Mit dem Gesetz vom 8. November 2021 n. 183, in Kraft getreten am 14.12.2021, wurde die Richtlinie (EU) 2019/1151 des Europäischen Parlaments und des Rates vom 20. Juni 2019 zur Änderung der Richtlinie (EU) 2017/1132 im Hinblick auf die Nutzung digitaler Werkzeuge und Verfahren, in Italien umgesetzt.
Unternehmer[1] sehen sich seit dem 1.1.2022 mit zeitgleichem Inkrafttreten der Warenkauf[2]- und Digitale Inhalte[3]-Richtlinie sowie entsprechendem deutschen Umsetzungsgesetz[4] einer Ausweitung der Verbraucherrechte ausgesetzt.[5] Ergeben sich in der Praxis für Unternehmer wichtige Änderungen? Müssen Vertragstexte, insbesondere AGB, angepasst werden? Ganz überwiegend wird man dies bejahen müssen.
Die Digitalisierung von Geschäftsprozessen in Produkt- und Dienstleistungsbereichen macht Unternehmen zukunftssicher. Globale Klima- und Gesundheitsschutzumbrüche, wie z.B. die Corona-Pandemie sie verursachte, lassen Unternehmen ohne »digitale Agenda« ins Hintertreffen geraten. Cloud Computing, neue Software-Entwicklungen und das Internet der Dinge führen zu immer stärker skalierbaren Ausbaugraden globaler Vernetzung. Maschinen kommunizieren miteinander, KI und digitale Kollaboration schreiten voran. Permanent verfügbare Daten sind dank Cloud und Virtualisierung Technologiefortschritt und Risiko zugleich. Industrie 4.0, Big Data und Cyber-/Hackerangriffe verlangen eine Reflexion elektronischer Geschäftsmodelle und konstruktive Lösungen bei der IT-Sicherheit.
Das Umwandeln von analogen Werten in digitale Formate genügt für eine digitale Transformation längst nicht mehr. Erfolge treten nur durch Nachhaltigkeit in Bezug auf den Datenschutz und die IT-Sicherheit ein. Können IT-Services aus Drittstaaten nach der Annullierung des Privacy Shield durch den EuGH datenschutzrechtlich zulässig bleiben oder nur alternative Handlungsoptionen bieten?
IT- und Datenschutz-Compliance sowie Haftungsvermeidung
Mit der völlig überarbeiteten Neuauflage des von Degen/Deisterbegründeten Handbuchs »Computer- und Internetrecht« erhalten Unternehmen einen »EDV-Kompass« für die erfolgreiche Realisierung typischer und agiler IT- und Datenschutz-Projekte: Dieses Handbuch unterstützt Unternehmer in dem technisch und rechtlich komplexen Koordinatensystem der IT- und Datenschutz-Compliance, bei dem die Fixpunkte zur Gestaltung und Haftungsvermeidung auszumachen sind. Die Dynamik kann im PDCA-Zyklus abgebildet werden.
Mit Praxisbeispielen, Checklisten und Übersichten
Die Autoren erläutern aus Unternehmensperspektive in verschiedenen Use-Case-Abläufen, welche IT- und datenschutzrechtlichen Anforderungen im Praxisbetrieb sicherzustellen sind. Vor die Klammer gezogen werden anwenderorientiert Verantwortungs- und Haftungsbereiche. Checklisten und Übersichten unterstützen Entscheidungsträger in Wirtschaft und Verwaltung beim Direkteinstieg in die komplexe Materie.
Unentbehrlich für alle Verantwortlichen
Das Buch richtet sich an Datenschutzbeauftragte sowie von der Thematik betroffene Zielgruppen aus Management, IT und IT-Security, Produktion, F&E, HR, Finanzen, Revision, Vertrieb, Marketing, Mitarbeitervertretung/Betriebsrat.
Dezember 2021: Ein neues Datenschutzgesetz (TTDSG) tritt in Kraft
Praxishinweise von Mathias Lang, LL.M., Fachanwalt für Informationstechnologierecht (IT-Recht)
Zur Vorweihnachtszeit beschert der Gesetzgeber das Inkrafttreten eines neues Datenschutzgesetzes: Das Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG) ist am 01.12.2021 in Kraft getreten. Das Bundesministerium für Wirtschaft und Klimaschutz spricht vom Gesetz zum Schutz der Privatsphäre in der digitalen Welt.
Diesem Gesetz unterliegen alle Unternehmen und Personen, die im Geltungsbereich dieses Gesetzes eine Niederlassung haben oder Dienstleistungen erbringen oder daran mitwirken oder Waren auf dem Markt bereitstellen. Inhaltlich sind neben TK-Dienstleistungen Telemedien betroffen, also unter anderem Websites und Apps.
