Schlagwortarchiv für: Gesetz

TTDSG – Aktueller Stand

Rechtliche Rahmenbedingungen

Neben der europaweit gültigen Datenschutz-Grundverordnung (DS-GVO) und speziellen EU-Richtlinien (ePrivacy -Richtlinie von 2009 z.B. zu Cookies) gibt es eine ganze Reihe nationaler Gesetze, die sich in Teilen auch mit Themen des Datenschutzes beschäftigen und spezielle Regelungen beinhalten. Dazu gehört insbesondere das ‚Telekommunikation- Telemedien Datenschutz Gesetz‘ (TTDSG). Das TTDSG ist am 1. Dezember 2021 in Kraft getreten und hat das bis dahin gültige Telekommunikationsgesetz (TKG) mit Stand von 2011 sowie das Telemediengesetz (TMG) mit Stand 2019 in Teilen abgelöst. Wir haben in unserem Newsletter bereits kurz darüber berichtet.

Das TKG diente zur Regelung der Märkte von – technik-basierten – Telekommunikationsanbietern wie z.B. Telefon- oder Internetprovidern. Das TMG richtet sich an die Anbieter von – inhaltsbasierten – Informations- und Servicediensten, bei denen elektronische Verfahren zum Einsatz kommen. Hieruntern fallen Online-Shops genauso wie Internet-Nachrichtendienste und Unternehmen, die im Internet eine Unternehmenspräsentation veröffentlichen.

Beide Gesetze stammten mit ihren wesentlichen Regelungen aus der Zeit vor dem Gültigwerden der DS-GVO. Sie beinhalteten aber schon Regelungen zum Schutz von personenbezogenen Daten ihrer Nutzer wie z.B. Einwilligungen, Informationspflichten u.s.w.. Grundsätzlich bestanden die hier enthaltenen Regelungen und die in der DS-GVO enthaltenen Regelungen aber nebeneinanderher und waren nicht immer deckungsgleich, so dass es zu Unsicherheiten bei der rechtlichen Beurteilung von Einzelthemen kam.

Durch die technische Weiterentwicklung des Internets wurden außerdem in viel größerem Umfang als früher und als in TKG / TMG berücksichtigt, personenbezogene Daten erhoben, gespeichert und von Diensteanbietern für eigene Zwecke genutzt. Dazu gehört die Datensammlung über ‚Cookies‘ genauso wie die Profilbildung bei Internetdiensten wie Facebook oder Google. Auch die Nutzung von webbasierten E-Mail-Diensten oder Messenger-Diensten wie WhatsApp waren bislang durch TKG / TMG nicht rechtlich belastbar geregelt.

EU-Kommission

Die zuständige EU-Kommission genauso wie die nationale Gesetzgebung haben deshalb schon vor Jahren begonnen, neue Verordnungen oder Gesetze zu entwickeln. Hierzu gehört insbesondere die europäische ePrivacy-Verordnung. Diese europaweit verbindliche Regelung kommt aber nicht voran und befindet sich weiterhin im Entwicklungsstadium (Stand 9.2023).

Um die rechtlichen Unsicherheiten im Interesse der Betroffenen und der beteiligten Unternehmen zu lösen, haben die zuständigen Fachgremien der Bundesregierung daher ein nationales Gesetz entwickelt und beraten. Der Bundestag hat im Mai 2021 das neue Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) verabschiedet. Das neue Gesetz ist am 01.12.2021 in Kraft getreten. Gleichzeitig wurden angepaßte Fassungen des TKG und des TMG gültig.

Für die Telekommunikations- / Telemedienanbieter enthält das neue TTDSG eine ganze Reihe konkreter Regelungen z.B. hinsichtlich Vertragsgestaltung, technische und organisatorische Maßnahmen und Vertraulichkeit. Diese Regelungen sind zum überwiegenden Teil nicht neu und werden aufgrund der bisherigen TMG und TKG sowie der aktuellen Rechtsprechung zum überwiegenden Teil schon weitgehend umgesetzt.

In datenschutzrechtlicher Hinsicht werden ebenfalls die Vorgaben und Rahmenbedingungen der DS-GVO in den ehemaligen Themenfeldern der TMG / TKG berücksichtigt und konkretisiert.
Hierbei steht der Schutz der Privatsphäre auf den Endgeräten der Betroffenen im Vordergrund. Eine konkrete Schwachstelle sind hier die vielen Cookies, mit denen die unterschiedlichen Diensteanbieter und Internetseiten-Betreiber personenbezogene Daten oder Nutzerprofile erheben und durch Speicherung auf dem Endgerät des Nutzers für sich oder für Dritte zugänglich machen.

