Cookiebot

Mit der DSGVO gilt ein strenges Datenschutzniveau auf europäischer Ebene. Doch auch die nationalen Datenschutzgesetze in Deutschland geben klare Anforderungen an Cookies und Online-Tracking vor.

Probieren Sie unseren kostenlosen Compliance-Test aus, um zu überprüfen, welche Cookies und Online-Tracker auf Ihrer Website platziert sind.

    Mit dem TTDSG kommt ein neues Datenschutzgesetz, das die Zustimmung zu Cookies voraussetzt.

    Aktualisiert am 1. Dezember 2021.

    Seit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) am 25. Mai 2018 gibt das europäische Gesetz das Datenschutzniveau zur Verarbeitung personenbezogener Daten vor.

    Jetzt sind die Deutschen Datenschutzgesetze nachgezogen und haben sich an den europäischen Standard angeglichen. Im Hinblick auf Cookies und Online-Tracking gehen sie sogar etwas über die DSGVO hinaus. 

    In diesem Artikel wollen wir klären, welche Datenschutzgesetze für Websites in Deutschland relevant sind und wie Sie sicherstellen können, dass Ihre Website konform ist. Dafür blicken wir zunächst auf die Historie von DSGVO und BDSG und klären dann was die neueste Entwicklung im deutschen Datenrecht, das TTDSG, für Cookies und Websites bedeutet.

    Deutsche Datenschutzgesetze: BDSG und TTDSG


    EU-DSGVO und das neue BDSG

    Die Datenschutz-Grundverordnung (DSGVO) gilt auf europäischer Ebene und ist somit vor dem nationalen Recht anzuwenden. Die DSGVO regelt allgemein den Umgang mit personenbezogenen Daten sowie die Rechte der Betroffenen zum Schutz eben dieser.

    Als maßgebendes EU-Recht gilt die DSGVO unmittelbar für alle EU-Mitgliedsstaaten seit ihrem Inkrafttreten am 25. Mai 2018 ohne weiteren Handlungsbedarf seitens der Länder. Im Gesetzestext der DSGVO finden sich jedoch einige sogenannte Öffnungsklauseln, welche Spielraum für eine Auslegung des Gesetzes auf nationaler Ebene lassen.

    Anknüpfend an diese Öffnungsklauseln sowie zur Anpassung an das Datenschutzniveau, das die DSGVO vorgibt, wurde in Deutschland auf nationaler Ebene das Bundesdatenschutzgesetz (BDSG) überarbeitet und als BDSG-neu wirksam.

    Das BDSG-neu nimmt hierbei Bezug sowohl auf die DSGVO als auch die Richtlinie EU 2016/680 (Datenschutzrichtlinie zu Polizei und Justiz) und ergänzt die beiden europäischen Gesetze um Regelungen auf nationaler Ebene.

    Hier finden Sie den Gesetzestext zum BDSG-neu in voller Länge.

    Es ist hierbei wichtig zu betonen, dass das BDSG-neu lediglich eine Ergänzung bzw. Konkretisierung der DSGVO darstellt, die detaillierten Bestimmungen der EU-Verordnung aber vorrangig anzuwenden sind. Im BDSG-neu finden sich beispielsweise ergänzende Bestimmungen zur Datenverarbeitung im Beschäftigtenverhältnis (§26 BDSG-neu), sowie der Videoüberwachung öffentlicher zugänglicher Räume (§4 BDSG-neu).

    Ebenso legt das überarbeitete Datenschutzgesetz eine Pflicht zur Bestellung eines Datenschutzbeauftragten nichtöffentlicher Stellen fest (§38 BDSG-neu). Demnach müssen Unternehmen, die als Verantwortliche und Auftragsverarbeiter agieren, einen Datenschutzbeauftragten ernennen, „soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen“, so heißt es im BDSG-neu wörtlich.

    Sie wissen nicht genau, welche Arten von Daten-Trackern auf Ihrer Website aktiv sind? Testen Sie jetzt den Cookiebot™️ Scanner, um volle Transparenz zu erhalten.

    Datenschutz in Deutschland soll mit dem BDSG-neu eine Überarbeitung bekommen.

    Das BDSG-neu gilt als allgemeines Datenschutzgesetz in Deutschland und ergänzt dabei die EU-DSGVO und die Datenschutzrichtlinie Polizei und Justiz.

