Das neue TTDSG – und was Sie als Webseitenbetreiber beachten müssen

Wie so oft nach der Einführung bzw. Überarbeitung eines Gesetzes sorgt auch das neue TTDSG für Verunsicherung, auch und insbesondere bei Webseitenbetreibern. In diesem Ratgeber erfahren Sie, welche neuen Pflichten bei der Nutzung von Tracking und anderen Skripten sowie bei der Nutzung von Cookies auf Sie zukommen und wie Sie diese Pflichten ordnungsgemäß umsetzen. Vorsicht: Werden diese Pflichten nicht beachtet, drohen hohe Bußgelder!

Was ist das TTDSG?

Das neue Telekommunikations- und Mediendatenschutzgesetz (TTDSG) ist das Ergebnis einer „Aufräumaktion“ im deutschen Datenschutzrecht. Das TTDSG, das am 1. Dezember 2021 in Kraft getreten ist, führt die bisher in vielen Gesetzen verstreuten datenschutzrechtlichen Regelungen im Telemedien- und Telekommunikationsrecht zusammen. Das TTDSG regelt unter anderem den Schutz der Vertraulichkeit und der Privatsphäre bei der Nutzung von internetfähiger Endgeräte-Infrastruktur wie Webseiten, Messenger-Diensten oder Smart-Home-Geräten. Zu diesem Zweck werden die datenschutzrechtlichen Bestimmungen des Telemediengesetzes (TMG) und des Telekommunikationsgesetzes (TKG) aufgehoben und im neuen TTDSG zusammengefasst. Außerdem regelt das TTDSG die Zuständigkeiten der Bundesnetzagentur und des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI).

Wie lautet die für Webseitenbetreiber wichtigste Passage?

Die wichtigste Passage im neuen TTDSG findet sich im § 25 und lautet:

Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 zu erfolgen.“

Neue Regelungen für Cookies und Cookie-Banner?

Im Mittelpunkt der öffentlichen Diskussion steht § 25 TTDSG, der die Speicherung und Nutzung von Informationen über die sogenannte „Endgeräteinfrastruktur der Nutzer“, also auch Cookies, regelt. Zunächst die gute Nachricht: Sofern Webseitenbetreiber bereits die vom Europäischen Gerichtshof (EuGH) entwickelten Anforderungen an Art. 5 Abs.. 3 der ePrivacy-Richtlinie entwickelt hat, bringt § 25 TTDSG keine neuen Pflichten für den Einsatz von Cookies. Denn die Vorschrift kodifiziert lediglich, was der EuGH bereits 2019 in seiner sogenannten „Planet49“-Entscheidung festgestellt hat: Der Einsatz von nicht-obligatorischen Cookies auf einer Website bedarf der Einwilligung des Endnutzers nach Art. 5 Abs. 3 der ePrivacy-Richtlinie.

Dementsprechend sieht § 25 TTDSG nun vor, dass beim Einsatz von Cookies und ähnlichen technischen Hilfsmitteln, die für den Betrieb der Website nicht erforderlich sind, eine wirksame Einwilligung des Endnutzers einzuholen ist. Dazu muss die Einwilligung den Anforderungen der DSGVO genügen, d. h. sie muss frei, spezifisch, in Kenntnis der Sachlage, eindeutig, ausdrücklich und jederzeit widerrufbar sein. Für technisch notwendige Cookies oder Cookies, die ausschließlich für die Übermittlung von Nachrichten über ein öffentliches Telekommunikationsnetz verwendet werden, ist keine Einwilligung erforderlich. Ein Verstoß gegen das Einwilligungserfordernis des § 25 Abs.. 1 TTDSG kann mit einem Bußgeld von bis zu 300.000 EUR geahndet werden.

Darüber hinaus setzt § 26 TTDSG Standards für Dienste, die die Einwilligung des Endnutzers verwalten, sogenannte „Personal Information Management Services“ (PIMS) oder Single Sign-On-Lösungen. Dies gilt für Dienste, die den Endnutzer in die Lage versetzen sollen, selbst zu entscheiden, ob er in die Verwendung von Cookies einwilligt oder sie ablehnt. § 26 TTDSG sieht vor, dass solche Dienste von einer unabhängigen Stelle zertifiziert werden müssen. Bisher sind jedoch noch keine solchen Dienste auf dem Markt.

Erweiterter Anwendungsbereich: Internet der Dinge

Bei den Verbrauchern werden Produkte, die mit dem Internet verbunden werden können, immer beliebter, z. B. vernetzte Autos und intelligentes Wohnen. Während die Datenschutzrichtlinie für elektronische Kommunikation nicht generell die gesamte Struktur hinter dem Internet der Dinge (IoT) abdeckt, tut dies das TTDSG: Paragraf 25 regelt die Speicherung von Informationen in „Endgeräteinfrastrukturen“. Im Gegensatz zu den Endgeräten der ePrivacy-Richtlinie wird nun auch die Infrastruktur erfasst, die die IoT-Geräte verbindet und die üblicherweise in der Cloud gespeichert wird (und nicht nur die IoT-Hardware selbst).

Weitere Regelungen auf einen Blick:

                  • Mit § 4 TTDSG werden Rechte von Erben von Telekommunikationsnutzern eingeführt und damit praktikable Regelungen geschaffen: Im Todesfall ist die elektronische Kommunikation wie E-Mails etc. den Erben zugänglich zu machen.

                  • Die Regelungen zu Standortdaten werden an einer Stelle zusammengefasst (§ 13 TTDSG).

                  • Die umfangreichen §§ 22 bis 24 TTDSG regeln die Auskunftsrechte in Bezug auf Bestands- und Nutzungsdaten neu und setzen die Vorgaben aus der Entscheidung des Bundesverfassungsgerichts vom 27. Mai 2020 (1 BvR 1873/13, 1 BvR 2618/13 – Bestandsdatenauskunft II), das auch § 113 TKG für verfassungswidrig erklärt hat.

                  • § 9 TTDSG regelt die Rechte zur Verarbeitung (einschließlich bestimmter Löschungspflichten) von Verkehrsdaten. Er entspricht der bisherigen Regelung in § 96 TKG.

Welche Bußgelder können bei Verstößen gegen das neue TTDSG drohen?

Wer die durch das neue TTDSG festgeschriebenen Regelungen nicht berücksichtigt, muss im Extremfall mit einem Bußgeld von bis zu 300.000 Euro rechnen. Inwiefern diese theoretische Höchststrafe tatsächlich verhängt wird, kann natürlich nicht gesagt werden. Die Festlegung der jeweilige Bußgeldhöhe obliegt stets der Bußgeldstelle. In § 26 des TTDSG werden die entsprechenden Bußgeldvorschriften wie folgt konkretisiert:

(1) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig entgegen § 25 Absatz 1 Satz 1 eine Information speichert oder auf eine Information zugreift.

(2) Die Ordnungswidrigkeit kann in den Fällen des Absatzes 1 Nummer 2, 3, 9, 11, 12 und 13 mit einer Geldbuße bis zu dreihunderttausend Euro geahndet werden.

Was muss ich als Seitenbetreiber jetzt tun?

Grundsätzlich muss jeder Seitenbetreiber dafür sorgen, dass im Browser der Webseitenbesucher ohne deren explizite Zustimmung keine Daten mehr gesetzt werden. Dies können Sie ganz einfach mit CookieTresor umsetzen. Die Software scannt die betreffende Seite permanent und sorgt somit dafür, dass im Browser des Besuchers ausschließlich Daten gespeichert werden, denen er explizit zugestimmt hat.