Am 13. März 2025 berichtete der KFV über aktuelle Änderungen im Bereich des Datenschutzes in Deutschland, die durch das TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz) geregelt werden. Dieses Gesetz trat am 1. Dezember 2021 in Kraft und ergänzt die DSGVO (Datenschutz-Grundverordnung). Es ist insbesondere darauf ausgelegt, den Zugriff auf Daten auf Endgeräten zu regulieren, wobei der Fokus auf der Verwendung von Cookies liegt.
Das TDDDG vereint die Vorschriften des Telemediengesetzes (TMG) und des Telekommunikationsgesetzes (TKG) und setzt den Artikel 5 Absatz 3 der ePrivacy-Richtlinie um. Dies bedeutet, dass für die Verwendung von Cookies ein Opt-In-Prinzip gefordert wird. Vor dem Inkrafttreten des TDDDG gab es in Deutschland Unklarheiten über die Regelungen bezüglich Cookies, da der § 15 Abs. 3 TMG ein Opt-Out verlangte, was im Widerspruch zu den europäischen Vorgaben stand.
Änderungen und Durchsetzung des TDDDG
Eine bedeutende Entscheidung in diesem Kontext war das „Cookie-Urteil“ (Planet 49) des Bundesgerichtshofs (BGH), das festlegte, dass die Auslegung des TMG richtlinienkonform sein müsse. Am 14. Mai 2024 erhielt das TTDSG den neuen Titel TDDDG, wobei die inhaltlichen Bestimmungen weitestgehend unverändert blieben. Der Begriff „Telemedien“ wurde durch „digitale Dienste“ ersetzt.
Das TDDDG regelt die Speicherung und den Zugriff auf Informationen in Endgeräten ausschließlich mit der Einwilligung der Nutzer. Es gibt definierte Ausnahmen von der Einwilligungspflicht, unter anderem für die Übertragung von Nachrichten oder für unbedingt erforderliche Dienste. Technisch notwendige Cookies, die etwa für die Sitzungsverwaltung nötig sind, fallen ebenfalls unter diese Regelung.
Wenn einwilligungsbedürftige Datenverarbeitungen stattfinden, sind Cookie-Banner gesetzlich vorgeschrieben. Diese Banner müssen klare Informationen bereitstellen und sowohl eine Opt-in-Funktion als auch die Möglichkeit zum Widerspruch bieten. Methoden wie „Nudging“ oder „Dark Patterns“, die Nutzer zur Einwilligung bewegen sollen, sind unzulässig. Verstöße gegen das TDDDG können mit Bußgeldern von bis zu 300.000 Euro geahndet werden, wobei die Zuständigkeiten für die Durchsetzung bei den Landesdatenschutzbehörden liegen. Eine erste Verurteilung wegen eines rechtswidrigen Cookie-Banners wurde bereits ausgesprochen, wie [dr-datenschutz.de](https://www.dr-datenschutz.de/cookies-und-datenschutz-zwischen-tdddg-und-dsgvo/) berichtete.