    Das BDSG-neu ist in vier Teile gegliedert:

    1. Gemeinsame Bestimmungen: In diesem Teil finden sich allgemeine Bestimmungen, die unabhängig von DSGVO und der Datenschutzrichtlinie Polizei und Justiz gelten, wie z.B. Datenverarbeitungen in Bezug auf nationale Sicherheit
    2. Ergänzende Bestimmungen: Dieser Teil befasst sich mit den bereits erwähnten Öffnungsklauseln, die in der DSGVO zu finden sind. In Teil 2 des BDSG-neu erfahren diese eine Ergänzung, z.B. in Bezug auf Geldbuße bei Verstößen gegen die DSGVO.
    3. Umsetzung der Datenschutzrichtlinie Polizei und Justiz (Richtlinie EU 2016/680): In diesem Teil werden die Betroffenenrechte, Pflichten der Verantwortlichen, sowie Datenübermittlungen an Drittstaaten ergänzt.
    4. Besondere Bestimmungen: Dieser Teil führt Bestimmungen auf, die nicht in die Anwendungsbereiche der DSGVO oder der Richtlinie EU 2016/680 fallen.

    Insgesamt ist festzuhalten, dass das BDSG-neu besonders für den öffentlichen Bereich sowie für Polizei und Justiz relevante Bestimmungen enthält.

    Bei den Regelungen für nicht-öffentliche Stellen, insbesondere im Hinblick auf eine Verarbeitung von personenbezogenen Online-Daten, kann das nationale Gesetz aber keine spezifischen Regelungen vorweisen.

    Auch in Bezug auf den Einsatz von Cookies und Online-Tracking findet sich im BDSG-neu keine Ergänzung zur DSGVO. Nichtsdestotrotz sind die DSGVO-Bestimmungen zu Cookies, wie beispielsweise die Zustimmung, vorrangig anzuwenden und dem BDSG-neu übergeordnet.

    Erfahren Sie hier mehr zu den DSGVO-Anforderungen zu Cookies.

    Fazit: Das BDSG-neu gilt in Deutschland als allgemeines Gesetz zum Schutz des Persönlichkeitsrechts und regelt die Verarbeitung von personenbezogenen Daten, sowohl analog als auch digital, durch öffentliche und privatwirtschaftliche Stellen.

    Es nimmt dabei jedoch keinen detaillierten Bezug auf Anforderungen an die Datenverarbeitung durch Online-Medien oder Telemedien. Diese werden seit dem 1. Dezember 2021 durch das neue Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) geregelt.

    Werden Sie noch heute konform mit den gängigen Datenschutzgesetzen mit Cookiebot Consent Management Plattform (CMP).

    Aus TMG und TKG wurde TTDSG

    Auf EU-Ebene ist der Datenschutz zweigleisig geregelt. Neben der bereits erwähnten DSGVO, die den Schutz von personenbezogenen Daten regelt, existiert noch die ePrivacy-Richtlinie, deren Zweck es ist Spezialfälle der DSGVO zu regeln und den Schutz der Privatsphäre sicherzustellen. Während also die DSGVO verhindert, dass jemand unbefugtes Informationen über Sie, z.B. Ihre Krankenakte, kopiert und im Internet verscherbelt, ist die ePrivacy-Richtlinie dafür da, dass auch im digitalen Raum ihre privaten Geräte und Dateien nur von Ihnen eingesehen und bearbeitet werden können.

    Anders als die DSGVO hat die ePrivacy-Richtlinie aber selbst keine Gesetzeskraft. Sie verpflichtet lediglich alle EU-Mitgliedsstaaten ihren Inhalt in nationale Rechtsakte umzusetzen. Mit dem Zusammenschließen der beiden bereits bestehenden Gesetze TMG und TKG zum TTDSG hat Deutschland am 1. Dezember 2021 eben diese Verpflichtung umgesetzt.

    Mit dem TTDSG werden TMG und TKG zu einem einheitlichen Datenschutzgesetz im Onlineraum zusammengeführt

    Das neue Datenschutzgesetz TTDSG soll in Deutschland für Rechtsklarheit rund um das Online-Tracking von Nutzerdaten schaffen.


    Derzeit bestehen bei der Online-Verfolgung von Endnutzerdaten noch Rechtsunsicherheiten, insbesondere beim Einsatz von Cookies.

    Der EuGH hat am 1. Oktober 2019 in Bezug auf die Verwendung von Cookie-Bannern entschieden, dass die aktive und freiwillige Einwilligung der Nutzer unbedingt erforderlich ist, bevor nicht-essentielle Cookies auf einer Website platziert werden.

