Wird das Einwilligungsmanagement im Web mit Einführung des TTDSG nutzerfreundlicher?

Cookie-Banner führen nach wie vor zu erheblichen Problemen für Websitebesucher. Viele Banner mit denen sich der jeweils Betroffene konfrontiert sieht, weisen eine erhebliche Intransparenz und mitunter gar verbrauchertäuschende Designs auf. Websitebetreiber können im Einzelfall die Zustimmung zu Marketing- und Retargeting-Cookies sowie ähnlichen Tracking-Technologien dadurch erwirken, dass der Aufwand für Verbraucher für eine Verweigerung der Einwilligung maximiert wird und diese keinesfalls so einfach ausgestaltet ist, wie die Erteilung der Einwilligung selbst. Darüber hinaus sehen sich Internetnutzer schlichtweg mit einer erschöpfenden Flut an Cookie-Bannern im Netz konfrontiert.

Cookie-Banner und PIMS

Durch sog. PIMS (Personal Information Management Systems), die ihre Rechtsgrundlage in § 26 des neuen TTDSG finden, soll eine zentrale Einwilligungsverwaltung durch eine technische und datenschutzfreundliche Gestaltung ermöglicht werden. Der Nutzer soll durch dieses technische Hilfsmittel größere Kontrolle hinsichtlich der Art und des Umfangs der von ihm erteilten Einwilligungen erhalten.

Umgesetzt werden sollen PIMS durch vertrauenswürdige Anbieter, die in einem Zwischenschritt in der Vermittlung eingeschaltet werden. Der Endnutzer trägt im Einwilligungsassistenten zentral seine persönlichen datenschutzrechtlichen Präferenzen bzw. Voreinstellungen ein und der PIMS-Anbieter überträgt diese Voreinstellungen an jede besuchte Website oder App, sodass sich eine weitere Abfrage erübrigt und zentral beim Websitebesuch bereits ohne weitere Auswahlbanner klar ist, welche Daten verarbeitet werden dürfen und welche nicht. Darüber hinaus soll der Einsatz möglichst geräteübergreifend ermöglicht werden, sodass sich die Nutzerpräferenzen nach einmaliger Voreinstellung etwa vom Desktop-PC auf den Laptop, ein Smartphone, eine Smartwatch und alle weiteren erdenklichen Endgeräte übertragen lassen. Die geschaffenen Einwilligungsassistenten werden gar über die HCI-Wirksamkeitsforschung (Human Computer Interface) als empirische Designforschung zur Messung der Nutzerfreundlichkeit des jeweiligen Banners überprüft. Das dahinterstehende Ziel ist, dass der Nutzer befähigt wird, datenschutzrechtliche Risiken der jeweiligen Seite optimal zu verstehen und zu bewerten.

Potenzial der PIMS

Es können hierdurch vielfältige Anreize für Verbraucher geschaffen werden, PIMS tatsächlich auch einzusetzen, wenn die Umsetzung entsprechend erfolgt (hier regelt § 26 Abs. 2 TTDSG den Erlass einer konkretisierenden Rechtsverordnung). Eine datenschutzfreundliche, auf Selbstbestimmung ausgerichtete Gestaltung (Privacy Enhancing Technology), ein übersichtliches Interface und die Übernahme der Voreinstellung per Single-Sign-On ermöglichen bereits eine gewisse Entlastung des Users. Zu begrüßen ist auch die Möglichkeit der lokalen Datenverarbeitung auf dem Endgerät bei Nutzung der Dienste eines Einwilligungsassistenten, sodass verhindert wird, dass Dritte Einsicht in die Browserhistorie und besuchte Websites erhalten können. Datenschutzrechtlich besteht Potenzial, die Bedingungen der transparenten Einwilligung nach Art. 7 DSGVO effektiver zu erfüllen und gemäß der Rechenschaftspflicht der Art. 7 Abs. 1, Art. 5 Abs. 2 DSGVO zentral nachzuweisen. Für den Betroffenen entsteht eine Verbesserung im Bereich privater Rechtsdurchsetzung bzgl. seiner Betroffenenrechte und unter Berücksichtigung des hierfür erforderlichen Aufwands im Wege einer Kosten-Nutzen-Relation.

