Achtung: Ist Ihre Webseite schon TTDSG-konform?

Was bisher geschah (oder auch nicht)

Erinnern Sie sich? Zeitgleich mit der DSGVO sollte am 25. Mai 2018  eigentlich auch die ePrivacy-Verordnung in Kraft treten, mit der die Regeln zur elektronischen Kommunikation an die (jetzt ja gar nicht mehr so) neue DSGVO angepasst werden sollen. Allerdings konnten sich die EU-Mitgliedsstaaten nicht termingerecht einigen und können dies bis heute nicht. Aktuell rechnen Optimisten, dass das vielleicht 2022 passieren könnte aber auch dann würde erst in 24monatige Übergangsphase beginnen, womit die ePrivacy-Verordnung wohl frühestens 2024 in Kraft treten dürfte.

Nachdem jetzt schon jahrelang Verwirrung vom einfachen Webseitenbetreiber bis hin zum Bundesgerichtshof herrscht, was noch gilt, was stattdessen gilt und was vielleicht irgendwann einmal gelten könnte, weil man die neue DSGVO mit alten nationalen Vorschriften (Telekommunikationsgesetz TKG, Telemediengesetz TMG) nicht gleichzeitig nebeneinander nutzen kann ohne gegen die eine oder andere in der einen oder anderen Weise zu verstoßen und es nicht absehbar ist, wann das europaweit durch die ePrivacy-Verordnung geschehen wird, hat Deutschland am 20.Mai 2021 auf nationaler Ebene ein neues Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien (Telekommunikations- Telemedien-Datenschutz-Gesetz, TTDSG) beschlossen, welches zum 01. Dezember in Kraft getreten ist. (Dieser Satz ist genauso kompliziert wie die darin beschriebene Gesetzeslage :- ) )

Im TTDSG werden die Datenschutzbestimmungen im Bereich der elektronischen Kommunikation neu geregelt. Dieses neue Gesetz ersetzt dazu die beiden alten Gesetze (TKG, TMG). Es ist im Gegensatz zur DSGVO nur nationales Recht, setzt aber (endlich) die EU-Richtlinie zum Datenschutz in der elektronischen Kommunikation von 2009 (!) um.

Was jetzt geschieht

Die DSGVO regelt die Verarbeitung von personenbezogenen Daten durch Unternehmen, Behörden und Vereine in allen Bereichen innerhalb der EU. Deshalb ist sie in vielen Punkten eher allgemein gehalten und legt nur entsprechende grundsätzliche Standards fest, die in vielen anderen Gesetzen genauer ausgearbeitet sein müssen. Die ePrivacy-Verordnung soll (irgendwann einmal) die Bestimmungen der DSGVO in den Bereichen der elektronischen Kommunikation präzisieren und ergänzen. Bis das geschieht übernimmt das TTDSG jetzt diese Aufgabe.

Es regelt unter anderem das Fernmeldegeheimnis und die sogenannte “over the top” – Kommunikation (OTT). OTT-Kommunikationsdienste sind alle Dienste, die über eine Internetverbindung angeboten werden aber auf die die Internetanbieter, also die Bereitsteller der “Leitungen” (Telekom, Vodafone, etc.) keinen direkten Einfluss haben: Webseiten, Apps, Messenger, Onlineshops und alles andere, was sonst noch so über das Internet kommuniziert.

Für uns Internet-Unternehmer von besonderem Interesse sind die § 25 und 26. Ersterer regelt:

  • die Speicherung von Informationen in der Endeinrichtung des Endnutzers

und

  • den Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind.

Cookie-Banner bzw. Consent-Manager Platforms (CMP) tun ja genau dies. Deshalb ist das neue TTDSG für die dafür Verantwortlichen, sprich die Webseitenbetreiber, ganz aktuell von großer Bedeutung. Ganz allgemein kann man sagen:

  • Kein Webseitenbetreiber kommt drumherum eine Einwilligung/Erlaubnis einzuholen, auch wenn er keine Daten zu Marketingzwecken nutzt oder Daten lediglich aufgrund von berechtigtem Interesse verarbeitet.
  • So gut wie alle bisher verwendeten Banner und Manager sind wahrscheinlich in Bezug auf das neue TTDSG illegal.

