Das neue TTDSG: Was sich jetzt für Unternehmen ändert

Das neue TTDSG: Was sich jetzt für Unternehmen ändert

Ab Dezember 2021 gilt in Deutschland ein neues Datenschutzgesetz. Alles, was Sie über die neue Rechtsvorschrift wissen müssen im Überblick.
by Usercentrics
17. Nov 2021
Inhaltsverzeichnis
Mehr anzeigen Weniger anzeigen

Am 1. Dezember 2021 tritt mit dem “Telekommunikations-und Telemedien- Datenschutzgesetz” (TTDSG) in Deutschland ein neues Datenschutzgesetz in Kraft. Was sich für Unternehmen ändert und was jetzt konkret zu tun ist, erklären wir hier.

Key Takeaways:

  • Sämtliche Technologien – bis auf solche, die “unbedingt erforderlich” sind – dürfen nur auf Grundlage der expliziten Einwilligung eingesetzt werden
  • Der Anwendungsbereich der CMP erweitert sich hierdurch
  • Das TTDSG gilt auch für Apps, Messenger-Dienste, Smart Home Devices, IOT, etc.

Was ändert sich für Unternehmen?

Für Unternehmen, die Einwilligungen bereits über eine Consent Management Platform (CMP) einholen und verwalten, ändert sich kaum etwas. Die Vorgaben zur Einholung der Einwilligung bleiben gleich und richten sich weiterhin nach den Vorgaben der DSGVO.

Achtung: Der Anwendungsbereich der CMP vergrößert sich

a) Mehr TECHNOLOGIEN benötigen nun die Einwilligung

 

Alle Technologien, die auf dem Gerät des Nutzers wirken, bedürfen nach dem TTDSG einer Einwilligung unabhängig davon, ob es sich um personenbezogene Daten handelt oder nicht.

 

Der Hintergrund: § 25 TTDSG regelt nicht nur den Schutz personenbezogener Daten.
Dadurch vergrößert sich der Anwendungsbereich der CMP, denn von nun an ist auch die Speicherung von oder der Zugriff auf Informationen, die nicht personenbezogen sind, einwilligungspflichtig.

 

⇨ Das bedeutet: Von 1. Dezember 2021 an müssen ​​Unternehmen mit Sitz in Deutschland oder Unternehmen, die Waren/Dienstleistungen auf dem deutschen Markt anbieten, die Einwilligung für eine größere Anzahl von Technologien einholen als bisher – nämlich auch für solche, bei denen Informationen auf Endnutzergeräten bzw. Endeinrichtungen (genaue Erklärung: siehe weiter unten im Text) ausgelesen oder gespeichert werden.

 

 

Das müssen Sie als Usercentrics Kunde nun tun:

 

1. Bitte prüfen Sie intern, welche datenverarbeitenden Technologien Sie auf Ihrer Website nutzen. Unser DPS Scanner kann Ihnen dabei helfen.

 

settings4

 

2. Fügen Sie diejenigen Technologien zur CMP hinzu, die auf Endgeräte des Nutzers zugreifen. Hierzu können Sie den Add-Button in den Ergebnissen nutzen und bei unbekannten Technologien gezielt intern evaluieren, welcher Kategorie Sie diese hinzufügen möchten.

 

Settings3

 

3. Überprüfen Sie die aktuelle Kategorisierung all Ihrer Services, die Technologien wie Cookies, den Local Storage oder andere Speicherorte auf dem Endgerät nutzen. Denn für diese muss im Rahmen des TTDSG nun die Einwilligung eingeholt werden. Das heißt: Eventuell müssen Technologien aus der “Essential”-Kategorie in die “Marketing-” oder “Functional”- Kategorie verschoben werden.

Wann benötigt man keine Einwilligung?

 

Webseitenbetreiber benötigen laut § 25 TTDSG für den Einsatz von Cookies und Tracking-Diensten die ausdrückliche Nutzereinwilligung.

 

Laut § 25 Absatz 2 TTDSG sind folgende Tatbestände von der Einwilligungspflicht ausgenommen:

 

  • technisch unbedingt erforderliche Cookies und Informationen
  • Cookies und Informationen, die ausschließlich der Übertragung von Nachrichten über ein öffentliches Telekommunikationsnetz dienen

 

Achtung: Ob einer der datenverarbeitenden Services nun unter einen Ausnahmetatbestand fällt, bei dem keine Einwilligung benötigt wird, weil der Service “erforderlich”, “technisch notwendig” oder “essentiell” ist, müssen Sie im Rahmen Ihrer Datenschutzprozesse eigenverantwortlich prüfen – eine detaillierte, rechtssichere Beratung kann Usercentrics Ihnen nicht geben.

b) Zusätzliche “ENDEINRICHTUNGEN” sind betroffen

 

Durch das TTDSG erweitert sich der Anwendungsbereich des Datenschutzes, denn die Vorgaben des TTDSG beziehen sich auf sämtliche „Endeinrichtungen“.

