Das neue Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) trat im Dezember 2021 in Kraft. Dies bedeutet eine klare Wende für viele in Deutschland aktive Unternehmen, die Analytics-Programme nutzen. Das TTDSG schreibt vor:
Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat.
Absatz 1 § 25 TTDSG
Anders gesagt: Cookies speichern und Fingerprinting dürfen nur nach eindeutiger, freiwilliger und informativer Einwilligung erfolgen. In Deutschland heißt dies für Organisationen, die das Verhalten Ihrer Website-Besucher analysieren möchten, korrekte Cookie Consent Banner aufzeigen sowie technische und organisatorische Maßnahmen treffen, die dem TTDSG entsprechen. Dies schlägt sich um in die genaue Durchsicht der Dienstleister und ihrer Produkte.
Was bedeutet das neue Gesetz in Deutschland für Ihr Unternehmen und Ihre Datensammlung?
Das TTDSG setzt die DSGVO und ePrivacy Richtlinie auf deutscher Ebene um. § 3 des neuen Gesetzes setzt Vertraulichkeit voraus. Sobald ein Datentransfer in ein anderes Land nötig ist, sollte die organisatorische und technische Sicherheit der Daten gegeben sein. Durch den Cloud-Act erfüllt beispielsweise Google Analytics diese Voraussetzung nicht. Laut noyb gilt dies für alle US-Cloud-Dienste. Der Cloud-Act ermöglicht Behörden Daten von US ansässigen Unternehmen in deren weltweiten Serverstandorten einzusehen, auch jene von EU-Bürgern.
Die österreichische Datenschutzbehörde zieht hier nach und sagt, dass das Nutzen von Google Analytics der DSGVO widerspricht. Es wird immer schwieriger für Google Analytics in Europa Fuß zu fassen. Somit wird der Bedarf an einer datenschutzfreundlichen Analytics Plattform größer.
Wir zeigen Ihnen, wie Sie Ihren kompletten Marketing-Stack TTDSG konform gestalten. Dabei stellen wir Ihnen auch Piwik PRO’s einfache Methode vor, anonyme Daten unter dem TTDSG zu erhalten.
Gehen wir alles Schritt für Schritt durch.
Inhaltsverzeichnis
- Einwilligungen gemäß TTDSG
- Wie sammeln Sie anonyme Daten unter dem TTDSG
- Piwik PRO liefert eine kunden- und datenorientierte TTDSG-Lösung
- Das TTDSG: Fazit
Einwilligungen gemäß TTDSG
Einwilligungsformulare, oder auch Cookie Consent Banner genannt, sind ein wichtiges Tool, um genaue und vielfältige Informationen über das Verhalten Ihrer Besucher zu erhalten. Das TTDSG führt gegenüber der DSGVO keine Änderungen ein. Unternehmen sollen weiterhin Einwilligungen informativ, freiwillig, unmissverständlich und für konkrete Zwecke einholen. Das Gesetz rückt aber Einwilligungen klar in den Vordergrund der Datensammlung.
Daher informieren Sie Ihre Besucher über die Zwecke Ihrer Datensammlung und ermöglichen Sie ihnen, die Aufforderung zur Einwilligung abzulehnen oder anzunehmen. Vermeiden Sie Dark Patterns, um Einwilligungen zu erschleichen.
Wir haben für Sie Beispiele erstellt, die genau veranschaulichen, wie ein Cookie Consent Banner auszusehen hat und welche Banner Sie vermeiden sollten, auch unter dem TTDSG. Sie finden diese in dem Artikel: Cookie-Consent-Banner: So schmecken Ihre Cookies auch Datenschützern
Dies führt uns nun zu den Diensten, die Sie benötigen, um solche Einwilligungen einzuholen.
Durch die TTDSG anerkannte Consent Manager
Achten Sie auf die Software, die Sie nutzen möchten, um Einwilligungen einzuholen. Hinterfragen Sie genau, wo die Daten gespeichert werden, oder ob der Anbieter ein wirtschaftliches Eigeninteresse verfolgt.
Ein Consent Manager sollte laut § 26 des TTDSG nutzerfreundliche und wettbewerbskonforme Verfahren und technische Anwendungen zum Einholen und Verwalten von Consent haben sowie Besuchern ermöglichen, unterschiedlichen Zwecken zuzustimmen und ihre Zustimmung mühelos zu ändern oder zu revidieren. Dabei sollte die Sicherheit der Daten nicht zu kurz kommen.
