Mit dem in Kraft treten des TTDSG und HinSchG können sich für Organisationen Maßnahmen ergeben. Nachfolgend haben wir für Sie die wichtigsten Inhalte zusammengefasst.
TTDSG
Zum 01.12.2021 tritt das Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG) in Kraft. Es beinhaltet Neuerungen und Klarstellungen für Unternehmen, Webseitenbetreiber und Agenturen.
Hintergrund
Bisher gibt es eine Rechtsunsicherheit durch das Nebeneinander von Telemediengesetz (TMG), dem Telekommunikationsgesetz (TKG) und der Datenschutzgrundverordnung (DSGVO). Wann welches dieser Gesetze gilt, ist alleine schon eine Herausforderung. Hinzukommt, dass die ePrivacy-Verordnung, die beispielsweise den Umgang mit Cookies regeln sollte, bis heute nicht erlassen wurde. Deshalb hat der Gesetzgeber die Datenschutzbestimmungen aus dem TMG und dem TKG herausgelöst, an die DSGVO und die ePrivacy-Richtlinie angepasst und im TTDSG zusammengefasst.
Was sind die wichtigsten Inhalte des Gesetzes?
§4 TTDSG enthält eine neue Regelung für Erben. Diese stellt klar, dass das Fernmeldegeheimnis nicht entgegensteht, wenn Erben eines Endnutzers Rechte gegenüber einem Anbieter von TK-Diensten geltend machen.
§25 TTDSG schreibt eine echte und ausdrückliche Einwilligung vor, wenn Informationen auf Endeinrichtungen von Nutzern gespeichert oder ausgelesen werden.
Was bedeutet dies in der Praxis?
Die Regelungen des TTDSG beziehen sich auf die Endeinrichtungen von Nutzern. Damit sind letztlich alle mit dem Internet verbundenen Geräte umfasst, z.B. Laptops, Smartphones, Smarthome Anwendungen wie Küchengeräte oder Alarmsysteme.
Weiter bezieht sich das TTDSG auf alle Informationen die von Nutzern ausgelesen bzw. auf Endeinrichtungen von Nutzern gespeichert werden. Das TTDSG bleibt hier technikneutral, also nicht mehr nur Cookies sind betroffen, sondern auch alle weiteren Techniken wie z.B. das Browser Fingerprinting.
Was sollten Sie als Webseitenbetreiber tun?
Sie sollten sich im Klaren darüber sein, welche Cookies und Dienste auf Ihrem Webauftritt zum Einsatz kommen und welche davon einwilligungspflichtig sind. Für diese Technologien muss auf Grundlage einer umfassenden Information eine Einwilligung eingeholt werden. In der Regel wird dies über ein Cookie-Consent-Tool abgebildet. Dabei muss sichergestellt sein:
- Es dürfen keine Aktivitäten auf Endeinrichtungen von Webseitenbesuchern erfolgen, bis die Einwilligung erteilt wurde.
- Dabei dürfen im Cookie-Consent-Tool keine Checkboxen vorausgewählt sein.
- Im Cookie-Consent-Tool muss das Ablehnen so einfach wie das Annehmen sein.
- Das Cookie-Consent-Tool darf den Webseitenbesucher nicht in die Irre leiten z.B. durch ein farbliches hervorheben des „alles akzeptieren Buttons“ (dark pattern).
- Das umfassende Informationen zu den eingesetzten Technologien über das Cookie-Consent-Tool selbst oder die Datenschutzerklärung angeboten werden.
Weitere Empfehlungen für Webseitenbetreiber haben wir in unserem Artikel: Anforderungen aus dem Datenschutz und der IT-Sicherheit für Websites zusammengefasst.
HinSchG
Gemäß der EU-Richtlinie 2019/1937 (Whistleblower-Richtlinie) müssen die europäischen Mitgliedsstaaten bis zum 17. Dezember 2021 ein Gesetz zum Schutz von Hinweisgebern in nationales Recht umsetzen.
Hintergrund
Das HinschG ist die deutsche Umsetzung der EU-Whistleblowing Richtlinie. Ziel ist es einen EU-weiten standardisierten Ablauf und damit einhergehend, einen Schutz für Hinweisgeber zu schaffen. Das Hinweisgeberschutzgesetz verbietet jegliche Repressalien, Vergeltungsmaßnahmen oder Diskriminierung gegenüber Hinweisgebern (Whistleblower).
Ziel
Personen (Hinweisgeber oder Whistleblower), die mit einer Meldung illegale Missstände aufdecken und damit die Gesellschaft unterstützen, vor Repressalien durch ein Gesetz zu schützen.
Durch den professionellen Einsatz von Hinweisgebersystemen in Unternehmen und im öffentlichen Sektor Verbrechen und Skandale zu verhindern oder aufzuklären.
Anforderungen
- Unternehmen und Organisationen ab 250 Mitarbeitende oder mehr als 10 Millionen Euro Jahresumsatz, sowie öffentliche Einrichtungen, Behörden und Kommunen ab 10000 Einwohner, müssen sichere interne Hinweisgebersysteme einführen.
- Das Verfahren der Meldungsabgabe muss mündlich, schriftlich und auf Wunsch auch persönlich möglich sein.
- Die Abgabe eines Hinweises muss vertraulich erfolgen können. Dies bedeutet nicht anonym, sondern die Einrichtung und der Betrieb eines Meldesystems, dass die Vertraulichkeit des Hinweisgebers und genannter Dritter gewährleistet.
- Ein Compliance-Beauftragter muss benannt werden.
- Es muss eine Stelle bzw. Abteilung benannt werden, die für die Folgemaßnahmen der eingehenden Hinweise verantwortlich ist.
- Den Hinweisgebern muss innerhalb von 7 Tagen&n der Eingang einer Meldung bestätigt werden.
- Innerhalb von drei Monaten (herrschende Meinung) muss die Meldestelle dem Whistleblower rückmelden, welche Maßnahmen in Folge ergriffen werden, z. B. die Einleitung interner Untersuchungen oder die Weitergabe der Meldung an eine zuständige Behörde.
- Potentiellen Hinweisgebern müssen Möglichkeiten für externe Meldungen zur Verfügung gestellt werden z.B. gegenüber Behörden, Einrichtungen oder sonstigen Stellen.
Unternehmen zwischen 50 und 249 Mitarbeitende trifft die Pflicht zur Umsetzung ab Dezember 2023.
Meldekanäle
- Eine interne Stelle in der Organisation, an die Hinweisgeber ihre Meldung vertraulich abgeben können z.B. der Compliance-Beauftragte.
- Eine externe Stelle z.B. ein Anwalt als Ombudsperson, der Hinweise entgegennimmt oder Behörden wie die Finanzaufsicht BaFin oder das EU Amt für Betrugsbekämpfung OLAF.
- Ein elektronisches Meldesystem.
Gegenüber früheren Festlegungen, hat die interne Meldung keinen Vorrang mehr gegenüber externen Meldewegen.
Empfehlung
Organisationen sollten transparente und professionelle interne Prozesse schaffen, um externe Meldungen möglichst zu vermeiden. Nur wenn Hinweisgeber darauf vertrauen können, dass die Hinweise ernst genommen, sorgfältig bearbeitet, mögliche Straftaten aufgeklärt und angemessen sanktioniert werden, bedienen sie sich den eingerichteten internen Meldestrukturen.