Datenschutz
Das TDDDG
Überblick: Das TDDDG
Das TDDDG dient dazu, verschiedene datenschutzrechtliche Regeln an die DSGVO anzupassen, sie in einem eigenen Gesetz zusammenzufassen und die ePrivacy-Richtlinie der EU (Rili. 2002/58/EG) in deutsches Recht umzusetzen .
Intention des neuen Gesetzes ist es, bisherige Rechtsunsicherheiten auszuräumen und sowohl den Datenschutz der Nutzer als auch das Angebot digitaler Geschäftsmodelle durch die Unternehmen zu ermöglichen. Zu beachten ist, dass das TDDDG einen technologieneutralen und somit weiten Anwendungsbereich hat, da es für jede Form der Datenerhebung durch Endgeräte gilt.
Intention des neuen Gesetzes ist es, bisherige Rechtsunsicherheiten auszuräumen und sowohl den Datenschutz der Nutzer als auch das Angebot digitaler Geschäftsmodelle durch die Unternehmen zu ermöglichen. Zu beachten ist, dass das TDDDG einen technologieneutralen und somit weiten Anwendungsbereich hat, da es für jede Form der Datenerhebung durch Endgeräte gilt.
Der Inhalt des TDDDG besteht im wesentlichen aus folgenden Regelungsbereichen:
- Digitaler Nachlass, § 4 TDDDG: Klarstellende Regelung zu den Rechten des Erben des Endnutzers und anderer Personen mit vergleichbarer Rechtsstellung
- Verschärfte Regelungen für unzulässige Werbeanrufe und das unerlaubte Unterdrücken einer Rufnummer bei Werbetelefonie, §§ 14-16 TDDDG. So dürfen nach § 15 Abs. 2 TDDDG bei Anrufen zum Zweck der Werbung anrufende Nutzer weder die Rufnummernanzeige unterdrücken noch bei dem Anbieter des Telekommunikationsdienstes veranlassen, dass diese unterdrückt wird.
- Regelungen zur Erhebung und Speicherung von Daten durch Endeinrichtungen: Relevant für Cookies und andere Tracking-Maßnahmen, aber auch für smarthome- und connected cars-Systeme.
Besonders praxisrelevant: Die Einwilligungsregelung in § 25 TDDDG. Sie ist europarechtskonform und entspricht der Rechtsprechung des BGH zu den Cookie-Einwilligungen. Daraus folgt: Für Cookies und andere Tracking-Maßnahmen ist auch weiterhin die Einwilligung der Nutzer erforderlich. Neu ist, dass dies auch für smarthome- und connected cars-Systeme gilt. - Einwilligungsmanagement, § 26 TDDDG: Das Gesetz regelt Dienste zur Verwaltung der erteilten Einwilligungen, sog. PIMS. Nutzer sollen an einer zentralen, neutralen Stelle festlegen können, wie, für welche Zwecke und durch welche Stellen ihre Daten verarbeitet werden dürfen.
Einwilligung der Nutzer
Jeder Zugriff auf und jede Speicherung von Nutzerdaten bedarf auch künftig einer ausdrücklichen, DSGVO-konformen Einwilligung des Endnutzers. Keiner Einwilligung bedürfen nur technisch notwendige Maßnahmen, also solche, die „unbedingt erforderlich“ sind, damit ein vom Nutzer ausdrücklich gewünschter Telemediendienst zur Verfügung gestellt werden kann, § 25 TDDDG. Tracking-Maßnahmen sind neben Cookies zum Beispiel auch das sogenannte Browser-Fingerprinting (Erstellung eines individuellen digitalen Fingerabdrucks), die Nachverfolgung über Werbe-IDs, MAC-Adressen und IMEI-Nummern sowie Smarthome-Anwendungen. Das Gesetz hat folglich einen weiten, technologieneutralen Anwendungsbereich.
Einwilligungen müssen also weiterhin eingeholt werden, beispielsweise mittels Double-Opt-in-Verfahren.
Nähere Informationen zur Ausgestaltung einer DSGVO-konformen Einwilligung finden Sie hier.
Nähere Informationen zur Ausgestaltung einer DSGVO-konformen Einwilligung finden Sie hier.
PIMS - Personal Information Management Services
Das TDDDG sieht in § 26 die Möglichkeit vor, sogenannte „Personal Information Management Services“ (kurz „PIMS“) einzurichten. Dies sind sog. Datentreuhänder, die die Schnittstelle zwischen dem Nutzer der Endeinrichtung und dem anbietenden Unternehmen darstellen und die Einwilligungen zentralisieren. Hierdurch sollen beide Seiten entlastet werden. Konkret versteht man unter diesen Datentreuhändern technische Einwilligungsplattformen, durch die der Nutzer das Ob, Wann und Wie der Datennutzung festlegen, nachverfolgen und widerrufen kann. Mittels der PIMS werden diese Anweisungen automatisch umgesetzt, so dass eine jeweils neue, gesonderte Einwilligung auf der besuchten Webseite bzw. dem entsprechenden Telemedium entbehrlich wird. Der sog. Cookie-Terror soll somit künftig entfallen.
