Der 01.12.2021 ist der Tag des Inkrafttretens des neuen Telemedien-Datenschutz-Gesetzes (TTDSG), das im Mai dieses Jahres im Bundestag verabschiedet wurde. Es enthält wichtige Änderungen und Harmonisierungen mit dem europäischen Recht, die das eCommerce betreffen. Zum Beispiel fällt beim Setzen von Cookies die Möglichkeit des „berechtigten Interesses“ weg und auch für den Zugriff auf Nutzerdaten ist jetzt immer ein „Opt-In“ notwendig, Dinge, die mit der DSGVO bereits Rechtspraxis waren, jetzt aber auch in die Form eines deutschen Gesetzes gegossen wurden. Im Folgenden ein kurzer Überblick für Agenturen, Websitebetreiber und Unternehmen.

Disclaimer: Wir machen darauf aufmerksam, dass dieser Artikel lediglich dem unverbindlichen Informationszweck dient und keine Rechtsberatung darstellt. Er spiegelt lediglich den Stand unserer Recherche sowie unsere jahrelange Erfahrung mit dem Thema wider.

Hintergrund des Telemedien-Datenschutz-Gesetzes

Im Mai 2018 beendete die DSGVO den vorher im deutschen Datenschutzrecht geltenden Dreiklang aus Telemediengesetz (TMG), Telekommunikationsgesetz (TKG), und Bundesdatenschutzgesetz. Weiterhin haben in diesem Zusammenhang auch die EuGH und BGH-Urteile zu „Planet49“ sowie das EuGH-Urteil zu „Schrems II“ zu erheblichen Rechtsunsicherheiten für Unternehmen geführt. Ziel des neuen Gesetzes ist jetzt, diese Rechtsunsicherheiten zu beenden, indem es deutsches und europäisches Recht harmonisiert und die im TKG und TMG enthaltenen spezialgesetzlichen Datenschutzregelungen in ein eigenes Gesetz überführt.

Cookies und Co. – was bringt das TTDSG für Neuerungen?

Ende des „Opt-out“ und der „personenbezogenen Daten“

Im neuen Gesetz ist jetzt u. a. das Ende des „Opt-Out“ festgezurrt und damit der höchstrichterlichen Rechtsprechung Rechnung getragen. Unter „Opt-Out“ versteht man in Hinblick auf Cookies, dass diese gesetzt werden können, sofern die Betroffenen nicht aktiv widersprochen haben. Das ist spätestens ab jetzt definitiv nicht mehr möglich, auch wenn ein sogenanntes „berechtigtes Interesse“ besteht. Für das Setzen von Cookies oder den Zugriff auf Informationen des Nutzers ist nun eine echte und ausdrückliche Einwilligung nötig. Davon gibt es nur zwei Ausnahmen:

  • Cookies und Informationen, die technisch zwingend notwendig sind
  • Cookies und Informationen, die ausschließlich dazu dienen, Nachrichten über ein öffentliches Telekommunikationsnetz zu übertragen

Das Gesetz betrifft nicht nur Werbe- und Marketingcookies, sondern auch für Pixel oder Fingerprints, kurz für alles, was auf die Endeinrichtung des Endnutzers etwas speichert oder zugreift, besteht die Einwilligungspflicht (Opt-In). Dabei ist es bei einem Zugriff egal, ob personenbezogene Daten erhoben werden oder nicht. Jeder Zugriff benötigt eine Einwilligung!

Was sind technisch notwendige Cookies?

Das Setzen von Cookies (und Erheben von Informationen), die für das Funktionieren einer Webseite benötigt werden, ist weiterhin auch ohne Einwilligung erlaubt. Beispiele technisch notwendiger Cookies sind:

  • Session Cookies (z. B. für Warenkorbinhalte, Loginstatus, Spracheinstellungen)
  • Cookies, die ausschließlich für die Abwicklung des Zahlungsprozesses notwendig sind
  • Opt-Out-Cookies

Welche Cookies benötigen eine Einwilligung?

Im Folgenden einige Beispiele für Cookies, die einen Opt-In benötigen:

  • Werbe- und Marketing-Cookies, wie zum Beispiel von Google Ads oder Bing Ads
  • Tracking- und Analyse Cookies, wie zum Beispiel von Google Analytics
  • Affiliate Cookies
  • Social Media Cookies zum Beispiel von Instagram, Facebook oder Twitter
  • Cookies von Videotool-Anbietern wie YouTube oder Vimeo
  • Cookies von Online-Kartendiensten wie Google Maps

Neuerung beim Opt-In: Personal Information Management Systems

Es ist noch Zukunftsmusik, aber es soll kommen: Zukünftig soll es Dienste geben, über die die Nutzer nur einmalig und zentral angeben müssen, ob, wo und unter welchen Bedingungen sie Cookies zustimmen oder nicht. Diese Informationen werden anschließend vom Anbieter des „Personal Information Management Systems“ (PIMS) an alle Websites weitergeleitet. Cookie-Banner etc. könnten also, wenn es so kommen sollte, künftig nicht mehr zwingende Notwendigkeit für das Tracking sein.

Aber Vorsicht: Diese Dienste müssen erst mal ausdrücklich anerkannt und zertifiziert werden. Das Anerkennungsverfahren setzt eine Rechtsverordnung der Bundesregierung voraus, bis diese in Kraft tritt, werden wahrscheinlich noch Jahre vergehen. Bis dahin gilt: Ein ausdrücklicher „Opt-In“ des Nutzers ist für jeden Websitebetreiber Pflicht.

„Endeinrichtung“: Neue Wortwahl bringt erweiterten Anwendungsbereich

Mit dem Begriff der Endeinrichtung gilt für das TTDSG ein erweiterter Geltungsbereich. Unter § 2 Abs. 2 Nr. 6 TTDSG ist der neue Begriff eindeutig definiert: Eine „„Endeinrichtung“ (ist) jede direkt oder indirekt an die Schnittstelle eines öffentlichen Telekommunikationsnetzes angeschlossene Einrichtung zum Aussenden, Verarbeiten oder Empfangen von Nachrichten …“. Damit fallen unter den Begriff auch:

  • Smarthome Anwendungen wie Alarmsysteme, Thermostate, Küchengeräte
  • Mail- und Messenger-Dienste wie WhatsApp

Weitere Änderungen des TTDSG

  • Nach dem TTDSG können auch Bußgelder verhängt werden: Wer eine Einwilligung nicht einholt, dem droht ein Bußgeld von bis zu 300.000 Euro. Daneben existieren weiterhin die Bußgelder nach der DSGVO in Höhe von bis zu 20 Millionen Euro oder bis zu vier Prozent des Umsatzes
  • Als Anbieter von Telemediendiensten ist man ggf. verpflichtet, öffentlichen Stellen Auskunft über Bestands- und Nutzerdaten zu geben
  • Oberaufsicht über den Umgang mit personenbezogenen Daten hat die unabhängige Bundesbehörde „Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI). Sie ist auch zuständig für die Verhängung von Bußgeldern

Was jetzt zu tun ist

Wer sich noch nicht um einen Cookie-Consent für seine Website gekümmert hat, der sollte es jetzt auf jeden Fall tun. Denn nun ist es klar gesetzlich auch im deutschen Recht festgeschrieben: Für Cookies, Tracking & Co. wird eine echte und ausdrückliche Einwilligung der Nutzer benötigt. Neben empfindlichen Bußgeldern drohen dabei auch Abmahnungen zum Beispiel von Wettbewerbern.