PIMS gem. § 26 TDDDG – Rettung vor der Cookie-Flut oder nur ein zahnloser Tiger?

Wer heute online unterwegs ist, kennt das Problem: Noch bevor der Inhalt erscheint, ploppt ein Cookie-Banner auf. Klicken, ablehnen, akzeptieren – immer und immer wieder. Das nervt nicht nur, sondern führt zur sogenannten Click-Fatigue – einer Art Abstumpfung gegenüber Einwilligungsanfragen.

Personal Information Management Systeme (PIMS) sollen diese Flut an Abfragen eindämmen. Mit dem § 26 des Telekommunikations-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG) hat der Gesetzgeber auf nationaler Ebene dafür einen rechtlichen Rahmen geschaffen. Die Idee: Statt auf jeder Website erneut zu entscheiden, legt man seine Datenschutz-Präferenzen einmal zentral fest. Websites sollen diese Vorgaben dann automatisch berücksichtigen.

Was PIMS leisten sollen

PIMS sind somit als zentrale Dienste zur Einwilligungsverwaltung zu verstehen. Nutzer sollen dort differenziert festlegen können, ob sie Cookies oder andere Tracking-Mechanismen zulassen – und für welche Zwecke. Die Einstellungen werden dann vom PIMS-Anbieter auf jeden neuen Websitebesuch übertragen, ohne dass für jede neue Website ein Pop-up erscheint. Der Einsatz des PIMS führt dann zu weniger lästigen Unterbrechungen beim Surfen und zu einer besseren Übersicht, wer auf die eigenen Daten zugreifen darf.

Das Problem: Wirksamkeitsanforderungen an eine Einwilligung gem. DSGVO

Da der § 26 Abs. 1,  1. Halbsatz TDDDG hinsichtlich der Einwilligung auf den § 25 Abs. 1 TDDDG verweist, ist davon auszugehen, dass sich die Anforderungen an eine wirksame Einwilligung über PIMS aus der DSGVO ergeben. Dies wird auch dadurch verdeutlicht, dass in der ePrivacy-Richtlinie (Richtlinie 2002/58/EG Datenschutzrichtlinie für die elektronische Kommunikation letzte Änderung durch Richtlinie 2009/136/EG) unter Art. 5 Abs. 3 Satz 1 hinsichtlich der rechtlichen Einwilligungsanforderungen weiterhin auf die Richtlinie 95/46/EG (Datenschutzrichtlinie) verwiesen wird. Deren Außerkrafttreten am 24. Mai 2018 sorgt dafür, dass der Verweis auf die Datenschutzrichtlinie nunmehr gem. Art. 94 DSGVO direkt in die Datenschutzgrundverordnung (DSGVO) führt. Somit wird klargestellt, dass sich die Anforderungen an eine wirksame Einwilligung aus den Regelungen der DSGVO ergeben müssen. Einschlägig sind insbesondere Art. 4 Ziff. 11, Art. 6 Abs. 1 Uabs. 1 lit. a und Art. 7 DSGVO.

Damit muss eine Einwilligung, die über ein PIMS eingeholt wird, die folgenden Qualifikationsmerkmale erfüllen: Sie muss

• freiwillig erfolgen,
• bestimmt sein (klarer Zweck),
• informiert erfolgen (wer verarbeitet was wozu),
• durch eine eindeutige Handlung erteilt werden und
• jederzeit widerrufbar sein.

Während Freiwilligkeit, eindeutige Handlung und Widerrufbarkeit technisch im Rahmen des Einsatzes von PIMS gut umsetzbar sind, stellen Bestimmtheit und Informiertheit jedoch eine Herausforderung dar.

Denn beim Einrichten des PIMS kennt der Nutzer oft noch nicht alle künftigen Websitebetreiber oder die genauen Zwecke der Datenverarbeitung. Der PIMS-Betreiber kann den Einwilligungstext somit nicht konkret genug formulieren, zumal eine globale Beschreibung der Verarbeitungszwecke der rechtlich notwendigen Bestimmtheit entgegenläuft.

Des Weiteren sind konkrete Angaben zur Identität der Verantwortlichen, also den Anbietern der digitalen Dienste, notwendig, damit die Einwilligung informiert erfolgt. Letztlich dürfte diese Anforderung für den PIMS-Anbieter ebenfalls nicht zu erfüllen sein, da dieser jeden einzelnen Verantwortlichen schon zum Zeitpunkt der Vornahme der Einstellungen für das PIMS kennen müsste, was angesichts der endlosen Anzahl verschiedener Anbieter digitaler Dienste nahezu unmöglich sein dürfte.

Das führt zu einem Paradox: Je abstrakter und bequemer die Voreinstellungen sind, desto eher scheitern sie an den strengen Anforderungen der DSGVO, da die Grundsätze der Bestimmtheit und Informiertheit einer Einwilligung nicht eingehalten werden.

