TTDSG — Telekommunikation-Telemedien-Datenschutzgesetz

Eine SaaS-Webseite bindet Google Analytics, einen Facebook-Pixel und ein Hotjar-Tag ein — alles vor dem Cookie-Banner. Eine Verbraucherschutzzentrale beanstandet die Praxis und fordert eine Unterlassungserklärung. Innerhalb weniger Stunden steht die Frage, welche Tags vor Einwilligung tatsächlich geladen wurden, welche Daten geflossen sind und ob die Einwilligungsabfrage überhaupt rechtskonform aufgebaut ist. Wer kein Tag-Inventar führt, kann diese Fragen nicht belastbar beantworten.

Das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) ist die deutsche Umsetzung der ePrivacy-Richtlinie und regelt seit Ende 2021 vor allem den Zugriff auf Endgeräte der Nutzerinnen — also Cookies, Local Storage, Pixel und vergleichbare Techniken. Es überlagert die DSGVO an der Stelle, an der Daten erst durch das Tracking entstehen.

Wer ist betroffen?

Faktisch jede Organisation, die digitale Dienste in Deutschland anbietet. Das TTDSG knüpft an den Begriff der Telemedien an — und der ist weit:

Webseitenbetreiber — von der Vereinswebsite bis zum Konzernportal.
App-Anbieter — sobald die App auf das Endgerät zugreift, gilt § 25 TTDSG auch ohne Browser-Kontext.
SaaS-Anbieter — Cookies und Storage in der Web-App, eingebettete Tracking-SDKs.
Newsletter- und Marketing-Plattformen — Tracking-Pixel in E-Mails fallen unter § 25 TTDSG.
Anbieter klassischer Telekommunikationsdienste — Telefonie, E-Mail-Provider, Messenger-Dienste; hier greifen zusätzlich die Pflichten zum Fernmeldegeheimnis (§§ 3, 5 TTDSG).

Auch ausländische Anbieter sind erfasst, wenn sie sich gezielt an den deutschen Markt richten (deutsche Sprache, Top-Level-Domain .de, Lieferung nach Deutschland).

Was verlangt das Gesetz?

Das TTDSG hat zwei Hauptregelungsbereiche: das Fernmeldegeheimnis (§§ 3–11) und den Schutz der Privatsphäre bei Endeinrichtungen (§§ 19–26). Für die Informationssicherheit relevant sind vor allem:

§ 25 TTDSG — Schutz der Privatsphäre bei Endeinrichtungen — Zugriff auf das Endgerät der Nutzerin (Speichern und Auslesen von Informationen) ist nur mit aktiver, informierter Einwilligung zulässig. Ausnahme: technisch unbedingt erforderliche Funktionen.
§ 26 TTDSG — Anerkannte Dienste zur Einwilligungsverwaltung — Rahmen für anerkannte Personal-Information-Management-Systeme (PIMS); die Verordnung dazu ist in Vorbereitung.
§ 19 TTDSG — Anonymisierung und Pseudonymisierung — Telemedien-Anbieter müssen die Möglichkeit anonymer und pseudonymer Nutzung schaffen, soweit zumutbar und technisch möglich.
§§ 3–5 TTDSG — Fernmeldegeheimnis — Vertraulichkeit der Inhalts- und Verkehrsdaten in der Telekommunikation; Verstöße sind strafbar (§ 27 TTDSG).
§ 11 TTDSG — Sicherheit der Verarbeitung — Anbieter öffentlich zugänglicher Telekommunikationsdienste müssen angemessene technische und organisatorische Maßnahmen treffen.

In der Praxis

Tag-Inventar als Voraussetzung. Ohne vollständige Liste aller Tracking-Skripte, Pixel und SDKs ist keine TTDSG-Konformität möglich. Ein dokumentierter Stand der eingebundenen Tools — inklusive Zweck, Anbieter und Rechtsgrundlage — gehört in jedes Datenschutzhandbuch. Bei jeder Tool-Einführung wird das Inventar aktualisiert und das Cookie-Banner überprüft.

Cookie-Banner als technische Architektur denken. Banner, die zwar einen „Ablehnen”-Button anbieten, im Hintergrund aber dennoch Tags vorab laden, sind regelmäßiger Beanstandungsgrund. Eine technisch saubere Lösung blockiert alle nicht-essenziellen Tags vor der Einwilligung — typischerweise über ein Consent-Management-Tag, das die Skripte erst nach Zustimmung freischaltet.

Einwilligungsnachweis langfristig speicherbar machen. Wer eine Einwilligung erteilt, bekommt ein Protokoll mit Zeitpunkt, Banner-Version, gewählten Optionen und einer Möglichkeit zum Widerruf. Ohne diese Protokollierung lässt sich die Wirksamkeit der Einwilligung im Streitfall nicht nachweisen.

