[UPDATE] 22.12.2021 - Auswirkungen des TTDSG auf Internetseiten

security g27aef56f2 640Der Bundestag hat am 20.05.2021 das Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) und damit ein neues datenschutzrechtliches Gesetz beschlossen. Das neue Gesetz wird die bisherigen datenschutzrechtlichen Gesetze des TMG und TKG zusammenführen und am 01.12.2021 in Kraft treten.

[UPDATE 22.12.2021]

Seit dem 20.12.2021 ist eine neue Orientierungshilfe der DSK verfügbar, die sich mit den Auswirkungen des TTDSG auf Internetseiten und Online-Shops beschäftigt (vgl. https://www.datenschutzkonferenz-online.de/media/oh/20211220_oh_telemedien.pdf). Diese neue Orientierungshilfe ist beachtlich für die Beurteilung der Rechtslage, denn die DSK ist ein informelles Gremium aller deutschen Datenschutzaufsichtsbehörden. Für die Praxis entscheidend ist, ob das Setzen eines Cookies bzw. eines sonstigen auf dem Gerät befindlichen Speicherbausteins (zum Beispiel auch LocalStorage) weiterhin nach den Regelungen der DSGVO erfolgen soll oder das TTDSG vorrangig anzuwenden ist.
Wenn das TTDSG anwenbar ist, ist entscheidend, ob das Setzen eines Cookies (oder die Nutzung des "Local Storage" bzw. anderer Techniken) „unbedingt erforderlich“ ist. Das Merkmal der „unbedingten Erforderlichkeit“ wird weder im TTDSG noch in der ePrivacy-Richtlinie und auch nicht in der DSGVO definiert. In der Gesetzesbegründung zum TTDSG wird jedoch von einer technischen Erforderlichkeit ausgegangen, was ein strenges Verständnis nahelegt.
Dies bedeutet, dass auch für von Endnutzern ausdrücklich gewünschte Dienste nur solche Zugriffe auf die Endeinrichtung von der Ausnahme umfasst sind, die technisch
erforderlich sind, um gerade den gewünschten Dienst bereitzustellen.

Diese Linie verfolgt nun auch die DSK.

Welche Auswirkungen die Stellungnahme der DSK für die Betreiber von Internetseiten haben wird, beleuchten wir zeitnah in einem neuen Blogartikel, der sich ausschließlich mit der Stellungnahme der DSK beschäftigt.

Anwendungsbereich des TTDSG

Der Anwendungsbereich des TTDSG ist in § 1 TTDSG geregelt. Relevant ist hier insbesondere die Anwendbarkeit auf „Endeinrichtungen“ sowie auf sämtliche Informationen, die Nutzer von Telemedien und Telekommunikationsdiensten preisgeben und die somit erhoben werden können.

§ 2 Abs. 2 Nr. 6 TTDSG definiert den Begriff der „Endeinrichtung“ als „jede direkt oder indirekt an die Schnittstelle eines öffentlichen Telekommunikationsnetzes angeschlossene Einrichtung zum Aussenden, Verarbeiten oder Empfangen von Nachrichten; sowohl bei direkten als auch bei indirekten Anschlüssen kann die Verbindung über Draht, optische Faser oder elektromagnetisch hergestellt werden; bei einem indirekten Anschluss ist zwischen Endeinrichtung und der Schnittstelle des öffentlichen Netzes ein Gerät geschaltet“.

Dies umfasst vereinfacht ausgedrückt Computer, Browser, Mobiltelefone, Tablets aber auch Gegenstände aus dem so genannten „Internet of Things“ (IOT).

Rechtsgrundlage für die Verwendung von Cookies im TTDSG

Die TTDSG hat nun gesetzlich festgeschrieben, was der EuGH und BGH bereits höchstrichterlich klar gestellt haben: Webseitenbetreiber brauchen für Trackingdienste und Cookies eine echte und ausdrückliche Einwilligung. Gemäß § 24 Abs. 1 TTDSG ist eine Einwilligung erforderlich, wenn Webseitenbetreiber Informationen und Endeinrichtungen des Endnutzers speichern oder darauf zugreifen wollen.

Eine Einwilligung ist nach dem TTDSG lediglich in zwei Fällen nicht erforderlich:

Gemäß § 24 Abs. 2 Nr. 1 TTDSG braucht es bei Cookies und Informationen, die ausschließlich der Übertragung von Nachrichten über ein öffentliches Telekommunikationsnetz dienen, keine Einwilligung.

