TTDSG: Aktualisierte Orientierungshilfe für Webseiten- und App-Betreiber

Was müssen Betreiber von Webseiten, Apps oder Smarthome-Anwendungen beachten, damit sie datenschutzkonform nach dem Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) arbeiten? Das fasst die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) in ihrer aktualisierten Orientierungshilfe zusammen.

TTDSG seit Dezember 2021 in Kraft

Am 1. Dezember 2021 trat das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) in Kraft und regelt laut Paragraph 1 sowohl „das Fernmeldegeheimnis“ als auch „besondere Vorschriften zum Schutz personenbezogener Daten bei der Nutzung von Telekommunikationsdiensten und Telemedien.“

Cookies nur mit Zustimmung

Für Betreiber von Webseiten, Apps und anderen mobilen Anwendungen heißt das vor allem, dass sie die sogenannten Cookie-Regelungen beachten müssen.

Diese erfordern eine „informierte, ausdrückliche und vorherige Zustimmung (Einwilligung)“, heißt es in den Antworten zu den „häufigen Fragen zum TTDSG“.

Orientierungshilfe und Konsultationsverfahren

Wie das genau geht, zeigt die DSK in ihren Orientierungshilfen. Die erste Version veröffentlichte sie am 20. Dezember 2021 (wir berichteten) und leitete danach ein öffentliches Konsultationsverfahren ein. Hier konnten Vertreter aus Politik, Wirtschaft, Wissenschaft, Gesellschaft und Verwaltung Stellungnahmen abgeben.

Insgesamt gingen 14 Stellungnahmen ein – und die DSK wertete sie aus, fasste sie in einem 71-seitigen Abschlussbericht zusammen, nahm entsprechende Anpassungen und Ergänzungen vor und veröffentlichte eine neue Version 1.1 der Orientierungshilfe.

Drei Themen von besonderer Bedeutung

Drei Themen aus diesen Stellungnahmen kommt – laut Abschlussbericht der DSK – eine besondere Bedeutung zu:

den vom Nutzer ausdrücklich gewünschten Telemediendiensten,
dem Tatbestandsmerkmal „unbedingt erforderlich“ und
dem Ablehnenbutton auf erster Ebene.

Ablehnenbutton auf erster Ebene

„Bei diesem Thema handelt sich um einen der Schwerpunkte des Konsultationsverfahrens, da er in zehn Stellungnahmen aufgegriffen wurde“, erklärt die DSK auf Seite 39 des Abschlussberichts. Neun von zehn Stellungnahmen seien der Meinung, dass „eine solche Ablehnmöglichkeit nicht zwingend bereits auf erster Ebene vorgehalten werden muss.“

Die DSK empfiehlt, dieses Thema in einem neuen „Kapitel V Gestaltung von Einwilligungsbannern“ in die Orientierungshilfe aufzunehmen. Es findet sich auf Seite 35 der aktualisierten Version und besagt:

„Die Abfrage einer Einwilligung erfolgt in der Praxis regelmäßig dadurch, dass beim ersten Aufruf einer Webseite oder einer App ein Banner oder ähnliches grafisches Element mit Informationen und Schaltflächen angezeigt wird. (…)
Nicht jeder Einsatz von Cookies oder das anschließende Tracking ist per se einwilligungsbedürftig. Daher sollten entsprechende Einwilligungsbanner nur eingesetzt werden, wenn tatsächlich eine Einwilligung notwendig ist. (…)“

Ausdrücklich gewünschte Telemediendienste

„Dieses Thema wird in acht Stellungnahmen angesprochen“, heißt es auf Seite 19 des Abschlussberichts. Oft werde dabei eine Differenzierung in Basis- und Zusatzfunktionen empfohlen.

Dem folgt die DSK ebenfalls und differenziert nun „zwischen Telemediendiensten, die auf der Grundlage eines Vertrages in Anspruch genommen werden, und Telemediendiensten, die ohne einen vorherigen Vertragsschluss genutzt werden“.

Tatbestandsmerkmal „unbedingt erforderlich“

„Im Hinblick auf das Merkmal der unbedingten Erforderlichkeit wird vorgetragen, dass die DSK nicht hinreichend deutlich darstelle, unter welchen konkreten Voraussetzungen anzunehmen ist, dass IT- Sicherheitsdienste im Sinne des (…) TTDSG technisch erforderlich sind“, schreibt die DSK auf Seite 25 des Abschlussberichts.

Hier empfiehlt die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, die Erklärungen der Österreichischen Datenschutzbehörde und anderer europäischer Aufsichtsbehörden zu übernehmen, die ähnlich restriktive Auslegungen verfolgen, sie aber gut erklären: „Cookies die als unbedingt erforderlich eingeordnet werden können, wären nutzerorientierte Sicherheitscookies. Diese werden bspw. verwendet, um wiederholt fehlgeschlagene Anmeldeversuche auf einer Website zu entdecken.“

DIE Zeitschrift für Datenschutzbeauftragte

Theorie war gestern – wir unterstützen Sie im DSB-Alltag! Datenschutz PRAXIS liefert Ihnen jeden Monat schnell lesbares Know-how auf 20 Seiten und eine Download-Flat für Arbeitshilfen, Checklisten u.v.m. Auch papierlos als reines Online-Abo erhältlich!

➜ Jetzt testen

Mehr Informationen:

TTDSG im Wortlaut: https://gesetz-ttdsg.de
Orientierungshilfe der DSK mit Stand Dezember 2022: https://www.datenschutzkonferenz-online.de/media/oh/20221205_oh_Telemedien_2021_Version_1_1_Vorlage_104_DSK_final.pdf
Pressemitteilung der DSK am 7. Dezember 2022: https://datenschutzkonferenz-online.de/media/pm/20221207_pm_oh_telemedien.pdf
Konsultationsverfahren der DSK: https://datenschutzkonferenz-online.de/konsultationsverfahren.html
Abschlussbericht der DSK mit Stand 19. Oktober 2022: https://www.datenschutzkonferenz-online.de/media/oh/20221205_oh_Auswertung_Konsultation_zur_Orientierungshilfe_fuer_Anbieter_von_Telemedien_final.pdf
News in der Datenschutz-Praxis am 4. Januar 2022: https://www.datenschutz-praxis.de/grundlagen/ttdsg-neue-orientierungshilfen-fuer-betreiber-von-webseiten-und-apps/

Elke Zapf

URL zum Beitrag:	https://www.datenschutz-praxis.de/grundlagen/ttdsg-aktualisierte-orientierungshilfe-fuer-webseiten-und-app-betreiber/
Beitrag gedruckt von Datenschutz PRAXIS:	https://www.datenschutz-praxis.de

Klicken zum Drucken