Am 1. Dezember 2021 trat mit dem “Telekommunikations-und Telemedien- Datenschutzgesetz” (TTDSG) in Deutschland ein neues Datenschutzgesetz in Kraft. Was sich für Unternehmen ändert und was konkret zu tun ist, erklären wir hier.
Die Orientierungshilfe der DSK
Am 20. Dezember 2021 veröffentlichte die Datenschutzkonferenz (DSK) zudem eine Orientierungshilfe für das TTDSG. Diese Leitlinien enthalten weitere Informationen und Klarstellungen zum TTDSG und dessen Umsetzung.
Hier die wichtigsten Punkte:
- Das TTDSG gilt für Unternehmen und Personen, die in Deutschland Waren und Dienstleistungen anbieten.
- Das TTDSG gilt unabhängig von der Art der Daten. Es ist nicht erforderlich, wie in der DSGVO, dass die Möglichkeit besteht, dass eine Person identifizierbar ist.
- Eine einzige „Akzeptieren“-Option genügt, um sowohl das TTDSG als auch die DSGVO abzudecken. Es ist also nicht notwendig, zwei separate „Akzeptieren“-Optionen bereitzustellen. Ein “Akzeptieren”-Button reicht aus, solange der Nutzer bereits auf der ersten Eben des Banners darüber informiert wird, dass seine Einwilligung sowohl für den Zugriff auf das Endnutzer-Gerät als auch für die Verarbeitung der Daten (z. B. zu Marketingzwecken) gilt.
- Für eine gültige Einwilligung laut TTDSG gelten die gleichen Anforderungen wie in der DSGVO (freiwillig erteilt, ausdrücklich, granular usw.). Das bedeutet auch, dass die Informationen in der gleichen Weise bereitgestellt werden müssen wie nach der DSGVO. Es ist allerdings notwendig, eine Unterscheidung zwischen den beiden Verfahren vorzunehmen (Zugriff gemäß TTDSG und Verarbeitung gemäß DSGVO). Damit eine Einwilligung gültig ist, muss sie zudem informiert sein. Das bedeutet, dass die Rechtsgrundlage genannt werden muss, auf der der Zugriff erfolgt.
- Wenn auf der ersten Ebene des Banners die Option „Akzeptieren“ platziert ist, müssen auch alle Zwecke der Datenerhebung/-verarbeitung auf der ersten Ebene angegeben werden. Es ist jedoch nicht erforderlich, bereits in der ersten Ebene die Möglichkeit einer granularen Auswahl anzubieten.
- Eine gültige Einwilligung erfordert eine gleichermaßen auffällige und leicht zugängliche Möglichkeit, die Einwilligung ausdrücklich zu verweigern oder abzulehnen; eine Auswahl in den Browsereinstellungen reicht beispielsweise nicht aus. Wenn es eine „Akzeptieren“-Option gibt, muss es demnach auch eine „Ablehnen“-Option geben, die ebenso gut sichtbar und zugänglich ist (z. B. durch die gleiche Anzahl von Klicks). Nudging oder andere Arten der Nutzerbeeinflussung verhindern eine gültige Einwilligung.
- Cookie-Walls sind nicht ausdrücklich verboten. Sie sind erlaubt, solange die Anforderungen an die „Akzeptieren/Ablehnen“-Option erfüllt sind. Wenn sich der “Akzeptieren”-Button auf der ersten Ebene des Banners befindet, was in der Regel der Fall ist, dann müssen alle Zwecke auch auf der ersten Ebene angegeben werden.
- Ausnahmen vom TTDSG (Abschnitt 25 II TTDSG) müssen von Fall zu Fall entschieden werden. So müssen z. B. Dienste wie nutzerorientierte Zusatzfunktionen, der Einkaufskorb oder Betrugsprävention technisch notwendig und vom Nutzer gewünscht sein.
Was ändert sich für Unternehmen?
Für Unternehmen, die Einwilligungen bereits über eine Consent Management Platform (CMP) einholen und verwalten, ändert sich kaum etwas. Die Vorgaben zur Einholung der Einwilligung bleiben gleich und richten sich weiterhin nach den Vorgaben der DSGVO.
Sie möchten gesetzeskonform Nutzerdaten für Marketingzwecke sammeln und dabei gleichzeitig das Kundenvertrauen in Ihre Marke stärken? Sprechen Sie mit unseren Experten und lassen Sie sich die Usercentrics CMP in Aktion zeigen. Wir freuen uns auf Ihre Fragen!
Achtung: Der Anwendungsbereich der CMP vergrößert sich
Die Voraussetzungen für eine gültige Einwilligung
Damit eine Einwilligung gültig ist, muss der Nutzer sie informiert treffen können.