Gemäß § 24 Abs. 2 Nr. 2 TTDSG ist eine Einwilligung auch dann nicht erforderlich, wenn das Cookie die für das Bereitstellen der Internetseite sowie ihrer Funktionen zwingend erforderlich sind (technisch notwendige Cookies). Während die DSGVO als rechtliche Grundlagen für die Verwendung von Cookies auf die Regelungen des Art. 6 Abs. 1 DSGVO abstellt, wurde mit § 24 Absatz 2 Nr. 2 TTDSG eine neue Rechtsgrundlage zum Setzen und Speichern von Cookies eingeführt. Wann Cookies technisch notwendig sind, regelt das TTDSG jedoch nicht.

Rechtsgrundlagen der DSGVO neben TTDSG weiterhin anwendbar

In der Literatur finden sich Meinungen, die davon ausgehen, dass der Anwendungsbereich der DSGVO durch das neu geschaffene TTDSG verdrängt wird, da dieses als so genannter bereichsspezifischer Datenschutz gesehen wird.

Allerdings kann dieser Meinungsstreit der Literatur offen bleiben, da die Konkurrenzfrage zwischen der DSGVO und dem TTDSG keine praktische Relevanz besitzt, da das TTDSG nur den Bereich des Speicherns und Auslesens, nicht jedoch den Bereich der Verarbeitung der personenbezogenen Daten umfasst. In der Regel dürfte der Schritt der Verarbeitung jedoch bei fast allen in Frage kommenden Konstellationen erfolgen.

Die Rechtsgrundlagen der DSGVO sind somit auch weiterhin neben dem TTDSG anwendbar. Sie richtet sich – genau wie die DSGVO – an alle Unternehmen der Digitalwirtschaft und regelt die Verarbeitung personenbezogener Daten in der elektronischen Kommunikation.

Somit ist lediglich neben der rechtlichen Verpflichtung und des berechtigten Interesses als Rechtsgrundlagen für die Nutzung von Cookies noch die Rechtsgrundlage der unbedingt erforderlichen Cookies hinzugekommen.

Was bedeutet "unbedingt erforderlich" im Sinne des TTDSG?

Eine gesetzliche Definition des Begriffs fehlt leider vollständig. Die Gesetzesbegründung selbst bezieht sich zwar primär auf die technische Erforderlichkeit, diese ist jedoch auch nicht näher einzugrenzen.

Die Aufsichtsbehörden vertreten zu der Frage, was „technisch notwendig“ ist voneinander abweichende Meinungen. So sah die Art. 29 Datenschutzgruppe Cookies die zur Authentifizierung dienen als „technisch“ erforderlich an. Die französische Aufsichtsbehörde geht hierbei sogar noch einen Schritt weiter und erkennt Cookies zur Reichweitenmessung (Analytics) auch als „unbedingt erforderlich für Telemedien“ an.

Da die DSGVO weiterhin neben dem TTDSG bestehen bleibt, raten wir aktuell dazu dann von einer technischen Notwendigkeit der Cookies auszugehen, wenn die spätere Verarbeitung der personenbezogenen Daten nicht auf eine Einwilligung im Sinne des Art. 6 Abs. 1 lit. a DSGVO gestellt werden muss. Soweit die DSGVO keine Einwilligung erfordert. 

Welche Auswirkungen hat das TTDSG auf meine Informationspflichten? 

Das TTDSG selbst sieht in § 25 Abs. 1 TTDSG eine Informationspflicht für die Fälle der Einwilligungsbedürftigkeit. Diese Informationspflicht richtet sich gemäß des Gesetzeswortlaut nach den Voraussetzungen der DSGVO.

Für die Fälle, in denen die Verarbeitung „unbedingt“ erforderlich ist, sieht das Gesetz selbst keine direkte Informationspflicht vor. Ob und in wieweit sich eine Informationspflicht aus dem datenschutzrechtlichen Transparenzgebot der DSGVO ergibt ist nicht abschließend geklärt. Dies gilt umso mehr, als dass die spätere Verarbeitung auf eine eigene Rechtsgrundlage gestützt werden muss.

Im Hinblick auf die Einwilligungsbedürftigen Cookies ändert sich an den allgemeinen Voraussetzungen des Cookie-Banners nichts. Zu beachten ist jedoch, dass die Regelungen nicht nur für Cookies gelten, sondern für alle auf dem Endgerät gespeicherten Informationen. Dies umfasst unter anderem auch die Bereiche des Local Storage. Passenderweise spricht man hier nicht mehr von einem Cookie-Banner sondern von einem Einwilligungsmanagement („Consent-Management“).

Fazit 

Trotz der neuen Regelungen des TTDSG bleibt im Hinblick auf das Thema Cookies und Einwilligungsmanagement vieles beim Alten. Cookies bedürfen im Hinblick auf ihre Einsetzbarkeit weiterhin einer strengen Prüfung im Hinblick auf die Vorschriften des Art. 6 Abs. 1 DSGVO unterliegen.

Sind Cookies nach der DSGVO einwilligungsbedürftig, so ist auch eine Einwilligung im Sinne des § 25 Abs. 1 TTDSG einzuholen, die den gleichen Voraussetzungen unterliegt wie die Einwilligung im Rahmen der DSGVO.

Soweit die Cookies nach der DSGVO ohne Einwilligung eingeholt werden dürfen (z.B. da Sie gesetzlich vorgeschrieben sind, zur Vertragserfüllung erforderlich sind oder auf Basis berechtigter Interessen verarbeitet werden), ist im Zweifel auch das Setzen und Auslesen dieser Cookies „unbedingt erforderlich“, da eine legitime Datenverarbeitung– rein technisch – nicht möglich wäre.

Ob und in wieweit auf die neuen Rechtsgrundlagen des TTDSG hingewiesen werden muss ist derzeit noch nicht geklärt. Hier wird man die ersten Stellungnahmen der Aufsichtsbehörden abwarten müssen.

Co-Autor: Wissenschaftliche Mitarbeiterin - Stud. jur. Natalie De Agazio

 

Benjamin Schmidt
Autor: Benjamin Schmidt
Diplomjurist & Business Development Manager
Autoren-Info:
Herr Diplomjurist Benjamin Schmidt gehört dem Team von DURY LEGAL bereits seit Januar 2016 an. Er ist Leiter der Website-Check Abteilung und ist in dieser Funktion zuständig für deren technischen Systeme im Zusammenhang mit der rechtlichen Prüfung von Webseiten und Online-Shops. Seine Abteilung bildet die Schnittstelle zur Website-Check GmbH, die ebenfalls der DURY Gruppe angehört. Er unerstützt zudem das Dezernat von Rechtsanwalt Marcus Dury LL.M.im Bereich der Vertragsbearbeitung und rechtlichen Beratung in IT-Projekten.

datenschutz luxemburg 2019 DURY cover

Jetzt bestellen: DURY / KERZ - Datenschutz in Luxemburg

Dieses Handbuch gibt einen praxisnahen Einblick in die Besonderheiten des luxemburgischen Datenschutzrechts und deren Zusammenspiel mit der Datenschutzgrundverordnung (DSGVO). Seit dem 25. Mai 2018 ist die DSGVO wirksam. Das neue luxemburgische Datenschutzgesetz ist seit dem 20. August 2018 in allen Datenverarbeitungsprozessen mit Bezug zu Luxemburg ergänzend zu der DSGVO zu beachten.
Im ersten Teil dieses Buches erfahren Sie, welche neuen gesetzlichen Anforderungen die DSGVO und das neue luxemburgische Datenschutzgesetz an Unternehmen in Luxemburg bzw. Konzernstrukturen mit Bezug zu Luxemburg stellen.
Im zweiten Teil des Buches finden Sie eine systematische Darstellung der DSGVO und des luxemburgischen Datenschutzgesetzes.
Es soll Ihnen im Unternehmensalltag helfen, datenschutzrechtliche Vorgaben in Luxemburg einzuhalten und diese in der Praxis mit möglichst wenig Aufwand umzusetzen.
Das Buch, inklusive des Textes des luxemburgischen Datenschutzgesetzes, ist in drei Sprachen erhältlich: Französisch, Englisch und Deutsch. Die deutsche und englische Übersetzung des Gesetzestextes sind zudem von der luxemburgischen Aufsichtsbehörde (CNPD) autorisiert, sodass Sie sicher sein können, dass Ihnen bei der Anwendung der Übersetzungen kein Nachteil gegenüber der Anwendung des ursprünglichen Gesetzeswortlauts entsteht.

Zielgruppe

Dieses Praxishandbuch richtet sich an alle, die sich mit dem Thema Datenschutz in Luxemburg beruflich beschäftigen, z. B. Datenschutzbeauftragte in Unternehmen oder Vereinen, Berater, Geschäftsführer oder sonstige IT-Verantwortliche.

Bestellen Sie jetzt per Fax unter +49 (0) 8581 754, bei Amazon.de oder auf www.shop.ruw.de