Ein Ansatz sind Einwilligungsmanagement-Dienste (auch bekannt als Personal Information Management Systems oder PIMS, Datentreuhänder, usw.). Diese sollen Anbietern digitaler Dienste helfen, Einwilligungen leichter und rechtskonform einzuholen, während sie gleichzeitig den Nutzern ermöglichen, ihre informationelle Selbstbestimmung einfacher auszuüben und ihre Rechte wahrzunehmen. Nutzer müssten sich dann nur beim ersten Besuch einer Website über ein neutral gestaltetes Banner für oder gegen die Nutzung von Cookies und ähnlichen Technologien entscheiden.
Die Verordnung der Bundesregierung
Um ebendieses Vorgehen zu ermöglichen hat die Bundesregierung am 04.09.2024 die Verordnung zur Verwaltung von Einwilligungen für Cookies (https://dserver.bundestag.de/btd/20/127/2012718.pdf) gebilligt.
Eckpunkte der Verordnung:
- Dienste zur Einwilligungsverwaltung können sich künftig durch die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit anerkennen lassen.
- Anbieter digitaler Dienste, wie Websitebetreiber, können sich zum Verfahren der Einwilligungsverwaltung anmelden.
- Internetnutzer (Websitebesucher) können sich bei einem Dienst zur Einwilligungsverwaltung registrieren und „einmalig“ ihre Einwilligung für Dienste abgeben oder auch verweigern.
- Anbieter digitaler Dienste sollen (müssen nicht) anschließend die einmalig getroffenen Einstellungen der Internetnutzer respektieren und befolgen.
- Eine getroffene Einwilligung soll zeitlich nicht befristet sein und der Einwilligungsdienst solle erst nach einem Jahr die Nutzer daran erinnern, getroffene Einstellungen zu überprüfen.
Die Verordnung wird von Datenschützern sowie Verbänden, Stand jetzt, noch sehr kritisch betrachtet.
Kritik an der Verordnung
Bereits die Stellungnahmen zum Verordnungsentwurf (https://bmdv.bund.de/SharedDocs/DE/Anlage/Gesetze/Gesetze-20/entwurf-einwilligungsverwaltungsverordnung.pdf?__blob=publicationFile) fielen oft kritisch aus.
Neben weiteren Punkten wurde beispielsweise in der Stellungnahme der Datenschutzkonferenz (DSK) (https://www.datenschutzkonferenz-online.de/media/st/23-07-11_DSK-Stellungnahme_Einwilligungsverwaltung_TTDSG.pdf) vom 11. Juli 2023 die fehlende Verpflichtung der Websitebetreiber, die Dienste zur Einwilligungsverwaltung zu verwenden oder die getroffenen Einstellungen zu akzeptieren, als negativ hervorgehoben. Beachtung hat diese Kritik in der finalen Version jedoch nicht gefunden.
Eine ausführliche Stellungnahme zum Regierungsentwurf (https://www.vzbv.de/sites/default/files/2024-09/24-09-04_Stellungnahme_vzbv_RegE_EinwV.pdf) vom 28.08.2024 hat der Verbraucherzentrale Bundesverband veröffentlicht.
Bereits der Titel der Stellungnahme „KEIN ROSINENPICKEN BEIM EINSATZ VON EINWILLIGUNGSVERWALTUNGSDIENSTEN“ zeigt deutlich, dass der Bundesverband unzufrieden mit dem Ergebnis ist.
Die aus unserer Sicht wichtigsten Kritikpunkte aus der Stellungnahme des Bundesverbandes:
Dadurch, dass es für Anbieter digitaler Dienste (z.B. Websitebetreiber) nicht verpflichtend sei die mit den Diensten zur Einwilligungsverwaltung getroffenen Einstellungen zu befolgen, entfiele der Anreiz für Verbraucher sich mit den Diensten zur Einwilligungsverwaltung bereits im ersten Schritt zu beschäftigen. Positive Auswirkungen für die Verbraucher sind so nicht garantiert zu erwarten.
Es sei fraglich, ob Einwilligungen, die über Einwilligungsverwaltungsdienste eingeholt werden, den Anforderungen des § 25 Abs. 1 TDDDG sowie der DS-GVO (informiert, spezifisch, freiwillig und ggf. ausdrücklich) entsprechen können.
