Welche Änderungen ergeben sich aus dem TTDSG für Telemedienanbieter?
zurück zur Übersicht
25. November 2021

Welche Änderungen ergeben sich aus dem TTDSG für Telemedienanbieter?

Das Telekommunikation-Telemedien-Datenschutzgesetz tritt in Deutschland zum 1.12.2021 in Kraft.  

Zum einen soll damit die EU ePrivacy-Richtlinie (Datenschutzrichtlinie für die elektronische Kommunikation) in deutsches Recht umgesetzt werden. Zum anderen sollen die Datenschutzbestimmungen des Telekommunikationsgesetzes (TKG) und des Telemediengesetzes (TMG) in einem Gesetz zusammengefasst und damit an die DSGVO angepasst werden.

Gleichzeitig werden durch die Schaffung des TTDSG und der Novellierung des TKG bestehende Schutzlücken geschlossen und der europäische Kodex für die elektronische Kommunikation umgesetzt. Damit unterliegen nun auch neue Internetdienste, die eine interpersonelle nummernunabhängige Kommunikation ermöglichen, eindeutigen Rechtsgrundlagen, auf die das Telekommunikationsrecht bisher nicht anwendbar war. Das sind zum Beispiel sogenannte "Over-The-Top-(OTT)"-Kommunikationsdienste, wie webgestützte E-Mail-Dienste, Instant-Messaging-Dienste wie WhatsApp oder Threema sowie Voice-over-IP (VoIP-)Telefonie.

Das TTDSG gliedert sich in vier Teile. Neben Allgemeinen Vorschriften (1) enthält es Regelungen

  • zum Datenschutz und Schutz der Privatsphäre in der Telekommunikation (2),
  • zum Telemediendatenschutz, Endeinrichtungen (3) sowie
  • zu Straf- und Bußgeldvorschriften und Aufsicht (4).

Es gilt laut § 1 Abs. 3 für alle Unternehmen und Personen, die im Geltungsbereich

  • eine Niederlassung haben oder
  • Dienstleistungen erbringen oder daran mitwirken oder
  • Waren auf dem Markt bereitstellen.

1. Wen betrifft das TTDSG?

Das TTDSG ist anzuwenden auf Rundfunk, Telekommunikationsdienste bzw. telekommunikationsgestützte Dienste und Telemediendienste. Im weiteren Verlauf dieses Blogs befassen wir uns ausschließlich mit den Teilen des Gesetzes, die für Anbieter von Telemedien relevant sind.

Anbieter von Telemedien sind laut § 2 Abs. 2 Nr. 1 TTDSG natürliche und juristische Personen, die

  • eigene oder fremde Telemedien erbringen,
  • an deren Erbringung mitwirken oder
  • den Zugang zur Nutzung von eigenen oder fremden Telemedien vermitteln.

Im Sinne des § 1 Abs. 1 S. 1 TMG sind Telemedien alle elektronischen Informations- und Kommunikationsdienste. Das können unter anderem sein:

  • Online-Angebote von Waren/Dienstleistungen mit unmittelbarer Bestellmöglichkeit (z.B. Onlineshops, Online-Pressedienste, Video-on-Demand-Angebote, Anbieter von Börsendaten)
  • Online-Dienste zur Datensuche bzw. Datenabfrage (z.B. Internet-Suchmaschinen)
  • Websites, auch "einfache" Homepages zur Information über ein Unternehmen bzw. eine öffentliche Stelle
  • Verbreitung von Informationen über Waren-/Dienstleistungen mit elektronischer Post (z.B.  Newsletter-Dienste bzw. Werbe-Mails)

Laut § 1 TTDSG regelt es unter anderem

  • besondere Vorschriften zum Schutz personenbezogener Daten bei der Nutzung von Telemedien,
  • die von Anbietern von Telemedien zu beachtenden technischen und organisatorischen Vorkehrungen,
  • die Anforderungen an die Erteilung von Auskünften über Bestands- und Nutzungsdaten durch Anbieter von Telemedien und
  • den Schutz der Privatsphäre bei Endeinrichtungen hinsichtlich der Anforderungen an die Speicherung von Informationen in Endeinrichtungen der Endnutzer und den Zugriff auf Informationen, die bereits in Endeinrichtungen der Endnutzer gespeichert sind.

Die Begriffsdefinitionen zu "Bestandsdaten", "Nutzungsdaten" und "Endeinrichtungen" gibt der Gesetzgeber in § 2 Nr. 2, 3 und 6 TTDSG.