Dieser Blog richtet sich deshalb im Wesentlichen an die Seitenbetreiber, die auf ihren Internetseiten Cookies eingebunden haben. Unternehmen, die über eigene Internetseiten z.B. Kundenbestellungen aufnehmen, Werbung machen, oder Social Media-Dienste anbieten, müssen als verantwortliche Stelle bei der rechtskonformen Gestaltung und Verwendung von Cookies einige wesentliche Punkte beachten.

Anforderungen für den gesetzeskonformen Betrieb von Internetseiten

Cookies

Die heute angebotenen Internetseiten sind in den seltensten Fällen nur einfache Text- oder Bilddarstellungen. In den weitaus meisten Fällen werden im Zusammenhang mit dem Seitenbesuch Daten des Seitenbesuchers – auch personenbezogene Daten – oder Daten aus dem Sitzungsverlauf genutzt. Dazu bindet der Seitenanbieter verschiedene eigene Programm-Komponenten (z.B. zur Einrichtung eines Kundenkontos) oder Programme externer Dienste (z.B. Google Analytics) auf seiner Internetseite ein. Die Speicherung der Daten erfolgt in sogenannten ‚Cookies‘, die vom Seitenbetreiber oder dem jeweiligen Dienst auf dem Endgerät des Seitenbesuchers abgelegt werden.

Bei den Cookies handelt es sich um kleine Textdateien, in denen alle Daten enthalten sind, die für den jeweiligen Zweck des Seitenbetreibers bzw. des Dienstanbieters für dessen jeweiligen Zwecke benötigt werden. Je nach Speicherfrist und Zugangsmöglichkeit können die Cookies dann bei zukünftigen Seitenbesuchen oder von Dritten ausgelesen werden.

Rechtsgrundlagen

Personenbezogene Daten dürfen nur gespeichert und genutzt werden, wenn dafür eine belastbare Rechtsgrundlage gemäß Art. 6 DS-GVO vorliegt. Im Zusammenhang mit z.B. Warenbestellungen oder der Registrierung in einem Kundenkonto können das vertragliche Verpflichtungen des Seitenanbieters gegenüber dem Betroffenen sein (Art 6, Abs.1, Ziff.b DS-GVO).
In den meisten anderen Fällen, insbesondere für Werbeangebote muss die betroffene Person in die Verarbeitung der personenbezogenen Daten ausdrücklich einwilligen (Art 6, Abs.1, Ziff.a DS-GVO) (siehe unten).

Eine besondere Rolle nehmen die sogenannten ‚essentiellen Daten‘ (TTDSG § 25) ein. Hierbei handelt es sich um in der Regel anonymisierte / pseudonymisierte Nutzungsdaten des Seitenbesuches, die für den reibungslosen technischen Betrieb der Internetseite notwendig sind. Hierbei kann es sich z.B. um Anzahlen und Zeitpunkte des Seitenaufrufes (Bereitstellung ausreichender Leitungskapazitäten) oder um die Landesherkunft des Seitenbesuchers (Spracheinstellung der Internetseite) handeln.

In diesen Fällen überwiegt das berechtigte Interesse des Seitenbetreibers gegenüber den Schutzbedürfnissen des Seitenbesuchers (Art 6, Abs.1, Ziff.f DS-GVO). Eine ausdrückliche Einwilligung für die Speicherung eines Cookies ist nicht erforderlich.

Einwilligungen / Cookie-Banner

Insbesondere bei z.B. Erfolgsmessungen, Werbeangeboten und externen Diensten wie Google Analytics müssen ausdrückliche Einwilligungen des Seitenbesuchers gemäß Art. 7 DS-GVO eingeholt werden. Die erhaltene Einwilligung führt dazu, dass vom Seitenbetreiber oder von dem externen Dienst ein Cookie auf dem Endgerät gesetzt wird.

In der Regel verwenden die Seitenanbieter hierfür sogenannte ‚Cookie-Banner‘ oder ‚Consent Tools‘. Der Cookie-Banner erscheint bereits beim Start der Internetseite und stellt die verschiedenen Optionen der Einwilligung bzw. Ablehnung in einem Dialog dar. Der Seitenbesucher stimmt durch seine Auswahl der Verarbeitung seiner Daten zu oder lehnt die Verarbeitung ab.

