Datenschutzgesetze allein genügen nicht, um die Vertraulichkeit der elektronischen Kommunikation und die Integrität von Endgeräten vollumfänglich zu schützen. Hierzu bedarf es weiterer rechtlicher Regelungen, die unbefugte Zugriffe auf Endgeräte von Nutzenden verhindern. Dort, wo die DSGVO nicht greift, soll die lang erwartete ePrivacy-Verordnung Regelungen über die Verarbeitung elektronischer Kommunikationsdaten treffen.  

Bis zum Inkrafttreten der Verordnung hat sich der deutsche Gesetzgeber mit dem TDDDG ausgeholfen, um diese Lücke zu schließen. Das TDDDG oder „Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei digitalen Diensten“, das die bereits 20 Jahre alte ePrivacy-Richtlinie umsetzt, enthält zentrale Vorschriften zum Einsatz von Cookies und ähnlichen Technologien.

Corona-Test

Überblick zum TDDDG

Das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) fasst mehrere Regelungsbereiche in einem Gesetz zusammen. Der sperrige Titel macht dies bereits deutlich. Zunächst enthält es spezielle Vorschriften zum Datenschutz in der Telekommunikation und bei digitalen Diensten. Daneben regelt das Gesetz auch den Schutz der Privatsphäre in der Telekommunikation und konkretisiert hier insbesondere das grundrechtlich geschätzte Fernmeldegeheimnis. Zuletzt enthält das TDDDG Regelungen zum Schutz der Privatsphäre für sog. Endeinrichtungen.

Dem zuletzt genannten Regelungsaspekt dient insbesondere § 25 TDDDG. Mit dieser Norm wurde das europarechtliche Einwilligungserfordernis für Cookies und vergleichbare Technologien aus Art. 5 Abs. 3 S. 1 ePrivacy-Richtlinie in nationales Recht umgesetzt. Die Regelung macht den Mitgliedstaaten insoweit folgende Vorgabe:

„Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u.a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat.“

In Art. 5 Abs. 3 S. 2 ePrivacy-Richtlinie ist geregelt, in welchen Fällen dieses grundsätzliche Einwilligungsbedürfnis nicht bestehen soll:

„Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.“

Mit der Regelung wurden außerdem zwei jüngere höchstrichterliche Entscheidungen – das Urteil des EuGH in der Sache Planet 49 (Urt. v. 1.10.2019 – C-673/17) und das Cookie-II-Urteil des Bundesgerichtshofs (Urt. v. 28.5.2020 – I ZR 7/16) – durch den Gesetzgeber umgesetzt. Zusätzlich enthält § 26 TDDDG eine Regelung über Dienste zur technischen Verwaltung solcher Einwilligungen.

Alle aktuellen Entwicklungen zum TDDDG haben Sie mit unserem Newsletter im Blick.

Regelungsinhalte des § 25 TDDDG

§ 25 TDDDG ist im Hinblick auf die Diskussion um das Speichern und Auslesen von Informationen auf Endeinrichtungen, insbesondere durch Cookies, sowie die Rechtsprechung des Europäischen Gerichtshofes dazu eng an den Wortlaut des Art. 5 Abs. 3 S. 1 ePrivacy-Richtlinie angelehnt. Die Vorschrift ist in zwei Absätze untergliedert.

§ 25 TDDDG

Schutz der Privatsphäre bei Endeinrichtungen

(1) Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 zu erfolgen.

(2) Die Einwilligung nach Absatz 1 ist nicht erforderlich,

    1. wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder
    2. wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines digitalen Dienstes einen vom Nutzer ausdrücklich gewünschten digitalen Dienst zur Verfügung stellen kann.

Die Regelung setzt das grundsätzliche Einwilligungserfordernis des Art. 5 Abs. 3 S. 1 ePrivacy-Richtlinie in deutsches Recht um. Zugleich wird mit dem Verweis auf die DSGVO (Verordnung (EU) 2016/679) die aktuelle Rechtslage antizipiert und damit dem Rechtsanwender transparent dargestellt.

