De invoering van de TTDSG (Duitse wet op de bescherming van gegevens in de telecommunicatie en telemedia) heeft veel Duitse en Europese regels voor gegevensbescherming op één lijn gebracht. Maar om aan deze wet te voldoen, moeten gebruikers een paar dingen in de gaten houden en een aantal specifieke dingen doen. In dit artikel kom je te weten wat de TTDSG is, voor wie hij geldt en welke regels erin staan. We gaan ook dieper in op de grootste nieuwe verandering: het omgaan met cookies. Daarnaast kom je te weten hoe Stripe je kan helpen om aan de TTDSG te voldoen en welke sancties er zijn bij niet-compliance.

Wat staat er in dit artikel?

• Wat is de TTDSG?
  
• Voor wie geldt de TTDSG?
  
• Hoe regelt de TTDSG het gebruik van cookies?
  
• Welke andere belangrijke zaken staan er in de TTDSG?
  
• Wat zijn de sancties voor het niet naleven van de TTDSG?
  
• Hoe kan Stripe je helpen om aan de TTDSG te voldoen?
  

Wat is de TTDSG?

TTDSG staat voor Telekommunikation-Telemedien-Datenschutz-Gesetz, oftewel de wet op de bescherming van gegevens in telecommunicatie en telemedia, die op 1 december 2021 in Duitsland is aangenomen. De volledige naam van deze federale wet is de "Wet op de bescherming van gegevens en privacy in telecommunicatie en telemedia". De TTDSG zorgt ervoor dat de wetgeving beter op elkaar aansluit en makkelijker kan worden toegepast. Het zorgt ook voor juridische duidelijkheid door de bestaande gegevensbeschermingsvoorschriften op nationaal en Europees niveau te consolideren en te vereenvoudigen: de Telecommunicatiewet (TKG), de Telemediawet (TMG), de Algemene Verordening Gegevensbescherming (AVG) en de richtlijn inzake gegevensbescherming voor elektronische communicatie (Richtlijn 2002/58/EG, ook bekend als de "e-privacyrichtlijn"). De TTDSG zorgt voor een eerlijk evenwicht tussen de belangen van gebruikers van digitale diensten en de belangen van bedrijven.

Het belangrijkste doel van de TTDSG is gegevensbescherming en de bescherming van de privacy in de digitale wereld. Daarom bevat de TTDSG tal van bepalingen, onder meer over het gebruik van cookies, de bescherming van gebruikersgegevens, de verwerking van persoonlijk identificeerbare informatie van minderjarigen, privacy in de telecommunicatie, digitale acquisitie en de verstrekking van informatie over voorraad- en gebruiksgegevens door dienstverleners.

De TTDSG bestaat uit vier delen: De delen 1 en 4 gaan over algemene bepalingen, regels over sancties en boetes, en toezicht. Deel 2 bevat bepalingen over gegevensbescherming en privacy in telecommunicatie. Deel 3 regelt gegevensbescherming in telemedia en eindapparatuur.

Voor wie geldt de TTDSG?

Volgens artikel 2 geldt de TTDSG voor alle aanbieders van telemedia, oftewel "iedere natuurlijke of rechtspersoon die eigen telemedia of telemedia van derden aanbiedt, bij die aanbieding betrokken is of toegang tot het gebruik van eigen telemedia of telemedia van derden bemiddelt". De term "telemedia" wordt niet expliciet uitgelegd in de TTDSG, maar wordt in artikel 1 van de TMG gedefinieerd als "alle elektronische informatie- en communicatiediensten". Dit betekent websites, zoekmachines, onlinewinkels en mobiele apps. Aanbieders die uitsluitend als particulieren optreden en niet onder het toepassingsgebied van de TMG vallen – en dus ook niet onder het toepassingsgebied van de TTDSG – zijn echter vrijgesteld. Bij twijfel moet bij het belastingkantoor worden geïnformeerd wat onder een "particulier" wordt verstaan. Doorslaggevend hierbij is de vraag of het belastingkantoor telemedia, zoals een website, als een bron van inkomsten beschouwt. De TTDSG is zonder uitzondering van toepassing op alle in Duitsland geregistreerde bedrijven en bedrijven die goederen en diensten op de Duitse markt aanbieden.

Hoe regelt de TTDSG het gebruik van cookies?

Een nieuw ding van de TTDSG is hoe het omgaat met cookies in vergelijking met de vorige regels voor gegevensbescherming in Duitsland. Cookies zijn kleine tekstbestanden die tijdelijk op de browser van gebruikers worden opgeslagen als ze een website bezoeken. Deze cookies worden dan weer opgehaald door de webservers van de beheerder als een gebruiker terugkomt op de website. Dit kan bijvoorbeeld worden gebruikt om ervoor te zorgen dat de juiste taal wordt weergegeven. Cookies worden ook gebruikt voor gepersonaliseerde advertenties of om gebruikers bij naam te begroeten, en zijn dus vooral handig voor adverteerders. Cookies kunnen worden gebruikt door websitebeheerders of door derden.

In artikel 25 (Bescherming van de privacy in eindapparatuur) stelt de TTDSG duidelijk dat cookies en vergelijkbare trackingtechnieken, zoals browserfingerprinting of het gebruik van MAC-adressen, alleen zijn toegestaan als de eindgebruikers daarvoor toestemming hebben gegeven op basis van duidelijke en uitgebreide informatie. Bedrijven die websites beheren, moeten ook uitdrukkelijk vragen in hoeverre gebruikers instemmen met de verwerking van hun persoonlijk identificeerbare informatie. Technische cookies die nodig zijn voor de werking van een website zijn echter vrijgesteld. Voor dergelijke cookies hoeft geen toestemming te worden verkregen. Voorbeelden hiervan zijn cookies voor de inhoud van winkelwagentjes en taalversies, naast betalingscookies en cookies die worden gebruikt voor het verlenen of intrekken van toestemming.

Bedrijven die cookies gebruiken, moeten een bijbehorende kennisgeving op hun website plaatsen. De kennisgeving moet aan specifieke wettelijke vereisten voldoen om te voorkomen dat toezichthoudende autoriteiten, consumentenbeschermingsorganisaties of concurrenten maatregelen tegen het bedrijf nemen. Daarnaast kunnen ook particulieren schadevergoeding eisen. De cookiebanner moet duidelijk worden weergegeven bij het openen van een website, met informatie en aanklikbare opties. Gebruikers moeten ook kunnen kiezen of ze alle cookies accepteren, of alleen de essentiële. Het is ook mogelijk om gebruikers zelf gedetailleerde privacy-instellingen te laten configureren voor specifieke soorten verwerking en externe aanbieders.

Om ervoor te zorgen dat aan alle wettelijke vereisten wordt voldaan, moeten bedrijven zorgvuldig controleren welke informatie in de tekst van hun cookiemelding moet worden opgenomen. Het volgende sjabloon kan als richtlijn worden gebruikt:

"Wij en onze externe providers gebruiken cookies en andere technologieën om informatie op te slaan en op te halen op apparaten van gebruiker, bestelling zo persoonlijke gegevens zoals IP-adressen of browsergegevens te verwerken. Je kunt toestemming geven voor de verwerking van je persoonlijke gegevens voor de hieronder genoemde doeleinden. Je kunt ook je voorkeursinstellingen configureren voordat je toestemming geeft of geweigerde betaling. Je kunt je instellingen voor gegevensbescherming op elk moment wijzigen of je toestemming intrekken in de cookie-instellingen."

Als extra voorbeeld voor het opstellen van de vereiste cookie-informatie kun je de verklaringen op de Stripe-website gebruiken, waar ook het cookiebeleid te vinden is. Het is belangrijk dat de cookiebanner voldoet aan de wettelijke minimumvereisten – zie de checklist hieronder.

Checklist voor cookiebanners

• Cookies moeten uitgeschakeld blijven totdat er toestemming is gegeven.
  
• Gebruikers moeten zelf actief toestemming geven – een vooraf ingevulde optie is niet toegestaan.
  
• De banner moet minimaal de knoppen 'Accepteren' en 'Weigeren' bevatten.
  
• Deze knoppen moeten even duidelijk te zien zijn. Met andere woorden, de knop 'Accepteren' mag bijvoorbeeld niet in een fellere kleur worden weergegeven.
  
• Gebruikers moeten goed op de hoogte zijn van het doel van de verwerking van de verschillende tools (te vermelden in het privacybeleid), het aantal aanbieders en tools, en waar de trackingdienst zit als die buiten de EU is.
  

Welke andere belangrijke bepalingen staan er in de TTDSG?

De TTDSG regelt onder andere ook de beveiliging van gegevensverwerking. Telemedia-aanbieders moeten technische en organisatorische maatregelen nemen om gegevens te beschermen. Daarnaast moeten kinderen en jongeren extra beschermd worden, zodat gegevens die van hen worden verzameld om hun leeftijd vast te stellen, niet voor commerciële doeleinden mogen worden gebruikt. Telemedia-aanbieders mogen ook alleen bepaalde gegevens over hun gebruikers vrijgeven, zelfs als het gaat om officiële onderzoeken.

Daarnaast bevat de TTDSG bepalingen over de vertrouwelijkheid van de communicatie (artikelen 9 tot en met 13), over verkeers- en locatiegegevens (artikelen 14 tot en met 16), en over de openbaarmaking van telefoonnummers die worden gebruikt voor ongevraagde oproepen, het weergeven en verbergen van het nummer van de beller, automatische doorschakeling van oproepen en over telefoongidsen (artikelen 17 tot en met 18).

Wat zijn de boetes voor het niet naleven van de TTDSG?

In de paragrafen 27 tot en met 30 van de TTDSG staan de boetes en sancties, plus de bijbehorende verantwoordelijkheden voor toezicht en sancties bij overtredingen. Bedrijven die artikel 25, lid 1 (de mogelijkheid voor gebruikers om toestemming te geven voor het activeren van cookies, zoals hierboven beschreven) overtreden, kunnen een boete krijgen van maximaal 300.000 euro. Ook andere overtredingen kunnen duur uitvallen, met boetes die oplopen tot vijf- of zescijferige bedragen. Schendingen van de vertrouwelijkheid kunnen worden bestraft met geldboetes en ook met gevangenisstraffen tot twee jaar. Een uitzondering hierop is de privacy in telemedia: deze valt onder het algemene wetboek van strafrecht (StGB), dat volgens artikel 206 voorziet in een geldboete of gevangenisstraf van maximaal vijf jaar voor overtredingen.

De federale commissaris voor gegevensbescherming en vrijheid van informatie (BfDI) houdt toezicht op de verwerking van persoonsgegevens van natuurlijke en rechtspersonen. Het federale netwerkagentschap (BNetzA) ziet toe op de compliance van de bepalingen in het eerste en tweede deel van de TTDSG.

Hoe kan Stripe je helpen om aan de TTDSG te voldoen?

Stripe helpt bedrijven en verkopers om aan de TTDSG te voldoen, vooral door het legaal gebruik van cookies. Stripe gebruikt cookies niet alleen op zijn eigen website, maar ook op die van bedrijven en verkopers die Stripe-diensten gebruiken.

Op de website van Stripe worden onder andere de volgende cookies gebruikt:

• Functionaliteitscookies: Deze zorgen ervoor dat de website en de aangeboden diensten goed werken. Ze laten bijvoorbeeld de juiste info zien voor de locatie van een gebruiker.
  
• Beveiligingscookies: Deze beschermen gebruikersgegevens tegen ongeoorloofde toegang.
  
• Authenticatiecookies: Deze kunnen door Stripe worden gebruikt om gebruikers te 'onthouden', zodat ze zich niet elke keer opnieuw hoeven te registreren wanneer ze gebruikmaken van Stripe-diensten.
  
• Analysecookies: Hiermee kan Stripe bijhouden hoe bezoekers omgaan met aanbiedingen, om zo de service te evalueren en te verbeteren.
  
• Advertentiecookies: Hiermee kunnen gebruikers op andere websites advertenties voor Stripe te zien krijgen en kunnen hun reacties worden gemeten.
  
• Cookies van derden: Stripe gebruikt ook cookies van andere bedrijven, zoals Facebook, Google en LinkedIn, die ook marketing- en analysecookies gebruiken.
  

Deze en andere cookies kunnen ook worden gebruikt op websites van Stripe-klanten. Ook in dit geval moet de uitdrukkelijke toestemming van de websitegebruikers worden verkregen. Ongeacht welke Stripe-service je wilt integreren, bijvoorbeeld het accepteren en optimaliseren van betalingen of het automatiseren van financiële processen, ons verkoopteam geeft je graag uitgebreid advies over de inhoud en technische mogelijkheden, naast de wettelijke bepalingen die moeten worden nageleefd om te voldoen aan de TTDSG.