Voraussetzungen für PIMS und deren Umsetzung

Die PIMS-Anbieter müssen sich akkreditieren lassen und kumulativ die Voraussetzungen von § 26 Abs. 1 Nr. 1-4 TTDSG erfüllen. Aus § 26 Abs. 1 Nr. 2 TTDSG geht hervor, dass die Anbieter kein wirtschaftliches Eigeninteresse an der Erteilung der Einwilligung und den verwalteten Daten besitzen dürfen und unabhängig von Unternehmen sein müssen, die ein solches Interesse haben können. Um dies zu gewährleisten, könnte auf das Zertifizierungsverfahren nach Art. 42 DSGVO zurückgegriffen werden. Auch Datentreuhänder, die zwischen dem Betroffenen und dem Dienstleister, der die Daten verarbeiten möchte, vermitteln, könnten im Auftrag der Nutzer die Zustimmung zur Datenverarbeitung erteilen.

Die Bundesregierung hat nach § 26 Abs. 2 TTDSG durch Rechtsverordnung weitere konkretisierende Regelungen zu treffen, die drei wesentliche Bestandteile aufweisen:

• Vorgaben für das nutzerfreundliche und wettbewerbskonforme Verfahren und technische Anwendungen,
• Maßgaben für das Verfahren der Anerkennung von PIMS und
• Anforderungen hinsichtlich der technischen und organisatorischen Maßnahmen von PIMS.

Der Verbraucherzentrale Bundesverband (vzbv) spricht sich dafür aus, dass die zu entwickelnden Lösungen nicht nur nutzer- und wettbewerbsfreundlich, sondern auch schlank und kostengünstig zur Verfügung zu stellen sind. Der Begriff der „Dienste zur Einwilligungsverwaltung“ solle weit ausgelegt werden, um ein größeres Spektrum der technischen Umsetzung zu ermöglichen.

Neben Browser Plugins bzw. Browsereinstellungen (etwa unter Einsatz von Privacy Tools wie ADPC („Advanced Data Protection Control“)) sind bereits verschiedene Applikationen entwickelt worden, die eine technische und graphische Umsetzung der Einwilligungseinholung und der zugehörigen Dokumentation der Einwilligung ermöglichen sollen (bspw. Consent Management Provider, sog. CMPs und TCF 2.0).

Probleme und offene Fragestellungen

Die Aktualisierungsgeschwindigkeit von CMPs und anderen PIMS-Technologien hat mit der Websiteaktualisierung Schritt zu halten, um angemessen informieren zu können. Hier kann bei regelmäßigen Website-Updates und der Implementierung neuer Technologien oder der veränderten Implementierung vorhandener Cookies schnell eine Diskrepanz entstehen.

Zudem bedarf es generell der Herstellung einer bugfreien Schnittstellenimplementierung für alle vom Endnutzer aufgerufenen Seiten und verwendeten Apps.