In diesem Artikel erklären wir die Unterschiede zwischen einem integrierten und einem Standalone Consent Manager. Beide haben ihre Vor- und Nachteile, jedoch bietet einer eine erhöhte Sicherheit: Was ist ein Consent Manager und warum Sie einen brauchen
Piwik PRO beispielsweise bietet einen integrierten Consent Manager an, der die Sicherheit bei der Datensammlung erhöht. Tags werden nicht gefeuert, sofern keine Einwilligung erteilt wurde. Sie können alle Einwilligungen sogar mit Ihrem ganzen Marketing-Stack teilen und datenschutzkonform arbeiten.
Die Einwilligungsrate variiert von Industrie und Unternehmen zwischen 30 % und 70 %. Daher gibt es auch Unternehmen, die auf anonyme Daten angewiesen sind, um eine nutzerfreundliche Website anbieten zu können und den Geschäftserfolg zu sichern.
Wie sammeln Sie anonyme Daten unter dem TTDSG
Als das Gesetz am 1.12.2021 in Kraft trat, stellten sich viele Unternehmen die Frage, wie denn nun anonyme Daten gesammelt werden sollen. Bisher wichen viele Unternehmen auf Fingerprinting-Methoden aus oder sogar Event-basierte Methoden, die nur limitierte Datensätze liefern. Die meisten Anbieter von Analytics Plattformen bewarben sogar diese Methode als “Einwilligungsfrei”. Dies war bei der DSGVO nicht der Fall und jetzt ist es in Deutschland gesetzlich festgehalten.
Sämtliche Daten, die auf dem Endgerät des Besuchers gespeichert sind, dürfen nicht abgelesen werden. Dies beinhaltet unter anderem die:
- Auflösung des Bildschirms
- Browser-Konfiguration
- installierte Plugins
- System-Fonts
Solche Daten wurden herangezogen, um einen sogenannten Fingerprint zu erzeugen und die getätigten Events einer Session zuzuordnen. Indirekt konnte man durch diese Informationen eine Person erkennen. Deshalb werden solche Daten auch als personenbezogene Daten klassifiziert.
Im November 2023 hat der Europäische Datenschutzausschuss (EDSA) Leitlinien formuliert, die den neuen technischen Anwendungsbereich von Art. 5 (3) der ePrivacy-Richtlinie umreißen.
Diesem Artikel zufolge sind Unternehmen verpflichtet, eine vorherige Einwilligung einzuholen, bevor sie Informationen auf dem elektronischen Gerät eines Nutzers speichern oder darauf zugreifen. Die einzige Ausnahme besteht, wenn dies erforderlich ist, um die angeforderte Dienstleistung zu erbringen. Bislang galt dieser Grundsatz hauptsächlich für Internet-Cookies.
In den jüngsten Leitlinien wird die Liste der unter Art. 5 (3) fallenden Technologien erheblich erweitert. Sie umfasst nun auch neue Tracking-Methoden und technische Verfahren. Der EDSA konzentriert sich auf fünf kritische Elemente der Cookie-Regel und interpretiert sie alle umfassend:
- Informationen beinhalten sowohl nicht-personenbezogene als auch personenbezogene Daten, unabhängig davon, wie und von wem sie gespeichert werden.
- Endgeräte sind Geräte, die an das öffentliche Telekommunikationsnetz angeschlossen sind, z. B. Smartphones, Laptops, vernetzte Autos, vernetzte Fernsehgeräte oder intelligente Brillen.
- Ein elektronisches Kommunikationsnetz ist ein System, das die Übertragung von elektronischen Signalen ermöglicht. Die Leitlinie betrifft öffentliche Kommunikationsdienste, die über solche Netze erbracht werden. Die Kommunikation über ein Netz, das einer begrenzten Anzahl von Personen (z. B. Abonnenten) zur Verfügung steht, gilt jedoch auch als öffentlich.
- Zugriff – der EDSA wendet eine sehr weit gefasste Abgrenzung des Zugriffs an. Ein Zugriff vorliegt, wenn eine Stelle aktiv Schritte unternimmt, um Zugang zu den auf einem Endgerät gespeicherten Informationen zu erhalten.
- Die Speicherung bezieht sich auf Informationen jeglicher Art, in jeglicher Menge und über einen beliebigen Zeitraum (auch so kurz wie die Speicherung im RAM oder CPU-Cache)
Vor diesem Hintergrund würde der Art. 5 (3) der ePrivacy-Richtlinie auch für folgende Technologien gelten:
- URL- und Pixel-Tracking (einschließlich „Identifikatoren“)
- Lokale Verarbeitung
- Tracking nur anhand der IP-Adresse
- JavaScript-Code
- Internet of Things (IoT)-Reporting
- andere Geräte-Fingerprinting-Techniken
Die Vorschläge des EDSA sind umstritten, da sie sich negativ auf den Markt auswirken könnten. Dies spiegelte sich auch in den Stellungnahmen der Branchenverbände zu den neuen Leitlinien im Rahmen der öffentlichen Konsultation wider.
