News

Neue Vorgaben für Anbieter von Telemedien ab Dezember 2021 – Handlungsbedarf u. a. bei Website- und App-Betreibern

Ab dem 1. Dezember 2021 gilt für alle Anbieter von Telemedien das Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG). Das Gesetz ist u. a. auf Betreiber von Websites und Apps anwendbar.

Das TTDSG setzt die europäischen Vorgaben aus der ePrivacy-Richtlinie in das deutsche Recht um und hat damit auch erhebliche Auswirkungen darauf, wann und unter welchen Umständen Website- und App-Betreiber Cookies und vergleichbare Technologien (d. h. Instrumente, die auf das Endgerät zugreifen, um Zugang zu Informationen zu erlangen, oder die Nutzeraktivität zurückverfolgen können) einsetzen dürfen.

Konkret wird es gemäß § 25 Abs. 2 TTDSG in Zukunft nur in streng geregelten Ausnahmefällen möglich sein, Cookies, Pixel, Fingerprints und ähnliche Trackingtechnologien ohne Einholung einer Einwilligung einzusetzen. Grundsätzlich sieht das TTDSG nach § 25 Abs. 1 TTDSG vor, dass für jeden Zugriff auf ein Endgerät der Nutzer (z.B. deren Smartphone oder Computer) eine individuelle Einwilligung eingeholt werden muss und zwar unabhängig davon, ob personenbezogene Daten verarbeitet werden oder nicht. Während es nach Auffassung der Datenschutzaufsichtsbehörden z.B. bislang möglich war, den Einsatz von Cookies zur Reichweitenmessung (also für Zwecke der statistischen Analyse) auf berechtigte Interessen nach Art. 6 Abs. 1 lit. f) DSGVO zu stützen, ist noch offen, ob mit Geltung des TTDSG hierfür eine Einwilligung eingeholt werden muss.

Eine Ausnahme für die Einholung einer Einwilligung sieht das TTDSG gemäß § 25 Abs. 2 Nr. 2 TTDSG nur dann vor, wenn der Einsatz von Cookies unbedingt erforderlich ist, um die Website oder App selbst oder einen darin eingebundenen Dienst (der Informationsgesellschaft) bereitzustellen, soweit dies vom Nutzer ausdrücklich gewünscht wird. Diese Ausnahme wird von den europäischen Aufsichtsbehörden eng ausgelegt. Der Einsatz von Cookies für verhaltensbasierte Werbung wird sich daher voraussichtlich nicht durch § 25 Abs. 2 Nr. 2 TTDSG rechtfertigen lassen.

Relevanz kommt § 25 Abs. 2 Nr. 2 TTDSG vor allem in den Fällen zu, in denen der Einsatz von Cookies technisch erforderlich ist. Wann ein Cookie als technisch erforderlich gilt, ist in Deutschland noch nicht abschließend geklärt. Nach einer älteren Ansicht der Art. 29-Datenschutzgruppe können Cookies beispielsweise technisch erforderlich sein, um eine gewünschte Spracheinstellung zu speichern oder eine Warenkorbfunktion anzubieten. Der deutsche Gesetzgeber hat im Rahmen der Verabschiedung des TTDSG allerdings darauf verzichtet, konkrete Beispiele für eine technische Erforderlichkeit gemäß § 25 lit. 2 Nr. 2 TTDSG zu benennen. Entsprechend muss praktisch im Einzelfall geprüft werden, ob der Zugriff auf Informationen oder das Auslesen von Informationen aus dem Endgerät eines Nutzers wirklich technisch erforderlich ist. Prüfbedarf besteht vor allem auch in Fällen, in denen Informationen vom Endgerät der Nutzer dazu verwendet werden, um den Missbrauch eines Dienstes auszuschließen.

Mit der Einführung des TTDSG steigt außerdem vor allem das Bußgeldrisiko für den unrechtmäßigen Einsatz von Trackingtechnologien, da es für die Behörden erheblich leichter wird, eine bußgeldbewehrte Ordnungswidrigkeit nachzuweisen. Während die Aufsichtsbehörden nach aktuell noch geltender Rechtslage für den Erlass eines Bußgeldes nachweisen müssen, dass es zu einer unrechtmäßigen Verarbeitung von personenbezogenen Daten durch den Website-Betreiber gekommen ist (was sich rein technisch gesehen als ausgesprochen schwierig darstellt), muss die Behörde in Zukunft nur noch belegen können, dass Cookies gesetzt wurden, keine Einwilligung dafür vom Nutzer eingeholt wurde und der o. g. Ausnahmetatbestand nicht einschlägig ist. Entsprechend haben auch diverse andere europäische Aufsichtsbehörden in der Vergangenheit ihre Bußgelder im Zusammenhang mit dem Einsatz von Cookies häufig auf die jeweils nationale Umsetzung der Vorgaben aus der ePrivacy-Richtlinie gestützt (siehe z.B. das Bußgeldverfahren der französischen Aufsichtsbehörden gegen Amazon). Für Verstöße gegen das TTDSG können Bußgelder in Höhe von bis zu 300.000 Euro verhängt werden.

