TDDDG 2024: PIMS, Cookies und Datenschutz im Überblick

Am 14. Mai 2024 wurde das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) eingeführt und löste damit das bisherige Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG) ab. Mit dieser Umbenennung will der Gesetzgeber den Rechtsrahmen für Datenschutz, Cookies und Tracking-Technologien modernisieren und an die digitalen Realitäten anpassen.

Anstelle des Begriffs „Telemedien“ verwendet das neue TDDDG nun den umfassenderen Begriff „digitale Dienste“, um den Anwendungsbereich breiter zu fassen. Inhaltlich haben sich die Pflichten für Unternehmen jedoch kaum geändert – insbesondere die Einwilligungspflichten rund um Cookies, Tracking und Consent-Management bleiben nahezu unverändert bestehen.

Das Ziel des TDDDG ist es, einen klaren, harmonisierten Rechtsrahmen zu schaffen, der sowohl den Schutz der Privatsphäre stärkt als auch Rechtssicherheit für Unternehmen bietet. Dabei setzt das Gesetz die Vorgaben der europäischen ePrivacy-Richtlinie um und bildet die nationale Grundlage für den Umgang mit Cookies, Tracking-Technologien und vergleichbaren Verfahren.

Praxisrelevanz des TDDDG für Unternehmen, Websitebetreiber und App-Anbieter:

Das TDDDG 2024 betrifft insbesondere Unternehmen, Websitebetreiber und App-Anbieter.
Sie müssen prüfen, ob ihre Consent-Management-Systeme (CMPs), Cookie-Banner und Datenschutzerklärungen TDDDG-konform sind.
Technische Anpassungen sind in der Regel nicht erforderlich, allerdings müssen Verweise auf § 25 TTDSG durch § 25 TDDDG ersetzt werden. 

PIMS nach TDDDG 2024: Zukunft des Consent-Managements und zentrale Einwilligungsverwaltung

Ein zentraler Bestandteil des TDDDG Datenschutzgesetzes 2024 ist die in § 26 TDDDG vorgesehene Möglichkeit zur Nutzung von Personal Information Management Services (PIMS). Diese Plattformen sollen künftig die Cookie-Einwilligungen und das gesamte Consent-Management revolutionieren und das digitale Nutzererlebnis deutlich vereinfachen.

Was sind PIMS im TDDDG? Definition und Funktionsweise

PIMS sind zentrale Plattformen oder Systeme, über die Nutzer alle Einwilligungen für Cookies, Tracking-Technologien und vergleichbare Verfahren an einem einzigen Ort verwalten können.
Anstatt auf jeder einzelnen Website oder in jeder App erneut Cookie-Banner bestätigen zu müssen, sollen Nutzer künftig ihre Entscheidungen einmalig festlegen. Diese einmal erteilte Zustimmung unter dem TDDDG gilt dann automatisch für alle kompatiblen Dienste.

Warum PIMS für Unternehmen immer wichtiger werden

Aktuell klicken die meisten Nutzer Cookie-Banner reflexartig weg, ohne sich bewusst mit den Einwilligungen zu beschäftigen – ein Phänomen, das als „Click-Fatigue“ bekannt ist und welches das TDDDG lösen soll. Damit laufen die eigentlich von der DSGVO geforderte informierte Einwilligung und die durch das TDDDG eingeführten Vorgaben oft ins Leere.

Mit dem Aufkommen von Metaverse und immersiven 3D-Umgebungen werden klassische Pop-ups zunehmend unpraktisch. PIMS ermöglichen hier eine zentrale, datenschutzkonforme Einwilligungsverwaltung, die die User Experience deutlich verbessert und gleichzeitig Rechtskonformität nach TDDDG und DSGVO sicherstellt. 

PIMS-Modelle im Überblick nach dem TDDDG 2024: Agenten, Einwilligungsbündelung & Stellvertreter

Laut der Forschung des Projekts „PRIME – Privatheit im Metaversum“ gibt es mehrere Ansätze, wie PIMS nach dem TDDDG 2024 künftig umgesetzt werden könnten:

1. Agentenbasierte Einwilligungen

• Nutzer legen Präferenzen einmalig fest; eine Software erteilt automatisch Einwilligungen – im Einklang mit dem TDDDG
• Vorteil: Nahtlose Integration ins digitale Nutzererlebnis.
• Herausforderung: Rechtliche Zurechnung automatisierter Entscheidungen.

