Datenschutz

So wird das TTDSG den Consent verändern

Die Bundesregierung sieht mit dem Telekommunikations-Telemedien-Datenschutzgesetz Änderungen am deutschen Datenschutz vor. Ein Vergleich, wie sich der Consent dadurch verändern wird.

André Koegler
Performance Consultant
veröffentlicht am 19.03.2021

Die Bundesregierung sieht mit dem Telekommunikations-Telemedien-Datenschutzgesetz Änderungen am deutschen Datenschutz vor. Ein Vergleich, wie sich der Consent dadurch verändern wird.

Der folgende Text ist Teil 2 / 3 aus unserer easy.MARKETING-Reihe zum Entwurf des  Telekommunikation-Telemedien-Datenschutzgesetzes in Deutschland. In dieser Reihe bearbeiten wir den Ursprung, die Auswirkungen und mögliche Lösungsansätze für Affiliate- und Online-Marketer. In diesem Teil geht es darum, wie der Consent momentan eingeholt und was sich noch ändern wird. Teil 1 ist hier nachzulesen.

Stellen Sie sich vor, Sie sind zu einer Veranstaltung mit Dresscode eingeladen worden. Auf der Einladung steht “bitte in Abendgarderobe erscheinen”, aber auf der aktuellen Internetseite des Events ist eine “freie Kleiderwahl” ausgeschrieben. Nun gibt es zwei vermeintliche Regeln für ein und dieselbe Sache – aber welche ist nun die richtige? Vor einem ähnlichen Dilemma stehen Online-Marketer sowie Webseiten- und Shopbetreiber an manchen Stellen in Punkto Datenschutz. Hier gibt es viele Regularien und Gesetze, die zu Rechtsunsicherheiten führen.

Aus diesem Grund hat sich der Gesetzgeber vorgenommen, mit dem Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG) etwas Licht in den Paragrafen-Dschungel zu bringen. Das TTDSG verfolgt das Ziel, die bestehenden Rechtsunsicherheiten durch die bisher bestehenden Gesetze aufzuheben. Namentlich zu nennen sind hier die Datenschutz-Grundverordnung sowie das Telekommunikations-Gesetz (TKG) und das Telemedien-Gesetz (TMG). Die letzten beiden sollen im neuen TTDSG zusammengeführt werden, das ab September 2021 in Kraft treten soll.

Die parallelen Datenschutz-Bestimmungen, die im TKG und TMG niedergeschrieben sind, werden mit dieser Änderung aufgehoben und im neuen Telekommunikations-Telemedien-Datenschutzgesetz zusammengeführt. Das soll im Endergebnis für mehr Rechtsklarheit sorgen und einen wirksamen Datenschutz und Schutz der Privatsphäre von Endnutzern gewährleisten.

Info: Beim Oberthema “Datenschutz” muss man immer in zwei Kategorien differenzieren: Dem klassischen Datenschutz, also der Frage nach dem Speicherort der Daten, der Speicherart und der Weiterverarbeitung von Daten. Das andere ist der “Userschutz” oder auch der Schutz der Privatsphäre des Nutzers. Also welche Daten wann überhaupt gespeichert werden dürfen.

Consent = Einverständnis : Der Ist-Status

Damit die Privatsphäre von Nutzern geschützt wird und sie selbst entscheiden können, welche Daten sie teilen möchten, gibt es auf jeder Webseite die bekannten Consent-Banner. Was aber darf nun ohne die Zustimmung der Nutzer erhoben werden und wofür benötige ich auf jeden Fall den “positiven Consent”? Dieser Teil des Daten- und Userschutzes ist in Deutschland größtenteils über die DSGVO geregelt. Art. 6 Abs. 1 DSGVO nennt uns sechs Rechtsgrundlagen, auf welchen die Verarbeitung von personenbezogenen Daten gestützt werden kann. Die wohl bekannteste davon ist das sogenannte “berechtigte Interesse” oder auch “legitimes Interesse” (Art. 6 Abs. 1 lit. f DSGVO), auf die sich viele Online- und Affiliate-Marketer berufen.

Beim Begriff des “berechtigten Interesses” handelt es sich um einen nicht näher bestimmten Rechtsbegriff. Was genau sich hinter dem berechtigten Interesse der DSGVO verbirgt und wie es auszulegen ist, erklären wir in diesem Artikel.

Was darf mit dem TTDSG noch gespeichert werden?

