Cookie-Consent-Banner auf Websites sind wohl die häufigste Form, in der Verbraucher ihre Einwilligung erklären. Höchstrichterliche Urteile und unzählige Abmahnungen verdeutlichen die Relevanz des Themas. In Deutschland soll nun die Einwilligungsverwaltungs-Verordnung (EinwVO), die am 1. April 2025 in Kraft trat, neue Maßstäbe setzen. Ob das gelingt, ist jedoch noch offen.
Wofür braucht es eine Einwilligungsverwaltungs-Verordnung?
Selbst Jahre nach Einführung der Datenschutz-Grundverordnung (DSGVO) stellt deren Umsetzung viele Verantwortliche auch heute noch vor erhebliche Probleme. An kaum einer Stelle wird dies so deutlich wie bei der Flut der diversen Cookie-Consent-Banner auf Websites, über welche individuell auszuwählen ist, in welche Verarbeitungen eingewilligt wird. Die Verpflichtung zur Einbindung eines Consent-Tools ergibt sich hierzulande aus § 25 Abs. 1 des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG). Dieser verlangt für jede Speicherung von Informationen in der Endeinrichtung des Websitebesuchers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, eine vorherige Einwilligung. Bei Verstößen droht ein Bußgeld von bis zu 300.000 € sowie ggf. weitere Sanktionen nach der DSGVO.
Insbesondere durch die Tatsache, dass bei jedem Besuch einer neuen Website eine Auswahl getroffen werden muss, werden die Cookie-Banner als lästig empfunden und in vielen Fällen ohne die eigentlich geforderte informierte Entscheidung weggeklickt.
Um dies in Zukunft zu vereinheitlichen und das Verfahren des Einwilligungsmanagements für Betroffene sowie Verantwortliche transparenter zu gestalten, hat das Bundesministerium für Digitales und Verkehr (BMDV) auf Grundlage des § 26 Abs. 2 TDDDG, welcher anerkannte Dienste zur Einwilligungsverwaltung (auch Personal Information Management Systems (PIMS)) vorsieht, eine Einwilligungsverwaltungs-Verordnung (EinwVO) im Bundesgesetzblatt veröffentlicht . Landläufig wird in diesem Zusammenhang auch der Begriff PIMS-Verordnung verwendet. Mit dieser sollen anerkannte Dienste zur Einwilligungsverwaltung etabliert und die vielfältigen, sowie oftmals nicht datenschutzkonformen, Cookie-Banner mittelfristig ersetzt werden.
Für wen soll die Einwilligungsverwaltungs-Verordnung gelten?
Die EinwVO soll nach § 1 Abs. 2 für alle Unternehmen und Personen gelten, welche im Geltungsbereich der nationalen Verordnung, also in Deutschland, Dienste zur Einwilligungsverwaltung erbringen, Software zum Darstellen und Abrufen von Informationen aus dem Internet anbieten, sowie für sonstige Telemedienanbieter.
Im Sinne der Verordnung wären also unter anderem Websitebetreiber als Telemedienanbieter sowie Anbieter von Webbrowsern als Software zum Darstellen und Abrufen von Informationen aus dem Internet erfasst.
Zugunsten der besseren Verständlichkeit werden die Regelungen im Folgenden anhand von Websitebetreibern und Webbrowsern beschrieben, welche aber nicht als einzige denkbaren Untergruppen begrifflich unter die Verordnung fallen.
Was wird mit der EinwVO geregelt?
Was mit der Verordnung konkret geregelt werden soll, wird in § 1 Abs. 1 EinwVO klargestellt. Demnach enthält die Verordnung Regelungen
- Zu den Anforderungen an die Nutzerfreundlichkeit und die Wettbewerbskonformität, sowie
- an technische Anwendungen im Rahmen der Einholung und Verwaltung von nach § 25 TDDDG erforderlichen Einwilligungen.
Zudem werden Anforderungen für ein zu implementierendes Verfahren zur Anerkennung von Diensten zur Verwaltung von Einwilligungen durch die Aufsichtsbehörden aufgestellt.
Letztlich regelt die Verordnung erforderliche technische und organisatorische Maßnahmen, welche sicherstellen sollen, dass Webbrowser und Websitebetreiber die jeweiligen Voreinstellungen des Endnutzers befolgen und die Einbindung der anerkannten Einwilligungsdienste berücksichtigen.
Welche Anforderungen gelten für Dienste zur Einwilligungsverwaltung?
