darunter fallen nicht nur First Party, sondern vor allem sogenannte Third Party Cookies. Diese werden von Dritten auf anderen Seiten gesetzt, um Nutzerinformationen zu sammeln. Das können sein:
Bevor der Nutzer hier nicht seine Zustimmung erteilt hat, dürfen auch keine persönlichen Daten an den Website-Betreiber oder Dritte übertragen werden.
Mit diesem Paragraphen ebnet der Gesetzgeber den Weg für Personal Information Management Services (kurz PIMS). Der Telemedienanbieter soll dadurch die Möglichkeit erhalten, über ein zentrales Einwilligungsmanagement die Nutzereinwilligungen zu verwalten. Der Internetnutzer müsste also auf einer zwischengeschalteten Seite nur einmal angeben, ob, wo und unter welchen Voraussetzungen er sein Einverständnis zum Setzen von Cookies gibt oder dies ablehnt.
Der Gesetzgeber legt allerdings Voraussetzungen fest, die von PIMS-Anbietern erfüllt werden müssen:
Bevor ein Diensteanbieter einen Antrag hierfür stellen kann, muss allerdings noch das Anerkennungsverfahren und das Zusammenspiel der verschiedenen Beteiligten durch die Bundesregierung konkretisiert werden.
Der Weg für PIMS wurde mit § 26 TTDSG erst einmal nur geebnet. Bis zur eindeutigen Regelung und falls ein Unternehmen danach nicht auf ein zentrales Einwilligungsmanagement setzen möchte, wird weiterhin die Nutzung eines Cookie-Banners notwendig sein, um der expliziten Einwilligung nachzukommen.
Wie bereits unter dem Punkt 2.1 dieses Blogs erwähnt, muss der Cookie-Banner ausführlich über die eingesetzten nicht notwendigen Cookies informieren und die Möglichkeit bieten, dass der Nutzer aktiv einzelnen Cookies zustimmen bzw. ablehnen und dem jederzeit widersprechen kann. An sich ändert sich daher an der Gestaltung des Banners durch das TTDSG nichts.
Achten Sie daher darauf, dass
Anders als beispielsweise in Frankreich, schreibt der deutsche Gesetzgeber keine Gestaltungsregeln des Banners vor.
Zusätzlich sollten Sie auch Ihre Datenschutzerklärung prüfen, ob die nötigen Informationen zur Speicherdauer, eventuellen Weitergabe an Dritte und deren Empfänger beinhaltet sind.
Bitte beachten Sie, dass wir für diesen Blog keine rechtliche Gewährleistung übernehmen.
Wenn Sie sich unsicher sind, ob und in welcher Form Sie für die nötige Gesetzeskonformität sorgen müssen, wenden Sie sich bitte an Ihren Datenschutzbeauftragten.
Quellen:
Testen Sie uns 14 Tage kostenlos Jetzt testen