FAQ | Telekommunikation-Digitale-Dienste-Datenschutzgesetz (TDDDG)
Am 14.5.2024 wurde das das Telekommunikations-Telemediendatenschutz-Gesetz (TTDSG) in das Telekommunikation-Digitale-Dienste-Datenschutzgesetz (TDDDG) umbenannt. Das TDDDG enthält im Vergleich zum TTDSG keine wesentlichen Änderungen, bis auf die Umbenennung von Telemediendiensten in Digitale Dienste. In unseren FAQ geben wir Antworten auf häufig gestellte Fragen.
- Was ist das TDDDG, ab wann gilt es und wo finde ich es?
- Wer muss das TDDDG künftig beachten?
- Welche Vorgaben setzt das TDDDG um?
- Was sind die wesentlichen Regelungen im TDDDG?
- Gibt es ab dem 14.5.2024 noch ein Telekommunikationsgesetz (TKG) und ein Telemediengesetz (TMG)?
- Welche Änderungen und Neuerungen gibt es für die Anbieter von Telekommunikationsdiensten?
- Welche Änderungen und Neuerungen gibt es für die Anbieter von Telemedien?
- Paragraf 25 TDDDG setzt Art. 5 Abs. 3 ePrivacy-Richtlinie um, der bereits seit 2009 gilt. Was ändert sich durch die neue Vorschrift?
- Gibt es Ausnahmen, in denen keine Einwilligung eingeholt werden muss?
- Welche Anforderungen werden an die Einwilligung gemäß § 25 Abs. 1 TDDDG gestellt, die grundsätzlich beim Einsatz von Cookies und bei der Einbindung von Drittdiensten einzuholen ist?
- Prüfen die Aufsichtsbehörden auch das sogenannte Nudging?
- Gibt es von den deutschen Aufsichtsbehörden Hilfestellungen in Bezug auf die konkrete Umsetzung von § 25 TDDDG?
- Was sind „Personal Information Management Systeme“ (PIMS) und was ist ihre Aufgabe?
- Welches Konzept verfolgt die niedersächsische Datenschutzaufsicht bei der Überprüfung der deutschen Webseiten und Anwendungen?
- Was kann einem Webseitenbetreiber geraten werden?
- Werden Aufsichtsbehörden eine Übergangsfrist zugestehen?
- Für Webseiten von welchen Stellen ist der LfD Niedersachsen aufsichtsbehördlich zuständig?
- Können Verstöße gegen die Vorschriften des TDDDG für Telemedien mit einem Bußgeld geahndet werden?
1. Was ist das TDDDG, ab wann gilt es und wo finde ich es?
Am 1.12.2021 ist das Telekommunikations-Telemediendatenschutz-Gesetz (TTDSG) – in Kraft getreten, dass zum 14.5.2024 in das Telekommunikation-Digitale-Dienste-DatenschutzgGesetz (TDDDG) umbenannt worden ist. Die Umbenennung von Telemedien in digitale Dienste stellt eine rein sprachliche Anpassung an die europäischen Fachbegriffe dar. Das TDDDG ist ein Bundesgesetz und enthält spezifische Datenschutzvorschriften für Anbieter von Telekommunikationsdiensten (insbesondere Telefon- und Internetanschlüsse) und digitale Dienste (Webseiten). Im TDDDG werden u. a. Vorgaben aus der Richtlinie 2002/58/EG (ePrivacy-Richtlinie) umgesetzt.
2. Wer muss das TDDDG beachten?
Das TDDDG richtet sich erstens an Anbieter von öffentlichen Telekommunikationsdiensten. Hierzu zählen entsprechend der Definition für Telekommunikationsdienste gemäß § 3 Nr. 61 TKG die Anbieter von Festnetz- und Mobilfunk. Dies sind in Deutschland zum Beispiel die Deutsche Telekom, O2, Vodafone, und 1&1. Eine vollständige Übersicht findet sich hier.
Zu den Telekommunikationsdienstleister gehören auch die Anbieter von Internetanschlüssen.
