Worum geht's?
Seit Dezember 2021 müssen Unternehmen nicht nur die Regelungen der DSGVO, sondern auch das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) beachten. Die wichtigste Regelung: Fast alle Cookies und Tracking-Dienste brauchen eine echte Einwilligung. Nun wurde das TTDSG umbenannt und nennt sich fortan Telekommunikation-Digitale-Dienste-Datenschutzgesetz (TDDDG). Doch was müssen Sie noch über das TDDDG wissen? Wir geben Ihnen einen Überblick.
1. Digitale Dienste, Cookies und Co.: Was sind die wichtigsten Inhalte des TDDDG (ehemals TTDSG)?
Cookies und Trackingdienste
Festgezurrt ist mit dem Telekommunikation-Digitale-Dienste-Datenschutzgesetz (kurz: TDDDG, ehemals TTDSG) insbesondere, dass Sie als Websitebetreiber für Trackingdienste und -Cookies eine echte und ausdrückliche Einwilligung brauchen. Das war zwar schon nach der höchstrichterlichen BGH- und EuGH-Rechtsprechung klar (vgl. dazu zum Beispiel das Urteil des Bundesgerichtshofs vom 28. Mai 2020, Aktenzeichen I ZR 7/16). Gesetzlich festgeschrieben wurde dies erstmals im TTDSG und wurde nun so auch ins TDDDG übernommen. Besonders wichtig ist § 25 TDDDG.
Absatz 1 des § 25 TDDDG besagt:
„Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat.“
Und in Absatz 2 des § 25 TDDDG heißt es dann:
„Die Einwilligung nach Absatz 1 ist nicht erforderlich,
- wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder
- wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines digitalen Dienstes einen vom Nutzer ausdrücklich gewünschten digitalen Dienst zur Verfügung stellen kann."
Zusammengefasst bedeutet das:
Sie brauchen eine Einwilligung, wenn Sie Informationen in der Endeinrichtung des Endnutzers speichern oder darauf zugreifen wollen.
Von diesem Grundsatz gibt es zwei Ausnahmen:
- technisch zwingend notwendige Cookies und Informationen, d.h. solche, die für den Betrieb der Seite unbedingt erforderlich sind;
- Cookies und Informationen, die ausschließlich der Übertragung von Nachrichten über ein öffentliches Telekommunikationsnetz dienen.
Was sind technisch notwendige Cookies?
Für technisch notwendige Cookies ist keine Einwilligung notwendig. Aber was sind technisch notwendige Cookies überhaupt? Technisch notwendige Cookies - auch essenzielle Cookies genannt - sind alle Cookies, ohne die eine Webseite an sich nicht funktionieren würde.
Das sind zum Beispiel Session Cookies (für Warenkorbinhalte oder Sprachversionen einer Webseite), Cookies die ausschließlich für Zahlungsprozesse notwendig sind oder Cookies, die zum Erteilen oder zum Widerruf einer Einwilligung genutzt werden. Mehr zu diesem Thema lesen Sie auch in unserem Artikel "Nutzer-Einwilligung auf Webseiten: Quatsch oder Pflicht?".
Personal Information Management Systems und Single Sign On Lösungen
Bei Inkrafttreten des Telekommunikations-Telemedien-Datenschutz-Gesetz wurde mit § 26 TTDSG eine interessante Neuerung geschaffen, die nun bis auf die begriffliche Anpassung der “Anbieter von digitalen Diensten” so auch ins TDDDG übernommen wurde.
Nach § 26 TDDDG (ehemals TTDSG) können Dienste anerkannt werden, über die Websitebesucher einmalig angeben können, ob, wo und unter welchen Voraussetzungen sie ihre Einwilligung oder Ablehnung zum Setzen von Cookies geben möchten.
Diese Informationen leitet der Anbieter solcher "Personal Information Management Services" (PIMS) automatisch an alle Websites weiter. Damit sollen Nutzer generell mehr Kontrolle über personenbezogene Daten und den Zugriff Dritter auf Informationen erhalten. Folge könnte sein: Cookie Banner werden nicht mehr benötigt.
Allerdings werden die Cookie Banner nicht von heute auf morgen entbehrlich. Bevor PIMS und Co. Cookie Banner ersetzen, müssen diese Dienste laut § 26 TDDDG ausdrücklich anerkannt werden. Für die Anerkennung müssen bestimmte Voraussetzungen vorliegen (z.B.: kein wirtschaftliches Eigeninteresse an der Erteilung der Einwilligung auf Seiten der Anbieter, Sicherheitskonzept des Anbieters).
