Das neue TTDSG - Anpassungsbedarf für Datenschutzerklärungen

Gesetz hat Auswirkungen auf die Verwendung von Cookies und anderen Drittdiensten

Auswirkungen TTDSG auf Verwendung von Cookies und Drittdiensten

Seit dem 1. Dezember 2021 gilt das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG). Dieser Beitrag beleuchtet insbesondere die Auswirkungen des TTDSG auf die Verwendung von Cookies und anderen Drittdiensten auf Websites.

§ 25 TTDSG enthält spezielle Datenschutzvorschriften für Anbieter von Telekommunikationsdiensten und Telemediendiensten. Er genießt damit Anwendungsvorrang vor den vorhandenen Regeln im Telemediengesetz (TMG) und Telekommunikationsgesetz (TKG) zum Datenschutz und teilweise auch vor der Datenschutzgrundverordnung (DSGVO).

Vor allem vom neuen Gesetz betroffen: das Setzen und Auslesen von Cookies

Unter der Bezeichnung „Schutz der Privatsphäre der Endeinrichtung“ betrifft § 25 TTDSG das bislang umstrittene Setzen und Auslesen von Informationen im Endgerät des Nutzers und damit vor allem das von einwilligungsbedürftigen und nicht-einwilligungsbedürftigen aber „unbedingt erforderlichen“ Cookies. Das Setzen von Cookies ermöglicht eine Nachverfolgbarkeit der Aktivitäten des Nutzers, das sogenannte Tracking. Die seit dem Urteil des EuGH in der Fachwelt gängige Unterscheidung in „technisch notwendige“ und „technisch nicht-notwendige“ Cookies lebt also weiter.

Device-Fingerprinting könnte auch unter § 25 TTDSG fallen

Da die Formulierung des § 25 TTDSG aber auch das reine Auslesen von im Endgerät gespeicherten Informationen betrifft, könnte hiervon künftig auch ein „cookieähnlicher“ Tracking-Mechanismus betroffen sein, nämlich das sogenannte Device-Fingerprinting. Dabei erfolgen die Individualisierung und das Tracking des Nutzers anhand von im Rahmen der Browser-Anfrage automatisch übermittelten technischen Informationen des Endgeräts, wie Browser-Versionsnummer, verwendeter Hardware usw.. Ein Device-Fingerprinting wird beispielweise beim Webanalyse-Tool Matomo eingesetzt, sofern der Website-Betreiber auf das Setzen von Matomo-Cookies verzichtet hat.

Umgang und Weitergabe von Daten an eingebundene Drittanbieter wie YouTube oder Google-Maps

Wünschenswert wäre aus unserer Sicht gewesen, dass mit dem TTDSG auch der Umgang mit alternativen Tracking-Mechanismen und die ungefragte Weitergabe von personenbezogenen Daten an eingebundene Drittanbieter auf der Website wie z.B. YouTube- oder Google-Maps ausdrücklich geregelt werden. Ausdrücklich ist das aus unserer Sicht nicht der Fall, wir halten diese Datenverarbeitung aufgrund des mangelnden Einflusses des Nutzers aber weiterhin für einwilligungsbedürftig.

Praxisrelevanz des § 25 TTDSG

Große Praxisrelevanz hat der § 25 TTDSG somit beim Einsatz von Cookies und bei der Einbindung von Drittdiensten auf Websites wie beispielsweise Fonts, Consent-Management-Tools, Videoplattformen, Karten oder Bezahldiensten. Die Aufsichtsbehörden haben es aufgrund der unsicheren Rechtslage bislang toleriert, dass Datenverarbeitungen im Zusammenhang mit dem Einsatz von Cookies und durch eingebundene Drittdienstleister unter engen Voraussetzungen auch auf Art.  6 Abs. 1 lit. f) DS-GVO gestützt werden können, – also bei einem die Nutzerinteressen überwiegenden berechtigten Interesse des Betreibers. Damit ist jetzt Schluss!

Einwilligung ist die Regel

Grundsätzlich ist nach § 25 Abs. 1 S. 1 TTDSG die Einwilligung für das Speichern oder Auslesen von Informationen im Endgerät des Nutzers erforderlich. In Hinblick auf die formalen und inhaltlichen Voraussetzungen der Information und der Einwilligung des Nutzers wird auf die DS-GVO verwiesen. Es gelten also die bekannten Voraussetzungen.

