Das Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG), welches seit dem 1. Dezember 2021 in Kraft ist (wir berichteten hier und hier), sieht ein sog. Personal Information Management System (PIMS) vor. Es besteht aus einer zentralen Einwilligungsverwaltung und soll so die Flut der Cookie-Banner eindämmen. Diese Einwilligungsverwaltung soll wiederum durch sog. vertrauenswürdige Anbieter bzw. anerkannte Dienste umgesetzt werden, die die Vermittlung übernehmen. Der Endnutzer teilt dem Anbieter seine Präferenzen beim Tracking mit und dieser überträgt die Präferenzen an jede Seite im Internet, die beim Anbieter gelistet ist, sodass sich der Cookie-Banner erübrigt.
Das zuständige Ministerium ist nach der TTDSG aufgefordert, die Details für die Voraussetzungen zu formulieren, unter denen die Anbieter die Einwilligungsverwaltung übernehmen können. Zuständig ist in diesem Fall das Bundesministerium für Digitales und Verkehr (BMDV), welches nun den ersten Entwurf einer Verordnung über Dienste zur Einwilligungsverwaltung („Einwilligungsverwaltungsverordnung – EinwV“) veröffentlicht hat.
Transparenz und Nutzerfreundlichkeit bei PIMS
Kern der Verordnung soll die Regelung der Nutzerfreundlichkeit und Wettbewerbskonformität der Einwilligungsverwaltung sein. Außerdem sollen die Anforderungen an die anerkannten Dienste sowie der Anerkennungsprozess selbst geregelt werden.
Umsetzung im Lichte der DSGVO
Wenn es um die Anforderungen geht, so fordert der Entwurf, dass die Voraussetzungen der DSGVO zur Einwilligung und Transparenz eingehalten werden. Dabei geht es insbesondere um die Umsetzung der Anforderungen aus Art. 12 und 13 DSGVO über die Information zur Datenverarbeitung und Art. 7 DSGVO zu den Modalitäten einer Einwilligung.
So fordert § 3 Abs. 3 des Entwurfs, dass der Anbieter die Endnutzer darüber informiert, wer der verantwortliche Anbieter von Telemedien (z. B. Websitebetreiber) ist, welche Angaben des Endnutzers gespeichert werden bzw. auf welche Daten des Endnutzers zugegriffen wird, welchem Zweck die Speicherung und der Zugriff dient sowie deren Dauer. Außerdem muss über die „Widerruflichkeit der Einwilligung“ informiert werden. Des Weiteren muss der Anbieter die Einwilligung dokumentieren (§ 3 Abs. 4).
Eine Bevorzugung oder Benachteiligung von Websitebetreibern darf durch den Anbieter ebenfalls nicht erfolgen.
Kein Nudging durch die Anbieter
Die Transparenz in der Information soll sich auf der Benutzeroberfläche wiederfinden. So wird in § 4 betont, dass der Endnutzer über die Benutzeroberfläche eine freie und informierte Entscheidung treffen soll, die nicht beeinträchtigt oder behindert wird. Das bei Cookie-Bannern vieldiskutierte Nudging soll es bei den Diensten gerade nicht geben. Die Transparenz soll so weit gehen, dass der Endnutzer informiert wird, wenn es zu Änderungen von Zugriffs- und Speichervorgängen bei Websitebetreibern kommt.
§ 5 des Entwurfs findet sein Vorbild in Art. 20 DSGVO zum Recht auf Datenübertragbarkeit und soll den Endnutzern ermöglichen, ihre Daten von einem Anbieter zum nächsten zu übertragen.
BfDI ist zuständig für den Anerkennungsprozess
Potentielle Anbieter müssen einen Anerkennungsprozess über sich ergehen lassen. Kern des Prozesses sind Angaben zu der Umsetzung der oben genannten Anforderungen. Darüber hinaus müssen die Anbieter nach § 10 des Entwurfs ein Sicherheitskonzept vorlegen, welches darlegt, dass die technischen, organisatorischen und rechtlichen Anforderungen der DSGVO eingehalten werden. Für die Anerkennung zuständig wäre nach § 12 der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI). Er entscheidet darüber, welcher Anbieter solch ein PIMS anbieten darf.
Schnittstelle zu Browsern und Websites
Zuletzt sollen Softwareanbieter und Websitebetreiber technisch den Datenaustausch mit der Einwilligungsverwaltung der Anbieter ermöglichen, damit ein PIMS überhaupt Sinn ergibt.
Erster Eindruck
Der Entwurf ist überschaubar und regelt nichts Überraschendes. Die Vorgaben der DSGVO werden runtergebrochen auf die Umsetzung einer Einwilligungsverwaltung. Dies war zu erwarten. Dass der BfDI hier zuständig für die Anerkennung der Anbieter sein soll, ist eine Entscheidung, die in Hinblick auf die in § 29 TTDSG festgelegte Zuständigkeit des BfDI für Überwachung des TTDSG nur konsequent ist.
Wie attraktiv es sein wird, als Anbieter solch einer Einwilligungsverwaltung aufzutreten, bleibt abzuwarten. Wirtschaftliche Anreize bietet der Entwurf hierzu nicht. Vorstellbar wäre, dass ein Konzern mit einer beträchtlichen Anzahl von Webauftritten mit einer Stiftung als Anbieter eines PIMS auftritt, um so für eingetragene Nutzer keine Cookie-Banner mehr schalten zu müssen. Ein lästiger Klick weniger könnte den Websitebesuch attraktiver gestalten.
Erste Hinweise zur Praktikabilität dieses Entwurfs werden dann die Stellungnahmen aus der Branche geben. Interessierte Kreise haben noch bis zum 14. Juli 2023 die Gelegenheit, zum Verordnungsentwurf Stellung zu nehmen.
Man darf gespannt sein, wo die Reise hingehen wird.
Dr. Klaus Meffert
14. Juni 2023 @ 14:32
Bitte erklären Sie mir, wie PIMS (§26 TTDSG) realisiert werden soll. Ich behaupte, es geht nicht. Die Gründen sind logischer, technischer und rechtlicher Art.
Die Verlinkung zu meinen Beiträgen, die dies zeigen, spare ich hier aus, um nicht in den Verdacht zu kommen, meine Links verteilen zu wollen.
Bitte erstellen Sie eine Skizze/Präsentation/grobe Ausarbeitung, wie PIMS aussehen soll. Falls Ihnen das nicht gelingt, wünsche ich mir eine kritischere Berichterstattung zu dem Thema, anstatt so zu tun, als ob PIMS überhaupt machbar sei.
Sie finden meine Kontaktdaten auf meiner Webseite, die Sie durch Suche nach meinem Namen (im Kontext der DSGVO) finden werden.
Olaf Rossow
15. Juni 2023 @ 13:35
Vielen Dank für Ihren Kommentar.
Letztlich wird die Praxis zeigen, ob PIMS im Internet eine Rolle spielen wird. Deswegen sind die Stellungnahmen aus der Branche zum Entwurf so wichtig, um die Praktikabilität einschätzen zu können. So hat das Ministerium auf Grundlage der Stellungnahmen durchaus die Möglichkeit, den Entwurf noch anzupassen.
Martin Ponchow
18. Juni 2023 @ 15:21
Hallo Herr Rossow,
ich gebe Herrn Meffert Recht. Das ist widersinnig. Eine „zentrale Einwilligungsverwaltung“, also im Grunde eine zentrale Datensammlung der Präferenzen aller teilnehmenden Nutzer kombiniert mit einer großflächigen Übermittlung („dieser überträgt die Präferenzen an jede Seite im Internet, die beim Anbieter gelistet ist“) hört sich nach noch mehr Tracking an als das, welches ich durch Ablehnung von Cookies verhindern will. Da kann man nur hoffen, dass das scheitert.
Und warum keine dezentrale Lösung? Es gibt bereits in Browser eingebaute Features sowie Browser Add-ons., welche sich auf die verschiedensten Weisen mit Cookies beschäftigen. Und Do-Not-Track Settings in den Browsern. Dann kann man leicht drauf aufbauen. Und ohne Browser-Integration wird auch ein PIMS vermutlich nicht funktionieren.