Ein Beispiel für einen solchen Dienst wurde in einer der Gesetzesbegründungen zum TTDSG genannt: Mehrere zusammengeschlossene Unternehmen organisieren eine Einrichtung. Diese bietet für die Unternehmen sogenannte Single-Sign-On-Lösungen an, über die Nutzer ihre Einwilligung organisieren können.
Definition: Wer sich über einen Single-Sign-On-Dienst auf seinem Rechner anmeldet, kann sich gleichzeitig bei mehreren Diensten und Anwendungen einloggen, ohne separat für jeden einzelnen Dienst seine Zugangsdaten angeben zu müssen.
Das Verfahren zur Anerkennung der Dienste muss die Bundesregierung noch in Form einer Rechtsverordnung festlegen. Bis dahin gilt – gesetzlich im TDDDG festgeschrieben: Cookie Banner zur Umsetzung von Cookie Einwilligungen sind Pflicht!
Am 01. Juni 2023 wurde ein Referentenentwurf für die Verordnung über Dienste zur Einwilligungsverwaltung, die sogenannte Einwilligungsverwaltungsverordnung (kurz: EinwV), nach dem TDDDG veröffentlicht. Die Schaffung einer Rechtsgrundlage zur Anerkennung der Dienste geht folglich voran.
Anwendungsbereich: Endeinrichtung des Endnutzers
Bei Inkrafttreten des TTDSG richtete sich die Aufmerksamkeit insbesondere auf den erweiterten Anwendungsbereich des § 25 TTDSG (nun TDDDG). Dieser bleibt auch nach der Umbenennung interessant, da er vorgibt, in welchen Fällen eine Einwilligung zwingend eingeholt werden muss.
„Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat.“
Wir sehen somit, dass der Anwendungsbereich der Regelungen erweitert wurde:
- Die Regelungen des TDDDG beziehen sich auf die "Endeinrichtung des Endnutzers": Damit sind auch alle mit dem Internet verbundenen Geräte umfasst und brauchen regelmäßig eine Cookie Einwilligung, also zum Beispiel Smarthome-Anwendungen, E-Mail- und Messenger-Dienste.
Beispiele: WhatsApp oder Threema, Smarthome Anwendungen wie Küchengeräte, Heizkörperthermostate, Alarmsysteme - Das heißt: Auch wenn Sie solche Dienste anbieten, brauchen Sie künftig eine echte Einwilligung (und damit Cookie-Consent-Banner), sofern Sie Cookies setzen oder andere Tracking-Dienste verwenden.
- Zudem bezieht sich das TDDDG auf sämtliche Informationen, die Nutzer von digitalen Diensten und Telekommunikationsdiensten preisgeben und die somit erhoben werden können. Dazu gehören auch personenbezogene Daten. Somit geht es nicht mehr nur um die Cookie Nutzung, sondern um alle Techniken, für die Sie Informationen in der Endeinrichtung auslesen oder speichern.
Beispiel: Browser Fingerprinting
Weitere wichtige Änderungen im TDDDG
Das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz regelt einige weitere Punkte, die für Sie als Websitebetreiber wichtig sein können:
- Sie müssen als Anbieter von digitalen Diensten unter Umständen auf Verlangen öffentlichen Stellen Auskunft über Bestands- und Nutzerdaten geben.
- Bußgelder drohen nicht nur beim Verstoß gegen Datenschutzregelungen nach der Datenschutz-Grundverordnung (DSGVO), sondern auch nach dem TDDDG. Wenn Sie eine Einwilligung nicht einholen, drohen Ihnen Bußgelder bis zu 300.000 Euro.
- Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat die umfassende Aufsicht über den Umgang mit personenbezogenen Daten. Er kümmert sich auch um die Verhängung von Bußgeldern und ist eine unabhängige Datenschutz-Aufsichtsbehörde im Bereich der Telekommunikation.
- Die Bundesnetzagentur ist zuständig für Vorschriften, die nicht die Verarbeitung von personenbezogenen Daten betreffen.
Darüber hinaus weisen wir der Vollständigkeit halber noch auf folgende Inhalte hin:
- Das Fernmeldegeheimnis ist ebenfalls im TDDDG geregelt. Es soll die Erben eines Endnutzers nicht daran hindern, Rechte gegenüber einem Anbieter von Telekommunikationsdiensten geltend zu machen.
- Weitere Regelungen zur Rufnummernunterdrückung und -anzeige.
2. Was müssen Sie als Websitebetreiber jetzt tun?
Das TTDSG brachte mit seinem Inkrafttreten 2021 viele Neuerungen für Unternehmen und Webseitenbetreiber mit sich. Da Telemediendienste mit Außerkrafttreten des Telemediengesetzes (TMG) und Inkrafttreten des Digitale-Dienste Gesetz (DDG) 2024 zu “digitalen Diensten” wurden, musste auch das Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG) umbenannt werden.
