TTDSG - Das Telekommunikation-Telemedien-Datenschutz-Gesetz

Das neue TTDSG: Neues bei Cookies und Co. für Webseitenbetreiber und Agenturen

Fachlich geprüft von: Rechtsanwalt Sören Siebert Rechtsanwalt Sören Siebert
(84 Bewertungen, 4.38 von 5)

Das Wichtigste in Kürze

  • Das TTDSG regelt seit Dezember 2021, dass Webseiten für Cookies und Tracking eine echte Einwilligung der Nutzer benötigen.
  • Ein echtes Cookie Consent Banner ist damit auf fast allen Webseiten Pflicht.
  • Das Gesetz gilt auch für Messenger und Apps.

Worum geht's?

Seit Dezember 2021 müssen Unternehmen nicht nur die Regelungen der DSGVO sondern auch das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) beachten. Das Gesetz enthält einige Neuerungen und Klarstellungen für Unternehmen, Websitebetreiber und Agenturen. Die wichtigste Norm: Fast alle Cookies und Tracking-Dienste brauchen eine echte Einwilligung. Doch was müssen Sie über das TTDSG noch wissen? Und was ist jetzt konkret zu tun? Wir geben Ihnen einen Überblick.

1. TTDSG, Cookies und Co.: Was sind die wichtigsten Inhalte des neuen TTDSG?

Cookies und Trackingdienste

Festgezurrt ist mit dem Telekommunikations-Telemedien-Datenschutz-Gesetz (kurz: TTDSG) insbesondere, dass Sie als Websitebetreiber für Trackingdienste und -Cookies eine echte und ausdrückliche Einwilligung brauchen. Das war zwar schon nach der höchstrichterlichen BGH- und EuGH-Rechtsprechung klar (vgl. dazu zum Beispiel das Urteil des Bundesgerichtshofs vom 28. Mai 2020, Aktenzeichen I ZR 7/16). Gesetzlich festgeschrieben wird dies aber nun erstmals mit dem TTDSG. Besonders wichtig ist § 25 TTDSG.

Absatz 1 des § 25 TTDSG besagt: 

Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat.

Und in Absatz 2 des § 25 TTDSG heißt es dann:

Die Einwilligung nach Absatz 1 ist nicht erforderlich,

  1. wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder
  2. wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann."

Zusammengefasst bedeutet das:

Sie brauchen eine Erteilung der Einwilligung, wenn Sie Informationen in der Endeinrichtung des Endnutzers speichern oder darauf zugreifen wollen.

Von diesem Grundsatz gibt es zwei Ausnahmen:

  • technisch zwingend notwendige Cookies und Informationen, d.h. solche, die für den Betrieb der Seite unbedingt erforderlich sind;
  • Cookies und Informationen, die ausschließlich der Übertragung von Nachrichten über ein öffentliches Telekommunikationsnetz dienen.

Was sind technisch notwendige Cookies?

Für technisch notwendige Cookies ist keine Einwilligung notwendig. Aber was sind technisch notwendige Cookies überhaupt? Technisch notwendige Cookies - auch essenzielle Cookies genannt - sind alle Cookies, ohne die eine Webseite an sich nicht funktionieren würde.

Das sind zum Beispiel Session Cookies (für Warenkorbinhalte oder Sprachversionen einer Webseite), Cookies die ausschließlich für Zahlungsprozesse notwendig sind oder Cookies, die zum Erteilen oder zum Widerruf einer Einwilligung genutzt werden. Mehr zu diesem Thema lesen Sie auch in unserem Artikel "Nutzer-Einwilligung auf Webseiten: Quatsch oder Pflicht?".

Personal Information Management Systems und Single Sign On Lösungen

Eine weitere Neuerung (§ 26 TTDSG): Künftig sollen Dienste anerkannt werden, über die Websitebesucher einmalig angeben können, ob, wo und unter welchen Voraussetzungen sie ihre Einwilligung oder Ablehnung zum Setzen von Cookies geben möchten.

Diese Informationen leitet der Anbieter solcher "Personal Information Management Services" (PIMS) automatisch an alle Websites weiter. Damit sollen Nutzer generell mehr Kontrolle über personenbezogene Daten und den Zugriff Dritter auf Informationen erhalten. Folge könnte sein: Cookie Banner werden entbehrlich. Dieses „Ende von Cookie Bannern durch das TTDSG“ wird im Moment auf vielen Seiten heiß diskutiert.

