Am 01.12.2021 ist das neue Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) in Kraft getreten. Dieses Bundesgesetz enthält spezifische Datenschutzvorschriften für Anbieter:innen von Telekommunikationsdiensten und Telemediendiensten, also insbesondere auch für das Betreibern von Webseiten.
Umsetzung von EU-Vorgaben
Ziel des TTDSG ist es, mehr Klarheit im Gefüge der europäischen und nationalen telekommunikations-, telemedien- und datenschutzrechtlichen Vorschriften zu schaffen. Im TTDSG wurden die wesentlichen Datenschutzvorschriften für Telekommunikations- und Telemediendienste gebündelt. Weder im TKG noch im TMG sind jetzt noch Datenschutzvorschriften enthalten. Das TTDSG hat u. a. Auswirkungen auf den sehr praxisrelevanten Einsatz von Cookies und ähnlichen Technologien auf Websites oder Apps.
Die Website ist der erste Anlaufpunkt, sowohl für Personen, die sich für ein Unternehmen interessieren, als auch jene, mit schädigenden Absichten. - Sarah Gindera (Expertin für Website-Analyse)
Technische und organisatorische Vorkehrungen nun Pflicht
Die Anbieter:innen von Telemedien haben durch technische und organisatorische Vorkehrungen unter anderem sicherzustellen, dass die Nutzer:innen von Telemedien diese gegen Kenntnisnahme Dritter geschützt in Anspruch nehmen sowie die Nutzung des Dienstes jederzeit beenden können. Hiermit wird die Verschlüsselung des Webauftritts nach einem aktuellen technischen Standard (mindestens TLS 1.2.) verpflichtend. Die Nutzung von Telemedien ist weiter anonym oder unter Pseudonymen zu ermöglichen, soweit dies technisch möglich und zumutbar ist (§ 19 TTDSG).
Eine weitere Änderung ergibt sich ferner aus § 19 Abs. 3 TTDSG. Hiernach ist die Weitervermittlung zu einem anderen Anbieter von Telemedien den Nutzer:innen jeweils anzuzeigen. Wie diese Weiterleitung im Einzelfalls aussehen kann, ist indes noch unklar. Denkbar wäre zum Beispiel mit entsprechenden Hinweisfenstern oder „sprechenden“ Links zu arbeiten.
Einwilligung häufiger erforderlich
Nach § 25 TTDSG ist immer dann, wenn durch die Anwendungen auf Daten der Endnutzer:innen zugegriffen oder Informationen auf den Endgeräten dieser gespeichert werden, die Einwilligung der Endnutzer:innen erforderlich. Umfasst sind danach, neben dem Hauptanwendungsfall der „Cookies“, auch sämtliche andere Technologien.
Neu ist, dass die Regelung den Kreis der betroffenen Informationen nicht einschränkt. Erfasst werden demnach sowohl personenbezogene als auch nicht personenbezogene, z.B. pseudonymisierte Daten. Entsprechend den unterschiedlichen Zwecken von Cookies können diese Informationen über Endnutzer:innen das Nutzerverhalten (etwa bei Login-Daten) oder individuelle Präferenzen betreffen. Hieraus ergibt sich mitunter die Pflicht zur Einführung bzw. Anpassung eines Cookie- oder Consent-Managements.
Idealerweise erfüllt das Consent-Management nich nur die gesetzlichen Vorgaben, sondern berücksichtigt Änderungen der Datenverarbeitung auf der Website automatisch. - David Große Dütting (Experte für Datenschutzfragen bei Digitalisierungsvorhaben)
Hohe Anforderungen an Einwilligungen
Wurden alle einwilligungsbedürftigen Cookies und ähnlichen Technologien ermittelt, muss geprüft werden, wie die Einwilligungen für ihren Einsatz wirksam eingeholt werden können. Welche Anforderungen an die Einwilligung zu stellen sind, regelt § 25 TTDSG selbst nicht abschließend; die Vorschrift besagt aber, dass die Endnutzer:innen auf der Grundlage von klaren und umfassenden Informationen einwilligen müssen. Hierfür sind vor der Einwilligung die folgenden Kriterien zu erfüllen:
- Die Einwilligung muss eine unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung sein
- Die Einwilligung muss vor dem Beginn der Datenverarbeitung eingeholt werden
- Freiwilligkeit - Diese setzt voraus, dass die Endnutzer:innen eine echte oder freie Wahlmöglichkeit haben und somit in der Lage sind, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden.
- Die Einwilligung muss für jeweils einen konkreten Fall gegeben werden. Die einzusetzenden Cookies, ähnliche Technologien und die jeweiligen Zwecke der Datenverarbeitung müssen daher einzeln den Nutzer:innen vor der Erteilung ihrer Einwilligung mitgeteilt und zur Auswahl gestellt werden.
- Die Einwilligung muss jederzeit widerrufen werden können. Fehlt der Hinweis auf die Widerrufsmöglichkeit der betroffenen Person, ist die erteilte Einwilligung unwirksam.
- Die Einwilligung muss „in informierter Weise“ erfolgen. Hierzu sind den betroffenen Personen mindestens transparent zu machen, wer der Verantwortliche ist und für welche Zwecke die Daten jeweils verarbeitet werden sollen.
Diese hohen Standards werden inzwischen auch von einigen Softwarelösungen sinnvoll abgebildet. Hier kommt es allerdings auf die Auswahl des individuell passenden Tools an sowie vor allem auf die konstante Anpassung an neue Anforderungen bzw. veränderte gesetzliche Regelungen. Idealerweise werden diese Aktualisierungen über die gewählte Consent-Management-Lösung direkt mit sichergestellt.
FAZIT
Mit § 28 TTDSG hat der Gesetzgeber außerdem einen Bußgeldtatbestand für Verstöße gegen die Vorschriften des TTDSG geschaffen. Die dort geregelten Ordnungswidrigkeiten können mit einer Geldbuße bis zu 300.000 Euro geahndet werden. Auch dies verdeutlicht, dass sich Unternehmen spätestens jetzt mit der Umsetzung der Bestimmungen beginnen sollten. Vor allem da die Webauftritte häufig die ersten Anlaufpunkte für Personen sind, sowohl für jene, die sich nur informieren möchten, als auch jene mit schädigenden Absichten.
Sie möchten mehr über die Lage des Datenschutzes in der Gesundheits- und Sozialwirtschaft erfahren? Hier finden Sie die Curacon-Datenschutzstudie 2022.