Mapping zu ISO 27001

Das TTDSG hat keinen direkten ISO-27001-Spiegel — es regelt einen sehr spezifischen Ausschnitt der Datenverarbeitung. Mehrere Annex-A-Kontrollen unterstützen die TTDSG-Compliance aber substantiell, vor allem im Bereich Datenschutz, Klassifizierung und Verschlüsselung.

Direkt relevante Kontrollen:

A.5.34 — Datenschutz und Schutz personenbezogener Daten: der Brückenpunkt; verlangt Einhaltung aller anwendbaren Datenschutzgesetze, also auch des TTDSG.
A.5.13 — Kennzeichnung von Informationen: Klassifizierung der Tracking- und Telemetriedaten.
A.5.14 — Informationsübertragung: sichere Übertragung von Telemetriedaten an Drittanbieter.
A.5.36 — Einhaltung von Richtlinien: regelmäßige Compliance-Prüfung gegen das TTDSG.
A.6.3 — Informationssicherheitsbewusstsein: Schulung von Marketing, Vertrieb und Webentwicklung zum Cookie-Recht.
A.8.10 — Löschung von Informationen: zeitnahe Löschung verkehrsbezogener Daten.
A.8.11 — Datenmaskierung: Pseudonymisierung im Sinne des § 19 TTDSG.
A.8.24 — Verwendung von Kryptografie: Schutz der Inhaltsdaten in der Telekommunikation.

Typische Audit-Befunde

Tags laden vor Einwilligung — der Klassiker. Google Analytics, Marketing-Pixel oder Schriftarten-CDNs werden noch vor dem Banner-Klick geladen.
Kein „Ablehnen”-Button auf gleicher Stufe — das Banner zwingt zur Zustimmung, der Ablehnen-Pfad ist tief verschachtelt. Aufsichten und Gerichte werten das als unwirksame Einwilligung.
Tracking-Pixel in Newslettern ohne separate Einwilligung — die Newsletter-Anmeldung deckt das Tracking nicht mit ab.
Externe Schriften und Karten ohne Einwilligung — Google Fonts, Google Maps oder ähnliche Dienste laden im Hintergrund, ohne dass die Nutzerin gefragt wurde.
Cookie-Lebensdauer überzogen — Marketing-Cookies mit mehreren Jahren Laufzeit ohne sachliche Begründung.
Keine dokumentierte Re-Consent-Strategie — wenn sich der Tracking-Stack ändert, müssen Bestandseinwilligungen neu eingeholt werden; das fehlt häufig.

Quellen

TTDSG-Volltext (gesetze-im-internet.de) — amtliche Fassung
Orientierungshilfe der DSK zu Telemedien — gemeinsame Auslegung der Aufsichtsbehörden
Bundesnetzagentur — Telekommunikation und Datenschutz — Aufsicht über klassische Telekommunikationsdienste
BfDI — Hinweise zu Cookies und Tracking — bundesbehördliche Auslegung
BGH-Urteil „Cookie-Einwilligung II” — höchstrichterliche Klarstellung zur aktiven Einwilligung

Häufig gestellte Fragen

Was ist neu am TTDSG gegenüber der DSGVO?

Das TTDSG regelt § 25 TTDSG zufolge den Zugriff auf Endgeräte (Cookies, Pixel, Local Storage, Browser-Fingerprinting) unabhängig davon, ob personenbezogene Daten verarbeitet werden. Das ist die deutsche Umsetzung von Art. 5 Abs. 3 ePrivacy-Richtlinie. Die DSGVO greift erst eine Ebene später, wenn personenbezogene Daten verarbeitet werden. In der Praxis braucht jedes nicht-funktional notwendige Tracking eine aktive Einwilligung — auch ohne Personenbezug.

Welche Cookies sind ohne Einwilligung erlaubt?

Nur Cookies, die für die vom Nutzer ausdrücklich gewünschte Funktion technisch erforderlich sind (§ 25 Abs. 2 TTDSG). Dazu gehören Session-Cookies für Logins, Warenkörbe, Sprach- oder Sicherheitseinstellungen. Reichweitenmessung, Marketing, A/B-Tests und externe Schriften gehören nicht dazu — auch nicht selbst gehostete Analytics, sofern sie über die reine Funktionalität hinausgehen.

Wer überwacht das TTDSG und was kostet ein Verstoß?

Zuständig sind die Datenschutzaufsichten der Länder. Bußgelder können bis zu 300.000 € erreichen (§ 28 TTDSG). Wettbewerber und Verbraucherschutzverbände können zudem nach UWG abmahnen — der wirtschaftliche Schaden über Abmahnungen liegt häufig höher als das Bußgeldrisiko.