Neben der Umbenennung sowie dem Austausch des Begriffs “Telemedien” zu “digitalen Diensten” sind keine wesentlichen Änderungen zu finden.
Sind Sie bereits mit Inkrafttreten des TTDSG aktiv geworden und haben Anforderungen wie den Cookie Consent Banner zum Schutz der Privatsphäre umgesetzt, sind Sie schon gut aufgestellt. Nun sollten Sie noch überprüfen, ob Ihre Datenschutzerklärung auch auf aktuellstem Stand ist und anstelle des § 25 TTDSG den § 25 TDDDG zitiert.
Mit unserem eRecht24 Datenschutz-Generator erstellen Sie schnell und kostenfrei eine rechtssichere Datenschutzerklärung.
Erstellen Sie jetzt eine rechtssichere Datenschutzerklärung mit dem eRecht24 Datenschutz Generator
- Einfache Integration in Ihre Website
- Anwaltlich geprüfter Generator
- Für Sie kostenfrei in wenigen Schritten
Haben Sie sich bisher noch nicht um einen Cookie-Consent-Banner für Ihre Website gekümmert, ist nun Eile geboten. Denn: Sie brauchen für Tracking-Cookies, Third-Party-Cookies, sonstige Marketing Cookies und Co. eine echte Einwilligung, sofern sie für den Betrieb der Seite technisch nicht unbedingt erforderlich sind. Damit steht fest: Ein Cookie Consent Tool ist Pflicht.
LESE-TIPP
In unserem Artikel “Die 6 (wahrscheinlich) besten Cookie Consent Tools” lesen Sie mehr zum Thema Cookies, Datenschutzvorgaben und Consent Tools.
Verstoßen Sie gegen Vorgaben des TDDDG drohen nicht nur Bußgelder durch die zuständigen Aufsichtsbehörden, sondern auch Abmahnungen nach dem Wettbewerbsrecht.
Warum das so ist? Zwar steht im TDDDG nicht, wie Sie die Einwilligung einholen müssen.
Dort steht aber: Sie müssen die Einwilligung einholen und zwar auf Grundlage klarer und umfassender Informationen. Und sicher und einfach umsetzbar ist das nur mit Cookie Management über ein Cookie Consent Tool.
Wie ein Cookie Consent Banner gestaltet sein muss, können Sie in unserem Artikel "So muss ein Cookie Consent Banner aussehen, um nicht abgemahnt zu werden” nachlesen.
3. Wie muss ein Cookie Banner laut TDDDG (ehemals TTDSG) aussehen?
TDDDG und Cookies – wie muss der Banner genau aussehen? Zu dieser Frage bietet das TDDDG leider keine hilfreiche Antwort. Allerdings gibt es zu den Anforderungen an ein Cookie Banner verschiedene Stellungnahmen und Abmahnungen von Datenschutzbehörden und Verbraucherzentralen, sowie Vorgaben des “European Data Protection Board”.
Hiernach sollten Sie Cookie Banner verwenden, die folgende Punkte sicherstellen:
- Bis Ihr Besucher seine Einwilligung erteilt, müssen Sie Cookies auch tatsächlich technisch deaktivieren.
- Ihr Nutzer muss die Einwilligung aktiv setzen. Eine Checkbox darf nicht vorausgewählt sein.
- Es muss einen „Annehmen“ und einen „Ablehnen“-Button geben. Diese müssen gleichwertig sein. Es darf keine extra Seite auf einer tieferen Ebene geben, über die der Nutzer die Cookies erst ablehnen kann.
- Kein “Nudging”: Bei der Farbwahl der Buttons sollten Sie auf ausreichende Kontraste achten und keine grellen Farben verwenden. Sind die Buttons schwer lesbar oder gar unlesbar, handelt es sich um unzulässiges Nudging.
- Es dürfen keine komplizierten Links für die Ablehnung der Cookies verwendet werden.
- Sie müssen den Nutzer umfassend informieren. Dazu gehören:
- Zwecke der einzelnen Tools
- Anzahl der Anbieter und Tools
- Sitz des Anbieters, falls dieser außerhalb der EU liegt.
PRAXIS-TIPP
Nach der "Orientierungshilfe der Aufsichtsbehören (DSK) für Anbieter von Telemedien" vom 20.12.2021 ist es möglich, den Einwilligungsbanner mehrschichtig zu gestalten. Demnach dürfen Sie detaillierte Informationen auch erst auf einer zweiten Ebene des Banners mitteilen.
