TTDSG erklärt

Im Mai dieses Jahres hat der Deutsche Bundestag das neue Gesetz zur Regelung des Datenschutzes im Bereich der Telekommunikation und der Telemedien erlassen. 

Das TTDSG (Telekommunikations-Telemedien-Datenschutzgesetz) wird am 1. Dezember 2021 in Kraft treten. Es stellt sich die Frage, wie sich die neuen Regelungen auf den Geschäftsbetrieb auswirken und was man tun muss, um die neuen Regeln einzuhalten.

Das Big Picture: Cookie-Regeln

Die bisherige Datenschutzlandschaft in Deutschland war durch fragmentierte Regeln für Cookies geprägt. Die Cookie-Regeln orientierten sich insbesondere an den folgenden Bestimmungen und Entscheidungen: 

– TMG (Telemediengesetz, 2007);
– TKG (Telekommunikationsgesetz, 2004);
– Planet49-Urteil, 2019 (aktives Einwilligungs-Opt-in);
– Fashion ID Ruling, 2019 (gemeinsame Kontrolle);
– EU ePrivacy-Richtlinie.

Weitere Komplikationen bei den Cookie-Regelungen wurden im Juli 2020 durch das Urteil des Europäischen Gerichtshofs (EuGH) in der Rechtssache Facebook Ireland Ltd. v. Maximillian Schrems (Schrems II) verursacht. Mit der Entscheidung des EuGH in der Rechtssache Schrems II wurde das US-EU-Privacy Shield für ungültig erklärt. Diese Entscheidung hatte zur Folge, dass bei der Verwendung von Cookies von Drittanbietern ein hohes Risiko der Nichteinhaltung (von Datenschutzgesetzen) bestand. Vor der Entscheidung schützte das Privacy Shield die von der EU in die USA übertragenen Daten. Jetzt, ohne das Privacy Shield, müssen die Betreiber von Websites sicherstellen, dass zusätzliche Sicherheitsvorkehrungen zum Schutz der Daten getroffen werden. Die Entscheidung macht Drittanbieter von Cookies, wie Facebook und Google, nicht konform, wenn keine zusätzlichen Maßnahmen zum Schutz der Daten bei der Übertragung getroffen werden.

Im Februar 2021 starteten die deutschen Datenschutzbehörden eine Koordinierte Prüfung internationaler Datentransfers. Im Rahmen der Prüfung wurde ausgewählten deutschen Unternehmen ein Fragebogen zugesandt, in dem die interne Vorgehensweisen bei der internationalen Datenübermittlung untersucht wurden. Der Fragebogen bezieht sich unter anderem auf die Nutzung von Dienstleistern für den Versand von E-Mails, das Hosting von Websites, Webtracking, die Verwaltung von Bewerberdaten und den konzerninternen Austausch von Kunden- und Mitarbeiterdaten.

Es ist anzumerken, dass die von Maximillian Schrems geleitete Aktivistenorganisation noyb im März dieses Jahres Beschwerdeentwürfe zu 560 Websites in 33 Ländern, darunter auch Deutschland, wegen so genannter “unrechtmäßiger Cookie-Banner” eingereicht hat. 

Die Annahme des TTDSG ist eine bedeutende Veränderung für die Datenschutzregulierung in Deutschland, da es die fragmentierten Cookie-Regeln in einem Gesetz zusammenfasst. Das Gesetz lenkt den Fokus des Datenschutzes wieder auf das Web- und User-Tracking. Es ist auch ein wichtiger Schritt zur Anpassung an die anstehende europaweite Rechtsreform, die durch das Gesetz über digitale Dienste und die ePrivacy-Verordnung eingeleitet wurde. 

Konsolidierte Cookie-Regeln (Deutschland)

Mit dem TTDSG soll die EU ePrivacyrichtlinie in den deutschen Gesetzessystem integriert und enger an die DSGVO angeglichen werden.Das TTDSG gilt für alle Unternehmen und Personen, die eine Niederlassung in Deutschland haben oder die Dienstleistungen oder Waren auf dem deutschen Markt anbieten oder sich an der Bereitstellung dieser beteiligen. Der Anwendungsbereich des TTDSGs umfasst nicht nur personenbezogene Daten, sondern alle Informationen, die durch die Nutzung von Telemedien und Telekommunikationsdiensten erhoben werden, d.h. alle Informationen, die über ein Endgerät (Endeinrichtung) erhoben, verarbeitet oder gespeichert werden. 