Zwei Ausnahmen vom Einwilligungserfordernis

§ 25 Abs. 2 TTDSG regelt zwei Ausnahmen vom Einwilligungserfordernis:

  • die Speicherung von Informationen auf Endeinrichtungen zum Zweck der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz und
  • die Speicherung von oder der Zugriff auf Daten, die für Telemedienanbieter unbedingt erforderlich sind, um Nutzer*innen einen ausdrücklich gewünschten Telemediendienst zur Verfügung zu stellen.

Hohe Bußgelder bei Verstoß gegen das TTDSG

Erwähnenswert ist noch, dass § 28 TTDSG eine eigene Bußgeldvorschrift enthält. Ein Verstoß gegen die Einwilligungspflicht aus § 25 Abs. 1 TTDSG kann damit beispielsweise mit einer Geldbuße von bis zu 300.000 EUR geahndet werden.

Handlungsempfehlungen

Websitebetreiber sollten prüfen, ob auf ihren Websites Cookies oder andere Dienste, die auf im Endgerät des/der Nutzers*in gespeicherte Informationen zugreifen, ohne eine wirksame Einwilligung eingesetzt werden. Sollte dies der Fall sein, ist weiter zu klären, ob es sich um Cookies oder Dienste handelt, für die eine Ausnahmeregelung greift, die vor allem für den Betrieb „unbedingt erforderlich“ sind. Bei Unsicherheiten in Bezug auf diese rechtliche Bewertung sollte der Cookie oder der Drittdienst bis zur Klärung deaktiviert werden.

Sollten Sie Hilfe bei der datenschutzrechtlichen Optimierung Ihrer Website benötigen, zögern Sie bitte nicht, uns anzusprechen.

Kontakt
Ihre Ansprechpartner an unseren Standorten:
Münster
LL.M.
Chris Brauckmann, externer Datenschutzbeauftragter und Auditor (TÜVcert.)
+49 (0)251 48261-0
 

Solidaris Rechtsanwaltsgesellschaft mbH

Münster
RA
Alexander Gottwald, EMBA, externer Datenschutzbeauftragter (GDDcert. EU)
+49 (0)251 48261-173
 

Solidaris Rechtsanwaltsgesellschaft mbH

Gottwald

Alexander Gottwald

  • Studium der Rechtswissenschaft in Frankfurt am Main und Münster
  • seit 2016 Rechtsanwalt
  • 2016 EMBA – Executive Master of Business Management, Betriebswirtschaftliches Masterprogramm der Westfälischen Wilhelms-Universität Münster
  • seit 2016 bei der Solidaris
  • 2017 – Ausbildung zum zertifizierten Datenschutzbeauftragten bei der Gesellschaft
    für Datenschutz und Datensicherheit (GDDcert. EU)

Aktivitäten

  • Lehrauftrag an der Hochschule FOM in Münster u.a. in dem Bachelor-Studiengang Wirtschafts-Informatik

Schwerpunkte

  • Gesellschafts-, Vereins- und Stiftungsrecht 
  • Steuer- und Gemeinnützigkeitsrecht 
  • Individual- und Kollektivarbeitsrecht 
  • Allg. Zivilrecht und Vertragsrecht 
  • IT-Recht und Datenschutz
  • Externer Datenschutzbeauftragter

Veröffentlichungen in der Fachpresse
2019

  • Datenschutz im MVZ: Health&Care Management, 12/2019, S. 60.
  • Datenschutz - ein Perspektivwechsel: PflegeManagement, 4-5/2019, S. 14-15.
  • Die Tücken der E-Mail-Verschlüsselung: BRAK Magazin, 1/2019, S. 6.
  • Erstmalig hohes Bußgeld: Health&Care Management, 2/2019, S.56.


Veröffentlichungen in der Fachpresse
2018

  • Richtlinie kurzfristig umsetzen: Wohlfahrt intern, 6/2018, S. 39. 
  • Datenschutz erhält mehr Gewicht: neue Caritas, 2/2018, S. 24.
  • Kirchen beschließen Novellierung des Datenschutzes: Health&Care Management Newsletter, 1/2018

Veröffentlichungen in der Fachpresse
2017

  • Freifunk für alle: Sozialwirtschaft, 9-10/2017, S. 36-37.
  • Neue Regeln für Befristungen: Sozialwirtschaft, 6/2017, S. 30-31.