Sollte das TTDSG in seinem jetzigen Entwurf durchgesetzt werden, müssen Shop- und Webseitenbetreiber zukünftig einige Anpassungen an ihren Consent-Einstellungen vornehmen. In § 24 TTDSG ist eine Neuregelung zum Einsatz von Cookies und vergleichbaren Kategorien (beispielsweise dem Local Storage) vorgesehen. Der Wortlaut im neuen Gesetz ist grundlegend technikneutral und spricht vom Speichern und Abrufen von Informationen auf den jeweiligen Endeinrichtungen der Nutzer. Zu unserem Leidwesen ist das “berechtigte Interesse” allerdings kein Bestandteil mehr in den neuen Formulierungen – es wurde kurzerhand komplett aus dem Gesetzentwurf gestrichen. Durch diese Neuregelung soll ein wirksamerer, aber vor allem leichter zu handhabender Daten- und Userschutz gewährleistet werden. Da der Gesetzgeber das berechtigte Interesse, welches wir aus der DSGVO kennen, im TTDSG nicht mehr berücksichtigt, gibt es keinen Spielraum mehr: Nun liegt die gesamte Entscheidungsgewalt beim Nutzer. Ein OptOut, das es beim TMG und TKG noch gab, ist nicht mehr möglich, das OptIn wird zur Pflicht.

Welche Cookies dürfen gespeichert werden und welche nicht? Eine Ausnahme von dieser Regelung sind weiterhin Cookies, die erforderlich für die zu erwartenden Leistung der Website sind. In einem Onlineshop müssen Cookies gesetzt werden, da sonst beispielsweise der Warenkorb nicht funktioniert. Ein Cookie, dass die Vergütung für einen Affiliate-Sale regelt, ist hingegen nicht für die Shopfunktion notwendig.

So sieht der TTDSG-Consent aus

Die neue Regelung setzt also auf das grundsätzliche Einwilligungserfordernis, welches wir aus Art. 5 Abs. 3 S.1 der ePrivacy-Richtlinie kennen. Der Gesetzgeber setzt mit dem TTDSG also stellenweise die ePrivacy-Richtlinie nun in deutsches Recht um. Auch die Ausnahmen aus der ePrivacy-Richtlinie werden fast im genauen Wortlaut umgesetzt. Ein großer Unterschied zur ePrivacy-Richtlinie ist, dass der Gesetzgeber von “Endeinrichtungen” und nicht von “Endgeräten” eines Nutzers spricht. Zusammengefasst beschreibt dieser Wortlaut sozusagen jedes Gerät mit einer Internetverbindung. Durch diese Anpassung soll nicht nur die Kommunikation im Internet oder die klassische Telefonie geregelt werden, sondern der Gesetzgeber reguliert dadurch auch den Daten- und Userschutz im IoT (Internet of things) bei an das öffentliche Kommunikationsnetz angeschlossenen Endeinrichtungen (z.B. SmartHome-Produkte). 

Dadurch, dass im TTDSG das berechtigte Interesse wegfällt und fortan grundsätzlich die Einwilligung des Nutzers eingeholt werden muss, müssen erstmal alle nicht betriebsnotwendigen Cookies hinter dem Consent verschwinden. Die meisten Tracking-Cookies oder Analystetools wie GoogleAnalytics, die umfangreiche Nutzerprofile erstellen, müssen ohnehin seit dem Planet49 Urteil aus Mai 2020  schon hinter dem Consent verschwinden. 

Durch das TTDSG müssen sich Affiliate-Marketer nun darüber Gedanken machen, wie sie in Zukunft die Sales tracken können um ihre Geschäftspartner angemessen zu vergüten. Da die “Vergütungs-Cookies” nicht notwendig für den Betrieb einer Webseite sind, müssen diese offiziell auch erstmal hinter dem Consent verschwinden. Das kann aber nicht die Lösung sein, weil dann der gesamten Affiliate-Branche die Geschäftsgrundlage entzogen wird und die Vergütung von Geschäftspartnern davon abhängt, ob die Nutzer ihre Einwilligung für den Consent gegeben haben. Hier müssen Lösungen ausgearbeitet werden, wie damit umzugehen ist. Wenn wir in ein Reisebüro gehen und dort eine Reise buchen, dann bekommt das Reisebüro als Geschäftspartner eine Provision vom Reiseveranstalter, bei dem die Reise gebucht wurde. Wenn wir das TTDSG auf diesen Offline-Fall reproduzieren, hängt die Provision nun davon ab, ob wir als Kunde beim überschreiten der Türschwelle eine Unterschrift unter ein Dokument setzen, das für uns weder Vor- noch Nachteile bietet und absolut freiwillig ist – ohne zu wissen, dass die Lebensgrundlage des Reisebüros von unserer Unterschrift abhängt.