Das bedeutet: Es besteht für alle Webseitenbetreiber dringender Handlungsbedarf!

Um das neue TTDSG-Problem besser zu verstehen, müssen wir uns vorher zwei Begriffe, “Endeinrichtung” und “Nachricht”, die bisher in dieser Form in der Rechtssprechung noch keine große Rolle gespielt haben, aber jetzt mit dem TTDSG in den Mittelpunkt rücken, genauer anschauen:

Eine “Endeinrichtung” ist

“ … jede direkt oder indirekt an die Schnittstelle eines öffentlichen Telekommunikationsnetzes angeschlossene Einrichtung zum Aussenden, Verarbeiten oder Empfangen von Nachrichten … über Draht, optische Faser oder elektromagnetisch … “ (TTDSG §2, Abs. 2, Punkt 6)

und eine “Nachricht” im Sinne des TTDSG ist

“… jede Information, die zwischen einer endlichen Zahl von Beteiligten über einen Telekommunikationsdienst ausgetauscht oder weitergeleitet wird … “ (TTDSG, §2, Abs. 2, Punkt 4)

Der Ausdruck “einer endlichen Zahl” ist hier sehr schön. Die Milliarden Facebook-Nutzer sind eine endliche Zahl, mit denen man Informationen nur nach Vorgaben des TTDSG austauschen kann, weil sie immer identifizierbar sind. Die Radiohörer oder Fernsehzuschauer über Antenne oder Satellit bilden dagegen eine Ausnahme, weil die Informationen nicht mit dem identifizierbaren Nutzer in Verbindung gebracht werden können. Sie sind eine (zumindest theoretisch) unendliche Zahl, weil niemand genau messen kann, wie viele Menschen tatsächlich gerade Radio hören oder fernsehen.

Eine Endeinrichtung im Sinne des TTDSG ist jedes Gerät, welches an irgendein öffentliches Telekommunikationsnetz angeschlossen ist, Informationen austauschen und eindeutig identifiziert werden kann. Allgemein kann man sagen: Jedes Gerät, welches “online” gehen kann (z. B. PC, Notebook, Tablet, Smartphone aber auch Smart Home!), aber auch das gute alte Festnetztelefon und – für Gesundheitsämter besonders wichtig – auch jedes Faxgerät. Firmennetzwerke sind nicht öffentlich und die dortigen Endeinrichtungen nicht gemeint, wenn sie nicht gleichzeitig auch Zugriff auf das öffentliche Telefonnetz und/oder das Internet haben.

Will man jetzt auf einem solchen Endgerät Informationen speichern (z.B. Cookies) oder auf Informationen auf dem Endgerät zugreifen (IP-Adresse, Browsereinstellungen, etc.) braucht man dafür die Einwilligung des Endnutzers. Diese kann dieser nur auf Grundlage von klaren und umfassenden Informationen geben. (TTDSG § 25, Abs. 1)

Diese Einwilligung ist im Grunde das gleiche wie bei der DSGVO. Man muss den Nutzer informieren und seine aktive Einwilligung einholen, bevor man Informationen nutzt oder speichert und er muss sie jederzeit einfach widerrufen können. Aber es gibt, wie bei der DSGVO, auch Ausnahmen von dieser Einwilligungspflicht.

Was ist noch ohne Einwilligung erlaubt?

Eine Einwilligung ist nicht erforderlich, wenn

  • “… der alleinige Zweck … die Durchführung der Übertragung einer Nachricht … ist.”

oder

  • es “unbedingt erforderlich ist, damit der Anbieter einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.”

(TTDSG § 25, Abs. 2)

Ausnahme 1, alleiniger Zweck die Durchführung der Übertragung einer Nachricht, ist ziemlich irrelevant. Man darf zwar etwas senden, aber schon die Rückmeldung, ob die Nachricht gelesen wurde, bedarf der ausdrücklichen Einwilligung.

