TTDSG tritt in Kraft: Das bedeutet das neue Datenschutzgesetz

Das Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG) ist nun offiziell in Kraft getreten. Im Mai 2021 wurde es von der Bundesregierung beschlossen und im Juni erlassen. Mit der Einführung des Gesetzes werden Anpassungen für das deutsche Recht vorgenommen, die durch die DSGVO und die ePrivacy-Richtlinie auf europäischer Ebene notwendig geworden waren. Völlige Klarheit schafft das Gesetz für User und Unternehmen aber noch nicht.

TTDSG: Das ist jetzt erforderlich

Mit dem Inkrafttreten des neuen Gesetzes ist „das Speichern von und der Zugriff auf Informationen in der Endeinrichtung des Endnutzers grundsätzlich nur mit einer DSGVO-konformen Einwilligung erlaubt“. Demnach muss beim Tracking über Third Party Cookies eine ganz konkrete und aktive Einwilligung der User vorliegen. Ausnahmen regelt §25 des Gesetzes. Dort heißt es, dass diese Einwilligung nicht erforderlich ist,

1. wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder

2. wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.

Diese Vorgaben sollen ein nutzer:innenfreundliches und wettbewerbskonformes Umfeld im Digitalraum schaffen. Allerdings ist nicht völlig klar, wann ein Zugriff auf Informationen „unbedingt erforderlich“ ist. Achim Schlosser, Vorstandsmitglied und CTO der European netID Foundation, erklärt gegenüber OnlineMarketing.de:

Zentraler Knackpunkt bleibt die Frage: Wann ist der Zugriff auf Geräteinformationen unbedingt erforderlich und bedarf keiner Einwilligung des Nutzers? In der Praxis gibt es da einige konkrete Fälle zu klären. Beispielsweise bei der Betrugsprävention im E-Commerce. Und natürlich auch die Frage: Inwieweit sind Zugriffe und Analysen ohne Einwilligung zulässig, um digitale Angebote zu optimieren? Denn: Ignorieren können Publisher und Website-Betreiber:innen die Gesetzesnovelle nicht. Bei Verstoß droht ein Bußgeld von bis zu 300.000 Euro.

Einsatz von Personal Information Management Systems (PIMS) soll Usern mehr Kontrolle geben

Unternehmen und Websites werden durch den Start des TTDSG womöglich auf Tracking- und Targeting-Probleme stoßen. Denn nun könnte es unwahrscheinlicher werden, dass User auf Websites bei den Cookie-Bannern einfach auf „Alle akzeptieren“ klicken. Immerhin ist den Nutzer:innen nämlich der Einsatz von sogennanten Systemen zur Einwilligungsverwaltung, Personal Information Management Systems (PIMS), gestattet. Laut §26 des TTDSG muss jedoch durch eine Rechtsverordnung der Bundesregierung noch festgestellt werden, wie diese Systeme letztlich die unterschiedlichen Interessen abdecken können.

Mit den PIMS können User jedenfalls voreinstellen, welche Daten sie bei welcher Art von Website teilen möchten. Die Unternehmen und Website-Betreiber:innen müssten diese Angaben dann auslesen und befolgen. Allerdings erfordert auch das von den Usern ein gewisses Maß an selbstbestimmter Eigenleistung zur Wahrung des Datenschutzes. Achim Schlosser meint:

Mit der Einführung des TTDSG werden der europäische Rechtsrahmen vereinheitlicht und die Rechte der Nutzer:innen entscheidend gestärkt – mithilfe von Personal Information Management Systemen (PIMS) sollen Nutzer:innen etwa mehr Kontrolle über ihre eigenen Daten erhalten. Es ist ein wichtiger Schritt – aber längst nicht die Lösung, die der Branche nun vollständige Planungssicherheit gibt.

Ob nun tatsächlich durch diese Regelungen die Cookie-Banner verschwinden, darf aber bezweifelt werden. Hierfür müssten einheitliche PIMS bereitgestellt und eingesetzt werden. Außerdem müssten die User umfassend auf sie zurückgreifen und die Websites müssten sie stets regelkonform auslesen und dann auf Basis dieser Angaben operieren und ihr Marketing anpassen.

„Nicht wirklich gut gemacht“

Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung, kritisiert das TTDSG auf der Website des Branchenverbands. Sie gibt eine ausführliche Erklärung zur Neuerung für das Digitalrecht an:

Das Telekommunikations-Telemedien-Datenschutzgesetz ist gut gemeint und geht in die richtige Richtung, aber leider ist es nicht wirklich gut gemacht und kommt auch noch zur falschen Zeit.

Gut gemeint ist das TTDSG, weil in einer aktuellen Bitkom-Studie aus dem Oktober 8 von 10 Unternehmen ab 20 Beschäftigten (79 Prozent) angeben, dass Datenschutz-Anforderungen das größte Hemmnis bei der Digitalisierung sind. Mit dem TTDSG versucht die Bundesregierung vor allem für mehr Übersichtlichkeit beim Datenschutzrecht zu sorgen. Dazu werden datenschutzrechtliche Regelungen, die bislang in verschiedenen Gesetzen verstreut waren, in einem neuen Gesetz zusammengefasst und zugleich an neue Erfordernisse angepasst.

Nicht gut gemacht ist das TTDSG, weil entscheidende Fragen noch ungeklärt sind, zum Beispiel wie die neuen Datentreuhänder für die Einwilligungen bei Cookies genau funktionieren sollen. Diese entscheidende Frage wird erst über eine Verordnung des Bundeswirtschaftsministeriums in der Zukunft geklärt werden – wobei völlig offen ist, ob die Vorgaben dann überhaupt praxistauglich umsetzbar sind. Durch den sehr weiten Anwendungsbereich des Gesetzes werden sich außerdem die verbliebenen Unklarheiten rund um die Einwilligungsanforderungen massiv auswirken.

Zur falschen Zeit kommt das TTDSG, weil aktuell auf europäischer Ebene die ePrivacy-Verordnung verhandelt wird, deren Vorgaben auch in deutsches Recht umgesetzt werden müssen. Im schlimmsten Fall steht dann bereits in Kürze eine TTDSG-Novelle bevor. Für die Unternehmen bedeutet das einen nicht zu unterschätzenden Mehraufwand durch mehrere Anpassungen an neue Gesetze – und auch die Verbraucher müssen sich voraussichtlich in kurzer Frist auf verschiedene Neuregelungen einstellen.

Ob es tatsächlich schon bald zu einer Novelle des TTDSG kommen kann, bleibt abzuwarten. Zunächst müssen sich aber alle Businesses auf das neue Gesetz einstellen und den Vorgaben Folge leisten. Bei Verstößen gegen die Einwilligungsregelung beispielsweise aus §25 können bis zu 300.000 Euro Strafe fällig werden.

Das gesamte TTDSG, das auch ein Abhörverbot, Auskunftserteilungsvorschriften und weitere Datenschutzmomente regelt, kannst du hier nachlesen. Allerdings führt es das geltende europäische Datenschutzrecht in kaum veränderter Fassung nur weiter aus.