Wir können Sie erst einmal beruhigen: Cookie Banner werden nicht von heute auf morgen entbehrlich werden. Denn dass PIMS und Co. Cookie Banner ersetzen, ist noch weit entfernte Zukunftsmusik. Schließlich müssen diese Dienste laut § 26 TTDSG ausdrücklich anerkannt werden und dafür müssen bestimmte Voraussetzungen vorliegen (z.B.: kein wirtschaftliches Eigeninteresse an der Erteilung der Einwilligung auf Seiten der Anbieter, Sicherheitskonzept des Anbieters).

Ein Beispiel für einen solchen Dienst wird in einer der Gesetzesbegründungen zum TTDSG genannt: Mehrere zusammengeschlossene Unternehmen organisieren eine Einrichtung. Diese bietet für die Unternehmen sogenannte Single-Sign-On-Lösungen an, über die Nutzer ihre Einwilligung organisieren können.

Definition: Wer sich auf dem über einen Single-Sign-On-Dienst auf seinem Rechner anmeldet, kann sich gleichzeitig bei mehreren Diensten und Anwendungen einloggen, ohne separat für jeden einzelnen Dienst seine Zugangsdaten angeben zu müssen.

Das Verfahren zur Anerkennung der Dienste muss die Bundesregierung noch in Form einer Rechtsverordnung festlegen. Das wird höchstwahrscheinlich noch Jahre dauern. Bis dahin gilt – nunmehr gesetzlich festgeschrieben: Cookie Banner zur Umsetzung von Cookie Einwilligungen sind Pflicht!

Sören Siebert
Sören SiebertRechtsanwalt

Anwendungsbereich erweitert: Endeinrichtung des Endnutzers

Es gibt eine weitere wichtige Änderung im TTDSG. Wir erinnern uns an § 25 TTDSG:

Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat.“

Wir sehen hier: Der Anwendungsbereich der Regelungen wird in zweierlei Hinsicht erweitert:

  1. Die Regelungen des TTDSG beziehen sich auf die "Endeinrichtung des Endnutzers": Damit sind auch alle mit dem Internet verbundenen Geräte umfasst und brauchen eventuell eine Cookie Einwilligung, also zum Beispiel Smarthome-Anwendungen, E-Mail- und Messenger-Dienste.
    Beispiele:
    • WhatsApp oder Threema
    • Smarthome Anwendungen wie Küchengeräte, Heizkörperthermostate, Alarmsysteme
    Das heißt: Auch wenn Sie solche Dienste anbieten, brauchen Sie künftig eine echte Einwilligung (und damit Cookie-Banner), sofern Sie Cookies setzten und anderen Tracking-Dienste verwenden.
  2. Zudem bezieht sich das TTDSG sich auf sämtliche Informationen, die Nutzer von Telemedien und Telekommunikationsdiensten preisgeben und die somit erhoben werden können. Dazu gehören auch personenbezogene Daten. Somit geht es nicht mehr nur um die  Cookie Nutzung, sondern um alle Techniken, für die Sie Informationen in der Endeinrichtung auslesen oder speichern.
    Beispiel: Browser Fingerprinting

Weitere Änderungen

Das TTDSG regelt einige weitere Punkte, die für Sie als Websitebetreiber wichtig sein können:

  • Sie müssen als Anbieter von Telemediendiensten unter Umständen auf Verlangen öffentlichen Stellen Auskunft über Bestands- und Nutzerdaten geben.
  • Bußgelder drohen nicht nur nach der DSGVO, sondern auch nach dem TTDSG. Wenn Sie eine Einwilligung nicht einholen, drohen Ihnen Bußgelder bis zu 300.000 Euro
  • Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat die umfassende Aufsicht über den Umgang mit personenbezogenen Daten. Sie kümmert sich auch um die Verhängung von Bußgeldern und ist eine unabhängige Datenschutz-Aufsichtsbehörde im Bereich der Telekommunikation.
  • Die Bundesnetzagentur ist zuständig für Vorschriften, die nicht die Verarbeitung von personenbezogene Daten betreffen.

Darüber hinaus weisen wir der Vollständigkeit halber noch auf folgende Änderungen hin:

  • Das Fernmeldegeheimnis im TTDSG soll Erben eines Endnutzers nicht daran hindern, Rechte gegenüber einem Anbieter von Telekommunikationsdiensten geltend zu machen.
  • Weitere Änderungen zur Rufnummernunterdrückung im TTDSG und zum Fernmeldegeheimnis.