Hinsichtlich des Aufbaus der Cookie-Banner haben sich im Laufe der Zeit unterschiedliche Arten entwickelt. Die Seitenbetreiber haben dabei versucht, den unterschiedlichen Mengen an Cookies der jeweiligen Internetseite gerecht zu werden und den Aufwand für den Seitenbesucher möglichst gering zu halten. So gibt es Cookie-Banner, bei denen der Seitenbesucher einzeln durch alle Cookies geführt wird. Bei anderen Cookie-Bannern sind die einzelnen Cookies in verschiedene Gruppen (z.B. Werbe-Cookies, Analyse-Cookies) eingeordnet. Der Seitenbesucher hat hier in der Regel die Möglichkeit mit einem einzigen Klick, eine komplette Gruppe zu akzeptieren bzw. abzulehnen.

Durch ‚geschickte‘ Gestaltung des Dialogablaufs im Cookie-Banner (‚dark pattern‘ / ‚nudging‘) haben (einzelne) Seitenanbieter versucht, den eigentlichen Entscheidungswillen des Seitenbesuchers zu beeinflussen und in eine vom Seitenanbieter gewünschte Richtung zu lenken, um so z.B. Einwilligungen zu Werbung zu erhalten. Rechtsprechung und Aufsichtsbehörden haben das Thema inzwischen aufgegriffen und drängen die Seitenanbieter zu einer neutralen Darstellung der Optionen.

Folgende Empfehlungen bei der Gestaltung des Cookie-Banners und beim Dialogablauf sollten beachtet werden:

  • Die Option für die Ablehnung muss genauso prominent platziert sein, wie die Zustimmung. Also nicht versteckt in nachfolgenden Dialogbereichen, die erst durch langes Scrollen oder durch mehrmaliges Klicken zu erreichen sind.
  • Zustimmungsoption und Ablehnungsoption müssen gleich gestaltet sein, z.B. farbliche Hervorhebung / Schriftgestaltung / Position auf der Dialogseite
  • Eine ‚unterschwellige‘ Bevorzugung der Zustimmungsoption durch z.B. besonders leuchtende Farben, blinkenden Texte (‚Nudging‘) ist nicht erlaubt.
  • Ebenso darf die Ablehnungsoption nicht benachteiligt werden, z.B. schwarze Schriftfarbe auf schwarzem Hintergrund (‚dark pattern‘).

Internetseiten-interne Verwaltung der Einwilligungen

Die über den Cookie-Banner vom Seitenbesucher eingeholten Einwilligungen für die auf der Internetseite angebotenen Dienste werden in der Regel ebenfalls in Cookies auf dem Endgerät des Seitenbesuchers gespeichert, bis die Internetsitzung vollständig beendet oder die entsprechende Internetseite im Browser geschlossen wird. Ohne weitere Handlung des Seitenbesuchers gelten die abgegebenen Einwilligungen also bis zum Ende des jeweiligen Seitenbesuches.

Die DS-GVO räumt dem Betroffenen aber ein jederzeit ausübbares Widerrufsrecht der Einwilligungen ein (Art.7 Abs.3 DS-GVO). Alle mit der Einwilligung verbundenen Datenverarbeitungen des Dienstes sind dann sobald / soweit möglich zu beenden, schon gespeicherte Daten sind zu löschen und Datenübermittlungen zu stoppen.

Damit der Seitenbesucher seine Einwilligungen überprüfen und ggf. den Widerspruch ausüben kann, ist es zweckmäßig, die aktuell vorliegenden Einwilligungsentscheidungen in einem separaten Dialog anzuzeigen und dem Betroffenen hier Möglichkeit zu bieten, Einwilligungen nachträglich zu vergeben bzw. zurückzuziehen.

Diese Dialogseite sollte z.B. aus den Datenschutz-Hinweisen oder direkt aus dem Link-Bereich der Internetseite aufgerufen werden können. In der Regel werden diese Dialogseiten von den Anbietern der Cookie-Banner bzw. Consent-Tools zur Verfügung gestellt.

Personal Information Management Systeme

Die Besucher / Nutzer von Internetseiten sind damit konfrontiert, dass sie bei jeder Internetseite und ggf. bei jedem neuen Sitzungsaufruf den Dialogablauf für die Einwilligungen neu durchlaufen müssen.

