Telekommunikations-Telemediendatenschutz-Gesetz (TTDSG) - Fragen und Antworten

Seit dem 1.12.2021 gibt es ein neues TKG. Das bisherige TMG besteht in einer gekürzten Fassung fort. In beiden Gesetzen werden keine Datenschutzvorschriften mehr enthalten sein.

1. Was ist das TTDSG, ab wann gilt es und wo finde ich es?
   
2. Wer muss das TTDSG künftig beachten?
   
3. Welche Vorgaben setzt das TTDSG um?
   
4. Was sind die wesentlichen Regelungen im TTDSG?
   
5. Gibt es ab dem 01.12.2021 kein Telekommunikationsgesetz (TKG) und kein Telemediengesetz (TMG) mehr?
   
6. Welche Änderungen und Neuerungen gibt es für die Anbieter von Telekommunikationsdiensten?
   
7. Welche Änderungen und Neuerungen gibt es für die Anbieter von Telemedien?
   
8. Paragraf 25 TTDSG setzt Art. 5 Abs. 3 ePrivacy-Richtlinie um, der bereits seit 2009 gilt. Was ändert sich durch die neue Vorschrift?
   
9. Gibt es Ausnahmen, in denen keine Einwilligung eingeholt werden muss?
   
10. Welche Anforderungen werden an die Einwilligung gemäß § 25 Abs. 1 TTDSG gestellt, die grundsätzlich beim Einsatz von Cookies und bei der Einbindung von Drittdiensten einzuholen ist?
    
11. Prüfen die Aufsichtsbehörden auch das sogenannte Nudging?
    
12. Gibt es von den deutschen Aufsichtsbehörden Hilfestellungen in Bezug auf die konkrete Umsetzung von § 25 TTDSG?
    
13. Was sind „Personal Information Management Systeme“ (PIMS) und was ist ihre Aufgabe?
    
14. Welches Konzept verfolgt die niedersächsische Datenschutzaufsicht bei der Überprüfung der deutschen Webseiten und Anwendungen?
    
15. Was kann einem Webseitenbetreiber geraten werden?
    
16. Werden Aufsichtsbehörden eine Übergangsfrist zugestehen?
    
17. Wir wirken sich die Änderungen auf bestehende Prüfungen aus, die noch laufen?
    
18. Für Webseiten von welchen Stellen ist die LfD Niedersachsen aufsichtsbehördlich zuständig?
    
19. Können Verstöße gegen die Vorschriften des TTDSG für Telemedien mit einem Bußgeld geahndet werden?
    

1. Was ist das TTDSG, ab wann gilt es und wo finde ich es?

Am 1.12.2021 ist das Telekommunikations-Telemediendatenschutz-Gesetz (TTDSG) – in Kraft getreten. Es ist ein Bundesgesetz und enthält spezifische Datenschutzvorschriften für Anbieter von Telekommunikationsdiensten (insbesondere Telefon- und Internetanschlüsse) und Telemediendiensten (Webseiten). Im TTDSG werden u. a. Vorgaben aus der Richtlinie 2002/58/EG (ePrivacy-Richtlinie) umgesetzt.

2. Wer muss das TTDSG beachten?

Das TTDSG richtet sich erstens an Anbieter von öffentlichen Telekommunikationsdiensten. Hierzu zählen entsprechend der Definition für Telekommunikationsdienste gemäß § 3 Nr. 61 TKG die Anbieter von Festnetz- und Mobilfunk. Dies sind in Deutschland zum Beispiel die Deutsche Telekom, O2, Vodafone, und 1&1. Eine vollständige Übersicht findet sich hier.

Zu den Telekommunikationsdienstleister gehören auch die Anbieter von Internetanschlüssen.

Zweitens richtet sich das TTDSG an Anbieter eines Telemediendienstes. Dies sind insbesondere öffentliche oder nicht-öffentliche Stellen sowie Privatpersonen, die eine Webseite oder App betreiben. Auch Smart-Home-Anwendungen können Telemediendienste sein.

