Ihre
Suche

    09.09.2024

    Einwilligungsverwaltungsverordnung – Cookie-Banner adé?


    Laut einer aktuellen Studie des Bitkom sind 76 % der Internetnutzer von Cookie-Bannern genervt. Die Bundesregierung hat deshalb letzte Woche die sogenannte Einwilligungsverwaltungsverordnung (EinwV) verabschiedet, die die Anzahl der Cookie-Banner verringern und das Nutzererlebnis im Internet verbessern soll.

    Das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG), welches im Dezember 2021 noch als „TTDSG“ eingeführt wurde, sieht in § 26 eine Verordnungsermächtigung für die Bundesregierung vor, um sogenannte Dienste zur Einwilligungsverwaltung zu regeln.

    Die ursprüngliche Idee derartiger Dienste, die auch unter dem Stichwort „Personal Information Management System (PIMS)“ diskutiert werden, war es, dass der Internetnutzer einmal seine persönlichen Cookie-Präferenzen gegenüber dem PIMS abgibt und die Anbieter von digitalen Diensten bei dem PIMS diese Präferenz abfragen können. Es gäbe die Möglichkeit, etwa allen Cookies zuzustimmen, einzelne Kategorien von Cookies pauschal anzunehmen oder abzulehnen (z.B. Statistik-Cookies oder Marketing-Cookies) oder eben alle nicht notwendigen Cookies abzulehnen.

    (Un-)Zulässigkeit von Generaleinwilligungen

    Das Problem einer derart pauschalen Einwilligung in die Verwendung von Cookies, auch wenn sie nur für bestimmte Kategorien von Cookies gegeben wird, besteht darin, dass der Internetnutzer in diesem Fall eigentlich keine informierte Einwilligung erteilen kann. Denn auch wenn die Anbieter digitaler Dienste häufig ähnliche Cookies und Tools einsetzen, so sind es gerade nicht die gleichen. Jeder Anbieter verwendet zum Teil andere Cookies und übermittelt damit auch Informationen der Internetnutzer an verschiedene Empfänger. Die Internetnutzer wüssten also zum Zeitpunkt der Einwilligung nie, in welche Verarbeitung sie genau einwilligen, geschweige denn, an wen ihre Daten übermittelt werden. Aus diesem Grund hat sich die Bundesregierung auch gegen pauschale Voreinstellungen entschieden und schreibt dazu in der Verordnungsbegründung:

    "Pauschale Voreinstellungen zu möglichen Einwilligungsanfragen des Anbieters von digitalen Diensten, die vom Endnutzer ohne Bezug zur konkreten Inanspruchnahme eines digitalen Dienstes getroffen werden, erfüllen nicht die Anforderungen an die Verwaltung von Einwilligungen."

    Damit geht dann aber auch die gewünschte Wirkung des PIMS verloren, nämlich die Anzahl der Cookie-Banner zu reduzieren.

    Lösung durch die EinwV?

    § 3 Abs. 1 der nun verabschiedeten Einwilligungsverordnung (EinwV) bestimmt, dass der anerkannte Dienst zur Einwilligungsverwaltung (also das PIMS) bei der erstmaligen Inanspruchnahme eines digitalen Dienstes durch den Endnutzer seine Einstellungen bezüglich der Cookies speichert. Nach dieser Formulierung bleibt die Notwendigkeit bestehen, dass die Internetnutzer weiterhin bei jedem erstmaligen Besuch einer Website einen Cookie-Banner zu Gesicht bekommen werden.

    Der anerkannte Dienst muss außerdem nutzerfreundlich, d.h. transparent und verständlich gestaltet sein und es darf frühestens nach einem Jahr eine Aufforderung zur Überprüfung der Einstellungen der Endnutzer erfolgen (§ 4 EinwV). Auch muss der Wechsel zu einem anderen anerkannten Dienst zur Einwilligungsverwaltung jederzeit möglich sein (§ 5 EinwV). Ferner bestehen gemäß § 6 Anforderungen an ein wettbewerbskonformes Verfahren gegenüber den Anbietern von digitalen Diensten. Schließlich soll die Einbindung in sogenannte Abruf- und Darstellungssoftware (regelmäßig vermutlich Internetbrowser) ermöglicht werden (§ 7 EinwV).

    Wie der Name „anerkannter Dienst zur Einwilligungsverwaltung“ verdeutlicht, muss der Dienst anerkannt werden. Dies erfolgt nach dem in Teil 3 der Verordnung beschriebenen Verfahren. Die zuständige Stelle dafür ist die oder der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (§ 8 EinwV).

    Teil 4, der letzte Teil der Verordnung, bestimmt technische und organisatorische Maßnahmen für Anbieter von digitalen Diensten sowie Hersteller und Anbieter von Abruf- und Darstellungssoftware. Hierbei ist besonderes Augenmerk auf § 18 Abs. 1 EinwV zu legen, der die Einbindung von anerkannten Diensten zur Einwilligungsverwaltung durch die Anbieter von digitalen Diensten als freiwillig erklärt. Diese Regelung hat der Verordnung Kritik von Verbraucherschützern beschert, weil dadurch die Anforderungen der Verordnung leicht umgangen werden könnten. Die Tatsache, dass die Nutzung der Dienste zur Einwilligungsverwaltung freiwillig ist, dürfte aber vor allem in der Praxis dazu führen, dass diese kaum genutzt werden. Denn gerade vor dem Hintergrund der anfangs zitierten Studie dürfte der Anteil derer, die einen solchen Dienst nutzen, um nicht optionale Cookies generell abzulehnen, sehr hoch sein. Dies werden auch die Anbieter von digitalen Diensten vermuten und daher kein Interesse haben, solche Dienste einzusetzen. Sie werden geneigt sein, weiterhin über die Cookie-Banner die Daten jedenfalls des Teils der Nutzer abzugreifen, die auf „alle annehmen“ klicken, weil sie tatsächlich eine Einwilligung erteilen wollen, es ihnen prinzipiell egal ist oder sie einfach gerne auf grüne Knöpfe drücken.

    Fazit

    Es bestehen große Zweifel, ob die verabschiedete Verordnung die Anzahl der Cookie-Banner im Internet wirklich verringern kann. Sie kann auch nur die Einwilligung gemäß § 25 Abs. 2 TDDDG regeln. In der Praxis werden über die Cookie-Banner häufig aber auch Einwilligungen nach der DSGVO (insb. auch gemäß Art. 49 Abs. 1 a) DSGVO) eingeholt. Diese können dann streng genommen nicht durch den Dienst der Einwilligungsverwaltung eingeholt werden, was dazu führen dürfte, dass jedenfalls für diese Einwilligungen die bisherigen Cookie-Banner bestehen bleiben müssten.

    Gegen die Verordnung spricht aber auch, dass die Inanspruchnahme des Dienstes zur Einwilligungsverwaltung weder für Nutzer noch für Diensteanbieter einen Mehrwert zu haben scheint. Die Nutzer müssten trotzdem weiterhin zumindest bei jeder neuen Website eine Einstellung vornehmen und dies sogar mehrfach, falls die Website neue Cookies oder andere Tools verwendet, weil gerade keine pauschale Voreinstellung für verschiedene Anbieter von digitalen Diensten rechtlich zulässig sein soll. Die Diensteanbieter wiederum dürften kein Interesse daran haben, an einer Einwilligungsverwaltung teilzunehmen, die ihnen vermutlich mehr Ablehnungen von optionalen Cookies einbringen wird.

    Letztlich wird sich die Relevanz der Dienste für die Einwilligungsverwaltung aber anhand der konkreten technischen Ausgestaltung entscheiden. Wenn diese möglichst einfach installierbar und niedrigschwellig gehalten ist, könnte es vielleicht doch für den ein oder anderen digitalen Diensteanbieter attraktiv sein. Dieser könnte bei einer gut funktionierenden Lösung, die dem Nutzer tatsächlich eine Erleichterung bringt, dann doch mit einem besonders nutzerfreundlichen Cookie-Umgang werben.

    Fabian Eckstein

    Best Law Firms – Germany 2025: ADVANT Beit…
    München, 30. September 2024 – Für die besten deutschen Wirtschaftskanzleien in D…
    Weiterlesen
    Was dürfen Smart-Meter? Datenschutzkonfere…
    Die Digitalisierung schreitet auch im Bereich der Energie- und Wasserwirtschaft …
    Weiterlesen
    Leitfaden für öffentlich-rechtliche Einric…
    Das Auskunftsrecht nach Art. 15 DSGVO ist in der Praxis ohne Zweifel das am meis…
    Weiterlesen
    ADVANT Beiten berät die Gesellschafter der…
    Freiburg, 5. August 2024 – Die internationale Wirtschaftskanzlei ADVANT Beiten h…
    Weiterlesen
    KI im Social-Media-Marketing: Chancen und …
    Unsere Experten Dr. Holger Weimann und Dr. Birgit Münchbach beschreiben die wach…
    Weiterlesen
    Schocktherapie Folge 9: „Als Datenschützer…
    „Als Datenschützer ist man nie wirklich willkommen“ – Datenschutz im Krankenhaus…
    Weiterlesen
    Verschärfte Anforderungen für die Werbung …
    Mit Urteil vom 27. Juni 2024 hat der Bundesgerichtshof entschieden, dass die Wer…
    Weiterlesen
    Durchsetzung des Digital Services Act in D…
    Der Digital Services Act (DSA) zielt darauf ab, ein sicheres und transparentes O…
    Weiterlesen
    Handspiel: Was die Fußball-Europameisterschaft mit dem EU-Datenrecht zu tun hat
    Während das Land noch diskutiert, ob die Entscheidung von Schiedsrichter Taylor richtig war, Deutschland den Hand-Elfmeter zu verweigern, machen wir uns dazu ganz unaufgeregt ein paar Gedanken aus Sicht de…
    Weiterlesen