Die Anforderungen des TTDSG an die Einwilligung sind die gleichen wie die der DSGVO (Erwägungsgrund 32 DSGVO). Die Rechtsgrundlage für die Datenverarbeitung nach dem TTDSG muss den Websitenutzern zugänglich gemacht werden. Dies kann z. B. auf dem Banner oder in der Datenschutzerklärung geschehen.
Beachten Sie, dass ein Dienst in den meisten Fällen zwei Rechtsgrundlagen hat: eine für die DSGVO und eine für das TTDSG. In einigen Fällen, z. B. wenn keine personenbezogenen Daten verarbeitet werden, gilt die DSGVO nicht. In diesen Fällen ist jedoch weiterhin die Rechtsgrundlage des TTDSG erforderlich.
Mehr TECHNOLOGIEN benötigen nun die Einwilligung
Alle Technologien, die auf dem Gerät des Nutzers wirken, bedürfen nach dem TTDSG einer Einwilligung unabhängig davon, ob es sich um personenbezogene Daten handelt oder nicht.
Der Hintergrund: § 25 TTDSG regelt nicht nur den Schutz personenbezogener Daten.
Dadurch vergrößert sich der Anwendungsbereich der CMP, denn von nun an ist auch die Speicherung von oder der Zugriff auf Informationen, die nicht personenbezogen sind, einwilligungspflichtig.
⇨ Das bedeutet: Von 1. Dezember 2021 an müssen Unternehmen mit Sitz in Deutschland oder Unternehmen, die Waren/Dienstleistungen auf dem deutschen Markt anbieten, die Einwilligung für eine größere Anzahl von Technologien einholen als bisher – nämlich auch für solche, bei denen Informationen auf Endnutzergeräten bzw. Endeinrichtungen (genaue Erklärung: siehe weiter unten im Text) ausgelesen oder gespeichert werden.
Das Einholen der Nutzereinwilligung
Laut TTDSG muss die Einwilligung sowohl für den Zugriff auf das Gerät des Nutzers als auch für die Verarbeitung der von diesem Gerät erhaltenen Daten eingeholt werden. Es ist jedoch nicht erforderlich, den Nutzern zwei getrennte „Akzeptieren“-Optionen (zusammen mit „Verweigern/Ablehnen“-Optionen) anzubieten, um diese Einwilligungen einzuholen. Eine Option ist ausreichend, solange der Nutzer in der ersten Ebene des Banners darüber informiert wird, dass die Einwilligung sowohl für den Zugriff auf sein Gerät als auch für die Datenverarbeitung gilt.
Es muss jedoch auch die Möglichkeit bestehen, sowohl den Gerätezugriff als auch die Datenverarbeitung zu verweigern. Die Option „Verweigern/Ablehnen“ sollte das gleiche Design und die gleiche Funktion haben wie die Option „Akzeptieren“.
Die eine Option sollte hierbei nicht auffälliger oder leichter zugänglich sein, als die andere, da sonst die Einwilligung nicht als frei gegeben angesehen werden kann, so wie es die gesetzlichen Anforderungen an die Einwilligung vorsehen. Beide Optionen sollten die gleiche Anzahl von Klicks erfordern und in der gleichen Ebene verfügbar sein. Ist z. B. die Option „Akzeptieren“ auf der ersten Ebene platziert, sollte die Option „Verweigern/Ablehnen“ nicht erst auf der zweiten Ebene erscheinen.
„Nudging“, d. h. das Hervorheben einer Option gegenüber einer anderen, wird von den Behörden zunehmend als manipulative Benutzererfahrung und deshalb als illegal angesehen.
Das müssen Sie als Usercentrics Kunde nun tun:
1. Bitte prüfen Sie intern, welche datenverarbeitenden Technologien Sie auf Ihrer Website nutzen. Unser DPS Scanner kann Ihnen dabei helfen.
2. Fügen Sie diejenigen Technologien zur CMP hinzu, die auf Endgeräte des Nutzers zugreifen. Hierzu können Sie den Add-Button in den Ergebnissen nutzen und bei unbekannten Technologien gezielt intern evaluieren, welcher Kategorie Sie diese hinzufügen möchten.
3. Überprüfen Sie die aktuelle Kategorisierung all Ihrer Services, die Technologien wie Cookies, den Local Storage oder andere Speicherorte auf dem Endgerät nutzen. Denn für diese muss im Rahmen des TTDSG nun die Einwilligung eingeholt werden. Das heißt: Eventuell müssen Technologien aus der “Essential”-Kategorie in die “Marketing-” oder “Functional”- Kategorie verschoben werden.
4. § 25 Absatz 2 TTDSG besagt, dass die Voraussetzungen für die Gültigkeit der Einwilligung die gleichen sind wie in der DSGVO (Art. 13, DSGVO). Eine der wichtigsten Anforderungen in diesem Artikel ist die Rechtsgrundlage. Es wird daher empfohlen, den Nutzern Informationen über die Rechtsgrundlage des TTDSG zur Verfügung zu stellen.
Wann benötigt man keine Einwilligung?
