Melden Sie sich zu unserem Newsletter an!
In unserem monatlich erscheinenden Newsletter informieren wir Sie über alle wichtigen Ereignisse, Neuerungen sowie Urteile. Melden Sie sich an und sichern Sie sich unsere Flowchart "Kaltakquise: Benötige ich eine Einwilligung?".
Jetzt anmelden!© damaris-unterwegs, Pixabay
TTDSG und Cookie-Management: Das fordert das Gesetz von Unternehmen
Das neue Telekommunikations-Telemedien-Datenschutz-Gesetz (TTDSG) ist bereits am 01. Dezember 2021 in Kraft getreten. Das Gesetz setzt endlich die ePrivacy-Richtlinie in der Fassung von 2009 (Cookie-Richtline) in deutsches Recht um. Damit ist ein Ende der Rechtsunsicherheit durch das bisherige Nebeneinander von DSGVO, Telemediengesetz (TMG) und Telekommunikationsgesetz (TKG) in Sicht.
Das TTDSG beseitigt nicht nur Rechtsunsicherheit – aus dem neuen Gesetz ergibt sich im Bereich des Cookie-Managements auf Websites zum Teil erheblicher Anpassungsbedarf.
Doch was genau müssen Unternehmen nun anpassen? Wir haben die wichtigsten Anforderungen des TTDSG für Sie zusammengefasst.
Einwilligungen
Eine wichtige Regelung des TTDSG ist, dass technisch nicht notwendige Cookies einwilligungspflichtig sind. Das gilt im Übrigen nicht nur für Cookies, die personenbezogene Daten speichern, sondern für alle eingesetzten Cookies.
Auch die DSGVO (Art. 4 Nr. 11 und Art. 7) fordert eine selbstbestimmte und informierte Einwilligung der betroffenen Personen. Dabei müssen die Nutzer:innen über Zweck, Art und Umfang der jeweiligen Datenverarbeitungsvorgänge sowie die Dauer des Einsatzes von Cookies und eventuelle Zugriffsmöglichkeiten Dritter auf die Cookie-Daten aufgeklärt werden. Gemäß einem Urteil des Europäischen Gerichtshofs müssen sich Websitebetreiber an die DSGVO halten.
Es gibt allerdings auch Ausnahmen von der Einwilligungspflicht. Zum Beispiel, wenn der alleinige Zweck der Speicherung von Informationen die Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist und die Informationen bei Nutzer:innen gespeichert oder lediglich dort abgerufen werden. Das gleiche gilt, wenn es darum geht, einen von den Nutzer:innen ausdrücklich gewünschten Telemediendienst zur Verfügung zu stellen sowie für technisch notwendige Cookies, wie Warenkorb-Cookies in einem E-Shop.
Freiwilligkeit
Beim Setzen von Cookies auf Websites gilt nicht nur, dass die Nutzer:innen in nicht notwendige Cookies einwilligen müssen – die Einwilligung muss zudem freiwillig erfolgen. Dafür müssen den Nutzer:innen alle notwendigen Informationen zu den einzelnen Cookies in der Datenschutzerklärung (Cookie Policy) hinterlegt werden – auch, wenn das einen erheblichen Aufwand für Website-Betreiber verursacht.
Freiwilligkeit bedeutet zudem, dass Nutzer:innen aktiv in Cookies einwilligen müssen; passive Opt-Out-Lösungen reichen nicht aus. Demnach sind auch vorangekreuzte Zustimmungsfelder nicht datenschutzkonform (siehe DSGVO Art. 25 Abs. 2 „Privacy by Default“). Auch ein Hinweis auf das Setzen von Cookies zusammen mit einem einfachen „OK“-Button genügt nicht.
Gibt es keine Möglichkeit, das Setzen von Cookies abzulehnen, ist die erforderliche Freiwilligkeit nach Art. 7 DSGVO nicht gegeben. Auch die Koppelung von vertraglichen Dienstleistungen an die zweckfremde Abgabe einer datenschutzrechtlichen Einwilligung macht die Einwilligung unwirksam, da sie nicht freiwillig erteilt wurde.
Damit eine Einwilligung tatsächlich freiwillig ist, müssen die betroffenen Personen zu den verschiedenen Verarbeitungsvorgängen von personenbezogenen Daten jeweils gesondert eine Einwilligung erteilen können.
Damit die Auswahl von Cookies auch wirklich freiwillig bleibt, sollten Websites auch dann nutzbar sein, wenn Nutzer:innen das Setzen von Cookies ablehnen.
Datenschutzfreundliche Voreinstellungen
Neben der Freiwilligkeit der Einwilligung sieht die DSGVO zudem datenschutzrechtliche Voreinstellungen (DSGVO Art. 25 Abs. 2) – Privacy by Default – vor. Das bedeutet, dass nur personenbezogene Daten verarbeitet werden sollten, die tatsächlich für den jeweiligen Zweck erforderlich sind. Zusätzliche Daten dürfen die Verantwortlichen nicht erheben. Das gilt auch für die technischen Vorrichtungen, mit denen die Einholung einer wirksamen Einwilligung ermöglicht werden soll (DSGVO Art. 25 Abs. 1 Privacy by Design).
Zudem haben die datenschutzrechtlich Verantwortlichen technisch sicherzustellen, dass Cookies und ähnliche Techniken, die datenschutzrechtlich einer Einwilligung bedürfen, erst dann gesetzt werden und eine Datenübertrag erst (und auch nur dann) stattfindet, wenn die betroffene Person eine wirksame Einwilligung dazu gegeben hat.
Technologieneutralität
Eine Besonderheit des TTDSG ist, dass es laut § 25 technologieneutral gültig ist. Das heißt, dass nicht nur aktuelle, sondern auch zukünftige Technologien unter das Gesetz fallen. Sobald Techniken ein Speichern und/oder Auslesen von Informationen auf den Geräten oder in den Programmen der Nutzer:innen erfordern, fallen sie in den Anwendungsbereich des TTDSG.
Daher fallen auch Geräte im Internet der Dinge unter das TTDSG. Eine Vielzahl der Geräte ist inzwischen direkt oder über einen WLAN-Router an das öffentliche Kommunikationsnetz angeschlossen – beispielsweise im Bereich von Smart-Home-Anwendungen. Auch diese Geräte sammeln Daten. Das ist nun durch das TTDSG geregelt.
Fazit
Das neue TTDSG stellt viele Unternehmen vor technische und organisatorische Herausforderungen – der Anpassungsbedarf im Bereich des Cookie-Managements ist zum Teil erheblich. Wie sind die Anforderungen nun konkret umzusetzen?
Das können Sie nachlesen in unserer Handreichung zum TTDSG inklusive praktischen und konkreten Tipps zur Gestaltung von Cookie-Bannern bis zum Einsatz von Cookies von US-Anbietern. Sie haben Fragen zum TTDSG oder benötigen Unterstützung bei der Umsetzung?
Externer Datenschutz – Datenschutz und Datensicherheit – Datenschutzschulungen
Impressum | Datenschutzerklärung