2. Speicherung sachgleicher Einwilligungen

• Einmal erteilte Einwilligungen werden für gleichartige Verarbeitungsvorgänge gespeichert und automatisch wiederverwendet.
• Die Einwilligungsverwaltungs-Verordnung (EinwVO) unterstützt dieses Modell bereits.

3. Zentrale Einwilligungsbündelung

• Große Plattformen wie Meta oder Apple könnten Einwilligungen TDDDG-konform zentral einholen und verwalten.
• Vorteil: Weniger Unterbrechungen, besseres Nutzererlebnis.
• Nachteil: Gefahr von Machtkonzentrationen und Abhängigkeiten.

4. PIMS als Stellvertreter

• PIMS-Betreiber können nach dem TDDDG rechtlich wirksame Einwilligungen stellvertretend abgeben.
• Aktuell noch rechtlich umstritten, da die DSGVO keine klare Regelung zur Einwilligungsvertretung enthält.

Rechtliche Anerkennung von PIMS nach dem TDDDG 2024

Damit PIMS-Systeme nach dem TDDDG verbindlich genutzt werden können, müssen sie durch die Einwilligungsverwaltungs-Verordnung (EinwVO) offiziell anerkannt werden. Erst dann sind zentrale Einwilligungsentscheidungen sowohl technisch als auch rechtlich wirksam.

Bis dahin gilt:

• Consent-Management-Plattformen (CMPs) und klassische Cookie-Banner bleiben Pflicht.
• Unternehmen sollten jedoch bereits jetzt ihre Systeme so gestalten, dass eine künftige Integration von PIMS problemlos möglich ist und die Einhaltung des TDDDG so vereinfacht wird.

Handlungsbedarf: TDDDG in die Praxis umsetzen

Um wettbewerbsfähig zu bleiben und die Datenschutz-Compliance nach dem TDDDG 2024 sicherzustellen, sollten Unternehmen schon heute:

• Bestehende Systeme so gestalten, dass eine PIMS-Integration möglich ist.
• Datenschutzerklärungen und Consent-Management-Prozesse flexibel und updatefähig halten.
• Entwicklungen zu PIMS, EinwVO, TDDDG und dem Metaverse aktiv beobachten.

Cookie-Banner nach TDDDG 2024: Rechtssichere Gestaltung und Best Practices

Auch wenn das TDDDG 2024 selbst keine konkreten Designvorgaben für Cookie-Banner macht, existieren umfangreiche Leitlinien der Datenschutzbehörden sowie des European Data Protection Board (EDPB).
Unternehmen, Websitebetreiber und App-Anbieter sind verpflichtet, diese Vorgaben einzuhalten, um ein rechtskonformes Consent-Management sicherzustellen und Bußgelder oder Abmahnungen nach dem TDDDG zu vermeiden.

Zentrale Anforderungen an DSGVO- und TDDDG-konforme Cookie-Banner

Damit ein Cookie-Banner TDDDG-konform ist, müssen mehrere Anforderungen erfüllt werden. Zunächst müssen alle nicht notwendigen Cookies und Tracking-Tools standardmäßig deaktiviert sein, bis der Nutzer ausdrücklich zustimmt. Das Setzen von Cookies ohne Einwilligung ist unzulässig. Zudem gilt das Prinzip des aktiven Opt-ins: Nutzer müssen ihre Zustimmung bewusst erteilen, voreingestellte Häkchen oder implizite Zustimmungen sind nach TDDDG und DSGVO verboten.

Besonders wichtig ist auch die Gestaltung der Buttons. Schaltflächen wie „Alle akzeptieren“ und „Alle ablehnen“ müssen optisch gleichwertig sein, um eine echte Wahlfreiheit zu gewährleisten. Dark Patterns oder Nudging-Methoden, die den Nutzer zur Zustimmung drängen, sind nicht erlaubt.

Darüber hinaus müssen Nutzer gemäß dem TDDDG klar und transparent informiert werden. Dazu gehört, dass die Zwecke der eingesetzten Tools, die Anzahl und Identität der Anbieter sowie mögliche Datenübermittlungen in Drittländer deutlich erkennbar sind. Ebenso wichtig ist die Möglichkeit einer granularen Auswahl: Nutzer sollen selbst entscheiden können, ob sie beispielsweise Cookies für Marketing, Statistik oder Komfortfunktionen zulassen. Ein einfaches „Alles oder nichts“-Prinzip verstößt gegen die gesetzlichen Vorgaben.