Artikel 25 des TTDSG mit dem Titel “Schutz der Privatsphäre bei Endeinrichtungen” regelt die Verwendung von Cookies. Er führt zwei Kategorien von Cookies ein: 1) Cookies, die mit Zustimmung gesetzt werden, und 2) Cookies, die keine Zustimmung erfordern. Dies bedeutet, dass ein berechtigtes Interesse nicht mehr als Grundlage für das Setzen eines Cookies auf dem Gerät eines Nutzers verwendet werden kann.

Nach dem TTDSG ist die Zustimmung des Nutzers in zwei Arten von Situationen nicht erforderlich:

• wenn der einzige Zweck der Cookie (Zugriff auf oder Speicherung von Informationen auf dem Gerät des Nutzers) darin besteht, eine Nachricht über ein öffentliches Telekommunikationsnetz zu übermitteln; oder
• wenn das Cookie für den Anbieter eines Telemediendienstes unbedingt erforderlich ist, um einen vom Nutzer ausdrücklich gewünschten Telemediendienst erbringen zu können.

Das TTDSG selbst definiert nicht den Umfang der unbedingt erforderlichen Cookies. Was notwendig ist, muss von den einzelnen Fällen abhängig gemacht werden. Das vom Europäischen Datenschutzausschuss im Jahr 2017 zur Verfügung gestellte ‘Erforderlichkeit’ Toolkit hilft bei der Klärung der Frage, ob das Setzen eines Cookies “unbedingt erforderlich” ist.

Zu den Beispielen für Cookies, die in die Kategorie “unbedingt erforderlich” fallen können, gehören:

• User-Input-Cookies  (z. B. Warenkorb, Online-Formulare).
• Authentifizierungs-Cookies (z. B. Log-in-Cookies)
• Load Balancing Sitzung Cookies und benutzerorientierte Sicherheits-cookies (z. B. um sicherzustellen, dass Benutzeranfragen an einen bestimmten Webserver geschickt werden, und um fehlgeschlagene Anmeldeversuche zu protokollieren)
• Sitzungscookies für Multimedia-Player (z. B. zur Speicherung technischer Daten, die für die Medienwiedergabe erforderlich sind)
• Cookies für die Anpassung der Nutzerpräferenzen  (z. B. zum Speichern von Sprach- und Ländereinstellungen)
• Cookies für CMP Reporting  (zum Speichern von Opt-in und Opt-out)
• AdServer-Cookies: Länder- und Sprachausrichtung
• Tag-Management-System-Cookies (zur Aktivierung des Systems) 
•  1st-Party-Analytics-Cookies (aggregierte statistische Informationen)
• Chat-Bots, Feedback-Tools (sobald vom Nutzer initiiert)
• Inhaltsfreigabe-Cookies von Social Plug-ins (z. B. um Inhalte mit “Freunden” zu teilen – nur für den Fall, dass die Website-Besucher bei dem entsprechenden Netzwerk angemeldet sind und die Cookies keine Speicherfrist über das Schließen des Webbrowsers hinaus haben, andernfalls ist eine Zustimmung erforderlich).

Das Ergebnis des ” Erforderlichkeitstests ” könnte sein, dass die 1st Party Cookies als unbedingt erforderlich angesehen werden können, während für die 3rd Party Cookies höchstwahrscheinlich eine Zustimmung erforderlich ist. Das TTDSG verweist auf die DSGVO, um die rechtlichen Anforderungen für die Einholung einer ordnungsgemäßen Einwilligung zu beschreiben (siehe § 7 und Erwägungsgrund 32). Demnach muss die Einwilligung “freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich” gegeben werden. 

Auswirkungen und Implikationen des TTDSG

Die Annahme des TTDSG sendet ein klares Signal an die Marktteilnehmer in Deutschland, dass die “Vorbereitungszeit” für die Einhaltung der Datenschutzgesetze vorbei ist und dass die deutschen Datenschutzbehörden die Einhaltung sowohl der DSGVO als auch des TTDSG mit Nachdruck durchsetzen werden. 

Die Nichteinhaltung der Datenschutzgesetze kann zu erheblichen Geldbußen von bis zu 300.000 Euro für administrative Verstöße gemäß dem TTDSG führen. Steht der Verstoß im Zusammenhang mit personenbezogenen Daten, z. B. wenn keine ordnungsgemäße Einwilligung eingeholt wurde, wird die Geldbuße nach der DSGVO erhoben und kann bis zu 4 % des Jahresumsatzes betragen. Die Nichteinhaltung der Vorschriften führt nicht nur zu finanziellen Verlusten, sondern auch zu Rufschädigung und Vertrauensverlust bei Endnutzern und Geschäftspartnern. 