 

Was versteht man unter “Endeinrichtung”?

Als Endeinrichtung gilt “jede direkt oder indirekt an die Schnittstelle eines öffentlichen Telekommunikationsnetzes angeschlossene Einrichtung zum Aussenden, Verarbeiten oder Empfangen von Nachrichten. Dies umfasst z.B. Laptops, Tablets, Smartphones, Smart TVs, Sprachassistenten, Connected Devices des Internet of Things (IoT), die i.R.d. Maschine-Maschine-Kommunikation (M2M) automatisch oder nur mit geringfügiger menschlicher Beteiligung Informationen austauschen, wie z.B. Connected Cars.”

 

Das bedeutet: Alle Technologien, die auf dem Gerät eines Nutzers wirken, bedürfen einer Einwilligung – und zwar unabhängig davon, ob es sich um personenbezogene Daten handelt oder nicht.

 

⇨ Wer also Cookies oder anderen Tracking-Technologien einsetzt, braucht künftig in Deutschland eine explizite Einwilligung (und damit zwingend ein funktionales Cookie Banner bzw. eine CMP).

Was ist sonst noch neu?

PIMs und Single Sign On-Lösungen zukünftig möglich

Was sind PIMS?

PIMS („Personal Information Management Systems“) sind Dienste, die es Nutzern ermöglichen sollen, einmalig die Voraussetzungen für die Einwilligung oder die Ablehnung einer Datenerhebung festzulegen. Diese Informationen leitet der PIMS-Anbieter automatisch an alle Websites weiter. Das Ziel? Nutzer sollen generell mehr Kontrolle über ihre personenbezogenen Daten und den Zugriff Dritter auf Informationen erhalten.

Obwohl PIMS im TTDSG nicht ausdrücklich genannt werden, liefert der Gesetzgeber hier bereits einen Rechtsrahmen für mögliche Innovationen. Aus den Begründungen zu den Entwürfen geht zudem hervor, dass hierzu neben PIMS u.a. auch Single Sign On-Lösungen zählen.

 

§ 26 TTDSG soll einen verlässlichen und glaubwürdigen Rahmen für die Anerkennung solcher Dienste schaffen damit Endnutzer diesen ihre Einwilligung auch anvertrauen. Im ersten Schritt müssten diese Dienste allerdings zunächst offiziell anerkannt werden, wofür wiederum bestimmte Voraussetzungen vorliegen müssten (kein wirtschaftliches Eigeninteresse der Anbieter, Sicherheitskonzept des Anbieters, etc.). Und auch das Verfahren zur Anerkennung der Dienste müsste die Bundesregierung noch in Form einer Rechtsverordnung festlegen.

 

Ob in Zukunft der Browser-Anbieter selbst oder etwa neue Anbieter ein PIMS bereitstellen werden und wie die Zusammenarbeit der Akteure aussehen wird, ist noch offen. Weiterhin gilt aber, dass die unmittelbare Beziehung zwischen Verantwortlichem und dem Nutzer Vorrang hat. Das heißt, Cookie Banner können auch im Zeitalter des PIMS für die Einholung der Einwilligung hilfreich sein.

Frequently Asked Questions (FAQ)

Mit dem TTDSG sollen die Datenschutzbestimmungen aus der dem Telekommunikations-Gesetz (TKG) und Telemedien-Gesetz (TMG) zusammengeführt werden, denn dieses Nebeneinander hatte in der Vergangenheit immer wieder zu Rechtsunsicherheiten geführt. Ferner werden mit dem TTDSG die entsprechenden Vorgaben der ePrivacy Richtlinie in deutsches Recht umgesetzt.

Das Gesetz wurde am 20. Mai 2021 vom deutschen Bundestag beschlossen. Es tritt am 1. Dezember 2021 in Kraft.

Das TTDSG betrifft alle Unternehmen mit Sitz in Deutschland oder Unternehmen, die Waren/Dienstleistungen auf dem deutschen Markt anbieten.

Ein Verstoß gegen das TTDSG kann mit bis zu 300.000 Euro Bußgeld geahndet werden. Eine Doppelahndung derselben Zugriffshandlung nach TTDSG und DSGVO ist allerdings ausgeschlossen.

DISCLAIMER: Diese Ausführungen stellen keine Rechtsberatung dar. Bei rechtlichen Fragen, sollten Sie sich an einen Fachanwalt wenden. Die Umsetzung einer datenschutzkonformen Implementierung einer CMP liegt letztlich im Ermessen des jeweiligen Datenschutzbeauftragten bzw. der Rechtsabteilung.

Home Ressourcen Blog Das neue TTDSG: Was sich jetzt für Unternehmen ändert

Ähnliche Artikel