2. Was müssen Sie als Websitebetreiber jetzt tun?

Wenn Sie sich noch immer nicht um Cookie Consent Banner für Ihre Website gekümmert haben, weil Sie sich noch irgendwie drumherum gewunden haben, ist spätestens jetzt klar und gesetzlich festgeschrieben: Sie brauchen für Tracking-Cookies, Third-Party-Cookies, sonstige Marketing Cookies und Co. eine echte Einwilligung, sofern sie für den Betrieb der Seite technisch nicht unbedingt erforderlich sind. Damit steht im Grunde auch fest: Ein Cookie Consent Tool ist Pflicht.

Warum das so ist? Zwar steht im TTDSG nicht, wie Sie die Einwilligung einholen müssen. Dort steht aber: Sie müssen die Einwilligung einholen und zwar auf Grundlage klarer und umfassender Informationen. Und sicher und einfach umsetzbar ist das nur mit Cookie Management über ein Cookie Consent Tool. Welche Tools es hier gibt und was Sie dabei beachten müssen, lesen Sie in unserem Beitrag "Die 6 gängigsten Cookie Consent Tools".

3. Wie muss ein Cookie Banner laut TTDSG aussehen?

TTDSG und Cookies – wie muss der Banner genau aussehen? Zu dieser Frage bietet das TTDSG leider keine hilfreiche Antwort. Allerdings gibt es zu den Anforderungen an ein Cookie Banner verschiedene Stellungnahmen und Abmahnungen von Datenschutzbehörden und Verbraucherzentralen, sowie Vorgaben des “European Data Protection Board”.

Hiernach sollten Sie Cookie Banner verwenden, die folgende Punkte sicherstellen:

  1. Bis Ihr Besucher seine Einwilligung erteilt, müssen Sie Cookies auch tatsächlich technisch deaktivieren.
  2. Ihr Nutzer muss die Einwilligung aktiv setzen. Eine Checkbox darf nicht vorausgewählt sein.
  3. Es muss einen „Annehmen“ und einen „Ablehnen“-Button geben. Diese müssen gleichwertig sein, also es darf nicht etwas eine extra Seite auf einer tieferen Ebene geben, über die der Nutzer die Cookies erst ablehnen kann.
  4. Kein “Nudging”: Der Zustimmen-Button darf nicht hervorgehoben sein, z.B. durch eine grellere Farbe.
  5. Es dürfen keine komplizierten Links für die Ablehnung der Cookies verwendet werden.
  6. Sie müssen den Nutzer umfassend informieren. Dazu gehören:
    • Zwecke der einzelnen Tools
    • Anzahl der Anbieter und Tools
    • Sitz des Anbieters, falls dieser außerhalb der EU liegt.

Übrigens: Nach der "Orientierungshilfe der Aufsichtsbehören (DSK) für Anbieter von Telemedien" vom 20.12.2021 ist es möglich, den Einwilligungsbanner mehrschichtig zu gestalten. Demnach dürfen Sie detaillierte Informationen auch erst auf einer zweiten Ebene des Banners mitteilen. 

Die gute Nachricht: Die 6 gängigsten Cookie Consent Tools setzten diese Anforderungen um. Dazu sollten Sie allerdings einige Einstellungen vornehmen.

Was passiert, wenn das Cookie-Banner nicht rechtskonform umgesetzt wird, können Sie am Fall vom internationalen Marktführer Microsoft sehen. Weil Microsofts bing.com Unregelmäßigkeiten in seinem Cookie-Consent Banner hat, verhängte die französische Datenschutzbehörde im Dezember 2022 eine Strafe von 60 Millionen Euro gegen den Microsoft Konzern. Sie sehen: selbst globale Marktführer wie Microsoft werden hier zur Rechenschaft gezogen 

4. Warum gibt es das TTDSG? - Gesetzesbegründung

Das "Telekommunikations-Telemedien-Datenschutzgesetz" (TTDSG) – Langform: Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien - ist am 1. Dezember 2021 in Kraft getreten. Lange Zeit gab es nur eine einen TTDSG Entwurf, doch jetzt steht dem Inkrafttreten des TTDSG nichts mehr im Weg: Der Bundestag hat das Gesetz im Mai 2021 endlich beschlossen.

Sinn und Zweck des Gesetzes: Zum einen soll ein Kompromiss zwischen dem Schutz der Privatsphäre in der digitalen Welt und den digitalen Geschäftsmodellen erzielt werden. Im Kern geht es aber vor allem um folgendes: Die Unklarheiten und das Nebeneinander von verschiedene Regelungen zum Thema Datenschutz in der Telekommunikation und bei Telemedien zu beseitigen.