Zweitens richtet sich das TDDDG an Anbieter von digitalen Diensten.. Dies sind insbesondere öffentliche oder nicht-öffentliche Stellen sowie Privatpersonen, die eine Webseite oder App betreiben. Auch Smart-Home-Anwendungen können digitale Dienste sein.
3. Welche Vorgaben setzt das TDDDG um?
Anlass der Gesetzgebung für das bis zum TDDDG geltende TTDSG war die Richtlinie 2018/1972/EU über den europäischen Kodex für die elektronische Kommunikation, die eine Änderung des Telekommunikationsgesetzes (TKG) erforderlich machte. Der Gesetzgeber nahm dabei die Gelegenheit wahr, die bisher nicht an die Datenschutz-Grundverordnung angepassten Datenschutzvorschriften des Telekommunikationsgesetzes (TKG) und des Telemediengesetzes (TMG) zu überarbeiten und in einem neuen Gesetz – dem TTDSG – zusammenzufassen. Ziel war es, beide Bereiche an die DSGVO und die ePrivacy-Richtlinie anzupassen sowie insbesondere die 2009 eingeführten Vorgaben aus Art. 5 Abs. 3 ePrivacy-RL rechtssicher in nationales Recht umzusetzen. Das TDDDG enthält diesbezüglich keine Änderungen zum TTDSG.
Weiterführende Links:
https://eur-lex.europa.eu/legal-content/DE/ALL/?uri=CELEX:32002L0058 (RL 2002)
https://eur-lex.europa.eu/legal-content/DE/ALL/?uri=CELEX:32002L0058 (RL 2009)
4. Was sind die wesentlichen Regelungen im TDDDG?
Die §§ 3 bis 18 TDDDG enthalten Vorschriften zum Datenschutz und für den Schutz der Privatsphäre in der Telekommunikation. Es finden sich insbesondere Regelungen
- zur Vertraulichkeit der Kommunikation (§§ 9 bis 13),
- zu Verkehrs- und Standortdaten (§§ 14 bis 16),
- zur Auskunft über die Telefonnummer von unerwünschten Anrufern, Rufnummernanzeige und -unterdrückung, automatische Anrufweiterschaltung (§§ 17 bis 18) und zu Telefonverzeichnissen.
Die §§ 19 bis 26 TDDDG beinhalten Vorschriften für Anbieter von digitalen Diensten und Endeinrichtungen, also Mobiltelefone, Rechner, Tablets und weitere internetfähige Geräte wie Smart-TVs und Fahrzeuge.
Für digitale Dienste werden Vorschriften zu technischen und organisatorischen Maßnahmen, zur Verarbeitung von Daten zum Zweck des Jugendschutzes und zur Auskunftserteilung gemacht, die ergänzend zur DSGVO zu beachten sind.
Für Endeinrichtungen ist in § 25 TDDDG die sogenannte Cookie-Regelung aus Art. 5 Abs. 3 ePrivacy-RL umgesetzt worden.
5. Gibt es ab dem 14.5.2024 noch ein Telekommunikationsgesetz (TKG) und ein Telemediengesetz (TMG)?
Seit der Zusammenführung der Datenschutzvorschriften aus dem TKG und dem TMG im TTDSG zum 1.12.2021 gibt es ein neues TKG. Das frühere TMG bestand ab diesem Zeitpunkt in einer gekürzten Fassung fort. In beiden Gesetzen sind bzw. waren keine Datenschutzvorschriften mehr enthalten. Das TDDDG wurde durch das Digitale Dienste Gesetz beschlossen. Durch dieses Artikelgesetz wurden noch weitere Gesetze zur Umsetzung der europäischen Verordnungen für digitale Dienste (Verordnung (EU) 2022/2065) und zur Förderung von Fairness und Transparenz für gewerbliche Nutzer von Online-Vermittlungsdiensten (Verordnung (EU) 2019/1150) angepasst oder erlassen. Das Telemediengesetz (TMG) wurde durch das Digitale Dienste Gesetz aufgehoben. Es wurde das Digitale Dienste Gesetz erlassen. Dieses enthält unter anderem Vorschriften des Telemediengesetzes als auch einigen Vorschriften des Netzwerkdurchsetzungsgesetz (NetzDG), das überwiegend außer Kraft getreten ist.
