Das TTDSG („Telekommunikations-Telemedien-Datenschutzgesetz“) soll zum 1. Dezember 2021 wirksam werden. Datenschutzverantwortliche und Marketingunternehmen sind herausgefordert..
Um was geht es beim TTDSG?
Es handelt sich um ein Gesetz, welches eine Vereinheitlichung von Datenschutz im Telemediengesetz (TMG), Telekommunikationsgesetz (TKG) und der Datenschutzgrundverordnung (DSGVO) herbeiführen soll. Mit dem Telekommunikations-Telemedien-Datenschutzgesetz sollen nun die einzelnen Gesetze zusammengeführt und den europäischen Anforderungen angepasst werden.
Nicht jede Regelung im TTDSG ist also neu, sondern einfach aus den anderen Regelungen übernommen worden. Der Fokus liegt hierbei auf der ePrivacy-Richtlinie, denn diese stammt aus dem Jahr 2009. Diese Richtlinie regelt etwa die Verwendung von Cookies zwecks Tracking im Internet. Für Webseitenanbieter, App-Anbieterund dem kompletten Ökosystem des Online Marketing ist diese Richtlinie von besonderer Bedeutung. Doch das neue TTDSG regelt mehr als nur die Frage nach der korrekten Cookie-Platzierung
Das TTDSG und personenbezogene Daten
Die datenschutzkonforme Verwendung von personenbezogenen Daten ist nur ein Teil des neuen Gesetzes, denn das TTDSG nimmt Bezug auf alle Daten und Informationen von Nutzern – und hierbei steht insbesondere die Erhebung von Daten mittels Cookies im Fokus.
Die aktive Einwilligung von Nutzern zur Erhebung von Daten durch das Setzen von Cookies ist klar geregelt. Nur technisch notwendige Pixel dürfen ohne Einwilligung des Nutzers gesetzt werden. Das TTDSG ändert diese Praxis insofern, als dass die Verwendung von Cookies und Tracking transparenter und eindeutiger abgebildet werden muss.
Geplant ist die Einrichtung einer zentralen Stelle zur Verwaltung von Cookies der Nutzer. Eine Datenbank, über die sich der Nutzer über die von ihm bezogenen Daten und Trackingmodelle informieren und seine Einwilligungen verwalten kann. Unternehmen, die Daten von Nutzern erheben müssen eine solche Stelle nicht zwingend einrichten, doch dann ist ein Banner verpflichtend.
Das zentrale Einwilligungsmanagement
Für ein zentrales Einwilligungsmanagement gelten die Vorschriften des § 26 TTDSG mit den PIMS (Personal Information Management Service).
- Anbieter von PIMS-Diensten müssen sich akkreditieren lassen.
- Anbieter von PIMS-Diensten dürfen kein wirtschaftliches Eigeninteresse an der Erteilung der Einwilligung haben.
Das Einwilligungsmanagement muss also über einen dritten Anbieter implementiert werden, um Punkt zwei der Vorgabe zu entsprechen.
Die Gestaltung von Cookie Bannern
In einigen Ländern gibt es verbindliche Regelungen für die Ausgestaltung von Cookie Bannern, in anderen nicht. Im TTDSG wird dies auch nicht geregelt oder gar vorgeschrieben. Aber -es gibt tatsächlich ein aber- sollten Unternehmen Cookie Banner in bestmöglicher Transparenz für den Nutzer verwenden. Die Datenschutzbehörde in NRW sieht erheblichen Verbesserungsbedarf.
Der Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen hat im Rahmen einer länderübergreifenden Prüfung der Cookie-Einwilligungen auf Websites erhebliche Mängel festgestellt:
- Einwilligungsbedürftige Drittdienste werden oft bereits beim Öffnen einer Website eingebunden und die entsprechenden Cookies gesetzt. Das geschieht noch vor der offiziellen Einwilligung durch den Endnutzer.
- Die gegebenen Informationen auf der ersten Ebene des Einwilligungsbanners sind unzureichend oder falsch hinsichtlich des Nutzertrackings.
- Der Umfang der Einwilligung ist unzureichend. Auch bei einer Ablehnung aller Auswahlmöglichkeiten werden oft Cookies und Drittdienste aktiviert, die eigentlich der Einwilligung bedürfen.
- Die Ablehnung von Cookies und Drittdiensten ist komplexer als die Einwilligung. Letztere ist meist auf der ersten Ebene des Banners durch eine einzige Schaltfläche möglich. Für die Ablehnung steht ein solcher einfacher Button auf der ersten Banner-Ebene oft nicht zur Verfügung.
- Endnutzer werden oft durch die Gestaltung der Einwilligungsbanner unterschwellig gelenkt (Sogenanntes Nudging).
Server-to-Server-Tracking und das TTDSG
Beim „Server-to-Server-Tracking“ werden Tracking Informationen direkt in eine Datenbank des Werbetreibenden übernommen. Hierzu muss kein Cookie mehr gesetzt werden, denn die Analyse und Speicherung der Daten erfolgt auf einem Webserver. Es werden also keine Trackingpixel oder Cookies auf dem Gerät des Nutzers gespeichert, insofern ist auch eine Einwilligung des Nutzers nicht notwendig. In ei9nem logischen Schritt haben die Hersteller von Internetbrowsern angekündigt Third-Party-Cookies komplett zu blockieren, um so den Schutz der Privatsphäre von Nutzern im Internet zu gewährleisten.
Google kündigte an, Third-Party-Cookies nicht mehr zu unterstützen und bietet mit FLoC eine Alternative, welche jedoch am EU-Recht gescheitert ist. Man darf also gespannt sein wie das größte Werbeunternehmen im Internet auf diese Entwicklung reagiert und welche Möglichkeiten zukünftig für ein datenschutzkonformes Tracking bereitgestellt werden.
Es bleibt also festzustellen, dass das TTDSG die Anforderungen an den Datenschutz verschärft und das Einwilligungsmanagement -egal auf welchem Wege- muss angepasst werden. Wenn Browser keine Third-Party-Cookies mehr akzeptieren sind für die Werbewirtschaft zwingend neue Wege gefragt, um eine zielgerichtete Werbung ausspielen zu können.
Gut für den Nutzer und eine Herausforderung an Webseitenbetreiber und Online Marketing Unternehmen.