Mit der Einführung des TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz) wurden die zahlreichen deutschen und europäischen Datenschutzbestimmungen vereinheitlicht. Nutzer/innen müssen jedoch Einiges beachten und konkrete Forderungen umsetzen, um im Einklang mit dem Gesetz zu sein. In unserem Artikel erfahren Sie, was das TTDSG ist, für wen es gilt und welche Regelungen es enthält. Zudem beleuchten wir die größte Neuerung genauer: den Umgang mit Cookies. Darüber hinaus erfahren Sie, wie Sie Stripe bei der Einhaltung des TTDSG unterstützen kann und welche Strafen bei Nichteinhaltung drohen.
Worum geht es in diesem Artikel?
- Was ist das TTDSG?
- Für wen gilt das TTDSG?
- Wie regelt das TTDSG den Umgang mit Cookies?
- Welche weiteren wesentlichen Regelungen enthält das TTDSG?
- Welche Strafen drohen bei Nichteinhaltung des TTDSG?
- Wie hilft Stripe bei der Einhaltung des TTDSG?
Was ist das TTDSG?
TTDSG steht für das Telekommunikation-Telemedien-Datenschutz-Gesetz, das am 1. Dezember 2021 in Deutschland in Kraft getreten ist. Der volle Name des Bundesgesetzes lautet „Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien”. Das TTDSG erleichtert als einheitliches Gesetz die Rechtsanwendung und schafft Rechtsklarheit, da es die bis dato bestehenden datenschutzrechtlichen Vorschriften auf nationaler und europäischer Ebene zusammenfasst und vereinheitlicht: das Telekommunikationsgesetz (TKG), das Telemediengesetz (TMG), die Datenschutzgrundverordnung (DSGVO) sowie die Datenschutzrichtlinie für elektronische Kommunikation (Richtlinie 2002/58/EG, auch „ePrivacy-Richtlinie” genannt). Das Gesetz gewährleistet einen fairen Ausgleich zwischen den Interessen der Nutzer/innen digitaler Dienste und den Interessen der Unternehmen
Das primäre Ziel des TTDSG ist der Datenschutz sowie der Schutz der Privatsphäre in der digitalen Welt. Daher sind im TTDSG zahlreiche Vorschriften enthalten wie unter anderem zum Einsatz von Cookies, dem Schutz von Nutzungsdaten, der Verarbeitung personenbezogener Daten von Minderjährigen, dem Fernmeldegeheimnis, dem digitalen Erbe und der Auskunftserteilung über Bestands- und Nutzungsdaten durch Diensteanbieter,
Das TTDSG besteht aus vier Teilen: Teil 1 und 4 regeln die allgemeinen Vorschriften, die Straf- und Bußgeldvorschriften sowie die Aufsicht. Teil 2 enthält die Regelungen für den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation. Teil 3 regelt den Telemediendatenschutz und Endeinrichtungen.
Für wen gilt das TTDSG?
Laut § 2 gilt das TTDSG für alle Anbieter von Telemedien, also „jede natürliche oder juristische Person, die eigene oder fremde Telemedien erbringt, an der Erbringung mitwirkt oder den Zugang zur Nutzung von eigenen oder fremden Telemedien vermittelt.” Der Begriff „Telemedien” wird im TTDSG nicht explizit erläutert, ist aber in § 1 des TMG definiert als „alle elektronischen Informations- und Kommunikationsdienste”. Dies meint vor allem Webseiten, Suchmaschinen, Online-Shops und Mobile-Apps. Ausgenommen sind rein private Anbieter/innen – diese fallen nicht unter das TMG und somit auch nicht unter das TTDSG. Wo die Grenze zum „rein Privaten” verläuft, sollte im Zweifelsfall mit dem Finanzamt geklärt werden. Entscheidend ist hier die Frage, ob das Finanzamt ein Telemedium wie eine Webseite als Einnahmequelle sieht. Das TTDSG betrifft ausnahmslos alle Unternehmen mit Sitz in Deutschland und Unternehmen, die Waren oder Dienstleistungen auf dem deutschen Markt anbieten.
Wie regelt das TTDSG den Umgang mit Cookies?
Eine entscheidende Neuerung des TTDSG im Vergleich zu den bisherigen datenschutzrechtlichen Vorschriften in Deutschland ist der Umgang mit Cookies. Bei Cookies handelt es sich um Daten in Form kleiner Textdateien, die von Webseiten in den Browsern der Nutzer/innen zwischengespeichert werden, sobald eine Internetseite aufgerufen wird. Bei einem späteren Besuch können diese von den Webservern der Betreiber/innen wieder aufgerufen werden. Dadurch wird beispielsweise gewährleistet, dass die richtige Sprache eingestellt ist. Auch bei maßgeschneiderter Werbung oder einer namentlichen Begrüßung sind Cookies im Einsatz, weshalb sie vor allem für Werbetreibende nützlich sind. Cookies können von den Betreiber/innen von Webseiten oder Drittanbieter/innen eingesetzt werden.