3. Welche Vorgaben setzt das TTDSG um?

Anlass der Gesetzgebung war die Richtlinie 2018/1972/EU über den europäischen Kodex für die elektronische Kommunikation, die eine Änderung des Telekommunikationsgesetzes (TKG) erforderlich machte. Der Gesetzgeber nahm dabei die Gelegenheit wahr, die bisher nicht an die Datenschutz-Grundverordnung angepassten Datenschutzvorschriften des Telekommunikationsgesetzes (TKG) und des Telemediengesetzes (TMG) zu überarbeiten und in einem neuen Gesetz – dem TTDSG – zusammenzufassen. Ziel war es, beide Bereiche an die DS-GVO und die ePrivacy-Richtlinie anzupassen sowie insbesondere die 2009 eingeführten Vorgaben aus Art. 5 Abs. 3 ePrivacy-RL rechtssicher in nationales Recht umzusetzen.

Weiterführende Links:

https://eur-lex.europa.eu/legal-content/DE/ALL/?uri=CELEX:32002L0058 (RL 2002)

https://eur-lex.europa.eu/legal-content/DE/ALL/?uri=CELEX:32002L0058 (RL 2009)

4. Was sind die wesentlichen Regelungen im TTDSG?

Die §§ 3 bis 18 TTDSG enthalten Vorschriften zum Datenschutz und für den Schutz der Privatsphäre in der Telekommunikation. Es finden sich insbesondere Regelungen

• zur Vertraulichkeit der Kommunikation (§§ 9 bis 13),
• zu Verkehrs- und Standortdaten (§§ 14 bis 16),
• zur Auskunft über die Telefonnummer von unerwünschten Anrufern, Rufnummernanzeige und -unterdrückung, automatische Anrufweiterschaltung (§§ 17 bis 18) und zu Telefonverzeichnissen.

Die §§ 19 bis 26 TTDSG beinhalten Vorschriften für Anbieter von Telemedien und Endeinrichtungen, also Mobiltelefone, Rechner, Tablets und weitere internetfähige Geräte wie Smart-TVs und Fahrzeuge.

Für Telemedien werden Vorschriften zu technischen und organisatorischen Maßnahmen, zur Verarbeitung von Daten zum Zweck des Jugendschutzes und zur Auskunftserteilung gemacht, die ergänzend zur DS-GVO zu beachten sind.

Für Endeinrichtungen ist in § 25 TTDSG die sogenannte Cookie-Regelung aus Art. 5 Abs. 3 ePrivacy-RL umgesetzt worden.

5. Gibt es ab dem 01.12.2021 kein Telekommunikationsgesetz (TKG) und kein Telemediengesetz (TMG) mehr?

Seit dem 01.12.2021 gibt es ein neues TKG. Das bisherige TMG besteht in einer gekürzten Fassung fort. In beiden Gesetzen werden keine Datenschutzvorschriften mehr enthalten sein.

6. Welche Änderungen und Neuerungen gibt es für die Anbieter von Telekommunikationsdiensten?

Für den Datenschutz bei der geschäftsmäßigen Erbringung von Telekommunikationsdiensten ist gemäß § 29 Abs. 1 TTDSG der Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI) zuständig, unabhängig davon, in welchem Bundesland der Telekommunikationsdienstleister seinen Firmensitz hat. Bei Fragen sollten sich Anbieter von Telekommunikationsdiensten daher an den BfDI wenden.

7. Welche Änderungen und Neuerungen gibt es für die Anbieter von Telemedien?

8. Paragraf 25 TTDSG setzt Art. 5 Abs. 3 ePrivacy-Richtlinie um, der bereits seit 2009 gilt. Was ändert sich durch die neue Vorschrift?

In Deutschland gab es bisher im TMG keine europarechtskonforme Umsetzung von Art. 5 Abs. 3 ePrivacy-RL. Dies hat der Bundesgerichtshof bereits im Frühjahr 2020 ausdrücklich im sogenannten Planet 49-Urteil (BGH, Urteil vom 28. Mai 2020 – I ZR 7/16 Rn. 61 – Cookie-Einwilligung II) festgestellt. Große Praxisrelevanz hat der Art. 5 Abs. 3 ePrivacy-RL beim Einsatz von Cookies und bei der Einbindung von Drittdiensten auf Webseiten, wie beispielweise Fonts, Consent-Management-Tools, Videoplattformen, Karten oder Bezahldiensten. Die Aufsichtsbehörden haben es aufgrund der unsicheren Rechtslage bisher toleriert, dass Datenverarbeitungen im Zusammenhang mit dem Einsatz von Cookies und durch eingebundene Drittdienstleister unter engen Voraussetzungen auch auf Art. 6 Abs. 1 lit. f DS-GVO gestützt werden können – also bei einem die Nutzerinteressen überwiegenden berechtigten Interesse des Betroffenen. Durch § 25 TTDSG wird diese Möglichkeit genommen, da er grundsätzlich vom Erfordernis einer Einwilligung ausgeht und nur unter engen Voraussetzungen eine Ausnahme hiervon gemäß § 25 Abs. 2 Nr. 2 TTDSG zulässt. Zu weiteren Ausführungen siehe Kapitel II. der aktuellen Orientierungshilfe der Datenschutzkonferenz (PDF).

