Datenschutz: Was sich zum 01.12.2021 ändert
Das Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG) tritt zum 1.12.2021 in Kraft. Was sich damit ändert, zeigt Andreas Sutter (disphere) in seinem Gastbeitrag für Versicherungsbote.
- Datenschutz: Was sich zum 01.12.2021 ändert
- Voraussetzungen für eine wirksame Einwilligung
Das Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG) tritt zum 1.12.2021 in Kraft. Das neue Gesetz soll bestimmte Regelungen aus dem Telekommunikationsgesetz (TKG) und dem Telemediengesetz (TMG) zusammenführen und an die europäischen Richtlinien, wie z.B. die ePrivacy-Richtlinie anpassen. Die Neuregelungen beinhalten auch einige Bereiche, die zwar nicht neu sind, aber nun zwingend von den Verantwortlichen umgesetzt werden müssen.
Anzeige
Andreas Sutter
Andreas Sutter
...ist als Director protect bei disphere interactive Datenschutzbeauftragter für Mittelständler, Finanzdienstleister und Versicherer. disphere interactive GmbH ist ein Team von interdisziplinären Experten, Beratern und Entwicklern, das Sie umfassend bei der digitalen Transformation des Vertriebs unterstützt.
Wen betrifft das Gesetz?
Sie müssen das Gesetz beachten, wenn Sie sogenannter „Telemediendienstleister“ sind. Das ist der Fall, wenn Sie eigene oder fremde Telemediendienste erbringen, dabei mitwirken oder den Zugang dazu vermitteln. Telemediendienste sind beispielsweise eine Home- oder Landingpage, ein Online-Shop oder auch eine App, ein Messenger-Dienst oder andere internet-basierte Kommunikationsdienste.
Achtung: Wenn Sie als Arbeitgeber Ihren Beschäftigten die private Nutzung von Telefon, Internet und/oder E-Mail erlauben, dann gelten Sie als sog. Telekommunikationsanbieter und müssen weitreichende Pflichten im Rahmen des Fernmeldegeheimnisses beachtet werden. Dies sollten Sie in jedem Fall vermeiden, indem Sie klare Anweisungen geben, die das Verbot der privaten Nutzung beinhalten, und die Einhaltung dieser Anweisung auch regelmäßig überprüfen.
Schutz der Privatsphäre bei Telemediendiensten
Neu ist: Werden Informationen aus der Endeinrichtung des Endnutzers, also dem Smartphone, dem Notebook oder ähnlichem, genutzt oder Daten, wie z.B. Cookies dort gespeichert, darf das nur mit der ausdrücklichen Einwilligung des Endnutzers geschehen. Dabei ist es gleich, ob die Informationen anonymisiert oder pseudonymisiert werden, und dem Schutz der DSGVO nicht mehr unterliegen. Also ist in der Folge nicht nur jedes Cookie, sondern auch jede andere Maßnahme, wie z.B. Tracking durch sog. Fingerprinting, jede Drittanfrage, und jede sonstige Marketingmaßnahme von der Einwilligung des Endnutzers abhängig.
Anzeige
Ausnahmen bestehen nur, wenn die Verarbeitung der Information bzw. das Setzen des Cookies zwingend nötig ist, damit die Webseite funktioniert. Dazu gehören Cookies, die der Spracheinstellung, dem Login, dem Warenkorb oder dem Einwilligungstool dienen.
Voraussetzungen für eine wirksame Einwilligung
Kritisch sind daher besonders Dienste, bei denen technisch keine Einwilligung eingeholt werden kann, weil die Dienste bereits beim ersten Aufruf trotz Einwilligungsfenster laufen. Dazu zählen zum Beispiel externe Google Fonts oder Bewertungsplattformen, wie ProventExpert. Die bisherige Praxis, sich hier auf ein berechtigtes Interesse nach Art. 6 Abs. lit. f DSGVO oder auf die Anonymisierung der Daten zu berufen, greift nicht mehr, da das TTDSG der DSGVO in diesem Fall vorgeht. Hier kann man nur raten, auf diese Dienste zu verzichten.
Natürlich ist auch jede Tracking- und Marketingmaßnahme betroffen, vom einfachen Zählpixel der VG Wort bis hin zum Retargeting. In allen Fällen muss die ausdrückliche Einwilligung des Endnutzers eingeholt werden.
Anzeige
Voraussetzungen für eine wirksame Einwilligung
Damit eine Einwilligung rechtlich auch im Sinne des TTDSG wirksam ist, sind folgende Voraussetzungen zwingend nötig:
- Information
Über die genaue Verarbeitung muss der Nutzer verständlich und transparent informiert werden. Offenlegen statt verschleiern, ist hier die Devise. Die Informationen müssen in verständlicher Sprache und leicht auffindbar sein. Folgende Formulierungen sind dabei zum Beispiel nicht ausreichend, da sie einfach zu wenig konkret sind:
Cookies werden eingesetzt, um- „für Sie die Webseite optimal zu gestalten und zu verbessern“,
- „Ihr Surferlebnis zu verbessern“,
- „Webanalyse und Werbemaßnahmen durchzuführen“ und
- „Marketing, Analytics und Personalisierung“ zu ermöglichen.