In § 25 (Schutz der Privatsphäre bei Endeinrichtungen) legt das TTDSG eindeutig fest, dass Cookies und vergleichbare Techniken wie Fingerprinting oder eine Nachverfolgung über MAC-Adressen nur zulässig sind, wenn die Endnutzer/innen auf Grundlage klarer, umfassender Informationen eingewilligt haben. Unternehmen, die Webseiten betreiben, müssen demnach ausdrücklich nachfragen, inwieweit die Nutzer/innen einer Verarbeitung ihrer personenbezogenen Daten zustimmen. Ausgenommen sind technisch notwendige Cookies, die für die Funktionalität einer Website zwingend erforderlich sind. Für diese muss keine Zustimmung eingeholt werden. Beispiele hierfür sind Cookies für Warenkorbinhalte und Sprachversionen sowie Payment-Cookies und Cookies, die zum Erteilen oder Widerrufen einer Einwilligung genutzt werden.
Unternehmen, die Cookies einsetzen, müssen einen entsprechenden Hinweistext auf ihrer Website platzieren. Dieser muss speziellen rechtlichen Anforderungen genügen, da Aufsichtsbehörden, Verbraucherschutzvereine oder Mitbewerber/innen andernfalls gegen die Unternehmen vorgehen können. Zudem können private Nutzer/innen Schadensersatz geltend machen. Der Cookie-Banner sollte beim Aufrufen der Website gut sichtbar eingeblendet werden und neben einem Hinweistext eine Auswahlmöglichkeit zum Anklicken erhalten. Nutzer/innen müssen entscheiden können, ob sie sämtliche Cookies akzeptieren oder nur die notwendigen. Es ist ebenfalls möglich, die Nutzer/innen selbst die detaillierten Privatsphäre-Einstellungen für spezifische Verarbeitungszwecke und Drittanbieter vornehmen zu lassen.
Um allen rechtlichen Anforderungen gerecht zu werden, sollten Unternehmen genau prüfen, welche Informationen ihr Cookie-Hinweistext enthalten muss. Als grobe Orientierung kann der folgende Beispieltext dienen:
„Wir und unsere Drittanbieter nutzen Cookies und andere Technologien zum Speichern und Abrufen von Informationen auf Nutzergeräten, um persönliche Daten wie IP-Adressen oder Browserdaten zu verarbeiten. Sie können der Verarbeitung Ihrer persönlichen Daten für die unten aufgelisteten Verarbeitungszwecke zustimmen. Alternativ können Sie Ihre bevorzugten Einstellungen selbst vornehmen, bevor Sie zustimmen oder ablehnen. Sie können Ihre Datenschutzeinstellungen jederzeit ändern oder Ihre Einwilligung in den Cookie-Einstellungen widerrufen.”
Als weiteres Beispiel für die Aufbereitung der notwendigen Cookie-Informationen können die Ausführungen auf der Stripe-Website sowie die dortige Cookie-Richtlinie dienen. Entscheidend ist, dass der Cookie-Banner den gesetzlichen Mindestanforderungen entspricht – siehe Checkliste.
Checkliste Cookie-Banner
- Bis zur Einwilligungserteilung müssen Cookies deaktiviert sein.
- Die Einwilligung muss durch die Nutzer/innen selbst aktiv durchgeführt werden – es darf demnach keine Vorauswahl eingestellt sein.
- Der Banner muss mindestens die beiden Buttons „Annehmen” und „Ablehnen” enthalten.
- Die Buttons müssen gleichwertig dargestellt werden. Das heißt, der „Annehmen”-Button darf beispielsweise nicht durch eine grellere Farbe hervorgehoben werden.
- Die Nutzer/innen müssen vollständig informiert werden über den jeweiligen Verarbeitungszweck der einzelnen Tools (die in der Datenschutzerklärung aufzulisten sind), die Anzahl der Anbieter/innen und Tools sowie den Sitz des eingesetzten Tracking-Dienstes, falls dieser nicht innerhalb der EU liegt.
Welche weiteren wesentlichen Regelungen enthält das TTDSG?
Das TTDSG regelt darüber hinaus unter anderem die Sicherheit der Verarbeitung: Anbieter/innen von Telemedien sind verpflichtet, technische und organisatorische Maßnahmen zum Datenschutz zu implementieren. Zudem sollen Kinder und Jugendliche explizit geschützt werden, indem die von ihnen erhobenen Daten zur Sicherstellung einer festgelegten Altersgrenze nicht zu kommerziellen Zwecken verwendet werden dürfen.