    Der deutsche BGH hat dies in einem Urteil vom 28. Mai 2020 bestätigt.

    Mit dem TTDSG mischt sich jetzt eine weitere Stimme in den Chor Cookie-Regelungen. Allerdings kommt das TTDSG, dessen Zweck es ist die Privatsphäre der Nutzerinnen und Nutzer zu schützen, dabei aus einer neuen Richtung auf das Thema zu. Die bisherige Rechtsprechung schränkt den Spielraum von Cookies ein, weil sie dazu benutzt werden können personenbezogene Daten zu erheben. Das TTDSG hingegen interpretiert die Endgeräte, mit denen wir auf das Internet zugreifen, als Teil der persönlichen Privatsphäre und deshalb als schützenswert.

    Das macht Cookies und ähnliche Tracking-Technologien zum Problem, weil diese von Webseiten auf die Geräte Ihrer Besucherinnen und Besucher übertragen werden. In den Augen des TTDSG ist das Setzen von Cookies also ein Eingriff in die Privatsphäre der Besucherinnen und Besucher einer Website.

    Lesen Sie hier den Gesetzestext des TTDSG in voller Länge.

    Die neue Perspektive des TTDSG hat wichtige Auswirkungen darauf, wie eine Website und ihre Tracking-Technologien zu regeln sind, um gesetzeskonform zu sein. Im Folgenden wollen wir uns die für Ihre Website relevanten Anforderungen des TTDSG im Detail ansehen und erklären, wie Sie Konformität mit dem Datenschutz-Standard in Deutschland erreichen.

    Scannen Sie Ihre Website, um zu überprüfen, welche Cookies und Tracker auf Ihrer Website zu finden sind.

    Testen Sie Cookiebot CMP 30 Tage lang kostenlos… oder für immer, wenn Sie eine kleine Website haben.

    TTDSG – Was Sie wissen müssen


    Der Inhalt des TTDSG orientiert sich eng an den Vorgaben der DSGVO, ist aber nicht wie letztere auf den Schutz personenbezogener Daten ausgelegt, sondern regelt auch den Zugriff und Speicherung auf den Geräten von Webseiten-Besucherinnen und -Besuchern.

    Das BDSG-neu ist in vier Teile gegliedert:

    1. Teil: Allgemeine Vorschriften
    2. Teil: Datenschutz und Schutz der Privatsphäre in der Telekommunikation
    3. Teil: Telemediendatenschutz, Endeinrichtungen 
    4. Teil: Straf- und Bußgeldvorschriften und Aufsicht
    Die Zustimmung zu Cookies ist auch im TTDSG festgeschrieben.

    Das neue TTDSG gilt als bundesweites Gesetz in Deutschland, trotzdem ist die DSGVO als EU-Verordnung vorrangig anzuwenden.

    Für Websites, auf denen Cookies oder ähnliche Tracking-Technologien im Einsatz sind, ist besonders §25 Schutz der Privatsphäre bei Endeinrichtungen relevant, in welchem das Zustimmungserfordernis festgeschrieben ist.

    Für eine konforme Einholung der Zustimmung Ihrer Nutzer, implementieren Sie noch heute ein Consent Management Tool auf Ihrer Website.

    Regelungen zu Cookies - §25 TTDSG

    Die Verwendung von Cookies auf einer Website führt dazu, dass personenbezogene Nutzerdaten gegebenenfalls verfolgt und gespeichert werden.

    Laut DSGVO und ePrivacy-Richtlinie muss die Einwilligung erfolgen, bevor personenbezogene Daten des betroffenen Nutzers verarbeiten werden dürfen.

    Das TTDSG übernimmt nun diese Zustimmungsbedingung überträgt sie auf jegliche Zugriffe auf die Endgeräte von Websitebesucherinnen und -besuchern. So heißt es in §25 TTDSG wörtlich:

    "Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat."

    Mit Endeinrichtungen sind im TTDSG hierbei alle an ein öffentliches Kommunikationsnetz angeschlossene Geräte gemeint, die zum Aussenden, Verarbeiten oder Empfangen von Nachrichten verwendet werden. Einfacher gesagt: jegliches Endgerät mit einer Internetverbindung. Cookies, die im Browser von Internetnutzerinnen und -nutzern gespeichert werden, zählen demnach ebenso dazu.