Anders als die ePrivacy-Richtlinie spricht der § 25 TDDDG nicht von Endgeräten, sondern von der Endeinrichtung eines Endnutzenden. Der Begriff „Endeinrichtung“ ist in § 2 Abs. 2 Nr. 6 TDDDG definiert als jede direkt oder indirekt an die Schnittstelle eines öffentlichen Telekommunikationsnetzes angeschlossene Einrichtung zum Aussenden, Verarbeiten oder Empfangen von Nachrichten. Umfasst ist in anderen Worten also jedes Gerät mit einer Internetverbindung. In der Begründung weist der Gesetzgeber darauf hin, dass durch diese Begriffsbestimmung ein weiterer Anwendungsbereich eröffnet wird. So sind nicht bloß Telefonie oder Internetkommunikation, sondern auch über das Internet der Dinge an das öffentliche Kommunikationsnetz angeschlossene Gegenstände, wie etwa Smarthome-Anwendungen von dem Einwilligungserfordernis erfasst.

Neue Technologien wie Smartmeter oder das automatisierte und vernetzte Fahren, die nicht allein der Bestimmung eines Einzelnen unterliegen, werden durch § 25 TDDDG allerdings nicht in jedem Fall berührt.

Was den Zugriff auf Endeinrichtungen angeht, ist nicht relevant, mit welchen technischen Mitteln die Übermittlung vom Sender zum Empfänger erfolgt und ob die Daten dauerhaft oder nur vorübergehend gespeichert werden. Ein Zugriff auf Endeinrichtungen ist in sämtlichen Fällen anzunehmen.

Dass vom Anwendungsbereich des § 25 Abs. 1 TDDDG aber weitaus mehr Technologien als Cookies umfasst sind, wird in den Leitlinien zum technischen Anwendungsbereich von Artikel 5 der ePrivacy-Richtlinie des Europäischen Datenschutzausschusses (EDSA) klargestellt. Die Vorschrift ist laut den Leitlinien des EDSA u. a. auch auf folgende Methoden anzuwenden:

  • Fingerprinting
  • Tracking über IP-Adressen
  • Pixel, Web-Beacons, Advertising-IDs
  • Tracking über sogenannte Uniform Resource Locators (URLs)
  • Tracking von Informationen im Zusammenhang mit dem Internet of Things (sogenanntes Intermittent and Mediated Internet of Things (IoT) Reporting)

Greift das Einwilligungserfordernis, muss die Einwilligung dem Maßstab der DSGVO genügen, also freiwillig und auf der Grundlage klarer Informationen erfolgen und jederzeit widerruflich sein. In der Praxis haben sich hierzu sog. Consent-Banner etabliert, bei deren rechtskonformer Ausgestaltung allerdings einige Anforderungen zu beachten sind.

Das Einwilligungserfordernis des § 25 TDDDG gilt aber nur hinsichtlich des Zugriffs auf Endeinrichtungen. Die Gesetzesbegründung stellt insoweit klar, dass die Frage der Rechtmäßigkeit der nachfolgenden Verwendung von personenbezogenen Daten, die auf diese Weise erlangt und verarbeitet werden und die den Anforderungen des Datenschutzrechts unterliegen, von § 25 TDDDG nicht berührt wird. Unabhängig von der Frage des „Zugriffs“ oder des „Speicherns von im Gerät vorhandenen Informationen“ ist eine Einwilligung dann nicht erforderlich, wenn die Ausnahme des § 25 Abs. 2 TDDDG greift. Auch die beiden Ausnahmen des Art. 5 Abs. 3 S. 2 ePrivacy-Richtlinie werden insoweit nahezu wortgetreu umgesetzt. Für die Praxis stellt sich damit die Frage, in welchen Fällen der Zugriff auf eine Endeinrichtung unbedingt erforderlich ist, um einen vom Nutzenden ausdrücklich gewünschten digitalen Dienst zur Verfügung zu stellen. Anhaltspunkte für die Bewertung im Einzelfall kann dabei immer noch die gut 10 Jahre alte Stellungnahme 04/2012 zur Ausnahme von Cookies von der Einwilligungspflicht der Artikel-29-Datenschutzgruppe liefern

Dienste zur Einwilligungsverwaltung nach § 26 TDDDG

§ 26 TDDDG regelt Dienste zur Verwaltung von Einwilligungen, etwa sog. „Personal Information Management Services“ (PIMS) oder Single-Sign-on-Lösungen.