Bestandsdaten Nutzungsdaten Endeinrichtungen
sind die personenbezogenen Daten, deren Verarbeitung zum Zweck der Begründung, inhaltlichen Ausgestaltung oder Änderung eines Vertragsverhältnisses zwischen dem Telemedienanbieter und dem Telemediennutzer erforderlich sind. sind die personenbezogenen Daten eines Telemediennutzers, deren Verarbeitung erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen. Insbesondere gehören dazu:
  • Merkmale zur Identifikation des Nutzers
  • Angaben über Beginn, Ende und Umfang der Nutzung
  • Angaben über die vom Nutzer in Anspruch genommenen Telemedien
 ist jede direkt oder indirekt an die Schnittstelle eines öffentlichen Telekommunikationsnetzes angeschlossene Einrichtung zum Aussenden, Verarbeiten oder Empfangen von Nachrichten.
Beispiele: PC, Laptop, Smartphone, Smart-Home-Geräte wie TV, Alarm- oder Heizsysteme

2. Gibt es neue Regeln für Betreiber von Onlineshops und Websites durch das TTDSG?

Grundsätzlich lässt sich sagen, dass es im ersten Moment keine wirklichen Neuerungen gibt. Bisher gingen die Regelungen zum Datenschutz aus der DSGVO, dem TMG und dem TKG hervor. Mit dem TTDSG werden alle Vorschriften nun vereinheitlicht und das EU-Recht aus der ePrivacy-Verordnung im deutschen Recht umgesetzt.

Damit ist aber auch Fakt: Wenn Sie bezüglich der ePrivacy-Verordnung aus 2009 bisher noch nicht aktiv geworden sind, sollten Sie spätestens jetzt die nötigen Vorkehrungen treffen, denn bei Verstößen gegen das TTDSG können ab 1.12.2021 Bußgelder bis zu einer Höhe von 300.000 Euro auferlegt werden – bei gleichzeitigen Verstößen gegen die DSGVO können diese noch höher sein.

Die wohl entscheidenste Regelung für Betreiber von Websites und Onlineshops ist wahrscheinlich die sogenannte "Cookie-Richtlinie", die sich in § 25 TTDSG wiederfindet. Grundsätzlich gibt es dafür eine feste Regelung im TMG, die allerdings nicht europarechtskonform ist. Das ändert sich zum 1.12.2021.
Zusätzlich dazu ist noch § 26 TTDSG interessant, der Personal Information Management Services (PIMS) beschreibt und alternative Möglichkeiten zu Cookie-Bannern aufgreift.

Daher werden wir uns diese Paragraphen im Folgenden einmal genauer anschauen.

2.1 § 25 TTDSG - die sogenannte "Cookie-Richtlinie"

Um was geht es bei diesem Paragraphen?
Dieser Paragraph dient dem "Schutz der Privatsphäre bei Endeinrichtungen" und sagt aus, dass der Zugriff oder die Speicherung von Informationen in der Endeinrichtung des Endnutzers nur zulässig sind, wenn er auf der Basis von klaren und umfassenden Informationen eingewilligt hat.

Damit reicht es ab 1.12.2021 nicht mehr aus, dass ein berechtigtes Interesse vorliegt und der Nutzer informiert wurde. § 25 TTDSG schafft ein explizites Einwilligungserfordernis. Im Paragraph wird auf die DSGVO (Verordnung (EU) 2016/679) verwiesen, was drei wichtige Punkte mit sich bringt:

1. Art und Weise der Einwilligung
Der Endnutzer muss nun

  • ausdrücklich,
  • freiwillig und
  • informiert

seine Einwilligung erteilen und diese jederzeit widerrufen können.

» Ausdrücklich meint, dass der Nutzer aktiv, zum Beispiel über das Setzen eines Häkchens oder durch den Klick auf einen Button, zustimmen muss.

» Dies muss freiwillig erfolgen. Das heißt, dass die Einwilligung nicht von einer Bereitstellung von Services oder Dienstleistungen abhängig gemacht werden darf.

» Zusätzlich muss der Telemedienanbieter darüber informieren, welche Cookies im Einzelnen enthalten sind, für welchen Zweck sie verwendet werden und wie lange sie gültig sind. Zudem muss es im Einzelnen eine Auswahlmöglichkeit für den Nutzer geben.


2. Art der Daten
Mit dem Verweis auf die ePrivacy-Richtlinie gilt § 25 TTDSG nicht nur für personenbezogene, sondern für alle Daten, die bei einem Zugriff auf die Endeinrichtung anfallen.


3. Technologie-Neutralität
Oft spricht man im Zusammenhang mit der ePrivacy-Richtlinie und nun, mit dem TTDSG, von der Cookie-Richtlinie. Tatsächlich umfasst der Paragraph aber alle Techniken, die ein Speichern, und/oder Auslesen von Informationen auf Endgeräten erfordern. Damit betrifft die Regelung nicht nur Cookies, sondern beispielsweise auch Tags oder Pixel.


