News
Neue Vorgaben für Anbieter von Telemedien ab Dezember 2021 – Handlungsbedarf u. a. bei Website- und App-Betreibern
Ab dem 1. Dezember 2021 gilt für alle Anbieter von Telemedien das Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG). Das Gesetz ist u. a. auf Betreiber von Websites und Apps anwendbar.
Das TTDSG setzt die europäischen Vorgaben aus der ePrivacy-Richtlinie in das deutsche Recht um und hat damit auch erhebliche Auswirkungen darauf, wann und unter welchen Umständen Website- und App-Betreiber Cookies und vergleichbare Technologien (d. h. Instrumente, die auf das Endgerät zugreifen, um Zugang zu Informationen zu erlangen, oder die Nutzeraktivität zurückverfolgen können) einsetzen dürfen.
Konkret wird es gemäß § 25 Abs. 2 TTDSG in Zukunft nur in streng geregelten Ausnahmefällen möglich sein, Cookies, Pixel, Fingerprints und ähnliche Trackingtechnologien ohne Einholung einer Einwilligung einzusetzen. Grundsätzlich sieht das TTDSG nach § 25 Abs. 1 TTDSG vor, dass für jeden Zugriff auf ein Endgerät der Nutzer (z.B. deren Smartphone oder Computer) eine individuelle Einwilligung eingeholt werden muss und zwar unabhängig davon, ob personenbezogene Daten verarbeitet werden oder nicht. Während es nach Auffassung der Datenschutzaufsichtsbehörden z.B. bislang möglich war, den Einsatz von Cookies zur Reichweitenmessung (also für Zwecke der statistischen Analyse) auf berechtigte Interessen nach Art. 6 Abs. 1 lit. f) DSGVO zu stützen, ist noch offen, ob mit Geltung des TTDSG hierfür eine Einwilligung eingeholt werden muss.
Eine Ausnahme für die Einholung einer Einwilligung sieht das TTDSG gemäß § 25 Abs. 2 Nr. 2 TTDSG nur dann vor, wenn der Einsatz von Cookies unbedingt erforderlich ist, um die Website oder App selbst oder einen darin eingebundenen Dienst (der Informationsgesellschaft) bereitzustellen, soweit dies vom Nutzer ausdrücklich gewünscht wird. Diese Ausnahme wird von den europäischen Aufsichtsbehörden eng ausgelegt. Der Einsatz von Cookies für verhaltensbasierte Werbung wird sich daher voraussichtlich nicht durch § 25 Abs. 2 Nr. 2 TTDSG rechtfertigen lassen.
Relevanz kommt § 25 Abs. 2 Nr. 2 TTDSG vor allem in den Fällen zu, in denen der Einsatz von Cookies technisch erforderlich ist. Wann ein Cookie als technisch erforderlich gilt, ist in Deutschland noch nicht abschließend geklärt. Nach einer älteren Ansicht der Art. 29-Datenschutzgruppe können Cookies beispielsweise technisch erforderlich sein, um eine gewünschte Spracheinstellung zu speichern oder eine Warenkorbfunktion anzubieten. Der deutsche Gesetzgeber hat im Rahmen der Verabschiedung des TTDSG allerdings darauf verzichtet, konkrete Beispiele für eine technische Erforderlichkeit gemäß § 25 lit. 2 Nr. 2 TTDSG zu benennen. Entsprechend muss praktisch im Einzelfall geprüft werden, ob der Zugriff auf Informationen oder das Auslesen von Informationen aus dem Endgerät eines Nutzers wirklich technisch erforderlich ist. Prüfbedarf besteht vor allem auch in Fällen, in denen Informationen vom Endgerät der Nutzer dazu verwendet werden, um den Missbrauch eines Dienstes auszuschließen.
Mit der Einführung des TTDSG steigt außerdem vor allem das Bußgeldrisiko für den unrechtmäßigen Einsatz von Trackingtechnologien, da es für die Behörden erheblich leichter wird, eine bußgeldbewehrte Ordnungswidrigkeit nachzuweisen. Während die Aufsichtsbehörden nach aktuell noch geltender Rechtslage für den Erlass eines Bußgeldes nachweisen müssen, dass es zu einer unrechtmäßigen Verarbeitung von personenbezogenen Daten durch den Website-Betreiber gekommen ist (was sich rein technisch gesehen als ausgesprochen schwierig darstellt), muss die Behörde in Zukunft nur noch belegen können, dass Cookies gesetzt wurden, keine Einwilligung dafür vom Nutzer eingeholt wurde und der o. g. Ausnahmetatbestand nicht einschlägig ist. Entsprechend haben auch diverse andere europäische Aufsichtsbehörden in der Vergangenheit ihre Bußgelder im Zusammenhang mit dem Einsatz von Cookies häufig auf die jeweils nationale Umsetzung der Vorgaben aus der ePrivacy-Richtlinie gestützt (siehe z.B. das Bußgeldverfahren der französischen Aufsichtsbehörden gegen Amazon). Für Verstöße gegen das TTDSG können Bußgelder in Höhe von bis zu 300.000 Euro verhängt werden.
Wir empfehlen daher Website- und App-Betreibern dringend bis Dezember zu überprüfen:
- Inwieweit werden auf den Unternehmens-Websites oder Apps Cookies, Pixel, Fingerprints und ähnliche Technologien derzeit noch auf Grundlage berechtigter Interessen nach Art. 6 Abs. 1 lit. f) DSGVO eingesetzt?