Rechtsgültigkeit des Consents

Wenn für die Verarbeitung personenbezogener Daten eine Einwilligung erforderlich ist, so wie es durch das TTDSG in Zukunft bei fast allem der Fall ist, müssen bestimmte Bedingungen erfüllt sein, damit die gegebene Einwilligung auch rechtsgültig ist. Die Europäische Kommission legt diese Bedingungen fest:

Die Einwilligung muss:

  • freiwillig erfolgen
  • in informierter Weise geschehen
  • für einen bestimmten Zweck gegeben werden
  • auf alle Gründe für die Verarbeitung muss unmissverständlich hingewiesen werden;
  • ausdrücklich sein und durch eine bestätigende Handlung erfolgen (zum Beispiel ein OptIn, mit dem TTDSG ist ein OptOut nicht mehr zulässig!)
  • eine klare und einfache Sprache nutzen und eindeutig wahrnehmbar sein
  • widerrufbar sein und die Möglichkeit des Wiederrufs wird erklärt (z.B. wie der Abmeldelink am Ende eines Newsletters)

Damit die Einwilligung des Nutzers als freiwillig gilt, muss die Person die freie Wahl haben und dazu in der Lage sein, die Einwilligung zu verweigern oder auch zurückzuziehen, ohne das die Person dadurch einen Nachteil erleidet. 

Nicht freiwillig erfolgt eine Einwilligung zum Beispiel, wenn ein Unternehmen als Bedingung für die Erfüllung eines Vertrages oder einer Dienstleistung zur Einwilligung in die Verarbeitung nicht erforderlicher personenbezogener Daten auffordert.

Dazu gibt es zusätzlich noch die Einwilligung in informierter Weise. Diese trifft zu, wenn die Person mindestens folgende Informationen erhalten hat:

  • die Zwecke für die Datenverarbeitung
  • die Art der verarbeiteten Daten
  • die Identität der Organisation, die für die Datenverarbeitung verantwortlich ist
  • wie die Einwilligung zu widerrufen ist
  • falls zutreffend: Die Absicht, dass die Daten ausschließlich für eine automatisierte Entscheidungsfindung einschließlich des Profilings verwendet werden

Wenn sich die Einwilligung auf eine internationale Datenübermittlung bezieht, muss auf die möglichen Risiken von Datenübermittlungen in Drittländer, die nicht Gegenstand eines Angemessenheitsbeschlusses der Kommission sind, hingewiesen werden. Wenn eine Person der Verarbeitung ihrer personenbezogenen Daten zugestimmt hat, dann dürfen Sie die Daten nur für die Zwecke verarbeiten, zu denen die Einwilligung erfolgt ist.

Beispiele für freiwillige und nicht freiwillige Einwilligung

So sieht eine freiwillige Einwilligung aus

Die easy.AIRLINE gibt in ihrer Datenschutzerklärung an, dass personenbezogene Daten von Kunden für ein durch die easy.AIRLINE organisiertes Gewinnspiel verarbeitet werden können, bei dem 10.000 kostenlose Flugmeilen zu gewinnen sind. Personen, die via OptIn in einem Kontrollkästchen zugestimmt haben, um am Gewinnspiel teilzunehmen, haben sich eindeutig einverstanden damit erklärt, dass die personenbezogenen Daten zum Zwecke dieses Gewinnspiels verarbeitet werden dürfen. Die Einwilligung ist nur zur Datenverarbeitung dieses Gewinnspiels zugelassen, für andere Zwecke ist die Weiterverarbeitung nicht gestattet.

Eine nicht freiwillige Einwilligung könnte wie folgt aussehen

Das Unternehmen easy.FLIXPRIME bietet Filmdienste über das Internet an. Bei der Datenerhebung für den Vertragsabschluss erfragen Sie auch weitere Daten, wie die politische Einstellung einer Person. Diese könnte nun der Auffassung sein, dass ihre Einwilligung in die Verarbeitung dieser Art von Daten für den Zugang zu den gewünschten Filmen erforderlich ist. Die Einwilligung erfolgt hier nicht freiwillig, sondern es handelt sich um eine „gebundene Einwilligung“.

ePrivacy frühestens 2023?

Während in Deutschland am Telekommunikation-Telemedien-Datenschutzgesetz gearbeitet wird, wird auf europäischer Ebene weiterhin am Erlass der ePrivacy-Verordnung gearbeitet. Diese Regelung würde § 24 des TTDSG sozusagen verdrängen und überschreiben. Der endgültige Wortlaut der Verordnung wird demnächst in den sogenannten Trilog-Gesprächen zwischen dem Europarat und Europaparlament auf Basis des portugiesischen Entwurfs ausgehandelt. Die endgültige Fassung der ePrivacy-Verordnung würde 20 Tage nach ihrer Veröffentlichung in Kraft treten, aber erst zwei Jahre später Anwendung finden. Bis 2023 wird das TTDSG uns in Deutschland also auf jeden Fall begleiten. Vorher ist mit der ePrivacy nicht zu rechnen.

Da die Verordnung also definitiv später in Kraft treten wird als das TTDSG, sind vor allem Affiliate-Marketer gezwungen, sich nach technischen Alternativen umzusehen. In Teil 3 unserer Serie zum TTDSG werden wir auf die technischen Möglichkeiten eingehen, wie sich die Branche auf die Gesetzesänderung vorbereiten kann. Unsere Datenschutz- und Tracking-Experten von easy.MARKETING beraten Sie bei Fragen gerne auch individuell.