Ausnahmen hierzu finden sich in § 25 Abs. 2 TTDSG,

  • wenn der alleinige Zweck der Informationsspeicherung die Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder
  • die Speicherung oder der Zugriff unbedingt erforderlich ist, damit der vom Nutzer ausdrücklich gewünschte Telemediendienst bereitgestellt werden kann.

Den letzten Punkt klärt das TTDSG allerdings nicht abschließend und eindeutig, sodass abzuwarten bleibt, was für den Gesetzgeber unter "unbedingt erforderlich" fällt. Aktuell gehen Datenschützer davon aus, dass technisch notwendige Cookies unter diese Ausnahme fallen, da sie die Funktionalität einer Website gewährleisten. Um das etwas abzugrenzen, möchten wir daher im nächsten Teil unseres Blogs einmal erklären, was Cookies überhaupt sind und in welche Kategorien sie eingeteilt werden können.

2.2 Cookies – Was ist das eigentlich?

Beim Aufrufen einer Website speichert der Browser auf dem Computer des Nutzers Cookies ab. Das sind kleine Textdateien, die Daten zum Besuch der Website oder des Onlineshops enthalten und die Nutzerfreundlichkeit erhöhen. Das können beispielsweise Spracheinstellungen sein, die bei einem späteren nochmaligen Besuch der Seite durch den Browser übermittelt werden.

Die in der Textdatei hinterlegten Daten können nur von dem Webserver ausgelesen werden, der das Cookie gesetzt hat. Sie enthält im Normalfall eine zufällig generierte Nummer zur Wiedererkennung des Computers und eine Angabe über die Lebensdauer der Textdatei. Ein Session-Cookie ist nur für die Dauer der Session aktiv und wird dann gelöscht. Ein Permanent bzw. Persistent Cookie bleibt so lange gespeichert, bis es über den Browser manuell gelöscht wird, beispielsweise, wenn Sie auf einer Seite die "Passwort merken" Funktion aktivieren.

Gerade in Bezug auf die Datenschutzbestimmungen wird zwischen technisch notwendigen und technisch nicht notwendigen Cookies unterschieden.

Technisch notwendige Cookies sind für das Bereitstellen und die Funktionsfähigkeit einer Website essentiell. Ohne sie könnten bestimmte Funktionen, wie beispielsweise die Anmeldung in einem Kundenkonto oder das Speichern eines Warenkorbs, gar nicht umgesetzt werden. Dabei handelt es sich meist um sogenannte First Party Cookies, die vom Website-Betreiber gesetzt werden, auf dessen Seite sich der Nutzer gerade befindet.

Auch wenn § 25 TTDSG nicht eindeutig klärt, ob First Party Cookies als unbedingt erforderlich gelten, so gehen Datenschützer davon aus, dass diese Cookies keiner expliziten Einwilligung durch den Endnutzer bedürfen.

Technisch nicht notwendige Cookies hingegen, dienen neben den Funktionen einer Website auch noch anderen Zwecken und benötigen die Einwilligung des Endnutzers. Darunter fallen nicht nur First Party, sondern vor allem sogenannte Third Party Cookies. Diese werden von Dritten auf anderen Seiten gesetzt, um Nutzerinformationen zu sammeln. Das können sein:

  • Tracking- & Analyse-Cookies die speichern, wie ein Nutzer mit der Website interagiert und danach mit einem Analyse-Tool, zum Beispiel Google Analytics, ausgewertet werden können. Sie erheben beispielsweise, wie lange der Nutzer auf einer Seite bleibt und wie viele und welche Unterseiten er aufruft.
  • Performance-Cookies, die technisch die Usability einer Website erhöhen, zum Beispiel die bevorzugte Sprache des Nutzers.
  • Marketing-Cookies, die zum Ausspielen passender Werbeanzeigen (Retargeting) verwendet werden.
  • Social-Media-Cookies, die zum Beispiel über Plugin integriert sind und eine Like-, Share- oder Weiterempfehlungsfunktion beinhalten.

Bevor der Nutzer hier nicht seine Zustimmung erteilt hat, dürfen auch keine persönlichen Daten an den Website-Betreiber oder Dritte übertragen werden.

2.3 § 26 TTDSG – Anerkannte Dienste zur Einwilligungsverwaltung, Endnutzereinstellungen

Mit diesem Paragraphen ebnet der Gesetzgeber den Weg für Personal Information Management Services (kurz PIMS). Der Telemedienanbieter soll dadurch die Möglichkeit erhalten, über ein zentrales Einwilligungsmanagement die Nutzereinwilligungen zu verwalten. Der Internetnutzer müsste also auf einer zwischengeschalteten Seite nur einmal angeben, ob, wo und unter welchen Voraussetzungen er sein Einverständnis zum Setzen von Cookies gibt oder dies ablehnt.