6. Welche Änderungen und Neuerungen gibt es für die Anbieter von Telekommunikationsdiensten?
Durch das TDDDG ergeben sich gegenüber dem TTDSG keine wesentlichen Neuerung. Zuvor hatte sich durch das TTDSG eine Zuständigkeitsänderung ergeben. Für den Datenschutz bei der geschäftsmäßigen Erbringung von Telekommunikationsdiensten ist seitdem gemäß § 29 Abs. 1 TTDSG – nunmehr § 29 Abs. 1 TDDDG – der Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI) zuständig, unabhängig davon, in welchem Bundesland der Telekommunikationsdienstleister seinen Firmensitz hat. Bei Fragen sollten sich Anbieter von Telekommunikationsdiensten daher an den BfDI wenden.
7. Welche Änderungen und Neuerungen gibt es für die Anbieter von Telemedien?
Durch das TDDDG ergeben sich gegenüber dem TTDSG keine wesentlichen Änderungen. Das TDDDG enthält in den §§ 19 bis 24 nur wenige Datenschutzvorschriften für digitale Dienste, die die DSGVO ergänzen. Es ist nun klargestellt, dass auf Webseiten grundsätzlich die Vorschriften der DSGVO anzuwenden sind. Das TDDDG enthält wie zuvor schon das TTDSG im Unterschied zum früher geltenden TMG keine spezifischen Erlaubnistatbestände für Bestands- und Nutzungsdaten bei Telemedien (§§ 14 und 15 TMG a.F.), so dass allein Art. 6 und Art. 9 DS-GVO für die Rechtmäßigkeit der Verarbeitung maßgeblich sind. § 21 TDDDG regelt nur, in welchen Fällen ein Auskunftsanspruch gegenüber dem Anbieter von digitalen Diensten für Bestandsdaten besteht. Es gibt bereits seit dem TTDSG keine Sonderregelung für die elektronische Einwilligung mehr (ehemals § 13 Abs. 2 und 3 TMG), so dass allein die Vorschriften der DSGVO maßgeblich sind. § 23 TDDDG ist durch das TTDSG neu geregelt worden. Danach können Anbieter von geschäftsmäßigen digitalen Diensten unter besonderen Voraussetzungen verpflichtet werden können, an Strafverfolgungsbehörden und die Polizei Passwörter oder Zugangsdaten für Webseiten weitergeben zu müssen.
8. Paragraf 25 TDDDG setzt Art. 5 Abs. 3 ePrivacy-Richtlinie um, der bereits seit 2009 gilt. Was ändert sich durch die neue Vorschrift?
Orientierungshilfe der Datenschutzkonferenz (PDF)
In Deutschland gab es bis zum Erlass von § 25 TTDSG keine europarechtskonforme Umsetzung von Art. 5 Abs. 3 ePrivacy-RL. Dies hat der Bundesgerichtshof bereits im Frühjahr 2020 ausdrücklich im sogenannten Planet 49-Urteil (BGH, Urteil vom 28. Mai 2020 – I ZR 7/16 Rn. 61 – Cookie-Einwilligung II) festgestellt. Große Praxisrelevanz hat der Art. 5 Abs. 3 ePrivacy-RL beim Einsatz von Cookies und bei der Einbindung von Drittdiensten auf Webseiten, wie beispielweise Fonts, Consent-Management-Tools, Videoplattformen, Karten oder Bezahldiensten. Die Aufsichtsbehörden haben es aufgrund der unsicheren Rechtslage bisher toleriert, dass Datenverarbeitungen im Zusammenhang mit dem Einsatz von Cookies und durch eingebundene Drittdienstleister unter engen Voraussetzungen auch auf Art. 6 Abs. 1 lit. f DSGVO gestützt werden können – also bei einem die Nutzerinteressen überwiegenden berechtigten Interesse des Betroffenen. Bereits durch § 25 TTDSG und nunmehr § 25 TDDDG wird diese Möglichkeit genommen, da er grundsätzlich vom Erfordernis einer Einwilligung ausgeht und nur unter engen Voraussetzungen eine Ausnahme hiervon gemäß § 25 Abs. 2 Nr. 2 TDDDG zulässt.