- Die richtige Programmierung des Einwilligungsdienstes
Der Einwilligungsdienst oder das Consent-Management-Tool muss so angelegt sein, dass die Dienste oder Maßnahmen, die eine Einwilligung benötigen, auch erst nach der Einwilligung wirksam werden. Da bisher die Einwilligung meist nur für das Setzen von Cookies eingeholt werden, ist nun in vielen Fällen eine Neuprogrammierung nötig, weil bestimmte Dienste nicht berücksichtigt wurden. - Eindeutig bestätigende Handlung
Eine Einwilligung erfordert eine aktive Handlung. Die Dienste dürfen also nicht im Einwilligungsdienst vorausgewählt sein. Auch eine Schaltfläche mit der Beschriftung „Alles akzeptieren“ ist irreführend, da nicht jedem Nutzer klar ist, dass er damit alle Dienste aktiviert und nicht nur die, die er ausgewählt hat. Eine Schaltfläche „Alles Ablehnen“ muss Teil des Consent-Layers sein, damit der Nutzer schnell und unkompliziert seinen Willen deutlich machen kann, überhaupt keine Einwilligung zu erteilen. - Freiwilligkeit
Die Einwilligung ist nur wirksam, wenn sie freiwillig erfolgt. Sie muss ohne Druck oder Zwang erfolgen. Der Telemediendienst muss auch ohne das Erteilen einer Einwilligung nutzbar sein. Daher sind alle Maßnahmen, die den Nutzer mit psychologischen Druckmitteln in eine Einwilligung treiben, unzulässig-.eses sogenannte Nudging besteht häufig darin, dass die Schaltflächen für die Einwilligung farblich so hervorgehoben sind, dass andere Optionen nicht ins Auge fallen. Ebenso unzulässig ist es, die Ablehnung der Einwilligung so umständlich zu gestalten, dass der Nutzer entnervt, doch einwilligt, oder den Nutzer nach einer Ablehnung immer wieder, z.B. bei jedem neuen Aufruf einer Unterseite nach der Einwilligung zu fragen, bis der Nutzer endlich aufgibt und einwilligt. - Widerrufbarkeit
Die einmal erteilte Einwilligung muss durch den Nutzer auch leicht widerrufen werden können. Das bedeutet, dass der Einwilligungsdienst leicht wieder aufrufbar sein muss. Das lässt sich sehr gut lösen, wenn z.B. im Header oder Footer der Webseite ein Menüpunkt „Datenschutz-Einstellungen“ verfügbar ist, der direkt zum Einwilligungsdienst führt.
Diese Voraussetzungen sind nicht neu, bekommen aber durch das TTDSG eine neue Bedeutung. Weitere Informationen finden sich beispielsweise auf der Seite des Landesdatenschutzamtes Niedersachsen.
Personal Information Management Systems
Zukünftig soll es zertifizierte Dienste geben, mit denen ein Nutzer seine Einwilligungen zentral verwalten kann, um nicht bei jedem Anbieter erneut in die Entscheidung treten zu müssen. Die Voraussetzungen für diese Dienste sind hoch. Daher ist mit keiner schnellen Umsetzung zu rechnen.
Weitere Regelungen
Die Aufsicht über die Einhaltung des TTDSG obliegt der Bundesbeauftragten für den Datenschutz und der Informationsfreiheit (BfDI). Damit werden Sie in vielen Fällen erstmals mit dieser Aufsichtsbehörde zu tun haben. Darüber hinaus beinhaltet das TTDSG noch Regelungen zum digitalen Erbe, die es den Hinterbliebenen erleichtern sollen, Rechte gegenüber dem Anbieter gelten zu machen. Weitere Regelungen, die zum Beispiel zum Fernmeldegeheimnis getroffen werden, müssen hier nicht erläutert werden.
Anzeige
Risiken bei Nichteinhaltung
Zu den bisherigen Haftungsrisiken der DSGVO und der damit verbunden Bußgelder treten nun neue Bußgelder nach dem TTDSG. Bis zu 300.000 EUR Bußgeld kann es kosten, wenn keine wie oben beschriebene, wirksame Einwilligung eingeholt wird. Das Nudging oder falsch programmierte Consent-Management-Tools können demnach teuer werden. Die nächste Gefahr liegt in dem altbekannten Thema der Abmahnung. Der „Abmahnschutz“ der Unternehmen mit weniger als 250 Mitarbeitern nach §17 Abs. 4 UWG vor Abmahnungen schützen soll, gilt nur für Verstöße gegen die DSGVO. Verstöße gegen das TTDSG sind abmahnfähig. Und es steht wegen der Einfachheit, mit der Verstöße entdeckt werden können, zu befürchten, dass daher Abmahnungen im Online-Bereich wieder zunehmen werden.
- Datenschutz: Was sich zum 01.12.2021 ändert
- Voraussetzungen für eine wirksame Einwilligung