Cookie-Consent-Banner auf Websites sind wohl die häufigste Form, in der Verbraucher ihre Einwilligung erklären. Höchstrichterliche Urteile und unzählige Abmahnungen verdeutlichen die Relevanz des Themas. In Deutschland soll nun die Einwilligungsverwaltungs-Verordnung (EinwVO) neue Maßstäbe setzen. Ob das gelingt, ist jedoch noch offen.
Wofür braucht es eine Einwilligungsverwaltungs-Verordnung?
Selbst Jahre nach Einführung der Datenschutz-Grundverordnung (DSGVO) stellt deren Umsetzung viele Verantwortliche auch heute noch vor erhebliche Probleme. An kaum einer Stelle wird dies so deutlich wie bei der Flut der diversen Cookie-Consent-Banner auf Websites, über welche individuell auszuwählen ist, in welche Verarbeitungen eingewilligt wird. Insbesondere durch die Tatsache, dass bei jedem Besuch einer neuen Website eine Auswahl getroffen werden muss, werden die Cookie-Banner als lästig empfunden und in vielen Fällen ohne die eigentlich geforderte informierte Entscheidung weggeklickt.
Um dies in Zukunft zu vereinheitlichen und das Verfahren des Einwilligungsmanagements für Betroffene sowie Verantwortliche transparenter zu gestalten, hat das Bundesministerium für Digitales und Verkehr (BMDV) auf Grundlage des § 26 Abs. 2 des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG), welcher anerkannte Dienste zur Einwilligungsverwaltung (auch Personal Information Management Systems (PIMS)) vorsieht, einen Referentenentwurf zu einer Einwilligungsverwaltungs-Verordnung (EinwVO) veröffentlicht (als PDF verfügbar). Landläufig wird in diesem Zusammenhang auch der Begriff PIMS-Verordnung verwendet. Mit dieser sollen anerkannte Dienste zur Einwilligungsverwaltung etabliert und die vielfältigen, sowie oftmals nicht datenschutzkonformen, Cookie-Banner mittelfristig ersetzt werden.
Für wen soll die Einwilligungsverwaltungs-Verordnung gelten?
Die EinwVO soll nach § 1 Abs. 2 für alle Unternehmen und Personen gelten, welche im Geltungsbereich der nationalen Verordnung, also in Deutschland, Dienste zur Einwilligungsverwaltung erbringen, Software zum Darstellen und Abrufen von Informationen aus dem Internet anbieten, sowie für sonstige Telemedienanbieter.
Im Sinne der Verordnung wären also unter anderem Websitebetreiber als Telemedienanbieter sowie Anbieter von Webbrowsern als Software zum Darstellen und Abrufen von Informationen aus dem Internet erfasst.
Zugunsten der besseren Verständlichkeit werden die Regelungen im Folgenden anhand von Websitebetreibern und Webbrowsern beschrieben, welche aber nicht als einzige denkbaren Untergruppen begrifflich unter die Verordnung fallen.
Was wird mit der EinwVO geregelt?
Was mit der Verordnung konkret geregelt werden soll, wird in § 1 Abs. 1 EinwVO klargestellt. Demnach enthält die Verordnung Regelungen
- Zu den Anforderungen an die Nutzerfreundlichkeit und die Wettbewerbskonformität, sowie
- an technische Anwendungen im Rahmen der Einholung und Verwaltung von nach § 25 TTDSG erforderlichen Einwilligungen.
Zudem werden Anforderungen für ein zu implementierendes Verfahren zur Anerkennung von Diensten zur Verwaltung von Einwilligungen durch die Aufsichtsbehörden aufgestellt.
Letztlich regelt die Verordnung erforderliche technische und organisatorische Maßnahmen, welche sicherstellen sollen, dass Webbrowser und Websitebetreiber die jeweiligen Voreinstellungen des Endnutzers befolgen und die Einbindung der anerkannten Einwilligungsdienste berücksichtigen.
Welche Anforderungen gelten für Dienste zur Einwilligungsverwaltung?
In § 3 EinwVO werden Anforderungen formuliert, welche ein Dienst zur Einwilligungsverwaltung erfüllen muss, um von den Aufsichtsbehörden anerkannt werden zu können.
“Einwilligung”
Wenig überraschend muss ein Dienst dem Nutzer die Möglichkeit eröffnen, eine geforderte informierte Einwilligung in das Speichern und den Zugriff auf Informationen in seiner Endeinrichtung – wie beispielsweise das Setzen oder Auslesen von Cookies – gegenüber Websitebetreibern in einfacher Weise zu erklären oder abzulehnen, also verwalten zu können.
Darüber hinaus werden in § 3 Abs. 3 EinwVO auch konkrete Anforderungen an die Nutzerfreundlichkeit von Diensten zur Einwilligungsverwaltung gestellt. Demnach müssen Dienste zur Einwilligungsverwaltung folgende Kriterien erfüllen:
- transparente Gestaltung,
- einfache Bedienbarkeit,
- keine Voreinstellungen zu den Einwilligungsabfragen,
- kein gezieltes Steuern des Endnutzers durch die Ausgestaltung des Dienstes (sog. Nudging),
- jederzeitige erneute Aufrufbarkeit der Einstellungen und deren Veränderbarkeit,
- ebenso einfacher Widerruf wie ursprüngliche Erteilung der Einwilligung,
- eine Erinnerung des Nutzers nach einer angemessenen Frist von höchstens sechs Monaten mit Bestätigung der getroffenen Auswahl,
- eine Information des Endnutzers beim Start der Internetzugangssoftware, dass der Dienst aktiv ist und entsprechende Einwilligungen nach § 25 TTDSG erteilt werden.
Hier werden also Anforderungen, welche bereits von der Rechtsprechung entwickelt wurden, wie beispielsweise im Fall des gezielten Steuerns von Nutzern hin zu einer bestimmten Auswahl, integriert und die bekannten Grundsätze insoweit konkretisiert.
Darüber hinaus soll der Dienst zur Einwilligungsverwaltung aber auch ermöglichen, dass ein Endnutzer generelle Einwilligungen, geordnet nach Kategorien, für bestimmte Zugriffe auf Endeinrichtungen und Gruppen von Telemedienanbietern erteilen oder verweigern kann. Hierin liegt die eigentliche Neuerung, welche der bisherigen Praxis der Einzelabfrage eine einfachere Möglichkeit entgegenstellen soll.
“Wettbewerbskonformität”
In § 4 EinwVO werden darüber hinaus Anforderungen im Rahmen der Wettbewerbskonformität ergänzt. Dies bedeutet konkret, dass Dienste zur Einwilligungsverwaltung keine bestimmten Anbieter bevorzugen dürfen und allen Websitebetreibern für rechtmäßige Geschäftsmodelle zur Verfügung stehen müssen.
“Sicherheitskonzept”
Auch werden innerhalb der Verordnung bestimmte technische und organisatorische Maßnahmen vorgeschrieben.
Nach § 7 EinwVO muss ein anerkannter Dienst zur Verwaltung von Einwilligungen zusätzlich zu den bereits genannten Anforderungen ein Sicherheitskonzept bereitstellen, welches eine Bewertung der Qualität und Zuverlässigkeit des Dienstes und seiner technischen Anwendungen ermöglicht. Aus dem Sicherheitskonzept muss sich ergeben, dass der Dienst sowohl technisch als auch organisatorisch die rechtlichen Anforderungen an den Datenschutz und die Datensicherheit erfüllt, welche durch die DSGVO vorgegeben sind.
Die minimalen Anforderungen werden in § 7 Abs. 2 EinwVO konkretisiert und sind demnach:
- Beschreibung der Daten, welche verarbeitet werden,
- Festlegung des Speicherortes,
- Beschreibung des Verarbeitungszwecks,
- Einstufung der Daten nach Datenkategorien,
- Festlegung eines Verfahrens zur Risikoabschätzung,
- Festlegung des Schutzbedarfs,
- Beschreibung des Schutzniveaus dahingehend, welche technischen und organisatorischen Maßnahmen getroffen werden, und zwar
- zum Schutz der Daten vor unbefugten Zugriffen,
- zur Gewährleistung der Verfügbarkeit der Daten,
- um die Sicherheit, Integrität und Verfügbarkeit des angebotenen Dienstes und der Systeme zu gewährleisten.