Über solche Dienste soll es den Endnutzenden ermöglicht werden, Voraussetzungen für ihre Einwilligung oder Ablehnung zum Setzen von Cookies anzugeben und diese Anweisung dann automatisch auf Websites weiterzugeben. Damit wären Consent-Banner auf jeder einzelnen Website obsolet.

Mit § 26 TDDDG wurde ein Rechtsrahmen geschaffen, der zu einer gesteigerten Akzeptanz solcher Verfahren durch die Endnutzer:innen führen soll und damit zu ihrer weiteren Verbreitung beiträgt. Dies soll gem. § 26 Abs. 1 TDDDG durch eine Anerkennung von Diensten zum Einwilligungsmanagement durch eine unabhängige Stelle erreicht werden. Um eine solche Anerkennung zu erreichen, muss ein solcher Dienst

  • nutzerfreundliche und wettbewerbskonforme Verfahren und technische Anwendungen zur Einholung und Verwaltung der Einwilligung haben,
  • kein wirtschaftliches Eigeninteresse an der Erteilung der Einwilligung und an den verwalteten Daten haben und unabhängig von Unternehmen sein, die ein solches Interesse haben können,
  • die personenbezogenen Daten und die Informationen über die Einwilligungsentscheidungen für keine anderen Zwecke als die Einwilligungsverwaltung verarbeiten und
  • ein Sicherheitskonzept vorlegen, das eine Bewertung der Qualität und Zuverlässigkeit des Dienstes und der technischen Anwendungen ermöglicht und aus dem sich ergibt, dass der Dienst sowohl technisch als auch organisatorisch die rechtlichen Anforderungen an den Datenschutz und die Datensicherheit der DSGVO erfüllt.

Die weiteren Anforderungen an diese Vorgaben und das Verfahren der Anerkennung werden nach § 26 Abs. 2 TDDDG durch die Bundesregierung mit Zustimmung des Bundestages und des Bundesrates im Wege einer Rechtsverordnung bestimmt. Dazu gehören die konkreten Anforderungen an den Antrag und das Sicherheitskonzept und die, die für die Anerkennung zuständigen unabhängigen Stellen.

Außerdem soll die Rechtsverordnung Anforderungen an technische und organisatorische Maßnahmen festlegen, über die Browser dazu veranlasst werden, Einstellungen der Endnutzer:innen hinsichtlich der Einwilligung zu berücksichtigen. Diese Anforderungen sollen außerdem ermöglichen, dass Browser und Digitale Dienste-Anbieter beim Einwilligungsmanagement anerkannte Dienste zur Einwilligungsverwaltung einbinden.

Durchsetzung der Regelung

Die Überwachung der Einhaltung des § 25 TDDDG obliegt nach Art. 29 Abs. 2 TDDDG gegenüber Telekommunikationsdiensten und öffentlichen Stellen des Bundes als zuständige Aufsichtsbehörde dem oder der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit. Dem Bundesbeauftragten kommen dabei gem. § 29 Abs. 3 TDDDG die Untersuchungs- und Abhilfebefugnisse aus Art. 58 DSGVO zu. Für die Aufsicht im privatwirtschaftlichen Bereich bleibt es damit bei der Zuständigkeit der Landesbehörden.

Ein Verstoß gegen das Einwilligungserfordernis des § 25 Abs. 1 TDDDG erfüllt den Bußgeldtatbestand des § 28 Abs. 1 Nr. 13 TDDDG und kann mit einer Geldbuße bis zu 300.000 EUR geahndet werden. Die zuständige Verwaltungsbehörde im Sinne des § 36 Abs. 1 Nr. 1 des Gesetzes über Ordnungswidrigkeiten ist im Fall der Speicherung von oder dem Zugriff auf Informationen durch Anbietende von Telekommunikationsdiensten oder durch Bundesbehörden der oder die Bundesbeauftragten für den Datenschutz und die Informationsfreiheit.

