Seit dem 01. Dezember 2021 ist das neue Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien (TelekommunikationTelemedien-Datenschutz-Gesetz – TTDSG) in Kraft.
Das Gesetz soll für mehr Rechtsklarheit sorgen und ist an die bisherigen Datenschutzbestimmungen für Telemedien und Telekommunikationsdienste an die Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung) angepasst. Außerdem werden die Regelungen der Richtlinie 2002/58/EG (E-Privacy-Richtlinie) in nationales Recht umgesetzt.
Laut Paragraph 1 Satz 3 gilt das Gesetz für alle Unternehmen und Personen, die im Geltungsbereich dieses Gesetzes eine Niederlassung haben oder Dienstleistungen erbringen oder daran mitwirken oder Waren auf dem Markt bereitstellen.
Den Kern dieses Gesetzes bilden die Paragraphen 25 (Schutz der Privatsphäre bei Endeinrichtungen) und 26 (Anerkannte Dienste zur Einwilligungsverwaltung, Endnutzereinstellungen).
Im Paragraph 25 Satz 1 wird geregelt unter welchen Voraussetzungen Daten von Endnutzern auf deren Systemen gespeichert bzw. abgerufen werden dürfen. Basierend auf der Datenschutz-Grundverordnung ist die Einwilligung der betroffenen Personen zwingend erforderlich, um diese Art der Datenverarbeitung durchführen zu dürfen.
Für diesen Grundsatz gibt es nur zwei Ausnahmen, die im Satz 2 des Paragraphen 25 festgelegt werden.
- Der alleinige Zweck der Datenverarbeitung ist die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz.
- Die Datenverarbeitung ist unbedingt erforderlich, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.
Im Paragraph 26 wird definiert welche Anforderungen ein Dienst zur Verwaltung der Einwilligung und der Endnutzereinstellungen erfüllen muss. Im Rahmen dieser Anforderungen wird unter anderem festgelegt, dass zur Einholung und Verwaltung der Einwillgung nutzerfreundliche und anerkannte Verfahren verwendet werden. Eine Übersicht solcher Verfahren steht aktuell noch nicht zur Verfügung. Wichtig ist jedoch, dass das eingesetzte Verfahren in einem Sicherheitskonzept beschrieben wird. Dieses Konzept muss folgende Kriterien enthalten:
- Bewertung der Qualität und Zuverlässigkeit des Dienstes und der technischen Anwendungen
- Erfüllung der technischen, organisatorischen und rechtlichen Anforderungen an den Datenschutz und die Datensicherheit (Siehe DSGVO)
Die eingesetzten Verfahren können von einer unabhängigen Stelle anerkannt werden. Dieses Verfahren wird im Satz 2 des Paragraphen 26 beschrieben.
Welche unabhängigen Stellen diese Verfahren anerkennen dürfen ist bis dato nicht geregelt.
Die Verfahren werden unter dem Stichwort PIMS – Personal Information Management System – in der Fachwelt diskutiert. Die PIMS sollen dem Betroffenen die Möglichkeit geben, dass er seine Einwilligungen nicht nur erteilen, sondern auch verwalten kann.
Da noch nicht geregelt ist, welche Stelle PIMS anerkennen dürfen, sind solche Tools noch nicht auf dem Markt verfügbar. Wann die ersten Tools auf dem Markt erscheinen ist aus diesem Grund ebenfalls unklar.
Neben den Regelungen der Paragraphen 25 und 26 werden in dem Gesetz auch Vorschriften bezüglichen Strafen und Bußgeldern bei Verstößen gegen das TTDSG definiert. Dies geschieht in den Paragraphen 27 (Strafvorschriften) und 28 (Bußgeldvorschriften). Im Paragraph 28 werden Bußgelder von bis zu 300.000,00 € festgelegt.
Wichtig dabei ist, dass diese Bußgelder keinen Einfluss auf die Bußgelder der DSGVO haben. Die Bußgeldvorschriften des TTDSG ergänzen die Regelungen der DSGVO. Somit können bei Verstößen gegen beide Rechtsvorschriften auch Bußgelder aus beiden Vorschriften fällig werden.
Zusammenfassung:
Durch die Verabschiedung des neuen TelekommunikationTelemedien-Datenschutz-Gesetzes – TTDSG wird etwas mehr Klarheit im Umgang mit Cookies geschaffen, da es sich mehr an den europäischen Vorgaben orientiert. Jedoch wird es anfänglich vermutlich noch Unsicherheiten darüber geben, wann für den Einsatz von Cookies und Trackings Einwilligungen eingeholt werden müssen und wann nicht.
Das Gesetz stellt eine Übergangslösung dar, bis eine europäische E-Privacy Verordnung in Kraft tritt.