Ausnahme 2, die Zurverfügungstellung eines vom Nutzer ausdrücklich gewünschten Telemediendienstes, ist ähnlich unwesentlich, weil man ja irgendwie den ausdrücklichen Wunsch zu etwaigen Nachweiszwecken speichern muss. Das geht nicht ohne persönliche Daten (mindestens die IP-Adresse) zu erfassen. Das widerum bedarf einer Einwilligung nach DSGVO. Dann kann man sich auch gleich die Einwilligung gemäß TTDSG dazu geben lassen. Zumal ausdrücklich erlaubt ist, Einwilligungen bezüglich TTDSG zusammen mit Einwilligungen gemäß DSGVO einzuholen.

Wer sich mit diesen Ausnahmen bzw. deren Interpretation näher befassen möchte, kann sich folgendes PDF der Datenschutzgruppe, eines unabhängigen Beratergremiums der EU, einmal genauer ansehen: “Stellungnahme 04/2012 zur Ausnahme von Cookies von der Einwilligungspflicht”. Viel Spass!

Das Ganze bedeutet, alles, was drum herum an Informationen gesendet oder abgefragt werden kann und nicht unbedingt (!) erforderlich ist, erfordert eine ausdrückliche Zustimmung. Es wird somit sehr schwer bis unmöglich werden, sich, wie es bisher noch weit verbreitet ist, auf die Ausnahmen, die die DSGVO in Artikel 6, Absatz 1 erlaubt, zu beziehen:

“f) Die Verarbeitung” (ohne Einwilligung) “ist möglich, wenn sie zur Wahrung von berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich sind, sofern nicht Grundrecht und Grundfreiheiten der betroffenen Person überwiegen.”

Achtung! Das ist der entscheidende Unterschied:

Bei der Anwendung der DSGVO geht man immer von “personenbezogenen Daten” aus. Damit sind Daten gemeint, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Im neuen TTDSG ist aber lediglich von “Informationen” in Bezug auf Endeinrichtungen die Rede. Das können natürlich personenbezogene Daten sein aber auch der Akkustand des Handys oder die Versionsnummer der Software, mit denen man weder eine Person noch eine Endeinrichtung eindeutig identifizieren könnte. Das Identifizieren spielt hier also gar keine Rolle mehr. Es geht grundsätzlich um Nutzen oder Speichern jeglicher Informationen!

Das bedeutet, es ist ohne Einwilligung so gut wie unmöglich auch nur auf IP-Adresse oder Browsereinstellungen zuzugreifen, ganz zu schweigen vom Setzen von technischen Cookies, denn von den aktuell noch oft vorgebrachten “berechtigten Interessen” ist im TTDSG nirgendwo die Rede!

Was muss ich jetzt tun?

Am Ende gilt auch hier wieder: Genaueres werden erst die Gerichte regeln. Aber eines kann man wohl jetzt schon sagen: Es geht nichts mehr ohne Cookie-Banner, bzw. Consent-Manager-Banner und dabei geht (so gut wie) nichts mehr ohne aktive und informierte Einwilligung.

Deshalb:

  • Falls Sie noch gar kein Cookie-Banner einsetzen, weil Sie der Meinung sind, sie verarbeiten keine personenbezogenen Daten im Sinne der DSGVO:

Überprüfen Sie Ihre Technik ganz genau, denn garantiert nutzt oder speichert irgendein E-Mail-Programm oder Plugin irgendwelche “Informationen” im Sinne des TTDSG.

  • Falls Sie ein “Cookie-Banner” einsetzen aber dort auf die Einholung einer Einwilligung ganz oder teilweise verzichten, weil sie “berechtigte Interessen” (im Sinne der DSGVO) geltend machen oder die Nutzung und/oder Speicherung von Informationen als notwendig zum Funktionieren Ihrer Webseite ansehen:

Überprüfen Sie genau, ob auch Ausnahme 2 “unbedingt erforderlich” (im Sinne des TTDSG) tatsächlich zutrifft. “Unbedingt” bedeutet: ohne funktioniert die komplette Webseite nicht!

Beispiel: Ich habe gelesen, dass manche Cookies (z. B: für das Funktionieren des Warenkorbs), welche technisch unbedingt notwendig sind für das Funktionieren der Webseite, gleichzeitig aber auch andere Informationen verarbeiten. Das können z.B. Informationen in Bezug auf den Ablauf des Bestellvorgangs sein. Solche Informationen allerdings sind dann nicht unbedingt erforderlich und man benötigt eine entsprechende Einwilligung.