Weitere Entwicklungen

Ursprünglich sollte 2018 die ePrivacy-Verordnung gleichzeitig mit der Datenschutzgrundverordnung in Kraft treten. Bis heute konnte allerdings im Rahmen der Verhandlungen auf europäischer Ebene noch keine finale Einigung erzielt werden. Nachdem sich der Europäische Rat nach zähen Verhandlungen am 10. Februar 2021 auf einen Entwurf für die e-Privacy-Verordnung und damit ein Verhandlungsmandat einigen konnte, wird der endgültige Wortlaut der Verordnung nun im sog. Trilog zwischen Rat und Parlament ausgehandelt. Diese Verhandlungen über die ePrivacy-Verordnung dauern noch an.

Sollte die unmittelbar geltende ePrivacy-Verordnung in nächster Zeit in Kraft treten, würde diese die nationalen Vorschriften des TDDDG zum Umgang mit sensiblen Informationen auf Endeinrichtungen von Nutzenden verdrängen.

Bei der Einrichtung von Diensten zur Einwilligungsverwaltung wie etwa PIMS zeichnet sich eine neue Entwicklung ab. Im Juni 2023 hat das Bundesministerium für Digitales und Verkehr („BMDV“) einen neuen Entwurf für eine Verordnung über Dienste zur Einwilligungsverwaltung (sog. Einwilligungsverwaltungsverordnung – „EinwV“) veröffentlicht.

Sie brauchen rechtliche Unterstützung in Bezug auf die Regelungen des TDDDG? Melden Sie sich gerne hier.

Einschätzung der Datenschutzkanzlei

Der § 25 TDDDG passt das deutsche Recht im Wesentlichen an die europarechtlichen Vorgaben an und sorgt damit nach vielen Jahren endlich für mehr Rechtsklarheit. Die Regelung bildet insoweit auch die schon bisher durch die Aufsichtsbehörden vertretene Rechtsaufassung und Praxis ab. Es wird klargestellt, dass außerhalb der aufgeführten Ausnahmeregelungen für den Einsatz von Cookies und vergleichbaren Technologien eine Einwilligung grundsätzlich notwendig ist.

Mit Blick auf den Schutz der Privatsphäre ist die gesetzgeberische Klarstellung, dass neben klassischen Endgeräten wie Computer und Smartphone grundsätzlich auch alle anderen mit dem Internet verbundenen Gegenstände von dem Einwilligungserfordernis erfasst sind, zu begrüßen.

Aus der Namensänderung im Zuge des Digitale-Dienste-Gesetzes von TTDSG in TDDDG im Jahr 2024 ergeben sich für Anbieter von Websites und Apps keine Änderungen. Die Anforderungen an den Einsatz von Cookies und vergleichbaren Technologien bleiben hierdurch unverändert.

Es bleibt abzuwarten, ob der Rechtsrahmen des § 26 TDDDG tatsächlich zur weiteren Verbreitung von Diensten zur Einwilligungsverwaltung wie etwa PIMS führt. Bisher gibt es solche Dienste noch nicht. Bis zur Etablierung von PIMS und Ähnlichem bleiben uns die Consent-Banner also noch eine Weile erhalten.

Individuelle Beratung für Ihre Website oder App

Jede Website oder App, jedes Unternehmen und jede Branche sind anders und bringen eigene Anforderungen mit. Bei der Beratung zur Cookie-Strategie müssen die verfolgten Ziele, die individuelle Risikobereitschaft und das technische Setup berücksichtigt werden.

Gerne unterstützen wir Sie dabei, Ihre passende Lösung zu entwickeln und aufzusetzen. Hier geht´s zum Kontaktformular.

 

Johanna Heinrich ist Volljuristin und Senior Legal Consultant bei der Datenschutzkanzlei.

Holen Sie die Datenschutzkanzlei an Bord

R

Rechtsberatung für Daten, Tech und Marketing

R

Unterstützung von Unternehmen, Rechtsabteilungen und internen Datenschutzbeauftragten

R

Benennung zum externen Datenschutzbeauftragten

R

Echte Lösungen statt nerviger Hindernisse