    Das Gesetz legt hier klar die vorherige informierte Zustimmung, wie sie aus Art. 7 DSGVO bereits bekannt ist, auch in Deutschland als Bedingung zur Verarbeitung personenbezogener Daten fest. Für eine konkrete Ausgestaltung der Einwilligungserklärung verweist das TTDSG an dieser Stelle direkt auf die DSGVO.

    Erfahren Sie hier mehr zu den DSGVO-Anforderungen an Cookie-Zustimmung.

    Genauso wie die DSGVO, erlaubt auch das TTDSG Ausnahmen zu dieser strengen Regel. So sind laut §25 Absatz 2 TTDSG folgende Tatbestände von der Einwilligungspflicht ausgenommen:

    • Technisch unbedingt erforderliche Cookies
    • Cookies, die ausschließlich der Übertragung von Nachrichten über ein öffentliches Telekommunikationsnetz dienen

    Cookies, die in eine dieser Beiden Kategorien fallen, dürfen auch ohne Einwilligung gesetzt werden. Die Formulierung dieser Ausnahme weicht jedoch von der „berechtigtes Interesse“-Regelung durch DSGVO und BDSG ab und schafft vielerorts Unsicherheiten. Vor dem Inkrafttreten des TTDSG haben viele Websites von der Cookie-Kategorie „Berechtigtes Interesse“ gemacht. Cookies dieser Kategorie konnten ohne Einwilligung der Nutzerinnen und Nutzer gesetzt werden, ohne die geltenden Gesetze zu verletzen.

    Was genau in die Kategorie „unbedingt erforderlich“ fällt und was nicht, ist Auslegungssache und wird wohl erst vor Gerichten geklärt werden müssen. Allerdings ist die Einigkeit groß, dass nicht alle Cookies, die früher in die Kategorie „berechtigtes Interesse“ fielen, jetzt auch in die Kategorie „unbedingt erforderlich“ fallen. Viele Webseitenbetreiberinnen und -betreiber müssen ihre bisherige Cookie-Policy überarbeiten, um ihre Website TTDSG-Konform zu machen – auch wenn sie bereits DSGVO-konform war.

    Testen Sie Cookiebot 30 Tage lang kostenlos… oder für immer, wenn Sie eine kleine Website haben.

    Scannen Sie Ihre Website kostenlos, um zu sehen, welche Cookies und Tracker in Betrieb sind.

    Vor allem §25 ist für Ihre Website relevant, hier wird die Zustimmung zu Cookies festgelegt.

    Im neuen deutschen Datengesetz TTDSG wird die Zustimmung seitens der Nutzer als Bedingung zur Datenverarbeitung festgeschrieben.

    Zusammenfassung: Das Telekomunikation-Telemedien-Datenschutz-Gesetz (TTDSG) regelt seit dem 1. Dezember 2021 wie Unternehmen, die Ihren Sitz in Deutschland haben oder Waren beziehungsweise Dienstleistungen auf dem deutschen Markt anbieten, Cookies auf ihrer Website handhaben müssen. Mit dem Inkrafttreten des TTDSG fanden die deutschen Datengesetze eine überfällige Anpassung an die Vorgaben der DSGVO und ePrivacy-Richtlinie.

    Insbesondere §25 TTDSG gibt klare Anforderungen an das Setzen von Cookies auf Endgeräten vor. So muss dies stets durch die Erteilung einer freien Zustimmung seitens der Nutzerinnen und Nutzer freigegeben sein.

    Verändert hat sich durch die Einführung des TTDSG vor allem, unter welchen Bedingungen Ausnahmen zu dieser Regelung geltend gemacht werden dürfen. So wurde der bisherige Ausnahmefall „berechtigtes Interesse“ durch den wahrscheinlich restriktiveren Fall „technisch notwendig“ abgelöst.

    Für volle Konformität mit der DSGVO, testen Sie Cookiebot CMP noch heute kostenlos.

    Wie Ihre Website Konformität erreicht


    Wenn auf Ihrer Website Cookies oder ähnliche Tracking-Technologien im Einsatz sind, die personenbezogene Daten der Nutzer verarbeiten, müssen Sie laut DSGVO, ePR und TTDSG die freiwillige und informierte Zustimmung Ihrer Nutzer einholen.

    Die einfachste Möglichkeit die aktive Einwilligung zu erfragen, besteht durch so genannte Cookie-Hinweise oder -Banner, welche Sie mithilfe einer Consent Management-Lösung auf Ihrer Website implementieren können.