Es fehle an einer Verpflichtung der Anbieter digitaler Dienste (z.B. Websitebetreiber) Dienste zur Einwilligungsverwaltung zu nutzen. Damit fehle ein Anreiz für die Anbieter, den klassischen Cookie-Banner, welcher im Zweifel bereits im Einsatz ist zu ersetzen.
Ergänzung des Verfassers:
- Nach Ansicht der Datenschutzaufsichtsbehörden muss es möglich sein, abgesehen von der Zustimmung in einzelne Kategorien (z.B. Statistik oder Marketing) auch in einzelne Verarbeitungen einzuwilligen. Jeder Empfänger und Verarbeiter der Daten muss vor Abgabe einer Einwilligung dem Betroffenen gegenüber bekannt gemacht worden sein. Die Diensteanbieter müssten folglich vollständige Listen der Dienste zur Verfügung stellen.
- Dienste ändern sich regelmäßig. Wenn aber die Einwilligung erst nach einem Jahr aktualisiert werden soll, sind in der Regel bereits neue Dienste beim Einwilligungsdienstleister hinzugekommen. Für diese Dienste fehlt die Einwilligung.
- Stand jetzt, benötigen die Anbieter digitaler Dienstleistungen demnach weiterhin Cookie-Banner, um die Einwilligung abzufragen oder aber es wird eine Ablehnung angenommen, obwohl der Nutzer bei Kenntnis vielleicht eine Einwilligung abgegeben hätte.
- Weiter ist die Verordnung auf Deutschland beschränkt. Ob weitere EU-Statten dem deutschen Beispiel folgen werden, darf zumindest bezweifelt werden. Aktuell würde beim digitalen Überschreiten der Ländergrenzen die Verordnung und damit auch die Dienste zur Einwilligungsverwaltung wirkungslos bleiben.
Ob die Dienste, wie in der Verordnung angedacht, aus technischer Sicht überhaupt realisierbar sind, hat Dr.-Ing. Klaus Meffert, IT Logic GmbH in seiner Stellungnahme zum Verordnungsentwurf (https://bmdv.bund.de/SharedDocs/DE/Anlage/Gesetze/Gesetze-20/entwurf-einwilligungsverwaltungsverordnung-stellungnahme-13.pdf?__blob=publicationFile) für ein nutzerfreundliches und wettbewerbskonformes Einwilligungsmanagement („Cookie Reform“) erörtert.
Handlungsempfehlung
Im Ergebnis darf durchaus bezweifelt werden, ob mit der Verordnung das gesetzte Ziel „eine anwenderfreundliche Alternative zu der Vielzahl zu treffender Einzelentscheidungen für Endnutzer schaffen“ erreicht werden kann. Wegen der angeführten Kritikpunkte und der fehlenden Anreize für Internetnutzer Dienste der Einwilligungsverwaltung in Anspruch zu nehmen, erscheint „der große Wurf“ zumindest sehr unwahrscheinlich.
Wir empfehlen daher die bereits im Einsatz befindenden Einwilligungslösungen weiterhin datenschutzrechtlich zu gestalten und im Sinne der DS-GVO so wenige Daten wie unbedingt notwendig zu verarbeiten.
Die weitere Entwicklung der Dienste zur Einwilligungsverwaltung und der damit einhergehenden praktischen Umsetzung sollte beobachtet werden.
Zu den Anforderungen an die mit Cookie-Bannern eingeholten Einwilligungen sei auf unsere Einwilligungsreihe verwiesen:
- Die Einwilligung – Teil 1 (Einleitung) - https://www.audatis.de/aktuelles/cookie-consent-banner
- Die Einwilligung – Teil 2 (Zeitpunkt der Einwilligung) - https://www.audatis.de/aktuelles/zeitpunkt-der-einwilligung
- Die Einwilligung – Teil 3 (Informiertheit der Einwilligung) - https://www.audatis.de/aktuelles/cookie-consent-banner-informiertheit
- Die Einwilligung – Teil 4 (Eindeutige bestätigende Handlung) - https://www.audatis.de/aktuelles/bestaetigende-handlung
- Die Einwilligung - Teil 5 (freiwillige Einwilligung) - https://www.audatis.de/aktuelles/freiwillige-einwilligung
- Die Einwilligung – Teil 6 (Nudging und Widerruf) - https://www.audatis.de/aktuelles/nudging-widerruf