Orientierungshilfe der Datenschutzkonferenz (PDF)9. Gibt es Ausnahmen, in denen keine Einwilligung eingeholt werden muss?
Für Anbieter von digitalen Diensten gibt es eine Ausnahmeregelung in § 25 Abs. 2 Nr. 2 TDDDG. Danach ist keine Einwilligung notwendig, wenn der Einsatz der Cookies oder die Einbindung von Drittdiensten unbedingt erforderlich sind, damit Anbieter eines digitalen Dienstes einen vom jeweiligen Nutzer ausdrücklich gewünschten digitalen Dienst zur Verfügung stellen können. Da es sich um eine Ausnahmeregelung handelt, ist grundsätzlich von einem engen Verständnis auszugehen, so dass es nur wenige Cookies und Drittdienste geben wird, die ohne eine Einwilligung auf der Webseite eingesetzt werden können.
10. Welche Anforderungen werden an die Einwilligung gemäß § 25 Abs. 1 TTDSG gestellt, die grundsätzlich beim Einsatz von Cookies und bei der Einbindung von Drittdiensten einzuholen ist?
§ 25 Abs. 1 S. 2 TDDDG verweist sowohl bezüglich der Informationspflichten gegenüber den Endnutzerinnen und -nutzern als auch den formalen und inhaltlichen Anforderungen einer Einwilligung auf die DSGVO. Maßgeblich ist somit die Definition nach Art. 4 Nr. 11 DSGVO. Die weiteren Anforderungen an eine wirksame Einwilligung ergeben sich aus Art. 7 und Art. 8 DSGVO. Für die Beurteilung der Wirksamkeit einer Einwilligung gemäß § 25 Abs. 1 S. 1 TDDDG sind demnach dieselben Bewertungsmaßstäbe anzulegen, wie bei einer Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO.
Weitere Informationen zur Einwilligung finden Sie in unserer Handreichung: Datenschutzkonforme Einwilligungen auf Webseiten - Anforderungen an Consent-Layer11. Prüfen die Aufsichtsbehörden auch das sogenannte Nudging?
„Nudging“ bezeichnet Techniken, durch die das Verhalten der Nutzerinnen und Nutzer beeinflusst werden soll. Diese Beeinflussung kann grundsätzlich im Interesse des Nutzers oder der Nutzerin erfolgen oder im – entgegenstehenden – Interesse desjenigen, der Nudging einsetzt. Im Zusammenhang mit dem Consent-Layer auf Webseiten wird Nudging eingesetzt, um Userinnen und User zur Abgabe einer Einwilligung zu „schubsen“: Beispielsweise ist in Consent-Fenstern die „Zustimmen"-Option oft im Vergleich zur „Ablehnen"-Option auffälliger gestaltet – durch Farbe, Schriftschnitt und sonstige Hervorhebungen. Zum Beispiel ist der Button „Zustimmung“ in Grün oder Blau mit weißer Fettschrift gestaltet und der „Ablehnen“-Button in Grau mit weißer Standardschrift. Der LfD Niedersachsen prüft bei Webseiten regelmäßig, ob bei der Abfrage der Einwilligung über Einwilligungsbanner ein unzulässiges Nudging eingesetzt wird.
12. Gibt es von den deutschen Aufsichtsbehörden Hilfestellungen in Bezug auf die konkrete Umsetzung von § 25 TTDSG?
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) befasst sich in der Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien ab dem 1. Dezember 2021 (OH Telemedien 2021) Version 1.1 im Schwerpunkt mit der datenschutzkonformen Umsetzung von § 25 TDDDG. Die Orientierungshilfe wird gerade in Bezug auf das TDDDG aktualisiert.
