Was Webseitenbetreiber ab sofort beachten müssen
Am 1.12.2021 trat das neue Telekommunikation-Telemedien-Datenschutzgesetz, kurz TTDSG, in Kraft. Es umfasst vor allem Neuerungen für Cookies und Tracking-Dienste. Doch was müssen Unternehmen und Websitebetreiber jetzt konkret tun? Wir erklären es.
Das Wichtigste in Kürze
- ab 01. Dezember 2021 benötigen Webseiten für Cookies und Tracking eine „echte Einwilligung“ der Nutzer.
- Ein funktionierender Cookie Consent-Banner ist damit auf fast allen Webseiten Pflicht.
- Auch Messenger und Apps sind betroffen.
- Anbieter von Telemediendiensten müssen u.U. auf Verlangen öffentlichen Stellen Auskunft über Bestands- und Nutzerdaten geben.
Was ist das TTDSG?
Das „Telekommunikations-Telemedien-Datenschutzgesetz“ (TTDSG) – Langform: Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien – soll einen Kompromiss zwischen dem Schutz der Privatsphäre in der digitalen Welt und den digitalen Geschäftsmodellen schaffen. Unklarheiten von verschiedenen Regelungen (TMG, TKG, DSGVO etc.) zum Thema Datenschutz in der Telekommunikation und bei Telemedien sollen beseitigt werden.
Hinzukommt, dass es zur ePrivacy-Verordnung, die den Umgang mit Cookies deutlich regeln sollte, bis heute zwischen den Mitgliedstaaten keine Einigung gab. Nun wurden die Datenschutzbestimmungen aus den Vorgängergesetzen ausgelöst, an die DSGVO und die ePrivacy-Richtlinie angepasst und in Form des TTDSG als Gesamtwerk umgesetzt.
Was sind die wichtigsten Inhalte des neuen TTDSG?
- Trackingdienste und Cookies
Websitebetreiber benötigen vor Einsatz von Trackingdiensten und Cookies ab sofort immer eine „echte“ und „ausdrückliche“ Einwilligung. Dies gilt unabhängig davon, ob personenbezogene Daten gespeichert werden. Nicht erforderlich ist die Einwilligung nur dann, wenn:
„…wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.“ – § 25 Abs. 2 Nr. 2 TTDSG
MERKE: Wenn Speicherung NICHT unbedingt erforderlich, damit der Dienst erbracht werden kann, dann muss die Einwilligung eingeholt werden.
WICHTIG: Für technisch notwendige Cookies ist keine Einwilligung notwendig.
Technisch notwendige Cookies sind solche, ohne die der Betrieb einer Webseite nicht funktionieren würde. Dazu zählen beispielsweise Session Cookies (Sprachvariationen auf Webseiten), Cookies die für Zahlungsprozesse notwendig werden oder Cookies, die zur Erteilung oder zum Widerruf einer Einwilligung benötigt werden. Für diese Cookies sowie Informationen, die ausschließlich der Übertragung von Nachrichten über ein öffentliches Telekommunikationsnetz dienen, wird keine Einwilligung benötigt.
Entsprechende Anforderungen gingen zwar auch schon aus der BGH- und EuGH-Rechtsprechung hervor (vgl. hierzu: Urteil des Bundesgerichtshofs vom 28. Mai 2020, Aktenzeichen I ZR 7/16), jedoch wurde dies nun erstmals mit dem Inkrafttreten des TTDSG gesetzlich festgeschrieben.
- PIMS und und Single Sign-On Lösungen
§ 26 TTDSG regelt die Anerkennung von Personal Information Management Systems (PIMS). Mithilfe von PIMS können Websitebesucher einmalig angeben, ob, wo und unter welchen Voraussetzungen sie ihre Einwilligung oder Ablehnung zum Setzen von Cookies geben (Single Sign-On Lösungen). Diese Information wird automatisch an alle weiteren Webseiten weitergeleitet.
Anerkannt werden Anbieter solcher Dienste jedoch nur unter bestimmten Voraussetzungen. (Kein wirtschaftliches Eigeninteresse an der Erteilung der Einwilligung auf Seiten der Anbieter, Sicherheitskonzept des Anbieters). Das Verfahren zur Anerkennung der Dienste muss die Bundesregierung noch in Form einer Rechtsverordnung festlegen. Bis dato behalten Cookie-Banner erst einmal ihre Notwendigkeit.
- Endeinrichtung des Endnutzers
Die Regelungen des TTDSG beziehen sich auf die Endeinrichtung des Endnutzers. Hierzu zählen alle mit dem Internet verbundenen Geräte. Damit benötigen ab sofort auch Smarthome-Anwendungen, E-Mail- und Messenger-Dienste eine echte Einwilligung und somit einen Cookie-Banner. Einige Beispiele sind die Messenger Plattform WhatsApp, Smarthome-Anwendungen wie Alarmsysteme.
Zudem bezieht sich das TTDSG auch auf nicht personenbezogene Daten. Somit handelt es sich nicht mehr nur um die reine Cookie Nutzung, sondern um alle Techniken, für die Informationen in der Endeinrichtung ausgelesen oder gespeichert werden.
Was müssen Websitebetreiber jetzt tun?
Spätestens jetzt müssen Sie sich um einen Cookie Consent Banner kümmern.
Gemäß TTDSG müssen Sie die Einwilligung auf Grundlage eine klare und umfassende Information einholen. Sicher und einfach umsetzbar ist das nur mit Cookie Management über ein Cookie Consent Tool. Die Anpassungen sind im Datenschutzkonzept ihrer Organisation zu dokumentieren.
Wie muss ein Cookie Banner aussehen?
Zu dieser Frage bietet das TTDSG leider keine genaue Antwort. Allerdings sollten Sie Cookie Banner verwenden, die folgende Kriterien erfüllen:
- Bis der Webseitenbesucher seine Einwilligung erteilt, müssen Cookies technisch deaktiviert sein.
- Die Einwilligung muss aktiv gesetzte werden. Checkboxen dürfen nicht vorausgewählt sein.
- Der Annahme-Button darf nicht hervorgehoben werden (bspw. farblich irreführende Darstellungen).
- Der Nutzer ist umfassend über die Zwecke der einzelnen Tools, die Anzahl der Anbieter und Tools und den Sitz des Anbieters, falls dieser außerhalb der EU liegt, zu informieren.
Für weitere Informationen zur Umsetzung und den korrekten Einstellungen Ihres Cookie-Banners empfehlen wir Ihnen unseren folgenden Beitrag:
Welche Konsequenzen drohen bei fehlendem Cookie Consent Banner?
Mit Inkrafttreten des TTDSG drohen nicht mehr nur Bußgelder nach DSGVO, sondern auch Sanktionen nach dem TTDSG. Wenn Sie eine Einwilligung nicht einholen, kann dies mit einem Bußgeld von bis zu 300.000 Euro bestraft werden. Zudem droht Ihnen eine Abmahnung.
Sie sind sich unsicher bei der Umsetzung? Bei Fragen stehen wir Ihnen jederzeit zur Verfügung. Gern unterstützen wir Sie und Ihre Organisation.
Ihre Datenschutzbeauftragten
Folgende Beiträge könnten Sie auch interessieren: