Über die Autoren
Florian Decker
Angestellter Rechtsanwalt
Kanzlei RAe Dr. Schultheiß
Michael Mrzyglod
Rechtsanwalt
Datenschutzbeauftragter TÜV
Das neue TTDSG sorgt gerade für einige Verunsicherung unter Website-Betreibern.
Dreieinhalbjahre nach der Einführung der DSGVO betrifft das neue Datenschutzgesetz Websites im besonderen Maße.
Wir haben Ihnen daher nachfolgend die wichtigsten Punkte inklusive konkreter Handlungsanweisungen zusammengestellt.
Was ist das TTDSG?
Das Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien (Telekommunikation-Telemedien-Datenschutz-Gesetz – TTDSG), welches im Bundesgesetzblatt am 28. Juni 2021 veröffentlicht wurde, tritt am 01. Dezember 2021 in Kraft.
Der Sinn und Zweck des TTDSG liegt darin, die innerhalb des TMG (Telemediengesetz) und des TKG (Telekommunikationsgesetz) vorhandenen datenschutzrechtlichen Regelungen in einem Gesetz zu bündeln, welches mit den Regelungen auf EU-Ebene übereinstimmt.
Für Sie als Website-Betreiber ist vor allem Teil 3, Kapitel 2 des TTDSG mit der Überschrift „Endeinrichtungen“ von Bedeutung. Die hier enthaltenen §§ 25 und 26 TTDSG wollen wir uns nun anschauen.
§ 25 TTDSG – Schutz der Privatsphäre bei Endeinrichtungen
Zurückzuführen ist diese Regelung auf das EuGH-Urteil vom 01. Oktober 2019, in dem bestätigt wurde, dass für das Setzen von Cookies eine aktive Einwilligung des Internetnutzers vorliegen muss.
Was nach diesem Urteil passierte, war Chaos: Auf einmal benötigte jede Website einen rechtskonformen Cookie-Banner. Die vorher verbreiteten Cookie-Banner (die man leider vereinzelt heute immer noch sieht), auf denen zu lesen ist, dass man mit Weiternutzung der Website in den Einsatz von Cookies einwilligt, mussten schnellstmöglich ausgetauscht werden.
Fehlerhafte Cookie-Banner haben gerade in letzter Zeit oft erhebliche Konsequenzen zur Folge und wurden in diversen Blog-Artikeln unsererseits thematisiert:
- Fehlerhafter Cookie-Hinweis als Abmahnfalle
- Rechtswidriges Cookie-Banner (LG Köln – Beschluss vom 13.04.2021)
- Verbraucherzentrale mahnt zahlreiche Unternehmen wegen fehlerhaften Cookie-Bannern ab!
Dem Urteilstenor des EuGH schloss sich mit dem Urteil vom 28. Mai 2020 auch der BGH an. Das (für Juristen Kuriose) an der BGH-Entscheidung ist, dass eine ausdrückliche Pflicht zur Cookie-Einwilligung nicht in den deutschen Gesetzen verankert ist und der BGH dies mehr oder weniger nachvollziehbarer mit einer „richtlinienkonformen Auslegung“ des § 15 Abs. 3 Satz 1 TMG (der nur von einem Opt-Out und nicht einem Opt-In, also einer Einwilligung spricht) löste.
Einfacher ausgedrückt: Die Vorschrift – die eigentlich besagt, dass Cookies ohne Einwilligung gesetzt werden dürfen, solange der Nutzer dem nicht widerspricht wurde kurzerhand so gedreht, wie man sie halt gerade brauchte. Dieser Zustand wird nun mit Einführung des § 25 TTDSG geändert, da hier eine (soweit das aus juristischer Sicht möglich ist) weitestgehend klare Formulierung verwendet wurde.
Wir erklären die neue Regelung nun ausführlich:
§ 25 Abs. 1 TTDSG – Mehr als nur Cookies
§ 25 Schutz der Privatsphäre bei Endeinrichtungen (1) Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 zu erfolgen. |
Liest man Absatz 1 des § 25 TTDSG, ist schnell klar, dass nun eine Einwilligung notwendig ist.
„Aber für was benötigt man nun eigentlich eine Einwilligung?“
„Natürlich für das Setzen von nicht erforderlichen Cookies!“
So endet die Antwort vieler (u.a. leider auch von Juristen), die nicht über den Tellerand hinausschauen. Denn spricht das Gesetz hier explizit von Cookies? Nein! Es spricht von „Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind…“
Das bedeutet, dass es hier keineswegs ausschließlich um Cookies geht, vielmehr geht es hier um alle Technologien, die Informationen in der Endeinrichtung des Endnutzers (z.B. auf dem PC oder Smartphone eines Website-Besuchers) speichert (z.B. Cookies) oder auf Informationen zugreift, die bereits in der Endeinrichtung des Endbenutzers gespeichert sind (z.B. der verwendete Browser oder die IP-Adresse).
Neben Cookies kommen somit auch Technologien wie zum Beispiel das Device Fingerprinting in Betracht. Bei diesem Verfahren werden Informationen über den Website-Aufrufer gesammelt, um eine Identifizierung des Nutzers zu ermöglichen (unter Identifizierung versteht man in diesem Fall nicht die Person, die das Gerät bedient, sondern vielmehr das Gerät an sich).
Auch das Speichern von Informationen im sogenannten Local- und Session-Storage fallen hierunter. Diese beiden Funktionen stellen eine Alternative zu den Cookies dar. Der Session-Storage ist vergleichbar mit einem Session-Cookie, da die maximale „Lebenszeit“ mit Schließen des Browsers erreicht wird. Der Local-Storage kann eine unbegrenzte „Lebenszeit“ haben und nur durch Löschen des Browser-Cache oder durch JavaScript „gereinigt“ werden.
Folgen des TTDSG für Website-Betreiber
Für Sie als Website-Betreiber bedeutet das TTDSG, das Sie sich Ihre Website und die Funktionen genau ansehen müssen und sich nicht nur auf Cookies beschränken dürfen (was sehr viele Website-Betreiber, Webdesigner und leider auch Juristen tun). Gerade dem Local-Storage kommt eine besondere Bedeutung zu. Oftmals weiß man als Websitebetreiber gar nicht, dass hier bestimmte Programme oder Plugins Ihrer Website Daten erfassen.
Wenn man alle relevanten Funktionen erfasst hat, kommt § 25 Absatz 2 Nummer 2 TTDSG ins Spiel….
§ 25 Abs. 2 TTDSG – Wann ist keine Einwilligung nötig?
§ 25 Schutz der Privatsphäre bei Endeinrichtungen (2) Die Einwilligung nach Absatz 1 ist nicht erforderlich, |
Nach § 25 Absatz 2 Nummer 2 TTDSG ist eine Einwilligung nicht erforderlich, wenn die Funktion unbedingt erforderlich ist, um die Website zur Verfügung zu stellen. Was ist unbedingt erforderlich? Wenn man diese Norm streng auslegt, dann alles, was man unbedingt benötigt um die Website zu betreiben. Legt man die Norm etwas größzügiger aus (was unsere Rechtsauffassung widerspiegelt), können hierunter auch zum Beispiel folgende Funktionen (unabhängig davon wie die Funktion umgesetzt wurde, also ob durch das Setzen eines Cookie oder durch Beschreiben des Storage etc.) fallen:
- Speichern des Warenkorbs
- Speichern einer Sprachauswahl
- Speicherung, dass ein Pop-Up nur einmal angezeigt wird.
Welche Funktionen hier letztlich darunter fallen, werden allerdings entsprechende Rechtsprechungen zeigen, da es keinen verbindlichen Katalog oder Ähnliches gibt.
Wer also „auf Nummer sicher“ gehen will, verzichtet komplett auf entsprechende Anwendungen (was durchaus möglich ist).
Rechtskonforme Einwilligung nach § 25 TTDSG
Wenn die von Ihnen genutzten Funktion nicht als „unbedingt erforderlich“ einzustufen sind, ist eine informierte Einwilligung einzuholen. Hier ist es unabdingbar, dass der Nutzer, nachdem er ausführlich über alle Konsequenzen aufgeklärt wurde, aktiv einwilligt (ein Opt-Out oder eine stillschweigende Zustimmung etwa durch Weiternutzung der Website scheidet in jedem Fall aus).
Des Weiteren muss die Einwilligung freiwillig erteilt werden und dem Nutzer dürfen keine Nachteile entstehen, sollte er seine Einwilligung nicht erteilen.
Zu guter Letzt ist der Nutzer darüber aufzuklären, dass er seine Einwilligung stets mit Wirkung für die Zukunft widerrufen kann und wie er diesbezüglich vorgehen muss. Konkrete Gestaltungsmöglichkeiten können Sie unserer Anleitung entnehmen. Letztlich ist es jedoch immer entscheidend den Einzelfall zu bewerten und abzubilden, insbesondere wenn zusätzlich noch ein Datenaustausch in ein „unsicheres Drittland“ wie zum Beispiel USA stattfindet (dies setzt die Anforderungen an eine wirksame Einwilligung nochmal auf ein anderes Level).
§ 26 TTDSG – Was ändert sich bei den Consent-Tools?
Wer kennt Sie nicht? Cookie-Banner…mittlerweile handelt es sich jedoch viel mehr um Consent-Tools, da es wie bereits oben beschrieben, eben nicht nur um Cookies sondern auch um vergleichbare Technologien geht. Zudem kann mit Hilfe von Consent-Tools auch die Einwilligung in einen Datentransfer in ein „unsicheres Drittland“ wie die USA eingeholt werden.
Hierbei blockt das Tool die einwilligungsbedürftige Funktion so lange, bis eine Einwilligung erfolgt ist. Nachfolgend ein Beispiel hierzu:
Auf einer Website wird der Kartendienst Google Maps eingebunden. Der Dienst (und somit ein Datenaustausch in die USA) wird so lange geblockt, bis der Nutzer seine Einwilligung vorgenommen hat:
Wir können aus Erfahrung sagen, dass jedoch viele Consent-Tools schlichtweg untauglich sind auch nur ansatzweise eine Rechtskonformität zu schaffen, was auch daran liegt, dass der Markt für diese Tools kaum reguliert ist…allerdings ändert sich dies zum 01. Dezember 2021, nämlich mit Inkrafttreten des TTDSG, genauer mit § 26 TTDSG. Mit dieser Norm wird die Bundesregierung ermächtigt, per Rechtsverordnung Anforderungen für Consent-Tools festzulegen, sodass diese als nutzerfreundlicher und wettbewerbskonform zertifiziert werden sollen. Wir haben bereits jetzt, nach intensiven Tests, eine Vorauswahl von Consent-Tools getroffen, bei denen wir eine sehr hohe Wahrscheinlichkeit für eine spätere Zertifizierung sehen.
Geldbußen bis 300.000 € bei Verstößen gegen das TTDSG
Innerhalb des TTDSG sind Bußgeldvorschriften enthalten, die es in sich haben.
Bereits bei fahrlässiger Handlung kann ein Verstoß gegen § 25 TTDSG (Das Speichern einer Information oder der Zugriff darauf) mit einer Geldbuße bis zu 300.000 Euro geahndet werden.
Wir machen Sie abmahnsicher
Jetzt Angebot für Ihre Website anfordern.
Unverbindlich und kostenfrei.
Diese Beiträge könnten Sie ebenfalls interessieren:
Google Maps DSGVO – welche datenschutzkonforme Alternative gibt’s?
Google reCAPTCHA – DSGVO-konforme Alternativen
Calendly datenschutzkonform einsetzen – Rechtliche Probleme dezent auslagern