Können PIMS einfach als Bote oder Stellvertreter handeln?

Vor diesem Hintergrund diskutieren Juristen, ob man PIMS als Boten oder Stellvertreter des Nutzers einstufen könnte.

Ein Bote übermittelt nur eine fremde Willenserklärung, hat aber keinen eigenen Spielraum bei deren Abgabe. Da die Wirksamkeitsvoraussetzungen an eine Einwilligung gem. DSGVO unmittelbar im Moment der Beauftragung des Boten Anwendung finden, müssten die Anforderungen an Bestimmtheit und Informiertheit bereits in diesem Zeitpunkt erfüllt sein. Da zu diesem Zeitpunkt die einzelnen Anbieter digitaler Dienste weiterhin unbekannt sind und der Bote keinen eigenen Spielraum bei der Einwilligung hat, lässt sich über diese rechtliche Konstruktion der Mangel an Bestimmtheit und Informiertheit nicht kompensieren, sodass dieser Lösungsansatz zur Problembehebung nicht taugt.

Fraglich ist, ob stattdessen die nationalen Regelungen zur Stellvertretung des BGB als Lösungsansatz herangezogen werden können. Hiergegen spricht jedoch schon der eindeutige Wortlaut der DSGVO in Art. 4 Nr. 11 und Art. 7 DSGVO, die von einem höchstpersönlichen Akt ausgehen („Einwilligung der betroffenen Person“). Der Lösungsansatz über die Stellvertretung ist daher ebenfalls abzulehnen. Dass die DSGVO die Stellvertretung nur in wenigen Ausnahmefällen (z. B. Eltern für Minderjährige in Art 8 Abs. 1 DSGVO) kennt, spricht ebenfalls für diese Sichtweise.

Kurz gesagt: Der rechtliche Weg über Stellvertretung oder Botenschaft bringt keine belastbare Lösung.

Weitere Stolpersteine

Keine Bindung für Websitebetreiber:
Gemäß § 26 TDDDG müssen Betreiber die PIMS-Einstellungen nur „berücksichtigen“, nicht zwingend umsetzen. Insbesondere bei verweigerter Einwilligung könnten Websitebetreiber das PIMS einfach ignorieren – und wieder ein Banner einblenden.

Doppelter Bürokratieaufwand:
PIMS fallen zusätzlich unter den Data Governance Act, der eigene Zulassungsregeln in den Artt. 10 ff. für Datenvermittlungsdienste vorsieht, die für PIMS zumindest teilweise anwendbar sein dürften. Diese decken sich nicht vollständig mit den Zulassungsvorgaben der Einwilligungsverordnung gem. § 26 Abs. 2 TDDDG. Anbieter müssten also mehrere Verfahren zur Akkreditierung durchlaufen, was den Anreiz zur Einführung senkt.

Fazit: Gute Idee, schwierige Umsetzung

PIMS könnten den Datenschutz alltagstauglicher machen und die Nerven der Nutzer schonen. Die zentralisierte Verwaltung von Einwilligungen hat das Potenzial, sowohl den Komfort zu erhöhen als auch das Recht auf digitale Selbstbestimmung zu stärken.

In der Praxis dürfte diese Vision jedoch hauptsächlich an drei Hauptpunkten scheitern:

• Die rechtlichen Anforderungen der DSGVO insbesondere was Bestimmtheit und Informiertheit der Einwilligung betrifft passen nicht zum abstrakten Funktionsprinzip von PIMS und können in der Praxis nicht erfüllt werden.
• Die PIMS-Einstellungen müssen gegenüber Websitebetreibern gem. § 26 nur „berücksichtigt“ werden. Sie sind für den Websitebetreiber daher unverbindlich, was deren Wirkung stark untergraben dürfte.
• Die regulatorische Doppelbelastung durch Einhaltung der Vorgaben der Einwilligungsverordnung gem. § 26 Abs. 2 TDDDG und Artt. 10 ff. des Data Governance Acts dürfte PIMS-Anbieter abschrecken.

Solange diese Hürden nicht beseitigt werden, bleiben PIMS eher ein theoretisches Hilfsmittel – und die Cookie-Banner-Flut dürfte uns noch eine Weile begleiten.

Was es braucht, ist eine Anpassung der Rechtslage, die klare, praxistaugliche Kriterien für Einwilligungen über PIMS auf Europaebene schafft und deren Umsetzung durch Websitebetreiber verbindlich macht. Erst dann kann die Technik ihr Versprechen einlösen: mehr Datenschutz, weniger Klicks.

Umso erstaunlicher erscheint es, dass nach derzeitigem Kenntnisstand immerhin zwei potenzielle PIMS-Anbieter ein Anerkennungsverfahren bei der Bundesbeauftragten für den Datenschutz und die Informationssicherheit als zuständige Akkreditierungsstelle durchlaufen.