Schließlich gibt es das Telemediengesetz (hier insbesondere relevant: § 15 Absatz 3 TMG), das Telekommunikationsgesetz (TKG), die ePrivacy-Richtline (Datenschutzrichtlinie für elektronische Kommunikation) und die Datenschutz-Grundverordnung (DSG-VO). Wann welches Gesetz über den Datenschutz gilt, ist eine Wissenschaft für sich.

Hinzukommt, dass die ePrivacy-Verordnung, die den Umgang mit Cookies deutlich regeln sollte, bis heute nicht erlassen wurde. Deshalb hat der Gesetzgeber die Datenschutzbestimmungen aus dem TMG und dem TKG aus diesen Gesetzen herausgelöst, sie an die DSGVO und die ePrivacy-Richtlinie angepasst und das Ganze als Orientierungshilfe ins TTDSG gegossen. Damit wurden auch die Vorgaben der ePrivacy-Richtline in weiten Teilen umgesetzt, die vor allem auf den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation abzielt.

5. Was passiert mir, wenn ich beim Inkrafttreten des TTDSG kein Cookie Consent Banner habe?

Im schlimmsten Fall drohen Ihnen gleich mehrere Bußgelder, wenn Sie nach Inkrafttreten des TTDSG keine ordnungsgemäße Einwilligung einholen.

  • Zum einen können Sie einen Bußgeldbescheid wegen Verstoßes gegen die DSGVO erhalten. In diesem Fall drohen Ihnen Bußgelder in Höhe von bis zu 20 Millionen Euro oder bis zu vier Prozent Ihres Umsatzes.
  • Zum anderen kann wegen Verstoßes gegen das TTDSG und den Datenschutz ein Bußgeld von bis zu 300.000 Euro gegen Sie festgesetzt werden. Es kann also richtig teuer für Sie werden.
  • Zudem droht Ihnen eine Abmahnung, wenn Sie keinen ordnungsgemäßen Cookie Consent Banner haben. Lesen Sie in dem Artikel "So muss ein Cookie Consent Banner aussehen, um nicht abgemahnt zu werden", wie Sie dies vermeiden können.

Wir haben eine Lösung für Sie: Wenn Sie sich für eRecht24 Premium entscheiden, ist das Consent-Tool von Usercentrics kostenlos enthalten. Entscheiden Sie sich daher am besten noch heute für eRecht24-Premium, um für das TTDSG bestens gewappnet zu sein.

Sören Siebert
Sören SiebertRechtsanwalt
Rechtsanwältin Annika Haucke
Annika Haucke
Rechtsanwältin

Annika Haucke ist Rechtsanwältin und Journalistin (Freie Journalistenschule). Als Fachredakteurin von eRecht24 bereitet sie Beiträge verständlich auf und gibt praxisnahe Handlungsempfehlungen. Rechtsanwältin Haucke ist auf Medienrecht spezialisiert und hat darüber hinaus mehrjährige redaktionelle Erfahrung in weiteren Rechtsgebieten, z.B. Steuer-und Medizinrecht. Seit 2013 veröffentlichte sie eine Vielzahl von Artikeln und Ratgebern, u. a. bei Stiftung Warentest, Tagesspiegel Background und Computerwoche.

Rechtsanwalt Sören Siebert
Sören Siebert
Rechtsanwalt und Gründer von eRecht24

Rechtsanwalt Sören Siebert ist Gründer von eRecht24 und Inhaber der Kanzlei Siebert Lexow. Mit 20 Jahren Erfahrung im Internetrecht, Datenschutz und ECommerce sowie mit mehr als 10.000 veröffentlichten Beiträgen und Artikeln weist Rechtsanwalt Sören Siebert nicht nur hervorragende Fach-Expertise vor, sondern hat auch das richtige Gespür für seine Leser, Mandanten, Kunden und Partner, wenn es um rechtssichere Lösungen im Online-Marketing und B2B / B2C Dienstleistungen sowie Online-Shops geht. Neben den zahlreichen Beiträgen auf eRecht24.de hat Sören Siebert u.a. auch diverse Ebooks und Ratgeber zum Thema Internetrecht publiziert und weiß ganz genau, worauf es Unternehmern, Agenturen und Webdesignern im täglichen Business mit Kunden ankommt: Komplexe rechtliche Vorgaben leicht verständlich und mit praktischer Handlungsanleitung für rechtssichere Webseiten umsetzen.