Um die Vielzahl dieser notwendigen Einwilligungserklärungen für den Betroffenen zu vereinfachen, sind mit dem TTDSG künftig ‚Dienste zur Einwilligungsverwaltung‚ (§ 26 TTDSG) möglich. Über diese sogenannten ‚Personal Information Management‘ (PIM) können Internetnutzer festlegen, ob und in welchem Umfang Internetseiten standardmäßig ihre personenbezogenen Daten nutzen dürfen. Der verwendete Browser ermittelt dann im Hintergrund in dem PIM die Nutzungsrechte bei dem fraglichen Dienst und meldet die Freigaben bzw. Beschränkungen an die Internetseite zurück. Internetseiten mit individuellem Cookie-Banner werden dadurch überflüssig.

Um das notwendige Maß an Datensicherheit und Zuverlässigkeit bei den Diensten zur Einwilligungsverwaltung sicherzustellen, sieht das Gesetz vor, dass sich die betreffenden Dienste einer Anerkennung durch staatlich definierte Stellen (§26 TTDSG) unterziehen müssen. Nur entsprechend zertifizierte Dienste dürfen also ein PIM betreiben.

Die rechtlichen Rahmenbedingungen für die betreffenden Dienste wurden in einem Entwurf für eine Verordnung seitens der Bundesregierung vorgelegt. Die Verordnung sieht z.B. vor, dass die Zertifizierung der PIM-Dienste durch den Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI) erfolgt. Weiterhin sind technische und organisatorische Maßnahmen als Voraussetzung für die Genehmigung des Dienstes aufgeführt.

Aus heutiger Sicht ist noch nicht absehbar, bis wann das Gesetzgebungsverfahren abgeschlossen ist. Danach schließen sich in jedem Fall noch die technische Umsetzung und Zertifizierung der Dienste an. Und auch die entsprechenden Seitenbetreiber müssen den Dienst in ihrem Einwilligungsverfahren implementieren.

Das wird alles noch einige Zeit dauern, es wird also nicht sinnvoll sein, eigene Maßnahmen zur gesetzkonformen Gestaltung der Internetseite zurückzustellen.

Datenschutz-Hinweise

Nach den Informationspflichten aus der DS-GVO (Art. 13 DS-GVO) müssen die Seitenbesucher vom Seitenbetreiber über die Verarbeitung personenbezogener Daten informiert werden. Hierfür wird zweckmäßiger Weise eine Seite mit ‚Datenschutz-Hinweisen‘ innerhalb der Internetseite bereitgestellt. Die ‚Datenschutz-Hinweise‘ müssen – neben vielen anderen Informationen – alle auf der Internetseite verwendeten Cookies vollständig und mit Angabe von Ersteller/ Herkunft, Zweck, Datenkategorien, Löschregeln, usw. enthalten.

Den Seitenbesuchern wird damit die Möglichkeit gegeben, ihre Einwilligungen zu den einzelnen Diensten zu überdenken und ggf. zu verweigern bzw. zurückzuziehen.

Sanktionen der Aufsichtsbehörden

Die rechtskonforme Gestaltung und Verwendung von Cookies wird von den Aufsichtsbehörden nach eigenem Ermessen oder aufgrund von Beschwerden einzelner Betroffener geprüft und verfolgt. Bei Verstößen gegen die Regelungen des TTDSG können erhebliche Bußgelder (max 300T€) verhängt werden.

Bei Verletzung der Datenschutzregelungen bei personenbezogenen Daten können dazu auch noch die Bußgelder der DS-GVO kommen.

Die Berater der ANMATHO AG helfen gerne, dabei Ihre Internetseite und vorhandene Einwilligungsverfahren einmal hinsichtlich der Datenschutz-Konformität zu überprüfen.

/von

Das HinweisgeberSchutzGesetz (HinSchG)

Das Hinweisgeberschutzgesetz bezieht sich auf das Melden von Missständen mit Bezug auf EU-Recht, wie etwa Steuerbetrug, Geldwäsche oder Delikte im Zusammenhang mit öffentlichen Aufträgen, Produkt- und Verkehrssicherheit, Umweltschutz, öffentlicher Gesundheit sowie Verbraucher- und Datenschutz.