Der ausdrückliche Verweis zwischen der DSGVO und dem TTDSG auf das Thema der Einwilligungsanforderungen betont tatsächlich die Dringlichkeit eines transparenten und DSGVO-konformen Einwilligungsmanagementsystems, das eine klare Segmentierung von Einwilligung und Nicht-Einwilligung ermöglicht. Es muss weiterhin sichergestellt werden, dass die Einwilligung auf einem aktiven Opt-in beruht und dass die Endnutzer umfassend über die Umstände der Datenverarbeitung, insbesondere die Rechtsgrundlage, die Verarbeitungszwecke, die Funktionsdauer der Cookies und den Zugriff durch Dritte informiert werden. 

Die Kontrolle der Datenerhebung, -verarbeitung und -übermittlung von Nutzerdaten, auch bei der Verwendung von Cookies und Tracking-Technologien, ist für die Unternehmen zur Priorität geworden. Die Minimierung der Abhängigkeit von 3rd Party-Daten, die Verwendung von 1st Party-Daten und die Entscheidung über den Umfang und den Zweck jedes internationalen Datentransfers werden für die Minderung des Risikos der Nichteinhaltung von Vorschriften von entscheidender Bedeutung sein.

JENTIS bietet eine einzigartige Technologie an, die seinen Kunden ermöglicht, die Risiken der Nichteinhaltung von TTDSG, DSGVO, Schrems II und anderen Datenschutzbestimmungen zu minimieren. Und so geht’s:

1st Party Datenerfassung – bereit für die Post 3rd party Cookie Ära

Seien Sie vorbereitet auf das Ende der 3rd-Party-Cookies und die neue Tracking-Ära. Mit uns sammeln Sie alle Ihre First-Party-Daten auf Ihrer Website. Sobald Sie die Daten haben, helfen wir Ihnen bei der Weiterleitung der Daten an Ihre jeweiligen Tools. Nur 1st Party Cookies können als “unbedingt erforderlich” eingestuft werden. Cookies von Drittanbietern bedürfen einer Einwilligung.

Wichtig: Diese neue Art des Trackings ist die einzig machbare in der Zukunft – wenn sie richtig gemacht wird, kann sie enorme Vorteile im Online-Marketing und der On-Site-Website-Innovation mit sich bringen. Wenn Sie Ihr Tracking nicht umstellen, fehlen Ihrem gesamten Martech-Stack die Daten, um seinen Job zu machen, und Ihre Performance wird sich sehr schnell verschlechtern.

Absolute Kontrolle über den Datenfluss

Ein Unterscheidungsmerkmal von JENTIS ist, dass unser Tracking Ihnen erstmalig erlaubt, Ihre Kundendaten als Erster zu besitzen. Danach können Sie entscheiden, welches Tool welche Daten bekommt, und diese noch dazu vor der Weiterleitung verändern. JENTIS ermöglicht eine Risikominderung, indem es die Kunden in die Rolle des Controllers versetzt, der die volle Kontrolle über seine Daten hat und entscheiden kann, welche Daten für das Geschäft erforderlich sind. Alle anderen Daten können mit JENTIS je nach Einwilligung und Datenkategorie individuell angepasst werden, um sie gegebenenfalls zu anonymisieren oder zu pseudonymisieren. 

DSGVO-konformes Daten-Tracking

Das JENTIS Tool kann die DSGVO-Konformität eines Unternehmen sicherstellen. Ganz konkret können wir derzeit als einzige Lösung die IP-Adresse, welche eindeutig als personenbezogenes Datum gilt, noch innerhalb der EU mittels JENTIS hashen (z.B. die letzten 3 Zahlen) und somit die wichtigste Anforderung der Anonymisierung erfüllen. Der Vorteil der Datenkontrolle besteht auch darin, dass man entscheiden kann, wohin und in welcher Form die Daten übermittelt werden. Mit JENTIS können Kunden Daten pseudonymisieren oder sogar anonymisieren, bevor sie sie an Dritte weitergeben. Dadurch wird eine zusätzliche Ebene des Datenschutzes geschaffen und das rechtliche Risiko der Nichteinhaltung der Schrems-II-Entscheidung vermieden.

Link: Telekommunikations-Telemedien-Datenschutzgesetz, Gesetz über digitale Dienste, ePrivacy-Verordnung, Facebook Ireland Ltd. v. Maximillian Schrems und das ‘Erforderlichkeit’ Toolkit

Möchten Sie mehr über das TTDSG und das JENTIS Tracking erfahren? Nehmen Sie Kontakt auf!