Die gute Nachricht: Die 6 gängigsten Cookie Consent Tools setzen diese Anforderungen um. Dazu sollten Sie allerdings einige Einstellungen vornehmen.
Was passiert, wenn das Cookie-Banner nicht rechtskonform umgesetzt wird, können Sie im Fall des internationalen Marktführers Microsoft sehen. Weil Microsofts bing.com Unregelmäßigkeiten in seinem Cookie-Consent Banner hatte, verhängte die französische Datenschutzbehörde im Dezember 2022 eine Strafe von 60 Millionen Euro gegen den Microsoft Konzern. Sie sehen: selbst globale Marktführer wie Microsoft werden hier zur Rechenschaft gezogen.
4. Zu welchem Zweck wurde das TDDDG (ehemals TTDSG) geschaffen? - Gesetzesbegründung
Das "Telekommunikations-Telemedien-Datenschutzgesetz" (TTDSG) – Langform: Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien - ist am 1. Dezember 2021 in Kraft getreten.
Die Umbenennung zum Telekommunikation-Digitale-Dienste-Datenschutzgesetz (TDDDG)-Langform: Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei digitalen Diensten-erfolgte im Mai 2024.
Sinn und Zweck des Gesetzes: Es soll ein Kompromiss zwischen dem Schutz der Privatsphäre in der digitalen Welt und den digitalen Geschäftsmodellen erzielt werden.
Im Kern geht es aber vor allem um folgendes: Die Unklarheiten und das Nebeneinander von verschiedene Regelungen zum Thema Datenschutz in der Telekommunikation und bei digitalen Diensten (ehemals Telemedien) zu beseitigen.
Das Telemediengesetz (TMG) ist im neuen Digitale-Dienste-Gesetz (DDG) aufgegangen und außer Kraft getreten. Durch das Digitale-Dienste-Gesetz sollen die Vorgaben des Digital-Services-Acts in Deutschland umgesetzt werden. Schließlich gibt es noch das Telekommunikationsgesetz (TKG), die ePrivacy-Richtline (Datenschutzrichtlinie für elektronische Kommunikation) und die Datenschutz-Grundverordnung (DSG-VO). Wann welches Gesetz über den Datenschutz gilt, ist eine Wissenschaft für sich.
Hinzukommt, dass die ePrivacy-Verordnung, die den Umgang mit Cookies deutlich regeln sollte, bis heute nicht erlassen wurde. Deshalb hat der Gesetzgeber mit dem TDDDG verstreute Regelungen aus unterschiedlichsten Gesetzen zusammengeführt. Damit wurden auch die Vorgaben der ePrivacy-Richtline in weiten Teilen umgesetzt, die vor allem auf den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation abzielt.
5. Was passiert mir, wenn ich keinen Cookie-Consent-Banner habe?
Im schlimmsten Fall drohen Ihnen gleich mehrere Bußgelder, wenn Sie auch jetzt nach der Umbenennung des TTDSG zum TDDDG immer noch keine ordnungsgemäße Einwilligung einholen.
- Zum einen können Sie einen Bußgeldbescheid wegen Verstoßes gegen die DSGVO erhalten. In diesem Fall drohen Ihnen Bußgelder in Höhe von bis zu 20 Millionen Euro oder bis zu vier Prozent Ihres Umsatzes.
- Zum anderen kann wegen Verstoßes gegen das TDDDG und den Datenschutz ein Bußgeld von bis zu 300.000 Euro gegen Sie festgesetzt werden. Es kann also richtig teuer für Sie werden.
- Zudem drohen Ihnen Abmahnungen, wenn Sie keinen ordnungsgemäßen Cookie-Consent-Banner haben.
Wir haben eine Lösung für Sie: Wenn Sie sich für eRecht24 Premium entscheiden, ist das Consent-Tool von Usercentrics kostenlos enthalten. Entscheiden Sie sich daher am besten noch heute für eRecht24-Premium, um datenschutzrechtlich sicher aufgestellt zu sein.
- Zurück zur Übersicht: "Datenschutz"
- Recht auf informationelle Selbstbestimmung (Grundgesetz)
- BDSG-neu
- Kopplungsverbot
- ePrivacy Verordnung
- Privacy Shield (nicht mehr gültig!)
- TMG
- TDDDG (ehemals TTDSG)
- EU-US Data Privacy Framework
- Hinweisgeberschutzgesetz
- Digital Service Act - EU-Gesetz über digitale Inhalte
- Digitale Dienste Gesetz (DDG)
- Data Governance Act (DGA)