Neues Datenschutzgesetz TTDSG Wie das TTDSG das Cookie-Management verändern wird

Autor / Redakteur: Dipl.-Phys. Oliver Schonschek / Peter Schmitz

Mit dem Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) werden die bisher im Telekommunikationsgesetz (TKG) enthaltenen Bestimmungen des Datenschutzes sowie die im Telemediengesetz (TMG) enthaltenen Bestimmungen zusammengeführt. Dies betrifft insbesondere auch den Umgang mit Cookies. Neu sind dabei die sogenannten anerkannten Dienste zur Einwilligungsverwaltung.

Firmen zum Thema

Das TTDSG enthält die Datenschutzbestimmungen in der Telekommunikation und bei Telemedien. Dabei wurden auch die Anpassungen umgesetzt, die aufgrund der europäischen Datenschutzgrundverordnung (DSGVO) und der ePrivacy-Richtlinie notwendig waren.
Das TTDSG enthält die Datenschutzbestimmungen in der Telekommunikation und bei Telemedien. Dabei wurden auch die Anpassungen umgesetzt, die aufgrund der europäischen Datenschutzgrundverordnung (DSGVO) und der ePrivacy-Richtlinie notwendig waren.
(© Murrstock - stock.adobe.com)

Ende Mai 2021 hatte der Bundesrat dem Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG) zugestimmt. Das TTDSG schafft mehr Rechtssicherheit und Rechtsklarheit zum Schutz der Privatsphäre in der digitalen Welt, so das Bundeswirtschaftsministerium. Das Gesetz kann nun am 1. Dezember 2021 in Kraft treten.

Bundeswirtschaftsminister Peter Altmaier sagte dazu insbesondere: „Die Privatsphäre muss auch in der digitalen Welt geschützt werden. Gleichzeitig müssen wir digitale Geschäftsmodelle ermöglichen. Die neuen Regelungen schaffen hier eine Balance und sind damit zukunftsweisend. Mit Blick auf die viel diskutierten Cookies eröffnet das Gesetz die Möglichkeit, ein nutzerfreundliches und wettbewerbs­konformes Einwilligungsmanagement zu entwickeln, das Verbraucherinnen und Verbrauchern, Unternehmen und Start-ups gleichermaßen nutzt. Die Arbeiten hieran werden wir jetzt im Austausch mit allen Akteuren aufnehmen.“

Grundsätzlich gilt: Das TTDSG enthält die Datenschutzbestimmungen in der Telekommunikation und bei Telemedien. Dabei wurden auch die Anpassungen umgesetzt, die aufgrund der europäischen Datenschutzgrundverordnung (DSGVO) und der ePrivacy-Richtlinie notwendig waren.

Wohlgemerkt geht es um Anpassungen, die die ePrivacy-Richtlinie schon vor Jahren notwendig gemacht hat, zu einer Zeit, in der auf die neue ePrivacy-Verordnung (ePVO) gewartet wird.

Voraussichtlich wird das TTDSG zu einem späteren Zeitpunkt an die derzeit noch auf europäischer Ebene verhandelte ePrivacy-Verordnung anzupassen sein, erklärt entsprechend das Bundeswirtschaftsministerium.

Einwilligung bei Cookies

Das TTDSG stellt klar, dass das Speichern von und der Zugriff auf Informationen in der Endeinrichtung des Endnutzers (wie Cookies) grundsätzlich nur mit einer DSGVO-konformen Einwilligung erlaubt ist. Ausnahmen werden entsprechend den Vorgaben der ePrivacy-Richtlinie festgelegt (§ 25 TTDSG).

Mit Blick auf Cookies soll mit dem TTDSG auch ein nutzerfreundliches und wettbewerbskonformes Einwilligungsmanagement erreicht werden, das anerkannte Dienste, Browser und Telemedienanbieter einbeziehen soll. Die nähere Ausgestaltung dieser neuen Strukturen soll im Wege einer Regierungsverordnung erfolgen, deren Erfolge die Bundesregierung beobachten und evaluieren wird (§ 26 TTDSG). Im Rahmen der Vorbereitung dieser Verordnung will das Bundeswirtschaftsministerium die für ein sinnvolles und wirksames Einwilligungsmanagement erforderlichen technischen und organisatorischen Maßnahmen eingehend prüfen.