Der Gesetzgeber legt allerdings Voraussetzungen fest, die von PIMS-Anbietern erfüllt werden müssen:

  • Einsatz von nutzerfreundlichen und wettbewerbskonformen Verfahren und technischen Anwendungen zur Einwilligungseinholung und -verwaltung.
  • Sie dürfen kein wirtschaftliches Eigeninteresse an der Einwilligungserteilung haben.
  • Verarbeitung der personenbezogenen Daten und Informationen ausschließlich für die Einwilligungsverwaltung.
  • Vorlage eines Sicherheitskonzepts zu Bewertung der Qualität und Zuverlässigkeit.

Bevor ein Diensteanbieter einen Antrag hierfür stellen kann, muss allerdings noch das Anerkennungsverfahren und das Zusammenspiel der verschiedenen Beteiligten durch die Bundesregierung konkretisiert werden.

3. Wie holt man die Einwilligung des Nutzers ein?

Der Weg für PIMS wurde mit § 26 TTDSG erst einmal nur geebnet. Bis zur eindeutigen Regelung und falls ein Unternehmen danach nicht auf ein zentrales Einwilligungsmanagement setzen möchte, wird weiterhin die Nutzung eines Cookie-Banners notwendig sein, um der expliziten Einwilligung nachzukommen.

Wie bereits unter dem Punkt 2.1 dieses Blogs erwähnt, muss der Cookie-Banner ausführlich über die eingesetzten nicht notwendigen Cookies informieren und die Möglichkeit bieten, dass der Nutzer aktiv einzelnen Cookies zustimmen bzw. ablehnen und dem jederzeit widersprechen kann. An sich ändert sich daher an der Gestaltung des Banners durch das TTDSG nichts.

Achten Sie daher darauf, dass

  • die eingesetzten Cookie-Technologien und der Zweck der Cookies aufgeführt werden (z.B. Marketing, Analyse),
  • der Nutzer die Möglichkeit hat, einzeln zuzustimmen bzw. abzulehnen,
  • kein Feld vorausgefüllt ist,
  • der Nutzer jederzeit die Möglichkeit hat, diese Einstellungen und Auswahl zu ändern,
  • eindeutig ist, dass die Zustimmung freiwillig und widerrufbar ist und
  • Sie die Einwilligungen dokumentieren.

Anders als beispielsweise in Frankreich, schreibt der deutsche Gesetzgeber keine Gestaltungsregeln des Banners vor.

Zusätzlich sollten Sie auch Ihre Datenschutzerklärung prüfen, ob die nötigen Informationen zur Speicherdauer, eventuellen Weitergabe an Dritte und deren Empfänger beinhaltet sind.

Bitte beachten Sie, dass wir für diesen Blog keine rechtliche Gewährleistung übernehmen.
Wenn Sie sich unsicher sind, ob und in welcher Form Sie für die nötige Gesetzeskonformität sorgen müssen, wenden Sie sich bitte an Ihren Datenschutzbeauftragten.

Quellen:

  • Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien vom 23. Juni 2021
  • GDD-Praxishilfe "Das neue Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) im Überblick" der Gesellschaft für Datenschutz und Datensicherheit (GDD e.V.)
Domains und Subdomains absichern mit Wildcard-Zertifikaten von Let's Encrypt und ZeroSSL
16. April 2024

Neu: Wildcard-Zertifikate über Let’s Encrypt oder ZeroSSL

Mit einem Wildcard-Zertifikat schützen Sie Ihre Domain und beliebig viele Subdomains. Über ISPConfig können jetzt auch Wildcard-Zertifikate von Let’s Encrypt und ZeroSSL ausgestellt werden.
Shopware 5 erreicht EOL
27. März 2024

Shopware 5 erreicht EOL

Am 24. Juli 2024 erreicht Shopware 5 das End of Life. Wir fassen zusammen, warum das der Fall ist und was das für Sie als Shopbetreiber bedeutet.
Der Wert von Logfiles - Wo die Loganalyse hilft
20. März 2024

Loganalyse: Eine unterschätzte Kraft

Die Logfiles Ihres Servers sind ein nützliches, aber oft übersehenes Werkzeug, um das Nutzerverhalten zu analysieren, Probleme zu identifizieren und die Sicherheit der Website oder des Onlineshops zu verbessern.

Testen Sie uns 14 Tage kostenlos Jetzt testen