Zusammenfassung
Am 1.12.2021 ist das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) in Kraft getreten. Das TTDSG gilt für alle Unternehmen und Personen, die im Geltungsbereich des Gesetzes eine Niederlassung haben, Telemedien- und Telekommunikations-Dienstleistungen erbringen oder Waren auf dem Markt bereitstellen. Es gilt das sog. Marktortprinzip.
Neuregelung des Datenschutzrechts für Anbieter von Telemedien- und Telekommunikations-Dienstleistungen
Ziel dieses neuen Gesetzes ist es, das Datenschutzrecht in Deutschland weiter zu konsolidieren. Die 2002 verabschiedete und 2009 erweiterte ePrivacy-Richtlinie der EU wird damit in nationales Recht umgesetzt. Außerdem werden datenschutzrechtliche Vorschriften aus dem TKG und dem TMG zusammengefasst und an die DSGVO angeglichen. Rechtsunsicherheiten, die durch das bisherige Nebeneinander von drei Gesetzen (TKG, TMG, DSGVO) entstanden sind, sollen so ausgeräumt werden. Die Rechtsanwendung soll durch ein einheitliches Gesetz erleichtert werden.
Für die Praxis bringt das neue Gesetz eine wesentliche Neuerung: Es kodifiziert die bisher von der Rechtsprechung vorgegebenen Grundsätze zur Einwilligung in die Speicherung von Informationen auf Endeinrichtungen und regelt die Zulässigkeit des Zugriffs auf vorhandene Informationen.
Technologieneutraler Anwendungsbereich des TTDSG
Das TTDSG ist technologieneutral gefasst, d. h. es erfasst sämtliche Endeinrichtungen. Darunter fallen klassische Endgeräte wie Smartphones und Tablets, aber auch Haushaltsgeräte vom smarten Kühlschrank bis zur Beleuchtung mit Anschluss an das heimische WLAN.
Der Anwendungsbereich des TTDSG ist weit. Er umfasst z. B. auch OTT-Dienstleister als Anbieter von Telemedien- und Telekommunikations-Dienstleistungen. OTT-Kommunikationsdienste sind Dienste, die über eine Internetverbindung angeboten werden, ohne dass der Internetanbieter selbst Einfluss auf oder Kontrolle über den Content hat.
Zentrale Norm des TTDSG: Die Einwilligung nach § 25 TTDSG am Beispiel von Tracking Cookies
Die zentrale Norm des neuen Gesetzes ist § 25 TTDSG, der das Erfordernis einer Einwilligung des Endnutzers regelt und für die Modalitäten der Einwilligung auf die DSGVO verweist. Besonders praxisrelevant ist dies für die Zulässigkeit von Tracking Cookies. Tracking Cookies verfolgen das Verhalten eines Nutzers beim Aufruf von Websites. Dabei wird eine Cookie-ID an den Nutzer vergeben, mittels der ihm alle seine Interaktionen zugeordnet werden können.
Anforderungen an eine wirksame Einwilligung
Die Einwilligung muss vom Nutzer des Geräts vor dem Zugriff der Website bzw. der App auf das Endgerät eingeholt werden.
Der Einwilligende muss hinreichend informiert sein. Dafür ist entscheidend, dass bei Einwilligung jegliche Speicher- und Ausleseaktivitäten für den Nutzer transparent und nachvollziehbar sind.
In der Praxis wird häufig mit der sog. Banner-Lösung gearbeitet. Bereits im Banner müssen folgende Informationen dem Nutzer angezeigt werden: Wer greift in welcher Form, zu welchem Zweck und über welche Dauer auf die Endeinrichtung zu? Erhalten auch Dritte Zugriff bzw. werden Daten an Dritte weitergeben? Ein Hinweis, wie beispielsweise "Wir verwenden Cookies, um Ihr Nutzungserlebnis zu verbessern", reicht nicht aus. Nicht ausreichend ist auch, wenn erst eine ausklappbare Detailansicht zu den erforderlichen Informationen führt. Die Ablehnung von Cookies muss direkt möglich sein. Von einem Button "weitere Informationen" ist daher abzuraten.
Außerdem muss der Nutzer über einen möglichen Widerruf der Einwilligung aufgeklärt werden. Ein Widerruf muss genauso einfach möglich sein, wie die Einwilligung erteilt wurde.
Die Einwilligung muss ausdrücklich erteilt werden. Das Aufrufen einer Website allein stellt noch keine Einwilligung dar. Es ist möglich, die Einwilligung nach dem TTDSG und die nach DSGVO gleichzeitig einzuholen. Jedoch muss erkennbar sein, dass beide Einwilligungen gleichzeitig erteilt werden.
Für eine echte Wahlmöglichkeit muss der Nutzer die Möglichkeit haben, Cookies abzulehnen. Die Wahlmöglichkeit muss websiteintern gegeben sein. Es genügt nicht, wenn darauf verwiesen wird, dass ein Endnutzer die gleiche Dienstleistung auf einer anderen Website "ohne Cookies" in Anspruch nehmen könnte. Die Wahl, eine Einwilligung zu erteilen oder nicht, darf sich also nur auf eine Website beziehen und nicht das Angebot anderer Websites als Rechtfertigung dafür anführen, dass die Cookies auf der eigenen Website zwingend sind.
Wann muss keine Einwilligung des Nutzers eingeholt werden?
In zwei Fällen muss keine Einwilligung eingeholt werden: (1.) beim Speichern von Daten, die zur Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz gespeichert werden und (2.) bei unbedingt erforderlichen Zugriffen, um vom Endnutzer ausdrücklich gewünschte Telemediendienste zur Verfügung zu stellen. "Unbedingt erforderlich" bedeutet: Der Auslese-/Speichervorgang darf erst dann erfolgen, wenn die durch ihn ermöglichte Funktion benutzt wird. Es dürfen...