Wir empfehlen daher Website- und App-Betreibern dringend bis Dezember zu überprüfen:

  1. Inwieweit werden auf den Unternehmens-Websites oder Apps Cookies, Pixel, Fingerprints und ähnliche Technologien derzeit noch auf Grundlage berechtigter Interessen nach Art. 6 Abs. 1 lit. f) DSGVO eingesetzt?
  2. Ist für den Einsatz dieser Instrumente zukünftig eine Ausnahmeregelung nach § 25 Abs. 2 TTDSG einschlägig?
  3. Kann in den Fällen, in denen die Ausnahme nach § 25 Abs. 2 TTDSG nicht anwendbar ist, ab Dezember 2021 eine Nutzereinwilligung für den Zugriff auf das Endgerät der Nutzer eingeholt werden?
Rechtsanwalt, Senior Associate
Philip Schweers
Rechtsanwalt, Senior Associate
Philip Schweers

Zurück

News

Konkretes vom EuGH zum immateriellen Schadenersatz bei Weitergabe intimer Informationen – nur 2.000 EUR Schadenersatz zugesprochen

In der Praxis stellt sich häufig die Frage, in welchen Fällen und in welcher Höhe ein Anspruch auf Ersatz eines immateriellen Schadens bei unzulässigen Datenverarbeitungen besteht. In Deutschland existieren bereits massenhaft Urteile aus verschiedenen Rechtsbereichen hierzu. Jedoch gibt es bislang keine konkreten Aussagen des EuGH zur Höhe eines Schadenersatzanspruchs.

Erneute Auszeichnung durch Legal 500 Deutschland: Dr. Carlo Piltz einer der führenden Namen im Datenschutzrecht

Das dritte Jahr in Folge wurde Dr. Carlo Piltz in der aktuellen Ausgabe des The Legal 500 Germany als einer der führenden Namen im Datenschutz erwähnt.

EuGH-Urteil: Haftung des Verantwortlichen für den Auftragsverarbeiter – was gilt es zu beachten?

Mit der Entscheidung zur Rechtssache C-683/21 (Covid-App Litauen) hat der EuGH am 5. Dezember 2023 ein wichtiges Urteil gefällt, in dem es neben der Frage der Verantwortlichkeit auch um die (Bußgeld)Haftung des Verantwortlichen für den Auftragsverarbeiter geht. Letzteren Aspekt möchten wir in diesem Beitrag genauer darstellen.

Entscheidungen des EuGH zum immateriellen Schadensersatzanspruch und der Geeignetheit von technischen und organisatorischen Maßnahmen

Der EuGH hat am 14. Dezember 2023 zwei maßgebliche Entscheidungen getroffen, die zum einen die Anforderungen an die technischen und organisatorischen Maßnahmen (TOMs) im Sinne von Art. 32 DSGVO und zum anderen die Anforderungen zur Geltendmachung von immateriellen Schadenersatzansprüchen gemäß Art. 82 DSGVO betreffen.

FAQ: Entscheidung des Europäischen Gerichtshofs zur Verhängung von Bußgeldern nach der DSGVO (C-807/21)

FAQ: Entscheidung des Europäischen Gerichtshofs zur Verhängung von Bußgeldern nach der DSGVO (C-807/21)

  1. Worum ging es (Kurzfassung)?

Der Europäische Gerichtshof (EuGH) hat mit Urteil vom 5.12.2023 (C-807/21) die Vorlagefragen des Kammergerichts Berlin (KG) in Bezug auf das im Oktober 2019 durch die Berliner Aufsichtsbehörde verhängte Bußgeld iHv. 14,5 Millionen Euro gegen die Deutsche Wohnen SE beantwortet

Europäischer Datenschutzausschuss: neue (strenge) Leitlinien zum technischen Anwendungsbereich der "Cookie-Vorgaben" (§ 25 TTDSG)

Der Europäische Datenschutzausschuss (EDSA) hat am 15.11.2023 eine Leitlinie zum technischen Anwendungsbereich von Art. 5 (3) der Datenschutzrichtlinie für die elektronische Kommunikation veröffentlicht. Die Leitlinie soll klarstellen, welche Trackingtechnologien von der ePrivacy-Richtlinie (ePrivacyRL) konkret erfasst und damit grundsätzlich einwilligungsbedürftig sind. In Deutschland wurden die Anforderungen der ePrivacyRL in § 25 TTDSG umgesetzt.