Technische Anforderungen und Nachweise gemäß TDDDG

Neben der Gestaltung des Cookie-Banners spielen auch technische Aspekte eine zentrale Rolle im TDDDG. Unternehmen müssen die Einwilligungen revisionssicher dokumentieren – inklusive Zeitstempel, Version und Umfang der Zustimmung. Außerdem muss der Widerruf einer Einwilligung jederzeit einfach und leicht auffindbar möglich sein.

Der Einsatz einer Consent-Management-Plattform (CMP) wird dringend empfohlen, da sie hilft, sämtliche rechtlichen Anforderungen nach dem TDDDG 2024 effizient umzusetzen. Besonders vorteilhaft sind CMPs, die bereits technische Vorbereitungen für Schnittstellen zu PIMS und zur Einwilligungsverwaltungs-Verordnung (EinwVO) treffen. Voll funktionsfähige Anbindungen werden jedoch erst möglich sein, sobald die EinwVO final verabschiedet und PIMS offiziell anerkannt sind.

TDDDG 2024: Bußgelder, Abmahnungen und Compliance-Risiken für Unternehmen

Das TDDDG 2024 bringt für Unternehmen, Websitebetreiber und App-Anbieter erhebliche rechtliche Verpflichtungen mit sich. Wer diese Datenschutzvorgaben nicht einhält, riskiert hohe Bußgelder, Abmahnungen und langfristige Reputationsschäden.

Besonders relevant sind Verstöße gegen die Einwilligungspflichten nach § 25 TDDDG, beispielsweise durch die fehlerhafte Gestaltung von Cookie-Bannern oder mangelhafte Consent-Management-Systeme. Solche Verstöße können nicht nur behördliche Strafen nach sich ziehen, sondern auch von Mitbewerbern und Verbraucherschutzverbänden gezielt abgemahnt werden.

Besonders schwerwiegend sind Fälle, in denen zusätzlich personenbezogene Daten betroffen sind. Hier greift die Datenschutz-Grundverordnung (DSGVO), die Geldbußen von bis zu 20 Millionen Euro oder alternativ bis zu 4 % des weltweit erzielten Jahresumsatzes vorsieht – abhängig davon, welcher Betrag höher ist. Darüber hinaus sieht das TDDDG eigene, spezifische Sanktionen vor: Beim unzulässigen Setzen von Cookies oder der Verwendung von Tracking-Tools können Strafen von bis zu 300.000 Euro verhängt werden.

Doch nicht nur Behörden können tätig werden: Auch Konkurrenten und Verbraucherschutzverbände haben das Recht, Verstöße gegen das TDDDG 2024 abzumahnen und kostenpflichtige Unterlassungserklärungen zu verlangen. Solche wettbewerbsrechtlichen Abmahnungen sind besonders gefährlich, da sie häufig mit hohen Vertragsstrafen verbunden sind.

Darüber hinaus dürfen die Reputationsrisiken nicht unterschätzt werden. Öffentlich bekannt gewordene Datenschutzverstöße oder eine fehlende Transparenz beim Tracking können das Vertrauen von Kunden, Geschäftspartnern und Investoren nachhaltig beschädigen. Ein einziger öffentlich gewordener Verstoß kann langfristig negative Auswirkungen auf den Unternehmenserfolg haben.

Aus diesen Gründen sollten Unternehmen frühzeitig in ein rechtskonformes Consent-Management-System investieren, ihre Datenschutzprozesse regelmäßig überprüfen und Entwicklungen rund um das TDDDG 2024 sowie die Einwilligungsverwaltungs-Verordnung (EinwVO) aktiv verfolgen. Nur so lassen sich Compliance-Risiken nachhaltig minimieren und Bußgelder oder Abmahnungen effektiv vermeiden.

Handlungsempfehlungen nach TDDDG 2024: So setzen Unternehmen die neuen Datenschutzanforderungen um

Um die Anforderungen des TDDDG rechtskonform umzusetzen und Bußgelder sowie Abmahnungen zu vermeiden, sollten Unternehmen, Websitebetreiber und App-Anbieter jetzt proaktiv handeln.
Die folgenden Maßnahmen helfen, die gesetzlichen Vorgaben effizient und DSGVO-konform umzusetzen.