In § 3 EinwVO werden Anforderungen formuliert, welche ein Dienst zur Einwilligungsverwaltung erfüllen muss, um von den Aufsichtsbehörden anerkannt und in einem Register veröffentlicht werden zu können.
Einwilligung
Wenig überraschend muss ein Dienst dem Nutzer die Möglichkeit eröffnen, eine geforderte informierte Einwilligung in das Speichern und den Zugriff auf Informationen in seiner Endeinrichtung – wie beispielsweise das Setzen oder Auslesen von Cookies – gegenüber Websitebetreibern in einfacher Weise zu erklären oder abzulehnen, also verwalten zu können.
Darüber hinaus werden in § 3 Abs. 3 EinwVO auch konkrete Anforderungen an die Nutzerfreundlichkeit von Diensten zur Einwilligungsverwaltung gestellt. Demnach müssen Dienste zur Einwilligungsverwaltung folgende Kriterien erfüllen:
- transparente Gestaltung,
- einfache Bedienbarkeit,
- keine Voreinstellungen zu den Einwilligungsabfragen,
- kein gezieltes Steuern des Endnutzers durch die Ausgestaltung des Dienstes (sog. Nudging),
- jederzeitige erneute Aufrufbarkeit der Einstellungen und deren Veränderbarkeit,
- ebenso einfacher Widerruf wie ursprüngliche Erteilung der Einwilligung,
- eine Erinnerung des Nutzers nach einer angemessenen Frist von höchstens sechs Monaten mit Bestätigung der getroffenen Auswahl,
- eine Information des Endnutzers beim Start der Internetzugangssoftware, dass der Dienst aktiv ist und entsprechende Einwilligungen nach § 25 TDDDG erteilt werden.
Hier werden also Anforderungen, welche bereits von der Rechtsprechung entwickelt wurden, wie beispielsweise im Fall des gezielten Steuerns von Nutzern hin zu einer bestimmten Auswahl, integriert und die bekannten Grundsätze insoweit konkretisiert.
Darüber hinaus soll der Dienst zur Einwilligungsverwaltung aber auch ermöglichen, dass ein Endnutzer generelle Einwilligungen, geordnet nach Kategorien, für bestimmte Zugriffe auf Endeinrichtungen und Gruppen von Telemedienanbietern erteilen oder verweigern kann. Hierin liegt die eigentliche Neuerung, welche der bisherigen Praxis der Einzelabfrage eine einfachere Möglichkeit entgegenstellen soll.
Wettbewerbskonformität
In § 4 EinwVO werden darüber hinaus Anforderungen im Rahmen der Wettbewerbskonformität ergänzt. Dies bedeutet konkret, dass Dienste zur Einwilligungsverwaltung keine bestimmten Anbieter bevorzugen dürfen und allen Websitebetreibern für rechtmäßige Geschäftsmodelle zur Verfügung stehen müssen.
Sicherheitskonzept
Auch werden innerhalb der Verordnung bestimmte technische und organisatorische Maßnahmen vorgeschrieben.
Nach § 7 EinwVO muss ein anerkannter Dienst zur Verwaltung von Einwilligungen zusätzlich zu den bereits genannten Anforderungen ein Sicherheitskonzept bereitstellen, welches eine Bewertung der Qualität und Zuverlässigkeit des Dienstes und seiner technischen Anwendungen ermöglicht. Aus dem Sicherheitskonzept muss sich ergeben, dass der Dienst sowohl technisch als auch organisatorisch die rechtlichen Anforderungen an den Datenschutz und die Datensicherheit erfüllt, welche durch die DSGVO vorgegeben sind.
Die minimalen Anforderungen werden in § 7 Abs. 2 EinwVO konkretisiert und sind demnach:
- Beschreibung der Daten, welche verarbeitet werden,
- Festlegung des Speicherortes,
- Beschreibung des Verarbeitungszwecks,
- Einstufung der Daten nach Datenkategorien,
- Festlegung eines Verfahrens zur Risikoabschätzung,
- Festlegung des Schutzbedarfs,
- Beschreibung des Schutzniveaus dahingehend, welche technischen und organisatorischen Maßnahmen getroffen werden, und zwar
- zum Schutz der Daten vor unbefugten Zugriffen,
- zur Gewährleistung der Verfügbarkeit der Daten,
- um die Sicherheit, Integrität und Verfügbarkeit des angebotenen Dienstes und der Systeme zu gewährleisten.