Darüber hinaus stellen sich neue rechtliche Fragen und bereits existierende rechtliche Probleme sind auch hier relevant. Über die Möglichkeit einer Stellvertretung bei der Erklärung einer Einwilligung hinaus und Rechtsfragen bei der Ausübung von Betroffenenrechten, stellt sich vor allem die Frage nach der trennscharfen Einstufung von Cookies als technisch erforderlich. So sind nach der Rechtsprechung des EuGHs und BGHs und nach der Auffassung der Art.-29-Datenschutzgruppe zwar Cookies zur Fehleranalyse und für die Sicherheit sowie Cookies für die Speicherung des Logins oder der Warenkorbfunktion technisch unbedingt erforderlich. Die technische Erforderlichkeit schließt sich jedoch oft auch wirtschaftlichen oder auch vertraglichen Erwägungen an. Die temporäre Speicherung von Nutzereingaben beim Ausfüllen eines Warenkorbs ist schließlich eher eine wirtschaftliche Erwägung. Ausländische Aufsichtsbehörden haben auch bereits bestimmte Analyse-Cookies, etwa zur Schätzung voraussichtlich benötigter Server-Kapazitäten, als unbedingt erforderlich anerkannt. Zumal Mehrzweck-Cookies zum Einsatz kommen können, die weitere Verwirrung stiften, wenn zu prüfen ist, ob jeder einzelne Zweck technisch-erforderlicher Natur ist.

Die Bußgeldvorschrift von § 28 TTDSG sieht in Abs. 1 Nr. 13 zwar die Bußgeldbewährtheit vor, wenn Telemedienanbieter und Websitebetreiber Informationen ohne erteilte Einwilligung des Endnutzers verarbeiten, hingegen existiert keine explizite Sanktionsmöglichkeit, wenn Websitebetreiber die Vorgaben für PIMS nach § 26 TTDSG selbst missachten.

Fraglich ist auch, ob diese Lücke über die DSGVO geschlossen werden kann, da die Landesaufsichtsbehörden zwar nach Art. 58 Abs. 2 lit. i, Art. 83 DSGVO Geldbußen verhängen können, hier jedoch eine Sperrwirkung bestehen könne, wenn diese Sanktionsbefugnisse bereits durch die fortgeltende ePrivacy-Richtlinie (Sanktionsbefugnisse nach Art. 15a EG 2002/58/EG) geregelt werden und über Art. 95 DSGVO dieselbe Zielsetzung der Normen besteht. Auch Art. 29 Abs. 3 TTDSG enthält für mögliche Sanktionsbefugnisse nach Art. 58 DSGVO nur einen Verweis hinsichtlich des BfDI und nicht bezüglich der Landesaufsichtsbehörden.

Fazit

Es bleibt spannend, ob und inwieweit den noch offenen technischen und rechtlichen Problemschwerpunkten begegnet werden kann. Daneben stellt sich hinsichtlich der Betroffenenrechte zudem die besondere Herausforderung der transparenten und einheitlichen Erfüllung von Informationspflichten bei einem Websitebesuch. Einerseits sind hier Datenschutzerklärungen oft recht allgemein gehalten oder gar lückenhaft, andererseits lassen sich hier Datensatz und jeweilige Rechtsgrundlage schwer gegenüber dem Betroffenen nach Art. 13 Abs. 1 DSGVO zusammenfassen. Auf verschiedenen Subseiten können unterschiedliche und gleichzeitig flexible Inhalte nachgeladen werden, die ein einwilligungspflichtiges Tracking-Tool oder Cookie nach sich ziehen, obwohl der Endnutzer nur technisch erforderliche Inhalte zulassen möchte. Hier stellt sich die Schwierigkeit für PIMS-Anbieter, die nötigen Einblicke in die Webseiteninhalte zu gewinnen.

Das Ziel, Abhilfe hinsichtlich der „Cookie-Banner-Flut“ zu schaffen, ist sicherlich begrüßenswert. Ein verbraucherfreundlicheres Interface, die lokale Speicherung und eine größere Übersicht über erteilte Einwilligungen für den Nutzer selbst sind ebenfalls positive Aspekte. Die Akkreditierungsverfahren und mögliche Anreize zur Akkreditierung für PIMS-Anbieter, die Durchsetzungsbefugnisse von Behörden bei Missachtung der Vorgaben des § 26 TTDSG sowie grundsätzlich eine größere Klarheit bei der Einstufung technisch erforderlicher Cookies werden in der praktischen Umsetzung weiteren Klärungsbedarf nach sich ziehen.