  • Falls Sie schon für alles eine Einwilligung einholen:

Überprüfen Sie besser noch einmal gründlich, ob sie auch die Pflicht zur klaren und umfassenden Information des Endnutzers (gemäß § 25, Abs. 1 TTDSG) erfüllen. Sie müssen nicht nur, wie bisher meist üblich,

  • über die Verarbeitung personenbezogener Daten gemäß DSGVO informieren,
  • sondern auch über Nutzen und/oder Speichern von Informationen auf Endeinrichtungen gemäß TTDSG.

Hierbei reicht es nicht irgendwelche Dienstleister aufzulisten, die Daten verarbeiten oder Cookies setzen. Sie müssen für jeden einzelnen auch Art, Dauer und Zweck der Verarbeitung aller Informationen angeben und informieren, wie der Nutzer seine Einstellungen nachträglich ändern oder widerrufen kann.

Ich glaube, die meisten Cookie-Banner-Dienstleister, vor allem, wenn sie nicht aus Europa kommen, erfüllen die Normen der DSGVO auch nach  3 Jahren noch nicht, geschweige denn die Normen des neuen und dazu ja rein deutschen TTDSG!

Was wird (irgendwann einmal) passieren?

Wie oben schon erwähnt: Irgendwann wird die ePrivacy-Verordnung erlassen und sie wird dann das TTDSG ersetzen, wobei die Regelungen in weiten Teilen die gleichen bleiben dürften.

Aber es gibt (endlich) auch einen Lichtblick in Bezug auf Cookies, Einwilligung, etc. im neuen TTDSG!

Der Paragraph 26 des TTDSG beinhaltet Regeln bezüglich des Einsatzes von sogenannten “Personal Information Management Systemen” (PIMS). Was sich anhört wie eine neue Jobvermittlungsagentur sind Verfahren und technische Anwendungen die Dienstleister zur Einholung und Verwaltung von Einwilligungen gemäß TTDSG zur Verfügung stellen wollen.

Es geht im Grunde also um Anbieter, bei denen ein Nutzer einmal an zentraler Stelle seine Einwilligungen gemäß DSGVO und TTDSG konfiguriert und abspeichert. Ruft er eine Webseite auf, werden diese automatisch angewandt. Cookie-Banner sind dann nicht mehr erforderlich. Man sagt Google arbeitet schon an so etwas aber denen dürften die Vorgaben, die das TTDSG einen Anbieter macht eher nicht gefallen, denn wer einen solchen Dienst anbieten möchte, muss unter anderen …

  • von einer unabhängigen Stelle anerkannt werden,
  • darf kein wirtschaftliches Eigeninteresse an der Erteilung der Einwilligung und an den verwalteten Daten haben
  • und darf die Daten für keinen anderen Zweck als die Einwilligungsverwaltung verarbeiten.

Auf gut deutsch: Er darf damit mit den Daten weder Geld verdienen wollen noch sie anderweitig als für den eigentlichen Zweck nutzen. Google ist damit wohl raus aus der Nummer!

Aber das ist noch Zukunftsmusik, denn die Bundesregierung muss dazu erst eine Rechtsverordnung, in der die konkreten Anforderungen geregelt werden, erlassen. Aber solche Rechtsverordnungen scheinen nicht die Stärke bundesdeutscher Regierungen zu sein (siehe Corona) und wer versucht sich auszumalen, wie FDP und Grüne hier zu einer Einigung kommen wollen, sieht wohl eher schwarz für die nähere Zukunft.

Bis dahin. Bleiben Sie optimistisch!

Ihre Sandra Christiansen

Ganz zum Schluß noch der Hinweis: Sie merken ja, TTDSG und DSGVO sind ziemlich komplizierte Themen. Deshalb möchte ich Sie darauf hinweisen, dass sämtliche Informationen und Meinungen in diesem Beitrag lediglich  meine eigene Darstellung sind und ausdrücklich nicht rechtlich aussagekräftig. Für rechtlich verbindlichen Informationen wenden Sie sich bitte an einen Rechtsanwalt bzw. eine entsprechend versierte andere Stelle.

Kommentare

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert