Gesetzliche Regelung zur Einwilligungsverwaltung bei digitalen Diensten

Die lästigen Cookie-Banner bzw. komplexe Lösungen zur Einholung von Einwilligungserklärungen (Consent-Manager) im Rahmen der Nutzung von Diensten, die regelmäßig Cookies auf Webseiten einsetzen bzw. Daten auf Geräten der Nutzer abspeichern oder von den Geräten abrufen, dürften allgemein bekannt sein. Jede Person, die das Internet nutzt, kommt damit zwangsläufig in der einen oder anderen Form in Berührung.

Dabei sind die derzeit verwendeten Lösungen nicht nur sehr nervig, sondern diese funktionieren auch häufig eher schlecht als recht. Jeder Anbieter hat seine Kriterien, wie er die Abfragen gestaltet, was er für einwilligungsbedürftig hält und was nicht. In der Regel sind die meisten Systeme so konzipiert, dass sie einer aufsichtsbehördlichen Überprüfung nicht vollständig standhalten würden.

So haben im Rahmen einer länderübergreifenden Überprüfung dieser Lösungen die deutschen Aufsichtsbehörden im Jahre 2021 bereits festgestellt, dass die meisten geprüften Systeme den datenschutzrechtlichen Vorgaben nicht entsprachen und die mittels dieser Lösungen eingeholten Einwilligungserklärungen entsprechend unwirksam waren (siehe hierzu die Pressemitteilung der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen vom 30.06.2021).

Gibt es eine Lösung für das Problem?

Nun, gibt es einen Ausweg aus dieser für alle Beteiligten unbefriedigenden Situation? Nach dem Willen des deutschen Gesetzgebers: ja! Allerdings ist dieser Ausweg derzeit noch Zukunftsmusik.

Im Rahmen der 45. Datenschutzfachtagung (DAFTA), auf der wir Ende 2021 dabei waren, informierte der Herr Rolf Bender vom Bundesministerium für Wirtschaft und Energie (seit Dezember 2021 Bundesministerium für Wirtschaft und Klimaschutz), der auch als „Schmied des Telekommunikation-Telemedien-Datenschutz-Gesetzes“ (TTDSG) bezeichnet wird, die Teilnehmer*innen über eine solche Lösung, an der die zuständigen Ministerien zu dem damaligen Zeitpunkt arbeiteten (siehe hierzu unseren Artikel vom 20.11.2021).

Es handelte sich dabei um eine Rechtsverordnung zum § 26 TTDSG, die eine Detailregelung für die neu geregelten „Dienste zur Einwilligungsverwaltung“ liefern sollte.

Da der Begriff „Dienste zur Einwilligungsverwaltung“ wohl eher langweilig klingt, wird aktuell (vor allem in der Presse) der englischsprachige Begriff „Personal Information Management System“ oder abgekürzt PIMS verwendet.

Solche Dienste sollten die Einwilligungserklärungen gemäß den gesetzlichen Vorgaben einheitlich einholen und verwalten und dem „Bannerterror“ ein Ende bereiten. Die Verordnung wurde für den Herbst 2022 angekündigt und nun ist sie auch (fast) da, denn es gibt einen ersten Entwurf dieser Verordnung, die jetzt den Gesetzgebungsprozess durchlaufen und danach (hoffentlich schnell) in Kraft treten wird.

Bevor der Entwurf das Gesetzgebungsverfahren jedoch erfolgreich beenden kann, müssten sich die für den Entwurf zuständigen Ressorts des Bundesministeriums für Digitales und Verkehr (BMDV) abstimmen und die Verbände der betroffenen Wirtschaftszweige angehört werden. Zudem ist im Rahmen des Gesetzgebungsprozesses gemäß der Richtlinie (EU) 2015/1535 eine Notifizierung bei der EU-Kommission erforderlich. All das führt dazu, dass wir eine Regelung erst in einigen Monaten erwarten.

Das BMDV hat den Entwurf der geplanten Verordnung zum aktuellen Zeitpunkt noch nicht veröffentlicht, weswegen wir ihn hier lieder nicht verlinken können. Doch erste Details wurden bereits bekannt und durch einige Verbände bereits kommentiert.

