Dezember 2021: Ein neues Datenschutzgesetz (TTDSG) tritt in Kraft

Praxishinweise von Mathias Lang, LL.M., Fachanwalt für Informationstechnologierecht (IT-Recht)

 

Zur Vorweihnachtszeit beschert der Gesetzgeber das Inkrafttreten eines neues Datenschutzgesetzes: Das Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG) ist am 01.12.2021 in Kraft getreten. Das Bundesministerium für Wirtschaft und Klimaschutz spricht vom Gesetz zum Schutz der Privatsphäre in der digitalen Welt.

Diesem Gesetz unterliegen alle Unternehmen und Personen, die im Geltungsbereich dieses Gesetzes eine Niederlassung haben oder Dienstleistungen erbringen oder daran mitwirken oder Waren auf dem Markt bereitstellen. Inhaltlich sind neben TK-Dienstleistungen Telemedien betroffen, also unter anderem Websites und Apps.

Damit werden die bisherigen datenschutzrechtlichen bereichsspezifischen Vorschriften des Telekommunikationsgesetzes (TKG) und des Telemediengesetzes (TMG) in einem Gesetz zusammengeführt und zugleich den Regelungen der Datenschutzgrundverordnung (DSGVO) und der E-Privacy-Richtlinie angepasst.

Ungeachtet (berechtigter) inhaltlicher Kritik ist dieses Gesetz zu begrüßen. Neben der Vereinheitlichung des Datenschutzes in den genannten Bereichen und der Novellierung einzelner Punkte, werden jahrelange Anwendungsdiskrepanzen, insbesondere des TMG und der E-Privacy-Richtlinie, gerade auch im Hinblick auf sogenannte Cookies (Textinformation, die im Browser auf dem Computer des Betrachters jeweils zu einer besuchten Website gespeichert werden) beseitigt und entsprechende europarechtliche Vorgaben endlich in nationales Recht umgesetzt.    

Es erfolgt nunmehr eine gesetzliche Klarstellung, dass Cookies und ähnliche Technologien einer Einwilligung im Sinne der DSGVO (freiwillig, informiert, ausdrücklich und widerruflich) bedürfen. Zwar wird das Wort Cookie dabei nicht verwendet, sondern (in Anlehnung an die  E-Privacy-Richtlinie) die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, beschrieben. Somit betrifft dies nicht nur Cookies, sondern auch sonstige Verfahren, mit denen Informationen gespeichert oder auf die zugegriffen wird. Zwar ergab sich dies bereits aus entsprechenden Entscheidungen des EuGH (Europäischer Gerichtshof) und des BGH Bundesgerichtshof), nun ist dies jedoch unmittelbar dem Gesetz zu entnehmen. Im Gegensatz zur E-Privacy-Richtlinie geht das TTDSG sogar einen Schritt weiter in die Zukunft und benennt Endeinrichtungen anstatt Endgeräte, um die technischen Entwicklungen der letzten Jahre zu berücksichtigen und für weitere offen zu sein.

Zwei Ausnahmen vom Einwilligungsvorbehalt gibt es hierzu:

1)   technisch zwingend notwendige Cookies und Informationen, d.h. solche, die für den Betrieb der Seite unbedingt erforderlich sind;

2)  Cookies und Informationen, die ausschließlich der Übertragung von Nachrichten über ein öffentliches Telekommunikationsnetz dienen.

Aus praktischer Sicht kommt derzeit nur ein Cookie-Consent-Tool (Software zur Einwilligungsverwaltung) in Betracht, um diese Vorgaben umzusetzen.

Lediglich bei Greifen der Ausnahmetatbestände ist dies entbehrlich. Der klassische, rein informierende Cookie-Banner, kann nun endgültig nur noch bei Verwendung von technisch notwendigen Cookies zum Einsatz kommen.

Interessant sind auch die gesetzlichen Vorgaben des TTDSG zur Anerkennung von Diensten zur Einwilligungsverwaltung.

Es handelt sich dabei um sog. „Personal Information Management Services“ (PIMS). Dabei soll der Nutzer grundsätzlich die Voraussetzungen für die Einwilligung oder Ablehnung von Cookies einstellen können, was dann im Hintergrund laufend, über den Browser automatisch an die jeweils besuchten Websites weitergegeben wird. Damit wären die Cookie-Consent-Tools nicht mehr notwendig.

Allerdings müssen diese Dienste erst anerkannt und die Voraussetzungen hierfür in einer Rechtsverordnung festgelegt werden. Derzeit befindet sich eine solche Verordnung beim Bundesministerium für Wirtschaft und Klimaschutz in Bearbeitung. Sich damit ergebende Fragen der EU-Rechtskonformität (Pauschaleinwilligungen sind nach der DSGVO nicht vorgesehen) sind allerdings offen.

Zu beachten ist, dass das TTDSG durch das Inkrafttreten der E-Privacy-Verordnung der EU wieder obsolet werden wird.

Auch wenn sich die rechtlichen Grundlagen mit dem Inkrafttreten der E-Privacy-Verordnung der EU wiederum ändern werden, dürften sich in der Sache selbst nach derzeitigem Stand keine Änderungen, hinsichtlich des Erfordernisses einer Einwilligung bei Verwendung von Cookies und ähnliche Technologien ergeben.

Nicht nur in Anbetracht des Bußgeldrahmens bis zu 300.000,00 EUR, sollten Unternehmen hinsichtlich der Einwilligungsverwaltung beim Einsatz von Cookies und ähnliche Technologien verstärkt Ihr Augenmerk auf rechtkonforme Ausgestaltung richten.

Autor und Ansprechpartner:

Mathias Lang, LL.M.
Rechtsanwalt
Fachanwalt für Informationstechnologierecht (IT-Recht)
Master of Laws (LL.M.) Informationsrecht
T +49 (0)711 255404-60
F +49 (0)711 255404-70
E   mathias.lang@jordan-ra.com