Neue Regeln für Cookies: TTDSG in Kraft getreten

TTDSG

Blue Planet Studio – stock.adobe.com

Am 1. Dezember 2021 ist das Telekommunikation-Telemedien-Datenschutzgesetz, kurz TTDSG, in Kraft getreten. In diesem Beitrag informieren wir Sie über den Inhalt des neuen Gesetzes.

Das TTDSG wurde vom Bundestag am 22. April 2021 verabschiedet. Das neue TTDSG passt die bisher für Telemedien und Telekommunikationsdienste geltenden Regelungen an die EU-Verordnung 2016/679 (Datenschutz-Grundverordnung) an. Zum zweiten setzt es die Regelungen der EU-Richtlinie 2002/58/EG (ePrivacy-Richtlinie) in nationales Recht um. Bestimmte Regeln galten bislang nur für herkömmliche Telekommunikationsdienste, nicht aber für Lösungen wie Zoom, Whatsapp, Facebook oder Threema. Das neue TTDSG soll auch unerwünschte Zugriffe auf Daten verhindern, die auf Computern oder Mobiltelefonen gespeichert sind.
Nach Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) war unklar, welche nationalen Datenschutzregeln in dem Bereich, den das TTDSG regelt, noch zur Anwendung kommen können. Besonders unsicher war die Rechtslage beim Nutzertracking und bei der Frage, wann bei Cookies eine Zustimmung erforderlich ist.

Rechtslücke im Bereich ePrivacy-Richtlinie geschlossen

Nach der Entscheidung „Planet49“ des Europäischen Gerichtshofs (EuGH, Urteil v. 01.10.2019, Az. C-673/17) ist bei Cookies eine Einwilligung der betroffenen Person erforderlich. Auch ist der Bundesgerichtshof (BGH) in der Sache „Cookie-Einwilligungen II“ (BGH, Urteil v. 28.05.2020, Az. I ZR 7/16) zu dem Ergebnis gekommen, dass bei die Verwendung von Werbe-Cookies zur Erstellung von Nutzerprofilen eine Einwilligung erforderlich ist. Da die neuere ePrivacy-Richtlinie (Richtlinie 2009/136/EG des Europäischen Parlaments und Rates) noch nicht in nationales Recht umgesetzt war, konnte der BGH in seiner Rechtsprechung nicht auf Art. 5 Abs. 3 Satz 1 der ePrivacy-Richtlinie  zurückgreifen. Der BGH legte deshalb § 15 Abs. 3 Telemediengesetz, der die Erhebung von Nutzungsdaten etwa für Marktforschung regelt, richtlinienkonform aus.

Einwilligung notwendig bei Cookies und Cloud

Eine zentrale Neuregelung des neuen TTDSG betrifft Cookies. Danach ist nun grundsätzlich die Einwilligung des Nutzers einzuholen, wenn Technologien wie Cookies, Cloudspeicher oder Browser-Fingerprinting zum Einsatz kommen. Der neue § 25 Abs. 1 TTDSG regelt den Grundsatz der Einwilligungsbedürftigkeit. Danach ist die „Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind“ nur zulässig, „wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat“. Die Information des Nutzers und die Einwilligung haben entsprechend den Vorgaben der DSGVO zu erfolgen.

Ausnahme bei öffentlichen Kommunikationsnetzen

Es gibt eng begrenzte Ausnahmen vom Erfordernis der Einwilligung. Diese sind in § 25 Abs. 2 TTDSG geregelt. Danach ist eine Einwilligung nach Absatz 1 dann nicht erforderlich, wenn der alleinige Zweck der Speicherung von Informationen auf dem Gerät des Nutzers oder der alleinige Zweck des Zugriffs auf Informationen im Gerät des Nutzers „die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist“.

Reichweitenmessung einwilligungspflichtig

Nach der zweiten Alternative des § 25 Abs. 2 TTDSG ist eine Einwilligung auch dann nicht erforderlich, wenn die Speicherung oder der Zugriff „unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann“. Wobei „unbedingt erforderlich“ hier als technische und nicht als wirtschaftliche Notwendigkeit zu verstehen ist. Dies ist relevant im Hinblick auf Reichweitenmessung. Regelmäßig sind etwa auch Werbetracker nach dem neuen TTDSG einwilligungspflichtig, wenn sie nicht unbedingt erforderlich sind, um einen Telemediendienst zur Verfügung zu stellen.

Einwilligungsdienste noch nicht ganz geregelt

Neu regelt das TTDSG auch Dienste, mit denen Nutzer Einwilligungen verwalten können, wie Personal Information Management-Systeme (PIMS), Single-Sign-On-Dienste wie Verimi, NetID oder ID4me oder Cookie-Manager. Nach § 26 Abs. 2 Nr. TTDSG müssen derartige Dienste die Vorgaben der DSGVO einhalten, ein Sicherheitskonzept vorlegen und nutzerfreundlich und wettbewerbskonform sein. Außerdem dürfen sie kein wirtschaftliches Eigeninteresse an der Erteilung der Einwilligung haben und unabhängig von Unternehmen sein, die ein solches Eigeninteresse haben. Die Bundesregierung ist nach § 26 Abs. 2 TTDSG ermächtigt, hier nähere Regelungen per Rechtsverordnung zu treffen.

Das TTDSG schließt eine Rechtslücke, die zu einer Rechtsunsicherheit für Unternehmen und Aufsichtsbehörden führte. Dennoch wird kritisiert, dass auch im neuen TTDSG einige Fragen noch nicht abschließend geregelt sind, wie etwa Datentreuhänder für Opt-Ins bei Cookies. Letztlich kann aber auch Gesetzgebung nie so schnell sein wie der technische Fortschritt.

Exit mobile version