Am 01.12.2021 ist das neue Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) in Kraft getreten. Es löst die beiden bisher gültigen Regelungen ab, das Telekommunikationsgesetz (TKG) und das Telemediengesetzt (TMG). Notwendig wurde das, weil in der Europäischen Datenschutz-Grundverordnung (DSGVO) einige Lücken klafften, die mit der E-Privacy-Verordnung gestopft werden sollten. Wegen verhärteter Fronten bei der Formulierung, hat sie sich lange verzögert. Daher, und aufgrund diverser deutscher Gerichtsurteile, musste also endlich eine nationale Gesetzgebung her.

TKG und TMG stammten noch aus einer Zeit, in der das Internet und damit auch Cookies und digitale Daten eine Randerscheinung waren, weswegen nicht alle Aspekte des modernen Datenschutzes erfasst waren. Das Erfordernis einer gesetzlichen Klärung (s. oben erwähnte Gerichtsurteile), führte zu langen Debatten, speziell in Hinsicht auf die Gewährleistung der Datenhoheit und -sicherheit.

Tracking und Cookies

Websitebetreiber brauchen nun eine ausdrückliche Einwilligung dafür, um auf dem Endgerät des Besuchers Cookies setzen zu dürfen. Das war zwar schon vorher klar, ist aber nur in diversen Gerichtsurteilen befunden worden. Nun gibt’s eine konkrete Gesetzgebung dazu, was bedeutet, dass etwaige Klagen nicht mehr einer langen Bewertung unterliegen, und daher auch weniger Spielraum besteht, wie die Situation zu beurteilen sei.

So heißt es in §25 Abs.1

„Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat.“

Abs.2 regelt dann die beiden Ausnahmen. Eine ausdrückliche Einwilligung ist nicht notwendig, wenn

a) die gespeicherten Daten zur Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz notwendig sind;

b) die gespeicherten Daten zur Durchführung der Leistung unbedingt erforderlich sind.

Die erste Ausnahme betrifft die Notwendigkeit der Kommunikation zwischen den beiden Parteien, z.B. E-Mail-Adressen. Wichtiger ist die zweite Ausnahme. Der Passus „unbedingt erforderlich“ ist sehr eng auszulegen. Das bezieht sich auf technisch notwendige Cookies, ohne die die Leistung nicht erbracht werden kann, z.B. für einen Warenkorb oder mehrsprachige Websites, oder für Zahlungsprozesse. Wirtschaftliche Interessen, z.B. Cookies zur Auswertung bei Google Analytics, sind ohne Wenn und Aber Einwilligungspflichtig!

Eine Neuerung betrifft die Zulassung von Personal Information Management Services (PIMS). Diese entstanden als Reaktion auf die zunehmende Flut von Cookie-Bannern, und der damit einhergehenden Frustration der User. Die Idee dahinter ist, dass es anerkannte Anbieter gibt, bei denen die User hinterlegen können, wann sie welche Daten weitergeben wollen. Der Service-Anbieter leitet dann diese Information an die Websites weiter, ohne dass der User weiter mit ihnen interagieren muss. In Folge würden Cookie-Banner überflüssig werden, denn mit einer einzigen Anmeldung könnte man also auf allen mitmachenden Firmen-Websites ohne Hindernisse auf deren Inhalte zugreifen. Einige große Firmen haben sich bereits zusammengetan, um an solch einer Single-Sign-On-Lösung zu arbeiten.

Bis das tatsächlich umsetzbar ist, fließt noch viel Wasser den Neckar runter. Denn zur Zertifizierung müssen die Anbieter einige Hürden überwinden, z.B. müssen sie nachweisen, dass sie kein wirtschaftliches Eigeninteresse verfolgen, und ein überzeugendes Sicherheitskonzept vorlegen. Wer diese Zertifizierung vornahmen darf, und welche Verfahrensabläufe dabei zum Tragen kommen, muss der Gesetzgeber erst noch definieren.

Ferner wurde präzisiert, über welche Geräte die Daten ausgetauscht werden können. Bisher war jedem irgendwie klar, was ein Endgerät sein soll, mit dem in Nutzer ins Internet geht: Computer und Smartphone. Immer häufiger auch Unterhaltungselektronik wie Fernseher und Spielekonsolen. Aber der technische Fortschritt hält an, und immer häufiger werden Geräte mit dem Internet verbunden, die wir auf den ersten Blick nicht damit assoziieren würden: Sog. Smarthome-Geräte, wie z.B. Kühlschränke, die dank Kamera im Inneren automatisch erkennen, welche Lebensmittel ausgegangen sind und daher automatisch bei einem Lieferdienst nachbestellen, oder ein Drucker, der den Füllstand der Patrone überwacht und selber Ersatz bestellt. Oder vielleicht lebensnaher: Eine Voice-Anfrage bei Alexa oder Siri. Wenn Sie den freundlichen Helfer nach etwas fragen, können diese Angaben zu einem umfassenden Profil zusammenstellt werden, mit dessen Hilfe Sie zielgerichteter mit Werbung bespielt werden können.

Letztlich ist das eine Zusammenfassung bzw. Konkretisierung bisheriger gerichtlicher Urteile zur Umsetzung der DSGVO. Was das nun in der Gesamtschau bedeutet, nehmen wir im nächsten Beitrag genauer unter die Lupe.