9. Gibt es Ausnahmen, in denen keine Einwilligung eingeholt werden muss?

10. Welche Anforderungen werden an die Einwilligung gemäß § 25 Abs. 1 TTDSG gestellt, die grundsätzlich beim Einsatz von Cookies und bei der Einbindung von Drittdiensten einzuholen ist?

§ 25 Abs. 1 S. 2 TTDSG verweist sowohl bezüglich der Informationspflichten gegenüber den Endnutzerinnen und -nutzern als auch den formalen und inhaltlichen Anforderungen einer Einwilligung auf die DS-GVO. Maßgeblich ist somit die Definition nach Art. 4 Nr. 11 DS-GVO. Die weiteren Anforderungen an eine wirksame Einwilligung ergeben sich aus Art. 7 und Art. 8 DS-GVO. Für die Beurteilung der Wirksamkeit einer Einwilligung gemäß § 25 Abs. 1 S. 1 TTDSG sind demnach dieselben Bewertungsmaßstäbe anzulegen, wie bei einer Einwilligung nach Art. 6 Abs. 1 lit. a DS-GVO.

Hilfestellung hierzu gibt es in Kapitel III.2 der aktuellen Orientierungshilfe der Datenschutzkonferenz.

11. Prüfen die Aufsichtsbehörden auch das sogenannte Nudging?

„Nudging“ bezeichnet Techniken, durch die das Verhalten der Nutzerinnen und Nutzer beeinflusst werden soll. Diese Beeinflussung kann grundsätzlich im Interesse des Nutzers oder der Nutzerin erfolgen oder im – entgegenstehenden – Interesse desjenigen, der Nudging einsetzt. Im Zusammenhang mit dem Consent-Layer auf Webseiten wird Nudging eingesetzt, um Userinnen und User zur Abgabe einer Einwilligung zu „schubsen“: Beispielsweise ist in Consent-Fenstern die „Zustimmen"-Option oft im Vergleich zur „Ablehnen"-Option auffälliger gestaltet – durch Farbe, Schriftschnitt und sonstige Hervorhebungen. Zum Beispiel ist der Button „Zustimmung“ in Grün oder Blau mit weißer Fettschrift gestaltet und der „Ablehnen“-Button in Grau mit weißer Standardschrift.

Die LfD Niedersachsen prüft bei Webseiten regelmäßig, ob bei der Abfrage der Einwilligung über Einwilligungsbanner ein unzulässiges Nudging eingesetzt wird

12. Gibt es von den deutschen Aufsichtsbehörden Hilfestellungen in Bezug auf die konkrete Umsetzung von § 25 TTDSG?

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) hat am 20.12.2021 eine neue Orientierungshilfe für Anbieterinnen und Anbieter von Telemedien veröffentlicht. In dieser wird ein Schwerpunkt auf die datenschutzkonforme Umsetzung von § 25 TTDSG gelegt.

13. Was sind „Personal Information Management Systeme“ (PIMS) und was ist ihre Aufgabe?

Personal Information Management Systeme (PIMS) sind Dienste für die Einwilligungsverwaltung und Endnutzereinstellung. Anstatt auf jeder einzelnen Webseite mit Einwilligungs-Bannern konfrontiert zu werden, sollen Nutzerinnen und Nutzer über PIMS ihre Grundeinstellungen differenziert festlegen. Diese sind dann bei jedem Aufruf einer Webseite automatisch zu berücksichtigen. Über das PIMS sollen die Nutzerinnen und Nutzer alle Einwilligungen, die sie im Zusammenhang mit der Nutzung von Webseiten abgeben, zentral verwalten können. § 26 TTDSG enthält allerdings bisher nur die Idee, dass es solche PIMS geben sollte. Für ihre praktische Umsetzung muss zunächst noch eine Rechtsverordnung erlassen werden, in der dann die Detailfragen geklärt werden.