Technische und organisatorische Maßnahmen
In §§ 5, 9, 10 EinwVO ist aufbauend hierauf geregelt, wie der Austausch der Informationen zwischen dem Dienst zur Einwilligungsverwaltung, dem eingesetzten Webbrowser des Endnutzers und dem Websitebetreiber erfolgen soll.
Hierbei bleibt die Verordnung ebenfalls generell und überlässt insoweit den Anbietern die konkrete Ausgestaltung. So soll der Dienst zur Einwilligungsverwaltung nach § 5 EinwVO technisch sicherstellen, dass Websites und Webbrowser erkennen können, dass der Endnutzer einen Dienst zur Einwilligungsverwaltung einsetzt, und die entsprechende Auswahl des Endnutzers übermitteln.
Der Webbrowser muss gem. § 9 EinwVO die vom Dienst zur Einwilligungsverwaltung bereitgestellten Informationen zur Auswahl des Endnutzers zulassen und darf diese nicht verzögern, unterdrücken oder inhaltlich verändern.
Außerdem müssen Websitebetreiber gem. § 10 EinwVO gewährleisten, dass die vom Endnutzer übermittelten Informationen registriert, berücksichtigt und gespeichert werden. Eine getrennte Abfrage der Einwilligung, trotz übermittelter Information durch den vom Endnutzer eingesetzten Dienst zur Einwilligungsverwaltung ist dem Websitebetreiber untersagt. Eine Einschränkung gilt nach der EinwVO jedoch dann, wenn der Websitebetreiber ein über Werbung finanziertes Angebot betreibt und der Nutzer die hierfür erforderliche Einwilligung über den Dienst zur Einwilligungsverwaltung abgelehnt hat. In diesem Fall darf der Websitebetreiber den Endnutzer auf ein kostenpflichtiges Angebot verweisen oder den Endnutzer zur Änderung seiner Voreinstellungen auffordern. Dies dürfte wohl insbesondere dem mittlerweile üblichen Vorgehen von Medienwebsites dienen, eine Entscheidung zu ermöglichen zwischen kostenpflichtiger und dafür cookiefreier bzw. -armer Version vs. kostenloser Version, die nur mit Einwilligung in das Setzen von Marketing- und Analytics-Cookies aufrufbar ist.
Letztlich werden nach § 11 EinwVO zudem Anforderungen an den Nachweis der Einwilligung durch den Websitebetreiber gestellt.
- 26 Abs. 3 TDDDG verpflichtet die Bundesregierung binnen zwei Jahren nach Inkrafttreten (April 2027) die Wirksamkeit der EinwVO zu evaluieren und darüber Bericht zu erstatten.
Ausblick
Die EinwVO hat die klare Zielsetzung, einen rechtlichen Rahmen für die Zukunft der Einwilligungsverwaltung zu setzen und die bisherige Praxis durch eine nutzerfreundlichere zu ersetzen. Hierbei wird von Websitebetreibern, Webbrowsern und Anbietern von Diensten zur Einwilligungsverwaltung eine koordinierte Vorgehensweise verlangt, jedoch nennt die EinwVO keine konkreten Vorschläge, wie diese (technisch) umzusetzen sind.
Es bleibt abzuwarten, wie viele Dienste in Zukunft von europäischen Aufsichtsbehörden anerkannt werden und wie groß die Zahl der Softwareschnittstellen sein wird. Es erscheint zumindest möglich, dass sich die Lage für Endnutzer bessert, hierbei für Diensteanbieter aber der Zwang einer ständigen Implementierung der Schnittstellen neu anerkannter Dienste zur Einwilligungsverwaltung entsteht.
Sollte die Zahl der anerkannten Eintragungen im BfDI-Register gering bleiben, ist fraglich, ob die Verordnung ihre beabsichtigte Wirkung entfalten kann. Auch muss sich erst zeigen, inwieweit diese Thematik bei Umsetzung auf nationaler Ebene überhaupt Erfolg haben kann. Dies wird unter anderem maßgeblich davon abhängen, ob (internationale) Anbieter von Webbrowsern auf die nationalen Regelungen entsprechend reagieren und die technischen Voraussetzungen schaffen, welche zur Umsetzung notwendig sind.
Nichtsdestotrotz ist die Stoßrichtung der EinwVO ein wichtiger Schritt hin zu einer Praxis, welche Nutzern erlaubt, ihre informierte Einwilligung zur Verarbeitung ihrer personenbezogenen Daten auch ohne die Notwendigkeit einer ständigen Prüfung unterschiedlicher Cookie-Consent-Tools abzugeben.
