Am 01.12.2021 tritt das neue Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) in Kraft. Welche Änderungen ergeben sich dadurch für die Praxis?
- Datenschutzrecht
Führt das neue TTDSG zum Ende des Cookie-Banners?
von Carl Christian Müller
Wie PIMS die Cookie-Einwilligung erleichtern sollen
Was sind PIMS?
Für Verbraucher könnte sich in Zukunft der lästige Cookie-Banner verabschieden: Denn in § 26 TTDSG wird es die Möglichkeit für sog. Personal Information Management System (PIMS) geben. Darunter sind Systeme zu verstehen, die dem Anwender Kontrolle über ihre persönlichen Daten geben und beinhaltet die Option, Zugriffsrechte Dritter zu verwalten. Statt bei jeder Website einzeln Einstellungen vorzunehmen, können über PIMS Voreinstellungen ausgewählt werden. Die Systeme können auf unterschiedlichen Endgeräten installiert werden, sodass Smartphone, Tablet und Computer die Daten gleich verwalten können.
Datenmanagement-Markt bisher stark unterentwickelt
Die Systeme bleiben jedoch auch nicht ohne Kritik: Obwohl Cloud-basierte Dienste führ Mobilität und Flexibilität sorgen, bergen sie ein hohes Potential für Hacking-Angriffe. Bis es soweit ist und PIMS tatsächlich die Cookie-Banner ersetzen, müssen entsprechende Systeme erstmal geschaffen, von der Regierung geprüft und anerkannt sowie von einer breiten Masse genutzt werden. Aktuell gibt es nur wenige Anbieter für PIMS. Prognosen zufolge wird der Markt sich jedoch rapide entwickeln, um das Milliarden-Potenzial des Datenmanagements auszuschöpfen. Websites werden also auch in naher Zukunft nicht auf die Banner verzichten können.
Was ändert sich für Unternehmen?
Auch für nicht-deutsche Unternehmen ist das TTDSG relevant. Nach dem sog. Marktortprinzip (§ 1 Abs. 3 TTDSG) erstrecken sich die Vorschriften auch auf alle, die eine Niederlassung in Deutschland haben oder hier Dienstleistungen oder Waren anbieten. Der Begriff des Telekommunikationsdienstes wird weit gefasst. So sind nicht mehr nur Dienste, die ganz oder überwiegend in der Übertragung von Signalen über Telekommunikationsnetzen bestehen, sondern auch Internetzugangsdienste und interpersonelle Telekommunikationsdienste umfasst. Dazu können Messengerdienste, Gruppenchats und web-basierte E-Mail-Dienste zählen. Mit der genauen Auslegung werden sich aber zukünftig wohl die Gerichte um Antworten bemühen müssen. Zudem legt das TTDSG Telemedienanbietern weitere Schutzmechanismen ein: So wird die Pseudonymisierung und Anonymisierung, sofern technisch möglich, und Vorkehrungen zur Abwehr unerlaubter Zugriffe angeordnet.
Einwilligungserfordernis gilt neben zwei Ausnahmen weiterhin
Mit dem neuen Gesetz ändern sich aber auch die Einwilligungserfordernisse für den Zugriff auf Endeinrichtungen der Endnutzer (§ 25 TTDSG). Damit sind nicht nur Cookies, sondern auch sog. Pixel, gemeint. Diese sind nicht für die Gerätenutzung allgemein notwendig, sondern nur wenn Webseiten oder Apps auf die nutzereigenen Daten zugreifen wollen. Als Endeinrichtungen gelten hier erstmals auch internetfähige Gegenstände, wie Fahrzeuge und Smartwatches. Von der Einwilligungspflicht gibt es nur zwei Ausnahmen: wenn die Übertragung über ein öffentliches Telekommunikationsnetz durchgeführt wird (§ 25 Abs. 2 Nr. 1 TTDSG) oder Zugriff bzw. Speicherung unbedingt erforderlich ist, um einen vom Endnutzer ausdrücklich gewünschten Telemediendienst erbringen kann. Die unbedingte Erforderlichkeit bleibt bisher unbestimmt. Unsicher bleibt, inwiefern auch gesetzliche oder vertragliche Pflichten unter den Ausnahmetatbestand fallen.
TTDSG überlagert Vorschriften der DSGVO
Für Verwender von Cookies ist insb. wichtig zu wissen, dass das TTDSG vor der DSGVO Vorrang genießt: so sind die berechtigten Interessen des Art. 6 Abs. 1 f DSGVO für die Verwendung von Cookies nicht mehr zulässig. Die sonstigen Anforderungen der DSGVO bzgl. Einwilligungen und Informationspflichten gelten aber nach wie vor.