Ohne eine gesetzliche Übergangsfrist ist bereits am 01.12.2021 ein das neue Telekommunikations-Telemedien-Datenschutz-Gesetz (TTDSG) in Kraft getreten. Eine erste Übersicht zum TTDSG und einige Handlungsempfehlungen.
Ein Beitrag von Stephan Michaelis, Rechtsanwalt der Kanzlei Michaelis Rechtsanwälte und Diplom-Ingenieur Harald Müller-Delius, Datenschutzbeauftragter der Kanzlei Michaelis Rechtsanwälte.
Sie werden feststellen, dass es sich in erster Linie um ein technisches Problem handelt, welches der künftigen gesetzlichen Regelung anzupassen ist. Sprechen Sie also Ihren Systemadministrator auf die nachfolgende Problematik an, dieser kann durch die zu verändernde technische Einstellung dann auch zügig die neuen rechtlichen Rahmenbedingungen erfüllen.
Mit dem TTDSG (Telekommunikation-Telemedien-Datenschutzgesetz oder „Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien“) tritt nicht nur eine kreative Wortschöpfung, sondern auch ein – aus Sicht von vielen Juristen – handwerklich und fachlich nicht ganz souveränes Gesetz in Kraft. Und das leider ohne Übergangsfrist.
Das Gute vorweg: Wer vorher schon alles richtig gemacht hat, für den gibt es nicht sonderlich viele Neuerungen. In erster Linie ist das Gesetz auch für Unternehmen der Telekommunikationsbranche und „On-Top“-Dienste, also beispielsweise Twitter, WhatsApp & Co., von Interesse. Vor allem das Marktort-Prinzip wird für große Anbieter von Telemedien oder On-Top-Diensten ein paar Extraklimmzüge bedeuten.
Der Geltungsbereich in § 2 Abs. 2 TTDSG wird wie folgt definiert:
Anbieter von Telemedien ist jede natürliche oder juristische Person, die eigene oder fremde Telemedien erbringt, an der Erbringung mitwirkt oder den Zugang zur Nutzung von eigenen oder fremden Telemedien vermittelt.
Also auch alle gewerblichen Website-Betreiber. Bestimmt haben Sie auch eine eigene Website?
Eigentliches Ziel des TTDSG ist, eine Zusammenführung der bisherigen Gesetze aus TMG (Telemediengesetz), TKG (Telekommunikationsgesetz) und der DSGVO zu schaffen. Zumindest, bis die europäische ePrivacy-Verordnung in Kraft tritt. So hat der Gesetzgeber noch auf die Schnelle versucht, vor der Bundestagswahl eine drohende Lücke zu schließen.
Wo wird das TTDSG nun für Unternehmen interessant?
Zum einen bewahrheitet sich der Grundsatz, das private Surfen und Mailen von Mitarbeitern auf betrieblich genutzter IT grundsätzlich zu verbieten. Dann fällt man als Unternehmer möglicherweise auch gar nicht unter das TKG.
Praktische Anwendung findet das TTDSG aber bei allen Onlineaktivitäten der Unternehmen, insbesondere bei der Einwilligungspflicht in Cookies und vergleichbare Techniken.
Und hier findet im Vergleich zur bisherigen gesetzlichen Grundlage aus § 15 Abs. 3 TMG der neue § 25 TTDSG Anwendung:
Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat.
Das wirklich Spannende und Neue hierbei ist der Begriff: Endeinrichtung. Damit ist nun eben nicht mehr nur der Browser gemeint, sondern technologieneutral alles, was an Technik für Onlineaktivitäten seitens eines Endanwenders genutzt werden kann. Also auch: Smartphone, Kfz, SmartTV, SmartHome, SmartMeter, IoT, Fitnesstracker et cetera. Und die Einwilligung greift auf Art. 7 DSGVO und ErwgGr. 32 zurück, was der Form und der Gültigkeit der Einwilligung einen Rahmen setzt.
Das TTDSG setzt allerdings der DSGVO noch einen drauf: Es geht nicht nur um personenbezogene Daten, sondern auch alle möglichen weiteren durch den Nutzer generierten Daten, also beispielsweise Messwerte, Fingerprinting-Daten et cetera.
Zudem gibt es in § 28 einen eigenen Bußgeldkatalog nach TTDSG. Der ist zwar mit maximal 300.000 Euro erheblich geringer als bei der DSGVO, wird aber bei Verstoß gegen die Verarbeitung personenbezogener Daten zusätzlich zum Bußgeld nach DSGVO herangezogen. Das senkt die Hürde für Bußgelder bei fehlerhaften Cookie Consent Layern erheblich, da nicht unbedingt mehr der Datenschutzverstoß maßgeblich ist.
Da sehr leicht von extern zu kontrollieren ist, ob die Cookie-Einwilligung korrekt nach TTDSG umgesetzt ist, droht es hier sehr leicht, Opfer eines Abmahnverfahrens zu werden.