Um die Federation of European Data and Marketing zu zitieren:
Die weite Auslegung des Begriffs „Zugriff erhalten“ durch den EDSA würde (…) bedeuten, dass jede Kommunikation über das Internet in einer Weise einen „Zugriff“ auf Informationen im Sinne von Art. 5(3) der ePrivacy-Richtlinie darstellt (…). Dabei erfasst die Auslegung des Richtlinienentwurfs auch Technologien und grundlegende technische Vorgänge, die nicht unbedingt mit Marketing- oder Werbezwecken verbunden sind (…). Es ist daher unklar, wie eine Einwilligungspflicht für nicht-invasive technische Vorgänge, die nicht unbedingt die Verarbeitung personenbezogener Daten beinhalten, dem Nutzer einen besseren Schutz der Privatsphäre bringen soll. Dies scheint sich auch nachteilig auf das Online-Erlebnis des Nutzers auszuwirken, da er aufgefordert wird, sich mit zusätzlichen Einwilligungsanfragen zu befassen, was wahrscheinlich die sogenannte „Einwilligungsmüdigkeit“ verschärft.
Der Zentralverband der deutschen Werbewirtschaft (ZAW) e.V. stellte fest, dass die vom EDSA vertretene Auslegung des Begriffs „Zugriff erlangen“ mit der Auslegung des TTDSG durch die Deutsche Datenschutzkonferenz kollidiert. Diese konzentriert sich auf die aktive Abfrage von Informationen aus dem Speicher eines Endgeräts. Das IAB sprach unter anderem die Vernachlässigung der technischen Aspekte an.
Dennoch ist zu bedenken, dass die Leitlinien die Rechtsauffassung der EU-Datenschutzbehörden widerspiegeln. Sie sind nicht unmittelbar verbindlich. Ob es der EDSA gelingen wird, die neuen Leitlinien erfolgreich und vollständig durchzusetzen, ist bisher nicht sicher.
Piwik PRO liefert eine kunden- und datenorientierte TTDSG-Lösung
Die letztjährige CNIL Ausnahmegenehmigung beweist die Datenschutzfreundlichkeit der Piwik PRO Analytics Suite. Die französische Datenschutzbehörde fügte Piwik PRO zu der Liste der Analytics Plattformen hinzu, die ohne einer Einwilligung benutzt werden dürfen, sobald der Nutzer gewisse Einstellungen vornimmt.
Dem datenschutzfreundlichen Ansatz folgend, reagierte Piwik PRO prompt auf das neue Gesetz und ermöglichte seinen Kunden das Sammeln von anonymen Daten unter dem Telekommunikation und Telemedien Datenschutz Gesetz. Dieses besagt, dass neben den Einwilligungen die Daten anderer Endnutzer unverzüglich zu anonymisieren sind. (§ 9 Abs 2)
Viele unterschiedliche Analytics Plattformen ermöglichen die Informationen mit benutzerdefinierten Tags auszuschließen und zu versuchen diese Daten in eine Session einzubinden. Jedoch bedarf dies Erfahrung beim Codieren. Trotzdem kann es vorkommen, dass Daten bis zu 24 Stunden auf den Servern gespeichert werden, wie es zum Beispiel bei Matomo der Fall ist.
In der Piwik PRO Analytics Suite kann man mit dem neuen Update der Plattform anonyme Daten unter dem TTDSG sammeln, indem Sie nur einen Switch betätigen. Der Rest passiert ganz von selbst.
Eine Session ID wird aus einer Reihe von Daten gewonnen, die nicht vom Gerät herausgelesen werden, sondern für die Übertragung des Dienstes, sprich der Anzeige der Website, unentbehrlich sind. Diese Session ID gruppiert Events, die der Besucher innerhalb von 30 Minuten tätigt. Der Besucher selbst bleibt anonym und wird als neuer Besucher dargestellt.
Das TTDSG: Fazit
Europa antwortet mit strengen Regelungen, wie dem TTDSG, und erschwert das Nutzen von Google Analytics und anderen US-Cloud-Diensten im Geltungsbereich der DSGVO. Datenschutzfreundliche Lösungen gewinnen an Relevanz, sodass die technischen Voraussetzungen gegeben sind, die Daten, die Sie benötigen, zu erhalten.
Wir hoffen Ihnen mit diesem Artikel einige Fragen beantwortet zu haben, wie Sie TTDSG konforme Daten erhalten. Kontaktieren Sie uns jederzeit oder erstellen Sie eine Instanz von Piwik PRO Core, dem kostenlosen Paket der Piwik PRO Analytics Suite.
Sollte Ihnen dieser Artikel gefallen haben, empfehlen wir Ihnen diese Artikel:
