TTDSG – was ändert sich durch das neue Datenschutz-Gesetz?
Zuletzt aktualisiert am 14.04.2022 (Hinweis auf Matomo 4.7.0)
Am 01. Dezember ist das Telekommunikation-Telemedien-Datenschutz-Gesetz in Kraft getreten. Mit dem TTDSG werden einige Richtlinien der DSGVO verschärft und Grauzonen geschlossen. Wir erklären, was es mit dem Gesetz auf sich hat und für wen jetzt Handlungsbedarf besteht.
Achtung: Wir sind keine Juristen und dieser Artikel stellt keine Rechtsberatung dar.
Was steht im TTDSG?
Das TTDSG ersetzt in Teilen das alte Telemediengesetz und ergänzt dieses um Formulierungen, die besser auf aktuelle Technologien anwendbar sind. Für Website-Betreiber ist insbesondere § 25 zum "Schutz der Privatsphäre bei Endeinrichtungen" wichtig. Dieser spezifiziert, dass nicht nur die Speicherung von Informationen auf einem Endgerät (d.h. Cookies) zustimmungspflichtig ist, sondern auch der "Zugriff auf bereits vorhandene Informationen". Zwischen den Zeilen betrifft das insbesondere das sog. Fingerprinting – eine Methode zur Identifizierung von Benutzern, die ohne Cookies auskommt. Wie schon in der DSGVO gibt es Ausnahmen: Cookies und Zugriff auf Browser-Daten sind nach wie vor erlaubt, wenn diese technisch erforderlich oder explizit zur Bereitstellung von Telekommunikationsdiensten unabdingbar sind.
Auch möchte das Gesetz gegen aufdringliche und nicht rechtskonforme Cookie-Banner vorgehen. In Zukunft sollen Privatsphäre-Einstellungen an zentraler Stelle getroffen werden können, statt diese auf jeder Website individuell zu wiederholen. Hier wird aber noch eine entsprechende Verordnung abgewartet, die 2022 folgen soll. Und bis diese Vorgabe technisch umsetzbar ist, könnten noch Jahre vergehen.
Exkurs: Unterschied zwischen DSGVO und TTDSG
Die Datenschutz-Grundverordnung (DSGVO) ist seit 2018 geltendes Recht, als EU-Verordnung war sie damit sofort in allen Mitgliedsstaaten anwendbar. Das TTDSG ist hingegen ein deutsches Gesetz, das die ePrivacy-Richtlinie der EU in nationales Recht umsetzt. Im Gegensatz zu EU-Verordnungen (wie die DSGVO) sind Richtlinien in den Mitgliedsstaaten erst dann anwendbar, wenn sie in nationales Recht umgesetzt ist. Das ist jetzt mit dem TTDSG in Deutschland erfolgt.
Was muss ich jetzt tun?
Ob sich aus dem TTDSG Handlungsbedarf für Website-Betreiber ergibt, hängt davon ab, wie bisher mit privaten Daten der Benutzer umgegangen wurde. Bereits die DSGVO hat eine aktive Zustimmungspflicht für die Erfassung privater Daten und implizit auch für Tracking-Cookies vorgesehen. Wenn diese Pflicht im Sinne der Benutzer umgesetzt wurde, ändert sich durch das neue Gesetz nicht viel. Insbesondere betrifft das externe Services und Tracking-Tools wie Google Analytics. Diese müssen beim ersten Besuch der Website ausgeschaltet sein und dürfen erst nach aktiver Zustimmung des Besuchers aktiviert werden. Die entsprechende Consent-Oberfläche sollte verständlich und übersichtlich gestaltet sein und eine gut zugängliche Möglichkeit bieten, den Einsatz von Tracking-Tools abzulehnen. Nicht notwendig ist die Zustimmung bei technisch erforderlichen Cookies – die Ausnahme für diese in der DSGVO findet sich auch im TTDSG.
Wenn hingegen bisher schon jedes Schlupfloch und jede Grauzone genutzt wurde, um weiterhin Benutzerdaten ohne Einwilligung zu sammeln, sind jetzt Änderungen angesagt. Insbesondere davon betroffen sind invasive Tracker, die Besucher mittels Fingerprinting über mehrere Browser-Sessions eindeutig identifizieren können. Diese setzen keine Cookies ein und befanden sich damit hinsichtlich der DSGVO in einer Grauzone. Das TTDSG stellt jetzt klar, dass auch dieser Einsatz zustimmungspflichtig ist.
