Die Bundesregierung hat auf Grundlage von § 26 Abs. 2 des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG) mit der Einwilligungsverwaltungsverordnung (EinwV) einen rechtlichen Rahmen für ein alternatives Verfahren zur Verwaltung von Nutzereinwilligungen geschaffen. Die Verordnung wird gem. Art. 3 EinwV voraussichtlich am 1. April 2025 in Kraft treten. Über den Entwurf der EinwV berichteten wir bereits hier.
Notwendigkeit und Zielsetzung
Nutzer*innen müssen derzeit eine Vielzahl von Einzelentscheidungen vornehmen, wenn Sie beim Besuchen von unterschiedlichen Webseiten mit Einwilligungsbannern konfrontiert werden. Dies wird von vielen als belästigend und störend empfunden.
Mit der EinwV soll eine nutzerfreundliche und rechtssichere Alternative zu Consent-Bannern geschaffen werden. Diese soll den Nutzer*innen mehr Kontrolle über ihre erteilten und nicht erteilten Einwilligungen nach § 25 Abs. 1 TDDDG gegenüber den unterschiedlichen Anbietern von digitalen Diensten geben und einen besseren Überblick hierüber ermöglichen.
Mittels eines anerkannten Dienstes zur Einwilligungsverwaltung sollen die Nutzer*innen ihre Einwilligungsentscheidungen dauerhaft speichern und verwalten können und diese bei Bedarf an die Anbieter digitaler Dienste übermitteln. Die Nutzer*innen müssten im Idealfall nur einmal Ihre Bereitschaft zu einwilligungsbedürftigen Trackings erklären und blieben langfristig von weiteren Einwilligungsabfragen verschont. So soll sichergestellt werden, dass informierte Entscheidung getroffen werden können, ohne durch irreführende Gestaltungen von Consent-Bannern beeinflusst zu werden.
Anerkennung durch die BfDI
Dienste zur Einwilligungsverwaltung können sich durch einen elektronischen Antrag bei der Bundesbeauftragten für Datenschutz und Informationssicherheit (BfDI) anerkennen lassen, sofern sie die Anerkennungsvoraussetzungen erfüllen. Dieses Verfahren stellt sicher, dass die Nutzer*innen Vertrauen in die anerkannten Dienste zur Einwilligungsverwaltung haben können. Der Dienst wird gem. § 10 EinwV anerkannt, wenn er die Anforderungen des Teils 2 der Verordnung (insb. ein nutzerfreundliches und wettbewerbskonformes Verfahren zur Einwilligungsverwaltung) sowie die Anforderungen an die Antragstellung gem. § 11 EinwV erfüllt und ein Sicherheitskonzept nach § 12 EinwV vorgelegt hat. Anerkannte Dienste zur Einwilligungsverwaltung werden zukünftig gem. § 13 EinwV in einem öffentlichen Register von der BfDI geführt.
Details zum Sicherheitskonzept
Das vorgeschriebene Sicherheitskonzept ist in § 12 EinwV geregelt. Es muss Angaben enthalten
- zur Sicherheit der personenbezogenen Daten und der Einstellungen der Endnutzer, die von dem Dienst zur Einwilligungsverwaltung verwaltet werden,
- zum Speicherort der personenbezogenen Daten und der Einstellungen der Endnutzer,
- zu den technischen und organisatorischen Maßnahmen, mit denen sichergestellt wird, dass personenbezogene Daten und die Einstellungen der Endnutzer ausschließlich für die Funktionen des Dienstes zur Einwilligungsverwaltung verarbeitet werden,
- zu den erforderlichen technischen und organisatorischen Maßnahmen (TOMs), die getroffen werden,
a) um personenbezogene Daten vor unbefugten Zugriffen zu schützen und
b) um die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen zu gewährleisten, und
- zu den TOMs, mit denen Risiken für die Integrität, Vertraulichkeit und Verfügbarkeit des angebotenen Dienstes erkannt und so weit wie möglich minimiert werden können.
Das Sicherheitskonzept soll die Qualität und Zuverlässigkeit des Dienstes und der technischen Anwendung bewerten und darlegen, dass die rechtlichen Anforderungen an Datenschutz und Datensicherheit, insbesondere aus der Datenschutz-Grundverordnung (DSGVO), erfüllt werden. Es muss dokumentiert werden, dass der Dienst bei der Entwicklung und im Betrieb die Gewährleistungsziele Integrität, Vertraulichkeit und Verfügbarkeit berücksichtigt und die entsprechenden Risiken so weit wie möglich reduziert werden.
Überprüfung der Wirksamkeit
Die Bundesregierung soll gem. § 26 Abs. 3 TDDDG innerhalb von zwei Jahren nach Inkrafttreten der Einwilligungsverordnung die Wirksamkeit der getroffenen Maßnahmen im Hinblick auf die Errichtung nutzerfreundlicher und wettbewerbskonformer Einwilligungsverfahren überprüfen und dem Bundestag und Bundesrat berichten. Der Bericht soll darüber informieren, ob und wie viele anerkannte Dienste zur Einwilligungsverwaltung im Evaluierungszeitraum entstanden sind.