14. Welches Konzept verfolgt die niedersächsische Datenschutzaufsicht bei der Überprüfung der deutschen Webseiten und Anwendungen?

In Bezug auf die Umsetzung der neuen Regelungen im TTDSG verfolgt die LfD Niedersachsen zunächst einen präventiven Ansatz, indem Verantwortliche gezielt auf das Inkrafttreten am 1.12.2021 hingewiesen werden und Informationen wie diese FAQ zur Verfügung gestellt werden. Im aufsichtsbehördlichen Bereich gilt bei Webseiten – wie generell –, dass einerseits Prüfungen aufgrund von Beschwerden vorgenommen und andererseits anlasslose Kontrollen durchgeführt werden. Im November 2020 hat die LfD Niedersachsen die anlasslose Prüfung zum datenschutzkonformen Tracking auf Webseiten von kleinen und mittelständischen Unternehmen abgeschlossen. Die wichtigsten Ergebnisse dieser Kontrolle finden sich hier.

Aktuell wird eine länderübergreifende anlasslose Kontrolle der Webseiten von Medienunternehmen in Bezug auf den Einsatz von Cookies und die Einbindung von Drittdiensten durchgeführt.

15. Was kann einem Webseitenbetreiber geraten werden?

Alle Betreiber sollten prüfen, ob auf ihren Webseiten Cookies oder Drittdienste ohne eine wirksame Einwilligung eingesetzt werden. Sollte dies der Fall sein, ist weiter zu klären, ob es sich um Cookies oder Dienste handelt, für die die Ausnahmeregelung gemäß § 25 Abs. 2 Nr. 2 TTDSG greift. Bei Unsicherheiten in Bezug auf diese rechtliche Bewertung, sollte der Cookie oder der Drittdienst bis zur Klärung deaktiviert werden.

16. Werden Aufsichtsbehörden eine Übergangsfrist zugestehen?

Das TTDSG wird ab dem 1.12.2021 gelten und die LfD Niedersachsen ist verpflichtet, geltendes Recht einzuhalten. Insbesondere § 25 TTDSG ist in Bezug auf seinen Regelungsinhalt keineswegs neu, sondern entspricht der bereits seit 2009 bekannten Vorschrift in der ePrivacy-RL.

17. Wie wirken sich die Änderungen auf bestehende Prüfungen aus, die noch laufen?

Aufsichtsbehördliche Verfahren sind primär darauf ausgerichtet, dass datenschutzkonforme Zustände hergestellt werden. Bei laufenden Verfahren wird das Inkrafttreten des TTDSG insofern berücksichtigt, als zwar ein Verstoß gegen die Vorschrift erst angenommen werden kann, wenn dieser nach dem 01.12.2021 festgestellt worden ist. Bei Maßnahmen in Bezug auf datenschutzwidrige Verarbeitungen im Zusammenhang mit dem Einsatz von Cookies und Drittdiensten auf Webseiten, die bereits vor dem 01.12.2021 festgestellt worden sind, aber erst nach dem 01.12.2021 angeordnet werden, wird die neue Rechtslage berücksichtigt.

18. Für Webseiten von welchen Stellen ist die LfD Niedersachsen aufsichtsbehördlich zuständig?

Die LfD Niedersachsen ist entsprechend der allgemeinen datenschutzrechtlichen Kompetenzverteilung für die Webseiten von öffentlichen Stellen und von nicht-öffentlichen Stellen, also von Unternehmen, Vereinen, Verbänden, Privatleuten usw. in Niedersachsen, zuständig. Eine Sonderzuständigkeit im nicht-öffentlichen Bereich besteht für die Webseiten von Telekommunikationsdiensten. Für diese ist gemäß § 29 Abs. 1 TTDSG der BfDI zuständig.

19. Können Verstöße gegen die Vorschriften des TTDSG für Telemedien mit einem Bußgeld geahndet werden?

Das TTDSG enthält in § 28 eine eigene Bußgeldvorschrift. Danach stellen Verstöße gegen die §§ 19 bis 25 TTDSG grundsätzlich eine Ordnungswidrigkeit dar. Ein Verstoß gegen § 25 Abs. 1 TTDSG kann beispielsweise mit einer Geldbuße von bis zu 300.000 Euro geahndet werden.