Reaktion der Verbände auf den Verordnungsentwurf

Die Reaktion der Verbände auf den Verordnungsentwurf ist dabei eher negativ ausgefallen.

So kritisiert der Bundesverband Digitale Wirtschaft (BVDW) e.V., dass der aktuelle Entwurf des BMDV in der jetzigen Fassung neben handwerklichen Fehlern eine Vielzahl von kritischen Grundannahmen aufweise und den aktuellen europäischen Rechtsrahmen nicht hinreichend würdige (siehe hierzu die Pressemitteilung des BVDW vom 29.08.2022).

Nach Angaben des BVDW verbietet der Verordnungsentwurf des Ministeriums, den Anbietern von digitalen Diensten Nutzer*innen für das Nutzen des eigenen Angebots beziehungsweise Dienstes nach einer Einwilligung für die Datenverarbeitung zu fragen und die Einwilligung selbst zu verwalten. Hierfür wären dann eben die PIMS zuständig. Dabei sieht der Entwurf ausschließlich wirtschaftsferne Organisationen als mögliche legitime Anbieter von solchen Personal Information Management Systemen vor.

Im Falle einer Werbefinanzierung sind die Nutzer*innen nach dem aktuellen Verordnungsentwurf durch den jeweiligen Anbieter auf ein kostenpflichtiges „einwilligungsfreies“ Abo lediglich hinzuweisen.

Ein Verbot für Anbieter der digitalen Dienste selbst eine Einwilligung einzuholen, wäre aus Sicht des BVDW sehr fragwürdig, da dadurch die Einwilligung als Rechtsgrundlage für Datenverarbeitung verboten würde. Allerdings ist diese als eine legitime Möglichkeit imTTDSG gesetzlich vorgesehen. Ein solcher Einschnitt in die direkte Beziehung zwischen Konsument*innen und Unternehmen sieht der BVDW aus rechtssystematischer Sicht kritisch. Denn den Nutzer*innen wird faktisch die Möglichkeit genommen, einzelnen Dienstanbietern ihr Vertrauen in Form einer freiwilligen Einwilligung auszusprechen. Im Hinblick auf die informationelle Selbstbestimmung der Nutzer*innen wäre die Verordnung in der aktuellen Form nach Auffassung des BVDW kein großer Wurf, sondern vielmehr ein Rückschritt.

Auch die Verbraucherzentrale Bundesverband (VZBV) äußert nach Angaben der Redaktion von Golem.de Kritik an der geplanten Regelung. Auf Nachfrage von Golem.de äußerte eine VZBV-Vertreterin Zweifel daran, dass die Einschaltung von Einwilligungsdiensten eine nutzer- und wettbewerbsfreundliche Alternative zu den einzelnen Einwilligungsbannern bieten würde (siehe hierzu den Bericht vom 30.08.2022 auf Golem.de).

Unsere Einschätzung

So wie es aktuell aussieht, will der Gesetzgeber nicht exakt vorschreiben, wie die technische Umsetzung der Dienste erfolgen soll, sondern beabsichtigt, die Umsetzung dem Markt zu überlassen und nur grob den Rechtsrahmen zu regeln.

Was dabei jetzt schon feststehen dürfte, wäre die Voraussetzung, dass die Anbieter der PIMS-Lösungen kein wirtschaftliches Eigeninteresse daran haben dürfen, dass Nutzer ihre Einwilligungen erteilen. Dies ist bereits in § 26 Abs. 2 TTDSG geregelt. Dabei soll jedoch nicht verboten werden, dass die Anbieter der PIMS-Lösungen die Möglichkeit haben sollen, selbst wirtschaftlich zu agieren und Entgelt für ihre Dienste zu verlangen. Wie hoch dieses sein wird, wird dann vermutlich der Markt regeln müssen.

Aus unserer Sicht sind Unternehmen, die aktuell im Bereich des Consent-Managements ihre Dienste anbieten, am besten auf die Umsetzung der rechtlichen Vorgaben vorbereitet, da diese insbesondere auch über das technische Know-How und die nötige Infrastruktur sowie Erfahrung beim Einholen von Einwilligungen verfügen.