Exkurs: TTDSG und Matomo
Als datenschutzfreundliche Alternative zu Google Analytics empfehlen wir das Open-Source-Tool Matomo. Entsprechend konfiguriert kommt Matomo ohne Cookies aus, anonymisiert IP-Adressen und erfasst keine privaten Daten. Es nutzt lediglich ein sehr begrenztes Set an Browser-Eckdaten, um Sessions zu identifizieren. Diese Daten werden auf dem Server anonymisiert und die Zuordnung von Seitenaufrufen zu Sessions erfolgt nur innerhalb eines Zeitfensters von 30 Minuten.
Unserer Ansicht nach ist dieser Ansatz mit dem TTDSG vereinbar: Die Fingerprinting-Tools, auf die es das TTDSG abgesehen hat, verwenden aufwendige technische Verfahren und Hacks, um kleinste Unterschiede zwischen Browser- und Geräte-Daten auszulesen und Besucher somit über einzelne Sessions hinweg tracken zu können. Auf solche perfiden Methoden zielt § 25 des TTDSG ab und unterbindet diese. Matomo hingegen verwendet nur sehr allgemeine Browser-Eckdaten wie die Bildschirmgröße und die unterstützten Medien-Formate. Ob diese Nutzung unter den "Zugriff auf gespeicherte Informationen" gemäß § 25 TTDSG fällt, ist letztliche eine Auslegungsfrage. Unserer Meinung nach findet diese Formulierung keine Anwendung, da nur allgemeine, unspezifische Merkmale erfasst werden deren Nutzung durch Website-Betreiber vorgesehen ist und für die der Browser entsprechende Schnittstellen bietet. Und mit dieser Meinung sind wir nicht allein.
Update: Seit Version 4.7.0 gibt es in Matomo die Möglichkeit, auch die rudimentäre Browser-Erkennung zu deaktivieren. Damit findet kein "Zugriff auf Informationen" nach § 25 mehr statt und Matomo kann bedenkenlos eingesetzt werden. Weitere Informationen finden Sie hier.
Der pragmatische Ansatz
DSGVO, TTDSG, TMG … genug Abkürzungen, um einen ganzen Fanta-4-Song zu füllen. Vielleicht möchten Sie sich nicht ständig mit Datenschutz beschäftigen und haben auch eigentlich kein Interesse daran, private Daten von Nutzern zu erfassen. Uns geht es da ganz ähnlich – deswegen empfehlen wir bei unserer Arbeit einen pragmatischen Ansatz. Dieser besteht aus wenigen Grundpfeilern:
- Privacy first. Es ist kein Problem, eine Website zu bauen, die keine privaten Daten sammelt und keine Tracking-Cookies setzt. Es geht auch ohne Google Analytics.
- Geht es auch datenschutzfreundlich? Ganz ohne externe Services und Tools kommt man häufig nicht aus. Ein gutes Beispiel sind die kostenlosen Google Fonts. Diese werden standardmäßig von Google-Servern geladen, was es Google ermöglicht, Benutzerdaten zu sammeln. Wenn man sich des Problems bewusst ist, ist die Lösung aber einfach: Die Fonts werden auf dem eigenen Server gehostet. Somit vermeidet man die Verbindung zu Google und umgeht das Problem komplett.
- Im Zweifelsfall: Zustimmung einholen. Wenn es einen guten Grund gibt, externe Services einzusetzen, fragen wir vorher die Zustimmung des Benutzers ab – über ein Interface, in dem die Optionen "Akzeptieren" und "Ablehnen" gleichberechtigt und gut erreichbar sind. Das betrifft zum Beispiel eingebettete YouTube-Videos und Google Analytics. So ist es den Besuchern überlassen, welche Services und welche Daten-Weitergabe für sie akzeptabel sind – und welche nicht.
Quellen und weiterführende Links
- Vollständiger Text des TTDSG (dsgvo-gesetz.de, zuletzt abgerufen am 02. Dezember 2021)
- Neues Datenschutz-Gesetz – Das Ende des Cookie-Wahnsinns? (Tagesschau, zuletzt abgerufen am 02. Dezember 2021)
Das TTDSG - Neue Regelungen zum Einsatz von Cookies und vergleichbaren Technologien (datenschutz-hamburg.de, zuletzte abgerufen am 02. Dezember 2021)
Sie haben Fragen zu diesem komplexen Thema oder sind sich unsicher, ob ihr aktueller Webauftritt "alles richtig macht"? Einfach kurz fragen …