Wann die ersten PIMS-Anbieter akkreditiert sein werden, ist bisher noch offen. Dies hängt maßgeblich davon ab, wie zügig die Bundesregierung eine entsprechende Rechtsverordnung erlässt, die die Anforderungen an PIMS regelt. Dennoch ist empfehlenswert, schon jetzt die erforderlichen technischen Schnittstellen zur Einbeziehung solcher Dienste zu schaffen und damit künftig eine zügige Umsetzung zu gewährleisten.
Da das Ziel des TDDDG neben der Nutzerfreundlichkeit darin besteht, Unternehmen auch künftig zu ermöglichen, auf seriösem Weg Nutzerdaten zu erheben und sich weiterhin durch Werbung zu finanzieren, darf auf eine wirtschaftsfreundliche Ausgestaltung gehofft werden.
Wann die ersten PIMS-Anbieter akkreditiert sein werden, ist bisher noch offen. Dies hängt maßgeblich davon ab, wie zügig die Bundesregierung eine entsprechende Rechtsverordnung erlässt, die die Anforderungen an PIMS regelt. Dennoch ist empfehlenswert, schon jetzt die erforderlichen technischen Schnittstellen zur Einbeziehung solcher Dienste zu schaffen und damit künftig eine zügige Umsetzung zu gewährleisten.
Da das Ziel des TDDDG neben der Nutzerfreundlichkeit darin besteht, Unternehmen auch künftig zu ermöglichen, auf seriösem Weg Nutzerdaten zu erheben und sich weiterhin durch Werbung zu finanzieren, darf auf eine wirtschaftsfreundliche Ausgestaltung gehofft werden.
Wer fällt in den Anwendungsbereich?
Von der Gesetzesänderung betroffen sind alle Anbieter von Telemedien, also aller elektronischen Informations- und Kommunikationsdienste, soweit sie nicht Telekommunikationsdienste, telekommunikationsgestützte Dienste oder Rundfunk sind. Als Anbieter gelten alle natürlichen oder juristischen Personen, die eigene oder fremde Telemedien erbringen, an der Erbringung mitwirken oder den Zugang zur Nutzung von eigenen oder fremden Telemedien vermitteln.
Hierunter fallen neben Online-Angeboten von Waren und Dienstleistungen mit unmittelbarer Bestellmöglichkeit unter anderem auch Videos-on-Demand (Abrufvideos), Internetsuchmaschinen, Werbe-E-Mails und Homepages zur Information über ein Unternehmen / eine öffentliche Stelle.
Hierunter fallen neben Online-Angeboten von Waren und Dienstleistungen mit unmittelbarer Bestellmöglichkeit unter anderem auch Videos-on-Demand (Abrufvideos), Internetsuchmaschinen, Werbe-E-Mails und Homepages zur Information über ein Unternehmen / eine öffentliche Stelle.
Welche Auswirkungen hat das TDDDG in der Praxis?
Die Änderungen sind für Anbieter von Telemedien zunächst überschaubar. Spätestens mit dem Inkrafttreten des TTDSG am 01.12.2021 müssen sie die Datenschutzerklärungen auf ihren Websites und die entsprechenden Einträge in ihrem Verzeichnis der Verarbeitungstätigkeiten anpassen.
Da der Begriff der Endeinrichtung im TDDDG technologieneutral gefasst ist, regelt dieses neben klassischen Endgeräten wie Smartphones oder Notebooks auch weitere internetfähige Geräte wie Smart TVs oder IoT-Geräte („internet of things“). So sind für die Bereitstellung von Smarthome-Anwendungen und connected-car-Systemen ebenfalls die Regeln des TDDDG zu beachten.
Achtung: Verstöße gegen das TDDDG sind bußgeldbewehrt, § 28. Da neben dem TDDDG die DSGVO anwendbar bleibt, kann bei einem Verstoß sogar ein doppeltes Bußgeld drohen.
Da der Begriff der Endeinrichtung im TDDDG technologieneutral gefasst ist, regelt dieses neben klassischen Endgeräten wie Smartphones oder Notebooks auch weitere internetfähige Geräte wie Smart TVs oder IoT-Geräte („internet of things“). So sind für die Bereitstellung von Smarthome-Anwendungen und connected-car-Systemen ebenfalls die Regeln des TDDDG zu beachten.
Achtung: Verstöße gegen das TDDDG sind bußgeldbewehrt, § 28. Da neben dem TDDDG die DSGVO anwendbar bleibt, kann bei einem Verstoß sogar ein doppeltes Bußgeld drohen.
Schafft das TDDDG neue Regeln für die Aufsichtsbehörden?
Ja! Der BfDI ist mit dem TDDDG umfassend, also auch im Hinblick auf die Verhängung von Bußgeldern, die Datenschutz-Aufsichtsbehörde im Bereich der Telekommunikation (§ 29 TDDDG).
Die Bundesnetzagentur ist für die Vorschriften des TDDDG zuständig, die nicht die Verarbeitung von personenbezogenen Daten betreffen (§ 30 TDDDG).
Die Bundesnetzagentur ist für die Vorschriften des TDDDG zuständig, die nicht die Verarbeitung von personenbezogenen Daten betreffen (§ 30 TDDDG).