Der Einsatz von Cookies und Drittanbieterdiensten sowie die damit verbundenen datenschutzrechtlichen Probleme waren bereits Gegenstand von mindestens vier unserer Beiträge. Dabei haben wir uns mit dem Einsatz von Consentmanagern zur Einwilligungseinholung in Bezug auf die Datenübermittlung in Drittstaaten und mit der problematischen Einstufung von Diensten und Cookies als “technisch notwendig” befasst. Weitere Themen waren der Bericht des Europäischen Datenschutzausschusses (EDSA) zu Cookie-Bannern und das Projekt „TrustPid“, eine betreiberübergreifende Testplattform für (behauptet) datenschutzkonformes digitales Marketing. All diese Themen drehen sich im Kern um das Einwilligungserfordernis aus § 25 TTDSG. Mit der Veröffentlichung des Entwurfs einer Verordnung zum Einwilligungsmanagement deutet sich nun etwas Neues an.
Eine Verordnung zur Einwilligungsverwaltung?
Entwurf der Verordnung
Das Bundesministerium für Digitales und Verkehr (BMDV) hat am 1. Juni 2023 den Entwurf einer „Verordnung über Dienste zur Einwilligungsverwaltung nach dem Telekommunikation-Telemedien-Datenschutz-Gesetz“, die sogenannte Einwilligungsverwaltungsverordnung (EinwV-E), veröffentlicht. Rechtsverordnungen sind allgemein verbindliche Vorschriften, die von der Exekutive aufgrund parlamentsgesetzlicher Ermächtigung zur Durchführung von Gesetzen erlassen werden. Der EinwV-E dient der Umsetzung des § 26 TTDSG, wie sich aus der Einleitung des Verordnungsentwurfs ergibt:
26 Absatz 1 des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) bestimmt, dass eine zuständige unabhängige Stelle Dienste anerkennen kann, die nutzerfreundliche und wettbewerbskonforme Verfahren bereitstellen, um die nach § 25 Absatz 1 TTDSG erforderliche Einwilligung von Endnutzern zu verwalten.
Mit dieser Verordnung soll die Ermächtigung des § 26 Abs. 2 TTDSG umgesetzt werden. Danach wird die Bundesregierung ermächtigt,
- die Anforderungen an die Nutzerfreundlichkeit und Wettbewerbskonformität, die ein Einwilligungsmanagementdienst erfüllen muss, um anerkannt zu werden,
- das Anerkennungsverfahren und
- die einschlägigen technischen und organisatorischen Maßnahmen
zu bestimmen.
Ziele der Verordnung
Es ist bekannt (siehe die oben verlinkten Artikel), dass der Einsatz von Consentmanagern zur Einholung von Einwilligungen in die Verwendung von optionalen Cookies und Drittdiensten Probleme und Schwierigkeiten mit sich bringt. Als Alternative zum Consentmanager sieht § 26 TTDSG die Einrichtung unabhängiger Stellen vor, die Einwilligungen zentral verwalten und automatisiert im Namen der Nutzer*innen erteilen können. Es handelt sich also um Dienste, die dafür sorgen können, dass die bei den Nutzer*innen unbeliebten „Cookie-Banner“ verschwinden oder zumindest deutlich seltener und vor allem weniger störend werden könnten. Ziel der Verordnung soll es demnach sein, Transparenz bei der Einwilligungsentscheidung von Nutzer*innen einer Webseite zu schaffen, indem sie „den Endnutzern ein transparentes Werkzeug zur Verfügung [stellen], durch das sie Einstellungen zur Einwilligung vornehmen, jederzeit nachvollziehen und überprüfen können“. Das klingt erst einmal sehr gut, oder?
Struktur der Verordnung
Der Verordnungsentwurf gliedert sich im Wesentlichen in vier Teile.
Teil 1 „Allgemeine Vorschriften“ definiert den Anwendungsbereich der Verordnung und bestimmt einige Begriffe (wie zum Beispiel den „Dienst zur Einwilligungsverwaltung“).
In Teil 2 werden die grundlegenden Anforderungen an die Verwaltung von Einwilligungen (§ 3), die Nutzerfreundlichkeit (§ 4) und die Wettbewerbskonformität (§ 6) festgelegt. Damit werden die Hauptfunktionen bestimmt, die ein anerkannter Dienst zur Einwilligungsverwaltung haben muss. Nach § 3 des Verordnungsentwurfs muss ein solcher Dienst es den Nutzer*innen ermöglichen, Einwilligungen zu erteilen oder zu verweigern, bevor Anbieter*innen von Telemedien Informationen im Endgerät speichern oder auf diese zugreifen (§ 3 Abs. 1). Die Verwaltung der Einwilligung erfolgt dadurch, dass die vorgenommene Einstellung zur Erteilung oder Verweigerung der Einwilligung gespeichert und bei jeder weiteren Inanspruchnahme des Telemediendienstes an die Anbieter*innen des Telemediendienstes übermittelt wird (§ 3 Abs. 2).
Die Idee dahinter ist, „ein nutzerfreundliches und wettbewerbskonformes Verfahren zur Einholung und Verwaltung der nach § 25 Absatz 1 TTDSG erforderlichen Einwilligungen“ zu etablieren. Die Anforderungen an die nutzerfreundliche und wettbewerbskonforme Ausgestaltung dieser Dienste zur Einwilligungsverwaltung sind in den §§ 4 und 6 des Verordnungsentwurfs geregelt. Demgemäß muss unter anderem die Benutzeroberfläche des Dienstes so transparent gestaltet sein, dass die Nutzer*innen eine freie und informierte Entscheidung treffen können. Außerdem müssen die Nutzer*innen jederzeit die Möglichkeit haben, eine einmal erteilte Einwilligung oder Ablehnung zu ändern. Im Hinblick auf die Wettbewerbskonformität muss der anerkannte Einwilligungsdienst sicherstellen, dass Anbieter*innen von Telemedien (darunter auch alle Betreiber*innen von Webseiten) die Einwilligungen unter den gleichen Bedingungen einholen.
Teil 3 definiert das Verfahren zur Anerkennung von Diensten zur Einwilligungsverwaltung. Das Anerkennungsverfahren umfasst neben der Antragstellung (§ 9) die Vorlage eines Sicherheitskonzeptes (§ 10) sowie den Nachweis der Erfüllung der oben genannten Anforderungen (§§ 3, 4 und 6). Zuständig für die Anerkennung (§ 12) ist die oder der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI).
Teil 4 verpflichtet Anbieter und Hersteller von Software (§ 14) sowie Anbieter von Telemedien (§ 15) zu technischen und organisatorischen Maßnahmen.
Abschied von „Consentmanager“?
Der Verordnungsentwurf geht von der Erkenntnis aus, dass die bisherige Praxis der Einholung von Einwilligungen der Nutzer*innen von Webseiten durch die Anbieter*innen von Telemedien mit Hilfe von Consentmanagern problematisch ist. Insofern sollen anerkannte Dienste zur Einwilligungsverwaltung eine nutzer*innenfreundliche und wettbewerbskonforme Alternative darstellen, die tagtäglich beim Besuch von Webseiten Einwilligungen erteilen und verweigern müssen. Ob, wann und inwieweit der Entwurf der Verordnung zum Einwilligungsmanagement diese Datenschutzpraxis erneuern wird, bleibt abzuwarten. Vorerst haben „interessierte Kreise“ bis zum 14. Juli 2023 Gelegenheit, zum Verordnungsentwurf Stellung zu nehmen.
Es ist zu erwarten, dass der Erlass einer Einwilligungsverwaltungsverordnung bedeutende Änderungen in das Einwilligungsmanagement nach Art. 25 TTDSG seitens der Anbieter*innen und Nutzer*innen von Webseiten mit sich bringen wird. Dass Nutzer*innen von Webseiten eine Software-Lösung nutzen können, um Einwilligungen oder Ablehnungen zur Speicherung von Cookies und Drittanbieterdiensten auf dem Endgerät zu erteilten, und dass diese Einwilligungseinstellungen danach auch in weiteren Fällen automatisch übermittelt werden, klingt deutlich nutzer*innenfreundlicher als die aktuelle Praxis basierend auf Consentmanagern.
Fazit
Es ist davon auszugehen, dass der Erlass einer Verordnung zum Einwilligungsmanagement zu erheblichen Änderungen im Einwilligungsmanagement nach § 25 TTDSG auf Seiten der Webseitenbetreiber*innen und auch bei den Nutzer*innen führen wird. Es erscheint wesentlich nutzer*innenfreundlicher als die bisherige Praxis auf Basis der Consentmanager, wenn Einwilligungen (im optimalen Fall) einmalig zentral erteilt werden können und diese Einwilligungseinstellungen dann in weiteren Fällen automatisch angewandt werden, sodass der ständige Umgang mit Consentmanagern vermieden wird.
Die Initiative, § 26 TTDSG durch eine Einwilligungsverwaltungsverordnung zu konkretisieren, ist zu begrüßen. Es bleibt nun abzuwarten, ob, wann und mit welchem Wortlaut die Verordnung erlassen wird.
______________________________________
Die bITs GmbH berät Ihre Kunden zu allen Themen des Datenschutzes und stellt auf Wunsch den externen Datenschutzbeauftragten.
Haben Sie weitere Fragen an uns? Gerne können Sie sich dazu an uns wenden. Hier finden Sie unsere Kontaktdaten. Unser Team stellt sich übrigens hier vor.