- Ist für den Einsatz dieser Instrumente zukünftig eine Ausnahmeregelung nach § 25 Abs. 2 TTDSG einschlägig?
- Kann in den Fällen, in denen die Ausnahme nach § 25 Abs. 2 TTDSG nicht anwendbar ist, ab Dezember 2021 eine Nutzereinwilligung für den Zugriff auf das Endgerät der Nutzer eingeholt werden?
News
OLG Frankfurt: Schmerzensgeld bei Cookie-Einsatz ohne Einwilligung – auch für Drittanbieter
Nach § 25 Abs. 1 TDDDG müssen Websitebetreiber grundsätzlich eine Einwilligung vom Nutzer einholen, wenn sie eigene oder Cookies von Drittanbietern einsetzen. Die Einwilligung wird über Cookie-Banner eingeholt, in denen Nutzer über den Einsatz der Cookies umfassend informiert werden müssen. Die konkrete Ausgestaltung der Banner und ob die Informationen ausreichend sind, um eine wirksame Einwilligung in das Speichern und die anschließende Verarbeitung personenbezogener Daten einzuholen, waren bereits Gegenstand zahlreicher Gerichtsentscheidungen. Nun hat sich das OLG Frankfurt (Urteil vom 11.12.2025 – Az. 6 U 81/23) in einem Fall mit der Haftung für eine nicht eingeholte Einwilligung beschäftigt und den Drittanbieter zu einem Unterlassen und Zahlung von Schadensersatz i.H.v. 100 EUR gegenüber dem Nutzer verurteilt.
Umsetzung von Risikomanagementmaßnahmen im Zusammenhang mit der NIS-2-Richtlinie und Rückgriff auf Maßnahmen nach Art. 32 DSGVO
Die Umsetzung der Risikomanagementmaßnahmen nach der NIS-2-Richtlinie und dem BSIG als Umsetzungsgesetz scheint für viele betroffene Organisationen im ersten Moment herausfordernd. Dies liegt häufig daran, dass die eher abstrakt wirkenden Vorgaben wie z.B. „Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen, einschließlich Management und Offenlegung von Schwachstellen“ Organisationen abschrecken, da nicht auf Anhieb erkennbar ist, was konkret zu tun ist.
NIS-2: Pflicht zur Benennung eines Vertreters für Einrichtungen im Drittland
Im Anwendungsbereich der NIS-2-Richtlinie (NIS-2-RL) kann es zu Situationen kommen, in denen Anbieter bestimmter NIS-2-relevanter Dienste, wie etwa ein Managed Service Provider, seinen Sitz ausschließlich in einem Drittland hat, jedoch Dienste innerhalb der EU anbietet. Der territoriale Anwendungsbereich ist nach Art. 2 Abs. 1 NIS-2-RL eröffnet, sobald ein Unternehmen einen Dienst in der EU erbringt oder dort Tätigkeiten ausübt. Art. 26 NIS-2-RL konkretisiert diesen Anwendungsbereich dahingehend, dass grundsätzlich der Mitgliedstaat und damit dessen jeweiliges Umsetzungsgesetz für eine Einrichtung anwendbar ist, in dem die Einrichtung niedergelassen ist. Hierzu haben wir bereits einen Beitrag verfasst.
Territorialer Anwendungsbereich von NIS-2 – Wann gilt das BSIG für Managed Service Provider (MSP) aus Drittländern?
In einem früheren Beitrag haben wir uns mit der Frage auseinandergesetzt, wer nach dem geänderten Gesetz über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen (BSI-Gesetz - BSIG) als Managed Service Provider (MSP) oder Managed Security Service Provider (MSSP) einzuordnen ist. Ist also ein Unternehmen eines Unternehmensverbundes zentral für den Betrieb der IT des Verbundes zuständig, kann es als MSP und damit als wichtige oder besonders wichtige Einrichtung i. S. v. § 28 Abs. 1 Nr. 4 und / oder § 28 Abs. 2 Nr. 3 BSIG einzuordnen sein – sofern es in den Anwendungsbereich des BSIG fällt.
Der CRA – Was sollten Unternehmen 2026 und darüber hinaus beachten?
Der Cyber Resilience Act (CRA) zielt darauf ab, dass auf dem europäischen Markt bereitgestellte Produkte mit digitalen Elementen ein einheitliches Cybersicherheitsniveau aufweisen. Zu diesem Zweck legt der CRA Pflichten für sämtliche Wirtschaftsakteure der Produktlieferkette fest, insbesondere für den Hersteller, aber auch für die Händler von Produkten mit digitalen Elementen.
Bestandskundenwerbung (nur) nach UWG: EuGH-Entscheidung Inteligo Media
Der EuGH hat in der Rechtssache C-654/23 (Inteligo Media) klargestellt, dass bei Bestandskundenwerbung nach Art. 13 Abs. 2 ePrivacy-RL die Rechtmäßigkeitsvoraussetzungen des Art. 6 Abs. 1 DSGVO nicht zur Anwendung kommen. Damit weicht das Urteil von der bislang vielfach vertretenen Behördenpraxis ab. Zugleich erweitert der EuGH durch seine Auslegung des Begriffs „Verkauf“ den Anwendungsbereich der Bestandskundenausnahme.