Damit werden die bisherigen datenschutzrechtlichen bereichsspezifischen Vorschriften des Telekommunikationsgesetzes (TKG) und des Telemediengesetzes (TMG) in einem Gesetz zusammengeführt und zugleich den Regelungen der Datenschutzgrundverordnung (DSGVO) und der E-Privacy-Richtlinie angepasst.
Ungeachtet (berechtigter) inhaltlicher Kritik ist dieses Gesetz zu begrüßen. Neben der Vereinheitlichung des Datenschutzes in den genannten Bereichen und der Novellierung einzelner Punkte, werden jahrelange Anwendungsdiskrepanzen, insbesondere des TMG und der E-Privacy-Richtlinie, gerade auch im Hinblick auf sogenannte Cookies (Textinformation, die im Browser auf dem Computer des Betrachters jeweils zu einer besuchten Website gespeichert werden) beseitigt und entsprechende europarechtliche Vorgaben endlich in nationales Recht umgesetzt.
Es erfolgt nunmehr eine gesetzliche Klarstellung, dass Cookies und ähnliche Technologien einer Einwilligung im Sinne der DSGVO (freiwillig, informiert, ausdrücklich und widerruflich) bedürfen. Zwar wird das Wort Cookie dabei nicht verwendet, sondern (in Anlehnung an die E-Privacy-Richtlinie) die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, beschrieben. Somit betrifft dies nicht nur Cookies, sondern auch sonstige Verfahren, mit denen Informationen gespeichert oder auf die zugegriffen wird. Zwar ergab sich dies bereits aus entsprechenden Entscheidungen des EuGH (Europäischer Gerichtshof) und des BGH Bundesgerichtshof), nun ist dies jedoch unmittelbar dem Gesetz zu entnehmen. Im Gegensatz zur E-Privacy-Richtlinie geht das TTDSG sogar einen Schritt weiter in die Zukunft und benennt Endeinrichtungen anstatt Endgeräte, um die technischen Entwicklungen der letzten Jahre zu berücksichtigen und für weitere offen zu sein.
Zwei Ausnahmen vom Einwilligungsvorbehalt gibt es hierzu:
1) technisch zwingend notwendige Cookies und Informationen, d.h. solche, die für den Betrieb der Seite unbedingt erforderlich sind;
2) Cookies und Informationen, die ausschließlich der Übertragung von Nachrichten über ein öffentliches Telekommunikationsnetz dienen.
Aus praktischer Sicht kommt derzeit nur ein Cookie-Consent-Tool (Software zur Einwilligungsverwaltung) in Betracht, um diese Vorgaben umzusetzen.
Lediglich bei Greifen der Ausnahmetatbestände ist dies entbehrlich. Der klassische, rein informierende Cookie-Banner, kann nun endgültig nur noch bei Verwendung von technisch notwendigen Cookies zum Einsatz kommen.
Interessant sind auch die gesetzlichen Vorgaben des TTDSG zur Anerkennung von Diensten zur Einwilligungsverwaltung.
Es handelt sich dabei um sog. „Personal Information Management Services“ (PIMS). Dabei soll der Nutzer grundsätzlich die Voraussetzungen für die Einwilligung oder Ablehnung von Cookies einstellen können, was dann im Hintergrund laufend, über den Browser automatisch an die jeweils besuchten Websites weitergegeben wird. Damit wären die Cookie-Consent-Tools nicht mehr notwendig.
Allerdings müssen diese Dienste erst anerkannt und die Voraussetzungen hierfür in einer Rechtsverordnung festgelegt werden. Derzeit befindet sich eine solche Verordnung beim Bundesministerium für Wirtschaft und Klimaschutz in Bearbeitung. Sich damit ergebende Fragen der EU-Rechtskonformität (Pauschaleinwilligungen sind nach der DSGVO nicht vorgesehen) sind allerdings offen.
Zu beachten ist, dass das TTDSG durch das Inkrafttreten der E-Privacy-Verordnung der EU wieder obsolet werden wird.
Auch wenn sich die rechtlichen Grundlagen mit dem Inkrafttreten der E-Privacy-Verordnung der EU wiederum ändern werden, dürften sich in der Sache selbst nach derzeitigem Stand keine Änderungen, hinsichtlich des Erfordernisses einer Einwilligung bei Verwendung von Cookies und ähnliche Technologien ergeben.
Nicht nur in Anbetracht des Bußgeldrahmens bis zu 300.000,00 EUR, sollten Unternehmen hinsichtlich der Einwilligungsverwaltung beim Einsatz von Cookies und ähnliche Technologien verstärkt Ihr Augenmerk auf rechtkonforme Ausgestaltung richten.
Autor und Ansprechpartner:
Mathias Lang, LL.M. Rechtsanwalt Fachanwalt für Informationstechnologierecht (IT-Recht) Master of Laws (LL.M.) Informationsrecht T +49 (0)711 255404-60 F +49 (0)711 255404-70 E mathias.lang@jordan-ra.com