„Mit der Einrichtung von ‚Personal Information Management Systemen‘ (PIMS), also Systemen zu Datenschutz-Voreinstellungen, bringen wir erstmals Nutzerfreundlichkeit und Datenschutz zusammen“, so Bundestagsabgeordneter Tankred Schipanski. „Das stärkt die Souveränität der Nutzer im Internet und bei Entscheidungen zum Umgang mit ihren Daten.“

Der Bundestagsabgeordnete Hansjörg Durz kommentierte: „Als erstes Land der Europäischen Union etablieren wir einen Rechtsrahmen für den Einsatz von PIMS. Damit sollen Nutzer in die Lage versetzt werden, zentral ihre Einstellungen für die Verwendung ihrer Daten vorzunehmen, wenn sie Telekommunikationsdienste oder Telemedien nutzen“. Ebenso sagte MdB Durz: „Dabei dürfen PIMS die von ihnen verwalteten Daten jedoch nicht zweckentfremden und dürfen kein Eigeninteresse daran haben, dass ein Nutzer der Weiterverarbeitung seiner Daten zustimmt. Internetzugangsdienste wie Browser müssen mit PIMS künftig kompatibel sein. Zudem verhindern wir, dass z.B. Browser zu den neuen Gatekeepern unserer Zeit werden. Das TTDSG schreibt fest: Der Nutzerwille ist von ihnen in jedem Fall zu akzeptieren.“

Von Cookie-Bannern und Consent Management Plattformen (CMP)

Im Bundestag wurde auch diskutiert, dass man sich eine „weitergehende Abschaffung der umständlichen Cookie-Banner“ vorstellen könnte. Hierzu gab bereits im Vorfeld der Bundesdatenschutzbeauftragte zu bedenken: „Aus der Politik kam zuletzt noch die Forderung, Einwilligungen in Bezug auf Cookies im Browser zu verwalten, damit Cookiebanner entbehrlich werden. Hier ist zu beachten, dass es eine vergleichbare Einstellmöglichkeit in Browsern bereits gibt: Die „do-not-track“-Funktion. Diese scheitert in der Praxis aber daran, dass die Betreiber von Internetseiten diese Einstellung nicht beachten. Sie fragen den Nutzer gleichwohl stets nach seiner Einwilligung für Tracking-Cookies, obwohl er durch die „do-not-track“-Funktion seine Ablehnung bereits deutlich gemacht hat.“

Das TTDSG behandelt sogenannte „Anerkannte Dienste zur Einwilligungsverwaltung“. Diese sollten aber nicht mit den bekannten Consent Management Plattformen verwechselt werden, denn noch können solche CMPs nicht als „anerkannte Dienste zur Einwilligungsverwaltung“ betrachtet werden.

Das TTDSG fordert dafür: Dienste zur Verwaltung von erteilten Einwilligungen, die nutzerfreundliche und wettbewerbskonforme Verfahren und technische Anwendungen zur Einholung und Verwaltung der Einwilligung haben, kein wirtschaftliches Eigeninteresse an der Erteilung der Einwilligung und an den verwalteten Daten haben und unabhängig von Unternehmen sind, die ein solches Interesse haben können, die personenbezogenen Daten und die Informationen über die Einwilligungsentscheidungen für keine anderen Zwecke als die Einwilligungsverwaltung verarbeiten und ein Sicherheitskonzept vorlegen, das eine Bewertung der Qualität und Zuverlässigkeit des Dienstes und der technischen Anwendungen ermöglicht und aus dem sich ergibt, dass der Dienst sowohl technisch als auch organisatorisch die rechtlichen Anforderungen an den Datenschutz und die Datensicherheit, die sich insbesondere aus der DSGVO ergeben, erfüllt, können von einer unabhängigen Stelle nach Maßgabe einer Rechtsverordnung anerkannt werden.

Diese Rechtsverordnung gibt es noch nicht, entsprechend können auch keine Dienste danach anerkannt sein.

Zudem sei nochmals daran erinnert, dass man bei einer CMP nicht einfach davon ausgehen kann, dass damit ein datenschutzgerechtes Einwilligungsmanagement nach DSGVO abgebildet wird. Vielmehr hatte zum Beispiel die Landesdatenschutzbeauftragte von Niedersachsen darauf hingewiesen:

„Zur Implementierung einer umfassenden Einwilligungslösung werden zunehmend Consent-Management-Tools eingesetzt, die von zahlreichen Firmen angeboten werden. Diese werben häufig damit, dass mit dem Einsatz ihres Tools datenschutzkonforme oder DSGVO-konforme Einwilligungen auf der Webseite eingeholt werden. Diese Werbeversprechen sind allerdings mit Vorsicht zu genießen. Zutreffend ist, dass der Einsatz eines Consent-Management-Tools es in der Regel ermöglichen kann, dass auf der Webseite datenschutzkonforme Einwilligungen eingeholt und die erteilten oder verweigerten Einwilligungen der Nutzer individuell berücksichtigt werden. Allerdings hängt dies maßgeblich vom konkreten Einsatz des Tools ab. Der Betreiber der Webseite hat zahlreiche Konfigurationsmöglichkeiten, so dass nur durch den Einsatz des Consent-Tools keinesfalls automatisch datenschutzkonforme Einwilligungen eingeholt werden.“

Also bleibt noch abzuwarten, wie die anerkannten Dienste zur Einwilligungsverwaltung und die zugehörige Rechtsverordnung genau aussehen werden. Bis dahin werden die Cookie-Banner sicherlich nicht so schnell verschwinden.

(ID:47572783)

Über den Autor

Dipl.-Phys. Oliver Schonschek

Dipl.-Phys. Oliver Schonschek

IT-Fachjournalist, News Analyst und Commentator bei Insider Research