Die Hürden sind wesentlich geringer als bei der DSGVO. Der österreichische Datenschutzaktivist Schrems hat bereits seit Längerem Sammelklagen gegen intransparente Cookie Consent Layer am Laufen. Die TTDSG würde hier durch die Festlegung der formalen Kriterien ab dem 01.12.21 ganz schnell kurzen Prozess machen.
Was muss ich nun bei der Internetseite tun?
Das große To-do in Bezug auf das TTDSG für Unternehmen heißt: Cookie Consent Layer. Der bisherige Einsatz ist nun unbedingt bis zum 01.12.2021 zu prüfen, da keine Übergangsfrist besteht. Das TTDSG hat auf alle Fälle wesentlich mehr Abmahnpotenzial als die DSGVO!
Wie muss der Cookie Consent Layer nun korrekt aussehen?
1. Es ist eine formal korrekte Einwilligung nach Art. 7 DSGVO einzuholen (hier also insbesondere die Informationspflichten und die aktive Einwilligung beachten).
2. Die technische Umsetzung ist korrekt vorzunehmen (also Einbetten von Scripts, Tracking- und Marketing-Tools, Speichern personenbezogener Daten oder sessionübergreifender Informationen in Cookies, Informationen für Werbenetzwerke et cetera erst NACH der erfolgten Einwilligung).
3. Prüfen auf technische Notwendigkeit: Für Cookies, die technisch unbedingt notwendig zum Betrieb des Telemedienangebotes sind, benötigt es keine Einwilligung. Dies ist jedoch im Einzelfall genau zu prüfen, typische Ausnahmen wären Session-Cookies und Warenkorb-Cookies.
4. Transparenz bei der Gestaltung: Zum Einen muss es ebenso leicht abzuwählen wie anzuwählen sein. Optisch verstecktes Opt-out wird nicht funktionieren und farblich hervorgehobene „Zustimmen“-Buttons wären unzulässig. Auch ist strittig, ob das Deaktivieren von „25“ (vielen) einzelnen Tools zur Transparenz beiträgt.
Idealerweise umfasst der Cookie Consent Layer also nur die drei Optionen „Technisch notwendig“, „Analyse- und TrackingTools“, „Marketing- und Werbetools“, die dann summierend alle Dienste aktivieren oder deaktivieren. Genannt werden müssen alle Dienste aber selbstverständlich, damit sich der Nutzer informieren kann. Also kurz gesagt: Prüfen Sie nochmals die Implementierung Ihres Cookie Consent Layers und ob das ein oder andere Tool auch wirklich notwendig ist.
Kleine Idee aus der Technikkiste von Herrn Müller-Delius: Eine Website-Statistik kann man sich mit gängigen Tools auch per anonymisierten Server-Logfiles einholen, und das ganz ohne Cookie Consent Layer und Datenschutzverrenkung.
Sollten Sie eines der gängigen Tools für den Cookie Layer einsetzen, sollte die Umsetzung aber auch schon an das TTDSG angepasst sein.
Und sonst noch?
Anbei bemerkt sei noch, dass das TTDSG auch noch weitere Sachverhalte regelt. Als Beispiel sei genannt, dass das Fernmeldegeheimnis nun auch das Erbe eines Onlinenachlasses regelt und neue Regelungen zur Rufnummerunterdrückung stattfinden. Interessant womöglich für alle Callcenter- und Akquisetätigkeiten.
Der Ausblick
Das TTDSG ist ganz klar nur eine juristische Zwischenlösung als Reaktion auf die BGH-Urteile, bis die ePrivacy-Verordnung in Kraft tritt. Da aber der Gesetzgeber nun auf die Schnelle eine nationale Zwischenlösung geschaffen hat, gilt es erst einmal, das Geflecht aus TMG, TKG, TTDSG und DSGVO zu entschlüsseln. Insbesondere die Definition der Begrifflichkeiten ist juristisches Abenteuer genug.
Und was dann passieren soll, wenn perspektivisch die ePrivacy-Verordnung als europäische Gesamtlösung in Kraft tritt und damit noch mehr vernetzte Regelungen über die bestehenden Gesetze ausgeschüttet werden, bleibt abzuwarten. Aber vor 2023 wird das nicht der Fall sein und bis dahin mag ja eine spannende, einheitliche, verständliche Lösung gefunden sein?
Fazit
Leiten Sie diese Nachricht einfach an den Systemadministrator Ihrer Internetseite weiter. Fragen Sie ihn konkret, ob die vorhandenen Einstellungen des Cookie Consent Layers den neuen künftigen gesetzlichen Rahmenregelungen entsprechen. Lassen Sie sich dies am besten auch bestätigen. Sollten Sie sich nicht sicher sein, dann sollten Sie entsprechende Dienste oder Techniken auf Ihrer Website vorerst abschalten und damit würden die Voraussetzungen für den Cookie Consent Layer entfallen. Jedenfalls können Sie so eine plötzliche, unerwünschte Abmahnung vermeiden.
Nach erfolgter Anpassung Ihres Cookie Consent Layers gemäß den vier vorangegangenen Tipps sollten Sie aber auch die neuen rechtlichen Rahmenbedingungen des TTDSG erfüllen.