Desweiteren dürfen Anbieter/innen von Telemedien auch im Rahmen von behördlichen Ermittlungen nur bestimmte Daten ihrer Nutzer/innen herausgeben. Darüber hinaus finden sich im TTDSG Regelungen zur Vertraulichkeit der Kommunikation (§§ 9 bis 13), zu Verkehrs- und Standortdaten (§§ 14 bis 16) sowie zur Auskunft über die Telefonnummer von unerwünschten Anrufen, die Rufnummernanzeige und -unterdrückung, automatische Anrufweiterschaltung und zu Telefonverzeichnissen (§§ 17 bis 18).
Welche Strafen drohen bei Nichteinhaltung des TTDSG?
In den Paragraphen 27 bis 30 des TTDSG sind die Straf- und Bußgeldvorschriften aufgeführt sowie die entsprechenden Zuständigkeiten für die Aufsicht und Ahndung von Verstößen. Unternehmen, die gegen § 25 Abs. 1 verstoßen (die oben aufgeführte Möglichkeit zur Einwilligung der Nutzer/innen bezüglich der Aktivierung von Cookies), droht eine Geldbuße bis zu 300.000 Euro. Auch andere Verstöße können teuer werden und Strafen im fünf- oder sechstelligen Bereich nach sich ziehen. Verstöße gegen die Vertraulichkeit der Kommunikation können nicht nur mit Geldstrafen, sondern auch mit Freiheitsstrafen bis zu zwei Jahren geahndet werden. Eine Ausnahmestellung nimmt das Fernmeldegeheimnis ein: Es ist Gegenstand des allgemeinen Strafgesetzbuches (StGB), das laut § 206 für Verstöße eine Geldstrafe oder eine Freiheitsstrafe bis zu fünf Jahren vorsieht.
Zuständig für die Aufsicht über die Verarbeitung personenbezogener Daten von natürlichen und juristischen Personen ist der oder die Beauftragte für den Datenschutz und die Informationsfreiheit (BfDI). Für die Sicherung der Vorschriften aus dem ersten und zweiten Teil des TTDSG hat die Bundesnetzagentur (BNetzA) die Aufsicht.
Wie hilft Stripe bei der Einhaltung des TTDSG?
Stripe unterstützt Unternehmen sowie Händler/innen bei der Einhaltung des TTDSG, vor allem beim rechtlich abgesicherten Einsatz von Cookies. Stripe verwendet Cookies einerseits auf der eigenen website, andererseits bei Unternehmen und Händler/innen, die Stripe-Dienste nutzen.
Auf stripe.com werden unter anderem die folgenden Cookies verwendet:
- Funktionalitätscookies: Diese sorgen dafür, dass die Website und die angebotenen Dienste richtig funktionieren und beispielsweise die passenden Informationen für den Standort der Nutzer/innen anzeigen.
- Sicherheitscookies: Diese schützen Benutzerdaten vor unberechtigtem Zugriff.
- Authentifizierungscookies: Durch diese kann sich Stripe an die Nutzer/innen „erinnern”, damit sich diese nicht erneut anmelden müssen, wenn sie das nächste Mal die Stripe-Dienste nutzen.
- Analytik-Cookies: Durch diese kann Stripe nachvollziehen, wie Besucher/innen mit den Angeboten interagieren, um so den Service auszuwerten und zu verbessern.
- Werbecookies: Diese ermöglichen es, Nutzer/innen auf anderen Webseiten Werbung für Stripe anzuzeigen und die Reaktionen zu messen.
- Drittanbieter-Cookies: Stripe nutzt zudem Cookies von Drittanbietern wie Facebook, Google und LinkedIn, die ebenfalls Marketing- und Analyse-Cookies einsetzen.
Diese und weitere Cookies können ebenfalls auf den Webseiten der Stripe-Kundinnen und -Kunden zum Einsatz kommen. Auch in diesem Fall gilt, dass die explizite Zustimmung der Website-Nutzer/innen eingeholt werden muss. Unabhängig davon, welchen Stripe-Dienst Sie einbinden möchten – beispielsweise für die Annahme und Optimierung von Zahlungen oder die Automatisierung von Finanzabläufen – unser Sales-Team berät Sie gerne umfassend über die inhaltlichen und technischen Möglichkeiten sowie die rechtlichen Bedingungen, die zur Einhaltung des TTDSG notwendig sind.
Der Inhalt dieses Artikels dient nur zu allgemeinen Informations- und Bildungszwecken und sollte nicht als Rechts- oder Steuerberatung interpretiert werden. Stripe übernimmt keine Gewähr oder Garantie für die Richtigkeit, Vollständigkeit, Angemessenheit oder Aktualität der Informationen in diesem Artikel. Sie sollten den Rat eines in Ihrem steuerlichen Zuständigkeitsbereich zugelassenen kompetenten Rechtsbeistands oder von einer Steuerberatungsstelle einholen und sich hinsichtlich Ihrer speziellen Situation beraten lassen.