Laut Gesetzesbegründung der Verordnung sollen auch Schwierigkeiten bei der Durchführung des Anerkennungsverfahrens aufgezeigt werden, damit festgestellt werden kann, ob die Regelungen ein funktionierendes Anerkennungsverfahren gewährleisten. Ebenso soll überprüft werden, ob und in welchem Umfang die Einbindung anerkannter Dienste zur Einwilligungsverwaltung von der Software zum Abrufen und Darstellen von Inhalten aus dem Internet berücksichtigt wird.
Falls sich nach zwei Jahren keine anerkannten Dienste zur Einwilligungsverwaltung entwickelt haben, sollen die Gründe untersucht werden. Der Ausschuss für Digitales fordert die Bundesregierung in ihrer Beschlussempfehlung und ihrem Bericht weiterhin auf, auf eine europaweite Lösung für die Einwilligungsverwaltung hinzuwirken.
Kritikpunkte
Die Datenschutzkonferenz (DSK), das Gremium der deutschen Datenschutzaufsichtsbehörden, kritisierte bereits 2023 in ihrer Stellungnahme den Referentenentwurf der EinwV des Bundesministeriums für Digitales und Verkehr (BMDV) und wies darauf hin, dass das Ziel der Einwilligungsverwaltungsverordnung nicht erreicht werden könne. Auch der Landesbeauftragte für den Datenschutz Niedersachsen, Denis Lehmkemper, äußerte in seiner Pressemittelung Nr. 20/2024, dass die verabschiedete EinwV ihr Ziel verfehle.
Der LfD Niedersachsen kritisierte insbesondere, dass Einwilligungsbanner weiterhin notwendig seien, weil ein spürbarer Effekt (weniger nervige Banner) erst bei einem weiteren Seitenaufruf der Webseite eintrete. Dies liege daran, dass die Einwilligungen weiterhin über die bisherigen Consent-Banner erteilt werden und die Dienste zur Einwilligungsverwaltung den Einwilligungsstatus erst beim erneuten Aufruf der Webseite automatisch mitteilten. Der Anwendungsbereich der EinwV sei zu begrenzt, da nur Einwilligungen nach § 25 Abs. 1 TDDDG und keine Einwilligungen gemäß der DSGVO verwaltet werden können. Auch die Freiwilligkeit der Einbindung von Diensten zur Einwilligungsverwaltung durch die Webseitenbetreiber wird beanstandet. Es bestehe die Gefahr, dass viele Webseitenbetreiber weiterhin herkömmliche Consent-Banner verwenden.
Schlussfolgerung
Auf den ersten Blick erscheint die Kritik berechtigt. Es bleibt abzuwarten, ob und wie viele Dienste zur Einwilligungsverwaltung sich von der BfDI anerkennen lassen, und ob die EinwV ihr gesetztes Ziel erreichen kann. Es ist fraglich, ob es genügend Anreize für Dienste zur Einwilligungsverwaltung gibt, sich durch die BfDI anerkennen zu lassen. Die Freiwilligkeit der Einbindung solcher Dienste könnte dazu führen, dass Anbieter digitaler Dienste weiterhin auf herkömmliche Consent-Banner setzen. Dennoch bieten anerkannte Einwilligungsdienste grundsätzlich eine Möglichkeit, dass Nutzer*innen eine informierte und selbstbestimmte Entscheidung hinsichtlich ihrer Einwilligung nach § 25 Abs. 1 TDDDG treffen und die Flut an Consent-Bannern im Internet reduziert werden könnte.
Falls die Evaluation der Bundesregierung ergibt, dass die EinwV ihre gewünschte Wirkung nicht entfaltet, könnte die Nutzung von Diensten zur Einwilligungsverwaltung für Anbieter digitaler Dienste laut Aussage der BfDI, Prof. Dr. Louisa Specht-Riemenschneider, möglicherweise verpflichtend werden.
17. Februar 2025 @ 14:14
Die Einwilligungsverwaltungsverordnung entpuppt sich als Fassade der Datenschutzstärkung, deren vermeintliche Wirksamkeit durch ihre Freiwilligkeit ad absurdum geführt wird – denn welcher Webseitenbetreiber, der naturgemäß an der Nutzung von Cookies interessiert ist, würde freiwillig ein System implementieren, das die dauerhafte Ablehnung eben jener Cookies fördert und somit seinen eigenen Interessen zuwiderläuft?
12. Februar 2025 @ 13:26
Und dann muss ich mich erstmal personenbezogen an einem „Dienst zur Einwilligungsverwaltung“ anmelden, um dem dann zu sagen, welches Tracking ich NICHT will. Dann verkauft der diese Daten wieder weiter und das Problem beginnt von vorn. Super Lösung!
11. Februar 2025 @ 17:31
Das ganze Thema wäre sofort erledigt, wenn man einfach den Tracking-Mist verbieten würde – bzw. einfach mal die Rechtswidrigkeit der aktuellen Umsetzungen (nicht wirksame Einwilligungen und falsche/irreführende Datenschutzerklärungen) ahnden würde.