Markus
Mich würde interessieren, wie es mit Cookies und „Hintergru ndverbindungen“ zu anderen Servern aussieht, wenn man ein Opt-in-Formular für Newsletter (Sendinblue, Mailjet, Cleverreach…) auf der Seite einbindet.
Die Anbieter sagen, diese Cookies müssen gesetzt werden, selbst wenn der Kunde das Formular nicht ausführt. Wie geht man damit um?
Und bei CleverReach ist z.B. auch Recaptcha dabei, was auch nicht konform ist, und was auch nicht abgeschaltet werden kann.

6
Julian
Hallo Markus,
herzlichen Dank für deinen Beitrag, allerdings ist es möglich, Cleverreach auch ohne das Recaptcha einzubauen =) Wenn du Fragen hast, melde dich gerne!

Hier haben wir Cleverreach eingebaut:
https://www.benzmedia.de/learning/

0
Thomas
Heißt dass jetzt dass ich das jetzt auch für mein selbst gehostetes Matomo machen muss? War dann der ganze Aufwand für die Katz? ...
2
Mark
Ich habe da mal eine simple Frage, ich betreue ein selbstentwickel tes Pizza Bestellsystem. Und dieses System, ja das gibt es noch, Trackt seine Nutzer nicht, bzw. gibt keinerlei Daten an Drittunternehme n preis, einfach nur weil ich dieses System (und der Auftraggeber) verabscheue.
Muss ich dennoch einen Cookie Banner anzeigen? Bisher ist auf der Hauptseite einfach nur ein Hinweis das wir nicht Tracken.
Interesanterwei se konnte ich dazu im Netz nichts finden, scheinbar stehen alle Unternehmen auf diese Trackingseuche.

6
Nutzer
Achtung, keine fachliche Antwort, lediglich ziemlich sichere eigene Meinung aus stundenlangem anlesen von Informationen zu diesem Thema:

Der Sinn der Einwilligung von Cookies ist der, dass der Webseitenbetrei ber nicht grundlos oder für eigene Zwecke Daten des Nutzers speichert. Solange Ihr Bestellsystem lediglich Daten erhebt, die es zur Erfüllung benötigt und diese danach wieder gelöscht werden ist doch alles in Ordnung. Den nicht-tracken-Hinweis können Sie auch entfernen. Empfehlen würde ich aber einen Verweis auf die Datenschutzerkl ärung mit ein paar Worten zu dem System, was wie lange gespeichert wird und warum.

6
Jens
Wie setzt man das barrierefrei um?
z.B. für personene, die schlecht oder gar nicht lesen können - der Erläuterungste xt kann vorgelesen werden; aber bei Buttons u.ä. versagen diese Dienste oft.
Neben "annehmen" und "ablehnen" aber Zeichen wie Daumen hoch / Daumen runter mit auf die Buttons setzen, wäre wieder hervorheben ("hoch" wird positiver gesehen; aus dem gelicehn Grund scheiden ja auch die farblichen rot/grün unterscheidunge n aus).

Gibt es da Symbole, die nicht beeinflussend gewertet werden?

5
Internetnutzer
Ich frage mich, warum das bei Google und Youtube nicht umgesetzt wird. Hier kann man nur Zustimmen und Anpassen, dann muss man mehrere Schalter wegschalten, ganz runter scrollen und Bestätigen.

Zählt das TTDSG für die nicht und soll nur kleine Webmaster drangsalieren?

10
Nerd
Wir haben den Usercentrics über eRecht24 sehr oft eingebunden. Das Styling hebt aber immer noch den Akzeptieren Button hervor. Wann wird das von Seiten Usercentrics angepasst. Es eilt.
-1
Sören Siebert
Sie können die Buttonfarbe mit 2 Klicks bei eRecht24 Premium einstellen:
https://www.e-recht24.de/mitglieder/so-stellen-sie-die-3-cookie-consent-tools-datenschutzrechtlich-sicher-ein/

7
HF
Bin gespannt was als nächstes kommt. Weiß nicht, wie oft ich jetzt schon unsere Cookie-Banner angepasst habe – wäre schön wenn die Damen und Herren Brüssel mal etwas zuende denken würden, aber das ist wohl nicht mehr zeitgemäß.
9

Ich möchte mit eRecht24 chatten!
Datenschutzhinweis: Ihre Daten und Ihre Chateingaben werden in unserem Chat-Tool Brevo verarbeitet, sobald Sie zustimmen, den Chat mit uns zu beginnen. Sie können Ihre Zustimmung jederzeit zurücknehmen. Details hierzu entnehmen Sie unserer Datenschutzerklärung.
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details