Telekommunikations-Digitale-Dienste-Datenschutz-Gesetz (TDDDG)
Heute, am 13. Mai 2024 tritt das Telekommunikations-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) in Kraft, das eine bedeutende Neuregelung im Bereich des Datenschutzes darstellt. Dieses Gesetz ersetzt das bisherige Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) und passt das deutsche Recht an den Digital Services Act (DSA) an.
Eine wesentliche Änderung ist die Ersetzung des Begriffs “Telemedium” durch “digitaler Dienst”, um eine modernere und präzisere Terminologie zu verwenden.
Wesentliche Neuerungen des TDDDG
- Erweiterte Anwendungsbereiche: Das TDDDG gilt für alle Anbieter von Telekommunikations- und digitalen Diensten, einschließlich Messaging-Dienste, VoIP-Anbieter, Cloud-Dienste und Plattformen für soziale Netzwerke. Es erweitert den Datenschutz auf alle Kommunikationsdienste, die über das Internet angeboten werden, und stellt sicher, dass auch neuere Dienste unter die Regelungen fallen.
- Strengere Anforderungen an die Einwilligung: Die Verarbeitung personenbezogener Daten bedarf einer klaren und informierten Einwilligung der Nutzer. Das TDDDG verlangt eine ausdrückliche Einwilligung für die Verwendung von Cookies und vergleichbaren Technologien. Dies bedeutet, dass implizite oder voreingestellte Zustimmungen, wie beispielsweise durch vorab angekreuzte Checkboxen, nicht mehr zulässig sind. Unternehmen müssen klare und verständliche Informationen über die Verwendung von Cookies bereitstellen und den Nutzern die Möglichkeit geben, ihre Einwilligung jederzeit zu widerrufen.
- Unterschiedlicher Anwendungsbereich im Vergleich zur DSGVO: Während die DSGVO den Schutz der personenbezogenen Daten gewährleistet, verlangt das TDDDG eine Einwilligung unabhängig davon, ob personenbezogene Daten tatsächlich anfallen. Dies bedeutet, dass selbst dann eine Einwilligung erforderlich ist, wenn der Dienst keine direkt personenbezogenen Daten erhebt, aber Technologien verwendet, die die Privatsphäre der Nutzer betreffen könnten.
- Erhöhte Sicherheitsanforderungen: Unternehmen sind verpflichtet, angemessene technische und organisatorische Maßnahmen zu ergreifen, um die Sicherheit der verarbeiteten Daten zu gewährleisten. Dies umfasst insbesondere die Verschlüsselung von Kommunikationsinhalten und die Sicherstellung, dass nur befugte Personen Zugriff auf die Daten haben.
- Recht auf Beendigung der Nutzung und Schutz vor Dritten: Nutzer haben das Recht, die Nutzung von digitalen Diensten jederzeit zu beenden und können den Schutz ihrer Daten gegen die Kenntnisnahme Dritter in Anspruch nehmen. Dies stärkt die Autonomie der Nutzer über ihre Daten und die Kontrolle über deren Nutzung.
- Schutz von Daten im Jugendschutz: Daten, die aufgrund des Jugendschutzes erhoben werden, dürfen nicht für kommerzielle Zwecke verarbeitet werden. Diese Regelung soll sicherstellen, dass die sensiblen Daten von Minderjährigen besonders geschützt werden und nicht für Marketing oder andere kommerzielle Zwecke missbraucht werden.
- Strengere Vorgaben für die Datenaufbewahrung: Die Speicherung personenbezogener Daten ist auf das notwendige Maß zu beschränken, und Unternehmen müssen klare Löschfristen einhalten. Eine längerfristige Speicherung ist nur unter besonderen gesetzlichen Voraussetzungen zulässig.
- Verpflichtung zur Datenschutz-Folgenabschätzung: Bei bestimmten Verarbeitungen, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen darstellen, sind Unternehmen verpflichtet, eine Datenschutz-Folgenabschätzung durchzuführen. Dies ist insbesondere bei neuen Technologien oder bei großflächiger Überwachung der Fall.
- Erweiterte Betroffenenrechte: Nutzer haben erweiterte Rechte, einschließlich des Rechts auf Auskunft, Berichtigung, Löschung und Datenportabilität. Neu ist das Recht auf Einschränkung der Verarbeitung, das Nutzern erlaubt, die Nutzung ihrer Daten unter bestimmten Umständen zu beschränken.
Handlungsempfehlungen für Unternehmen
Unternehmen sollten umgehend die folgenden Maßnahmen ergreifen, um den Anforderungen des TDDDG gerecht zu werden:
- Überprüfung und Anpassung der Datenschutzerklärungen: Stellen Sie sicher, dass Ihre Datenschutzerklärungen aktualisiert und vollständig transparent sind, insbesondere in Bezug auf die Einwilligungsprozesse und die Verwendung der Daten.
- Implementierung von Sicherheitsmaßnahmen: Überprüfen Sie Ihre aktuellen Sicherheitsvorkehrungen und stellen Sie sicher, dass diese den neuen gesetzlichen Anforderungen entsprechen. Dazu gehört auch die regelmäßige Schulung der Mitarbeiter in Datenschutzfragen.
- Datenmanagement optimieren: Passen Sie Ihre Datenaufbewahrungs- und Löschkonzepte an die neuen Vorgaben an und überprüfen Sie regelmäßig die Einhaltung dieser Konzepte.
- Durchführung einer Datenschutz-Folgenabschätzung: Identifizieren Sie Prozesse, die eine Datenschutz-Folgenabschätzung erfordern könnten, und führen Sie diese rechtzeitig durch.
- Betroffenenrechte sicherstellen: Stellen Sie sicher, dass die Prozesse zur Bearbeitung von Betroffenenanfragen optimiert sind und alle neuen Rechte der Nutzer berücksichtigt werden.
- Einwilligungsmanagement für Cookies: Überarbeiten Sie Ihre Cookie-Banner und Einwilligungsmanagement-Systeme, um sicherzustellen, dass die Einwilligungen ausdrücklich und rechtssicher eingeholt werden. Vermeiden Sie voreingestellte Zustimmungen und bieten Sie eine einfache Möglichkeit zum Widerruf der Einwilligung.
- Mitarbeiterschulung: Schulen Sie Ihre Mitarbeiter umfassend in den neuen Regelungen des TDDDG, um sicherzustellen, dass diese die neuen Anforderungen in der täglichen Arbeit berücksichtigen.
Durch die Umsetzung dieser Maßnahmen stellen Unternehmen sicher, dass sie den Anforderungen des neuen Telekommunikations-Digitale-Dienste-Datenschutz-Gesetzes entsprechen und den Datenschutz ihrer Nutzer auf einem hohen Niveau gewährleisten. Dies trägt nicht nur zur Einhaltung der gesetzlichen Vorgaben bei, sondern stärkt auch das Vertrauen der Kunden in die Sicherheits- und Datenschutzpraktiken des Unternehmens.