Kleine und große Unternehmen ab 50 Mitarbeitenden, Einrichtungen des öffentlichen Sektors, Behörden sowie Gemeinden ab 10.000 Einwohnerinnen und Einwohnern müssen EU-weit künftig sichere interne Meldekanäle für Hinweisgeber bereitstellen. Für Unternehmen ab 250 Mitarbeitenden gilt diese Pflicht eigentlich bereits seit Dezember 2021, für Unternehmen zwischen 50 und 249 Mitarbeitenden gilt eine Übergangsfrist von zwei Jahren.
Die Grundlagen hierfür liegen in der am 16. Dezember 2019 in Kraft getreten EU-Direktive 2019/1937 des EU-Parlaments zum Schutz von Whistleblowern. Diese Direktive musste aber noch in nationales Recht überführt werden.
Am 12. Mai 2023 wurde nun das deutsche Hinweisgeberschutzgesetz (HinSchG) vom Bundesrat verabschiedet. Das neue Gesetz tritt Mitte Juni 2023 in Kraft.
Das Gesetz musste mehrere Anläufe nehmen. Ein bereits im Dezember 2022 vom Bundestag verabschiedeter Entwurf erhielt Februar 2023 im Bundesrat keine mehrheitliche Zustimmung. Daraufhin musste der Vermittlungsausschuss zusammenkommen. Dieser konnte sich Anfang Mai einigen, kurz darauf passierte das Gesetz Bundestag und Bundesrat. Nach der Verkündung im Bundesgesetzblatt tritt das Gesetz vier Wochen später in Kraft.

Welche Punkte sollten Unternehmen nun zum Hinweisgeberschutzgesetz beachten:

Meldewege:

Hinweisgeber sollen die Möglichkeit erhalten, Meldungen entweder schriftlich über ein Online-System, einen Briefkasten oder per Postweg abzugeben oder mündlich per Telefonhotline oder Anrufbeantwortersystem. Auf Verlangen des Hinweisgebers soll auch ein persönliches Treffen ermöglicht werden. Bei allen Meldewegen muss die Vertraulichkeit des Whistleblowers geschützt sein.

Datenschutz:

Alle personenbezogenen Daten dürfen nur DSGVO-konform verarbeitet werden.
Alle eingegangenen Meldungen müssen sicher aufbewahrt werden, damit sie gegebenenfalls als Beweismaterial verwendbar sind.

Zuständigkeit im Unternehmen:

Innerhalb des Unternehmens soll die „am besten geeignete“ Person zum Erhalt und Nachverfolgen der Meldungen bestimmt werden. Laut EU könnten das sein:
Compliance Officer, Personalleiter, Unternehmensjurist, Chief Financial Officer (CFO)/Finanzdirektor, Mitglied des Vorstands oder der Geschäftsführung
Unternehmen können die Bearbeitung von Hinweisen auch auslagern, z. Bsp. an eine Ombudsperson.

Bearbeitungsfristen:

Innerhalb von sieben Tagen muss das Unternehmen der hinweisgebenden Person bestätigen, dass die Meldung eingegangen ist. Innerhalb von drei Monaten müssen Hinweisgebende über ergriffene Maßnahmen, den Stand der internen Ermittlung und deren Ergebnis informiert werden.

Informationspflicht:

Unternehmen müssen ihren Mitarbeitenden Informationen über den unternehmensinternen Meldeprozess und über alternative Meldewege an die zuständigen Behörden bereitstellen. Diese Informationen müssen leicht verständlich und zugänglich sein, nicht nur für Mitarbeitende, sondern auch für Zulieferer, Dienstleister und Geschäftspartner.

Sanktionen:

In der EU-Richtlinie sind auch Sanktionen vorgesehen. So müssen Unternehmen, die das Melden von Missständen behindern oder zu behindern versuchen, mit Strafen rechnen. Gleiches gilt, wenn Unternehmen die Identität des Hinweisgebers nicht vertraulich behandeln. Ebenso sollen Vergeltungsmaßnahmen gegen Whistleblower geahndet werden. Wie hoch diese Sanktionen ausfallen werden, ist Sache der nationalen Gesetzgeber.

Stand Mai 2023

Was Sie noch interessieren könnte…

UNSER MÄRZ NEWSLETTER 2023 (PDF)

Die Themen dieser Ausgabe sind:
HinweisgeberSchutzGesetz (HinSchG)
MDM – Das Universalwerkzeug für Mobilgeräte
NIS 2 Richtline steht in den Startlöchern
Informationssicherheits-Awareness neu denken
DS-GVO und Office365, eine never ending Story

Das Gesetzgebungsverfahren – Beitrag des BMJ

/von

ANMATHO AG

Beratungsunternehmen für
Informationssicherheit & Datenschutz

Erste Brunnenstraße 1
20459 Hamburg

Tel: +49(0)4022947190
Fax: +49(0)40229471919
E-Mail: info@anmatho.de

Wir sind Mitglied im:

© ANMATHO AG

Impressum

Datenschutzhinweise

Veranstaltungsbedingungen

Cookie-Einstellungen