13. Was sind „Personal Information Management Systeme“ (PIMS) und was ist ihre Aufgabe?
Personal Information Management Systeme (PIMS) sind Dienste für die Einwilligungsverwaltung und Endnutzereinstellung. Anstatt auf jeder einzelnen Webseite mit Einwilligungs-Bannern konfrontiert zu werden, sollen Nutzerinnen und Nutzer über PIMS ihre Grundeinstellungen differenziert festlegen. Diese sind dann bei jedem Aufruf einer Webseite automatisch zu berücksichtigen. Über das PIMS sollen die Nutzerinnen und Nutzer alle Einwilligungen, die sie im Zusammenhang mit der Nutzung von Webseiten abgeben, zentral verwalten können. § 26 TDDDG enthält allerdings bisher nur die Idee, dass es solche PIMS geben sollte. Für ihre praktische Umsetzung muss zunächst noch eine Rechtsverordnung erlassen werden, in der dann die Detailfragen geklärt werden.
14. Welches Konzept verfolgt die niedersächsische Datenschutzaufsicht bei der Überprüfung der deutschen Webseiten und Anwendungen?
In Bezug auf die Umsetzung der neuen Regelungen im TTDSG verfolgte der LfD Niedersachsen zunächst einen präventiven Ansatz, indem Verantwortliche gezielt auf das Inkrafttreten am 1.12.2021 hingewiesen und Informationen wie diese FAQ zur Verfügung gestellt worden sind. Im aufsichtsbehördlichen Bereich gilt bei Webseiten – wie generell –, dass einerseits Prüfungen aufgrund von Beschwerden vorgenommen und andererseits anlasslose Kontrollen durchgeführt werden. In der Vergangenheit sind von der niedersächsischen Aufsichtsbehörde zwei anlasslose Prüfung zum datenschutzkonformen Tracking auf Webseiten von kleinen und mittelständischen Unternehmen und von Medienunternehmen durchgeführt worden. Die wichtigsten Ergebnisse dieser Kontrollen finden sich hier.
15. Was kann einem Webseitenbetreiber geraten werden?
Alle Betreiber sollten prüfen, ob auf ihren Webseiten Cookies oder Drittdienste ohne eine wirksame Einwilligung eingesetzt werden. Sollte dies der Fall sein, ist weiter zu klären, ob es sich um Cookies oder Dienste handelt, für die die Ausnahmeregelung gemäß § 25 Abs. 2 Nr. 2 TDDDG greift. Bei Unsicherheiten in Bezug auf diese rechtliche Bewertung, sollte der Cookie oder der Drittdienst bis zur Klärung deaktiviert werden.
16. Werden Aufsichtsbehörden eine Übergangsfrist zugestehen?
Das TTDSG wird ab dem 1.12.2021 gelten und die LfD Niedersachsen ist verpflichtet, geltendes Recht einzuhalten. Insbesondere § 25 TTDSG ist in Bezug auf seinen Regelungsinhalt keineswegs neu, sondern entspricht der bereits seit 2009 bekannten Vorschrift in der ePrivacy-RL.
17. Für Webseiten von welchen Stellen ist der LfD Niedersachsen aufsichtsbehördlich zuständig?
Der LfD Niedersachsen ist entsprechend der allgemeinen datenschutzrechtlichen Kompetenzverteilung für die Webseiten von öffentlichen Stellen und von nicht-öffentlichen Stellen, also von Unternehmen, Vereinen, Verbänden, Privatleuten usw. in Niedersachsen, zuständig. Eine Sonderzuständigkeit im nicht-öffentlichen Bereich besteht für die Webseiten von Telekommunikationsdiensten. Für diese ist gemäß § 29 Abs. 1 TDDDG der BfDI zuständig.
18. Können Verstöße gegen die Vorschriften des TDDDG für Telemedien mit einem Bußgeld geahndet werden?
Das TDDDG enthält in § 28 eine eigene Bußgeldvorschrift. Danach stellen Verstöße gegen die §§ 19 bis 25 TDDDG grundsätzlich eine Ordnungswidrigkeit dar. Ein Verstoß gegen § 25 Abs. 1 TDDDG kann beispielsweise mit einer Geldbuße von bis zu 300.000 Euro geahndet werden.