Websitebetreiber benötigen laut § 25 TTDSG für den Einsatz von Cookies und Tracking-Diensten die ausdrückliche Nutzereinwilligung.
Laut § 25 Absatz 2 TTDSG sind folgende Tatbestände von der Einwilligungspflicht ausgenommen:
- technisch unbedingt erforderliche Cookies und Informationen
- Cookies und Informationen, die ausschließlich der Übertragung von Nachrichten über ein öffentliches Telekommunikationsnetz dienen
Achtung: Ob einer der datenverarbeitenden Services nun unter einen Ausnahmetatbestand fällt, bei dem keine Einwilligung benötigt wird, weil der Service “erforderlich”, “technisch notwendig” oder “essentiell” ist, müssen Sie im Rahmen Ihrer Datenschutzprozesse eigenverantwortlich prüfen – eine detaillierte, rechtssichere Beratung kann Usercentrics Ihnen nicht geben.
Zusätzliche “ENDEINRICHTUNGEN” sind betroffen
Durch das TTDSG erweitert sich der Anwendungsbereich des Datenschutzes, denn die Vorgaben des TTDSG beziehen sich auf sämtliche „Endeinrichtungen“.
Was versteht man unter “Endeinrichtung”?
Als Endeinrichtung gilt “jede direkt oder indirekt an die Schnittstelle eines öffentlichen Telekommunikationsnetzes angeschlossene Einrichtung zum Aussenden, Verarbeiten oder Empfangen von Nachrichten. Dies umfasst z.B. Laptops, Tablets, Smartphones, Smart TVs, Sprachassistenten, Connected Devices des Internet of Things (IoT), die i.R.d. Maschine-Maschine-Kommunikation (M2M) automatisch oder nur mit geringfügiger menschlicher Beteiligung Informationen austauschen, wie z.B. Connected Cars.”
Das bedeutet: Alle Technologien, die auf dem Gerät eines Nutzers wirken, bedürfen einer Einwilligung – und zwar unabhängig davon, ob es sich um personenbezogene Daten handelt oder nicht.
⇨ Wer also Cookies oder anderen Tracking-Technologien einsetzt, braucht künftig in Deutschland eine explizite Einwilligung (und damit zwingend ein funktionales Cookie Banner bzw. eine CMP).
Egal ob Datenschutz, Recht oder Tech – wir wissen, was die Branche bewegt. Schalten Sie rein und lassen Sie sich in unserer zweiwöchentlichen Experten-Runde auf den neuesten Stand bringen.
Was ist sonst noch neu?
PIMs und Single Sign On-Lösungen zukünftig möglich
PIMS („Personal Information Management Systems“) sind Dienste, die es Nutzern ermöglichen sollen, einmalig die Voraussetzungen für die Einwilligung oder die Ablehnung einer Datenerhebung festzulegen. Diese Informationen leitet der PIMS-Anbieter automatisch an alle Websites weiter. Das Ziel? Nutzer sollen generell mehr Kontrolle über ihre personenbezogenen Daten und den Zugriff Dritter auf Informationen erhalten.
Obwohl PIMS im TTDSG nicht ausdrücklich genannt werden, liefert der Gesetzgeber hier bereits einen Rechtsrahmen für mögliche Innovationen. Aus den Begründungen zu den Entwürfen geht zudem hervor, dass hierzu neben PIMS u.a. auch Single Sign On-Lösungen zählen.
§ 26 TTDSG soll einen verlässlichen und glaubwürdigen Rahmen für die Anerkennung solcher Dienste schaffen damit Endnutzer diesen ihre Einwilligung auch anvertrauen. Im ersten Schritt müssten diese Dienste allerdings zunächst offiziell anerkannt werden, wofür wiederum bestimmte Voraussetzungen vorliegen müssten (kein wirtschaftliches Eigeninteresse der Anbieter, Sicherheitskonzept des Anbieters, etc.). Und auch das Verfahren zur Anerkennung der Dienste müsste die Bundesregierung noch in Form einer Rechtsverordnung festlegen.
Ob in Zukunft der Browser-Anbieter selbst oder etwa neue Anbieter ein PIMS bereitstellen werden und wie die Zusammenarbeit der Akteure aussehen wird, ist noch offen. Weiterhin gilt aber, dass die unmittelbare Beziehung zwischen Verantwortlichem und dem Nutzer Vorrang hat. Das heißt, Cookie Banner können auch im Zeitalter der PIMS für die Einholung der Einwilligung hilfreich sein.
DISCLAIMER: Diese Ausführungen stellen keine Rechtsberatung dar. Bei rechtlichen Fragen, sollten Sie sich an einen Fachanwalt wenden. Die Umsetzung einer datenschutzkonformen Implementierung einer CMP liegt letztlich im Ermessen des jeweiligen Datenschutzbeauftragten bzw. der Rechtsabteilung.