    Logo banner powered by Cookiebot by Usercentrics

    Der Cookie-Banner von Cookiebot CMP ermöglicht den Nutzern eine freie Einwilligung in Konformität mit DSGVO, ePR und TTDSG.

    Cookiebot™️ ist eine Consent Management-Plattform (CMP), die mit einem leistungsstarken Scanner alle Cookies und Tracker auf Ihrer Website findet und zurückhält, bis die Endnutzer ihre ausdrückliche Zustimmung erteilt haben.

    Testen Sie Cookiebot 30 Tage lang kostenlos… oder für immer, wenn Sie eine kleine Website haben.

    Scannen Sie Ihre Website kostenlos, um zu sehen, welche Cookies und Tracker in Betrieb sind.

    Logo banner powered by Cookiebot by Usercentrics

    FAQ

    Was ist das BDSG?

    Das Bundesdatenschutzgesetz (kurz: BDSG) wurde in überarbeiteter Fassung als BDSG-neu aktualisiert und gilt als allgemeines Gesetz zum Schutz des Persönlichkeitsrechts deutscher Bürger und regelt ebenso die analoge und digitale Verarbeitung von personenbezogenen Daten durch öffentliche und privatwirtschaftliche Stellen. Im BDSG finden sich u.a. Erweiterungen der in der DSGVO vorzufindenden Öffnungsklauseln in Bezug auf die Datenverarbeitung im Beschäftigtenverhältnis (§26 BDSG-neu), sowie der Bestellung eines Datenschutzbeauftragten (§38 BDSG-neu).

    Lesen Sie hier die allgemeinen Anforderungen der EU-DSGVO.

    Was ist das TTDSG?

    Das Telekommunikation-Telemedien-Datenschutzgesetz (kurz: TTDSG) bündelt als maßgebendes Gesetz die Bestimmungen aus dem Telekommunikationsgesetz (TKG) sowie dem Telemediengesetz (TMG) und passt das Datenschutzniveau hierbei an die europäischen Standards nach DSGVO und ePR-Richtlinie an. Durch diese Neuformulierung und Bündelung in einem einheitlichen Gesetz sollten Rechtunsicherheiten geklärt werden, die vor allem in Bezug auf Online-Datenverarbeitung durch, z.B. Cookies, bestehen. Dazu hatten in Vergangenheit auch der EuGH und der deutsche BGH maßgebend entschieden.

    Lesen Sie hier Details zur Konformität von Cookie-Hinweisen und dem BGH-Urteil.

    Was besagt das TTDSG in Bezug auf Cookies?

    Die wesentliche Regelung zu Cookies findet sich in §25 TTDSG. Dort wird klar die Zustimmung seitens der Endnutzerinnen und Endnutzer als Bedingung für die Datenverarbeitung auf Endeinrichtungen, zum Beispiel durch Cookies oder vergleichbare Tracking-Technologien, festgelegt. Die Einwilligung muss hierbei den Anforderungen der DSGVO entsprechen, d.h. freiwillig und informiert erfolgen sowie jederzeit widerrufen werden können.

    Erfahren Sie hier mehr zu den Anforderungen der DSGVO in Bezug auf Cookies.

    Wann tritt das TTDSG in Kraft?

    Das Telekommunikation-Telemedien-Datenschutzgesetz (kurz: TTDSG) ist am 1.Dezember 2021 ohne Übergangsfrist in Kraft getreten. Derzeit befindet sich die ePrivacy-Verordnung, die als europäisches Gesetz Vorrang vor dem TTDSG haben wird, auf EU-Ebene in den Trilogverhandlungen. Bis zu ihrem Erlass findet das deutsche Datenschutzgesetz gemeinsam mit der DSGVO Anwendung.

    Erfahren Sie hier mehr zum aktuellen Stand der ePrivacy-Verordnung der EU.

    Ressourcen

    Die Allgemeine Datenschutz-Grundverordnung (DSGVO) im Überblick

    ePrivacy-Richtlinie (ePR)

    Das Bundesdatenschutzgesetz (BDSG) in überarbeiteter Fassung

    Gesetzestext des TTDSG (PDF)

    Mehr zur EuGH-Entscheidung im Fall Planet49

    Was Sie über Cookie-Hinweise und das BGH-Urteil wissen sollten

    Datenschutzkanzlei: Neue Cookie-Regelung - Überblick zum Entwurf des TTDSG