Apropos technische Umsetzung: Nach dem durchgesickerten Entwurfstext wären „generelle Einwilligungen geordnet nach Kategorien für bestimmte Zugriffe auf Endeinrichtungen und Gruppen von Telemedienanbietern [zu] erteilen“. Die PIMS-Dienste müssen den Nutzer*innen die jeweilige Verarbeitung in leicht verständlicher Form erklären und alle zur Erläuterung notwendigen Informationen bereitstellen. Außerdem sollen sie die Nutzer*innen nicht mit Voreinstellungen durch die Anbieter oder Nudging beeinflussen.

Im Ergebnis dürfte es also ähnlich ablaufen, wie es auch aktuell mit den Consent-Managern der Fall ist, allerdings mit dem Vorteil, dass die Nutzer*innen nicht mehr auf jeder Seite nach einer Einwilligung gefragt werden. Die Verwaltung soll ja mehr oder weniger zentralisiert erfolgen. Ob die PIMS-Anbieter untereinander verpflichtet werden sollen, die Einwilligungen zu „synchronisieren“, um nicht wieder eine bunte und voneinander unabhängige Vielfalt an Lösungen und unzähligen Klicks entstehen zu lassen, ist aktuell noch nicht bekannt. Dazu müssen wir abwarten, bis der Text der Verordnung veröffentlicht und die Regelungen im Einzelnen bewertet werden können.

Wie feingranuliert die Abfrage erfolgen soll und ob sie dann bis auf die URL-Ebene geht, ist aktuell auch noch unklar. Dies wäre je nach Anwendung gegebenenfalls durchaus erforderlich, wenn bei einem Angebot klar sein soll, in welche Verarbeitung eingewilligt werden soll.

Da nicht nur Webseiten-Anbieter, sondern auch Anbieter von Apps für Smartphones und andere Online-Dienste von den Regelungen der neuen Verordnung betroffen sein werden, ist es wichtig, dass auch diese sich über die Einbindung der PIMS-Lösungen in ihre Angebote frühzeitig Gedanken machen. Ansonsten besteht die Gefahr, eine böse Überraschung zu erleben, wenn die gesetzliche Regelung kommt und die Umsetzung bis zu einem bestimmten Datum anordnet, dies jedoch nicht umgesetzt werden kann, da sich hierzu beim Verantwortlichen noch niemand Gedanken gemacht hat.

Übrigens das Thema „PIMS und die Einwilligungsverwaltungs-Verordnung“ haben wir auch in unserem Podcast besprochen. Dort haben wir uns auch über einige weitere interessante Aspekte im Zusammenhang mit der Umsetzung der Einwilligungsverwaltungsdienste unterhalten. Wenn Sie reinhören möchten, können sie die entsprechende Podcast-Folge beispielsweise bei Spotify hier abrufen.

Fazit

Da zum aktuellen Zeitpunkt nur sehr wenige Details über die geplante Verordnung bekannt sind, ist es schwer abzuschätzen, wie die endgültigen Regelungen zu den Diensten zur Einwilligungsverwaltung ausschauen werden und wie der Markt auf die gesetzlichen Vorgaben reagiert. Den Verantwortlichen kann daher zunächst nur empfohlen werden, die Entwicklung zu beobachten, um sobald die Regelung kommt, erforderliche technische und organisatorische Maßnahmen rechtzeitig umsetzen zu können. Bis zum Inkrafttreten der Verordnung wird den Verantwortlichen sicherlich genug Zeit zur Verfügung stehen, um sich auf die neuen Regelungen einzustellen. Wichtig ist nur, dass es gemacht wird und nicht in Vergessenheit gerät.

______________________________________

Die bITs GmbH berät Ihre Kunden zu allen Themen des Datenschutzes und stellt auf Wunsch den externen Datenschutzbeauftragten.

Haben Sie weitere Fragen an uns? Gerne können Sie sich dazu an uns wenden. Hier finden Sie unsere Kontaktdaten. Unser Team stellt sich übrigens hier vor.

Und einen Podcast haben wir auch. Gemeinsam mit der Mauß Datenschutz GmbH veröffentlichen wir alle zwei Wochen jeweils donnerstags eine neue Folge. Hören Sie doch einfach mal rein oder abonnieren Sie uns – zum Beispiel hier.