1. Consent-Management optimieren und rechtssicher gestalten gemäß TDDDG

• Überprüfen Sie bestehende Cookie-Banner und Consent-Management-Plattformen (CMP) auf TDDDG-Konformität.
• Gestalten Sie „Annehmen“ und „Ablehnen“-Buttons gleichwertig und vermeiden Sie Dark Patterns.
• Setzen Sie keine nicht notwendigen Cookies standardmäßig, bevor eine Einwilligung erfolgt.
• Sorgen Sie für granulare Auswahlmöglichkeiten (z. B. Marketing, Statistik, Komfortfunktionen).
• Nutzen Sie eine CMP, die Schnittstellen zu PIMS und der Einwilligungsverwaltungs-Verordnung (EinwVO) unterstützt.

2. Datenschutzerklärung aktualisieren und TTDSG-Verweise anpassen

• Ersetzen Sie alle Verweise auf das TTDSG durch § 25 TDDDG.
• Ergänzen Sie transparente Angaben zu:
  • eingesetzten Tools und deren Anbieter,
  • Zweck und Dauer der Datenspeicherung,
  • möglichen Datenübermittlungen in Drittländer,
  • Widerrufs- und Opt-out-Möglichkeiten.

3. Technische Inventur durchführen und Tracking-Tools prüfen

• Führen Sie eine vollständige Inventur aller Cookies, Tracker, SDKs und Drittanbieter-Dienste durch.
• Prüfen Sie eingebettete Inhalte wie YouTube-Videos, Google Maps oder Social-Media-Plugins.
• Stellen Sie sicher, dass Tools wie Google Analytics, Google Ads oder das Meta Pixel erst nach aktiver Einwilligung geladen werden.

4. PIMS-Integration vorbereiten und EinwVO-Entwicklungen beobachten

• Prüfen Sie bereits jetzt, wie sich Personal Information Management Services (PIMS) künftig integrieren lassen.
• Wählen Sie CMPs und Systeme, die technisch flexibel sind und deren Anbieter sich bereits auf die künftige Integration von PIMS-Schnittstellen vorbereiten. So bleiben Sie zukunftssicher und können neue Funktionen nahtlos einbinden, sobald die Einwilligungsverwaltungs-Verordnung (EinwVO) in Kraft tritt.
• Behalten Sie die Entwicklungen zur Einwilligungsverwaltungs-Verordnung (EinwVO) genau im Blick.

5. Dokumentation und Nachweisbarkeit für DSGVO-Compliance sicherstellen

• Protokollieren Sie alle Einwilligungen revisionssicher (inkl. Zeitstempel, Version und Umfang).
• Sorgen Sie dafür, dass Nutzer ihre Einwilligungen jederzeit widerrufen oder Einstellungen ändern können.
• Führen Sie eine DSGVO-konforme Consent-Dokumentation, um Nachweispflichten bei Audits erfüllen zu können.

Sie haben Fragen zur Umsetzung der DSGVO? Besuchen Sie unsere DSGVO Sprechstunde oder nehmen Sie an unseren Webinaren und Veranstaltungen teil!

6. Regelmäßige Audits und Compliance-Checks durchführen

• Führen Sie regelmäßige Audits durch, um auf Änderungen in der Gesetzgebung und bei Drittanbietern zu reagieren.
• Schulen Sie interne Teams zu den aktuellen Datenschutzanforderungen.
• Verfolgen Sie aktiv die Entwicklungen zur ePrivacy-Verordnung und EinwVO, um frühzeitig Anpassungen vorzunehmen.

TDDDG 2024: Rechtskonformes Consent-Management als Schlüssel zu Nutzervertrauen und Datenschutz

Wer diese Handlungsempfehlungen konsequent umsetzt, erreicht drei entscheidende Ziele:

1. Minimierung rechtlicher Risiken durch ein rechtssicheres Consent-Management.
2. Stärkung des Nutzervertrauens durch transparente Cookie- und Tracking-Prozesse.
3. Schaffung einer soliden Grundlage für datenschutzkonforme digitale Geschäftsmodelle.

Fragen zur Umsetzung von TDDDG 2024?

Unsere spezialisierten Rechtsanwälte für IT- und Datenschutzrecht unterstützen Sie dabei, das TDDDG 2024 rechtskonform in Ihrem Unternehmen umzusetzen. Jetzt Beratung im IT- und Datenschutzrecht anfordern.