“Technische und organisatorische Maßnahmen”
In §§ 5, 9, 10 EinwVO ist aufbauend hierauf geregelt, wie der Austausch der Informationen zwischen dem Dienst zur Einwilligungsverwaltung, dem eingesetzten Webbrowser des Endnutzers und dem Websitebetreiber erfolgen soll.
Hierbei bleibt die Verordnung ebenfalls generell und überlässt insoweit den Anbietern die konkrete Ausgestaltung. So soll der Dienst zur Einwilligungsverwaltung nach § 5 EinwVO technisch sicherstellen, dass Websites und Webbrowser erkennen können, dass der Endnutzer einen Dienst zur Einwilligungsverwaltung einsetzt, und die entsprechende Auswahl des Endnutzers übermitteln.
Der Webbrowser muss gem. § 9 EinwVO die vom Dienst zur Einwilligungsverwaltung bereitgestellten Informationen zur Auswahl des Endnutzers zulassen und darf diese nicht verzögern, unterdrücken oder inhaltlich verändern.
Letztlich müssen Websitebetreiber gem. § 10 EinwVO gewährleisten, dass die vom Endnutzer übermittelten Informationen registriert, berücksichtigt und gespeichert werden. Eine getrennte Abfrage der Einwilligung, trotz übermittelter Information durch den vom Endnutzer eingesetzten Dienst zur Einwilligungsverwaltung ist dem Websitebetreiber untersagt. Eine Einschränkung gilt nach dem Entwurf jedoch dann, wenn der Websitebetreiber ein über Werbung finanziertes Angebot betreibt und der Nutzer die hierfür erforderliche Einwilligung über den Dienst zur Einwilligungsverwaltung abgelehnt hat. In diesem Fall darf der Websitebetreiber den Endnutzer auf ein kostenpflichtiges Angebot verweisen oder den Endnutzer zur Änderung seiner Voreinstellungen auffordern. Dies dürfte wohl insbesondere dem mittlerweile üblichen Vorgehen von Medienwebsites dienen, eine Entscheidung zu ermöglichen zwischen kostenpflichtiger und dafür cookiefreier bzw. -armer Version vs. kostenloser Version, die nur mit Einwilligung in das Setzen von Marketing- und Analytics-Cookies aufrufbar ist.
Letztlich werden nach § 11 EinwVO zudem Anforderungen an den Nachweis der Einwilligung durch den Websitebetreiber gestellt.
Ausblick
Der Entwurf der EinwVO hat die klare Zielsetzung, einen rechtlichen Rahmen für die Zukunft der Einwilligungsverwaltung zu setzen und die bisherige Praxis durch eine nutzerfreundlichere zu ersetzen. Hierbei verlangt der Entwurf von Websitebetreibern, Webbrowsern und Anbietern von Diensten zur Einwilligungsverwaltung eine koordinierte Vorgehensweise, gibt aber keine konkreten Vorschläge, wie diese (technisch) umzusetzen sind.
Es bleibt abzuwarten, wie viele Dienste in Zukunft von europäischen Aufsichtsbehörden anerkannt werden und wie groß die Zahl der Softwareschnittstellen sein wird. Es erscheint zumindest möglich, dass sich die Lage für Endnutzer bessert, hierbei für Diensteanbieter aber der Zwang einer ständigen Implementierung der Schnittstellen neu anerkannter Dienste zur Einwilligungsverwaltung entsteht.
Auch muss sich erst zeigen, inwieweit diese Thematik bei Umsetzung auf nationaler Ebene überhaupt Erfolg haben kann. Dies wird unter anderem maßgeblich davon abhängen, ob (internationale) Anbieter von Webbrowsern auf die nationalen Regelungen entsprechend reagieren und die technischen Voraussetzungen schaffen, welche zur Umsetzung notwendig sind.
Weiterhin offen ist, welchen Änderungen der Referentenentwurf noch unterzogen und in welcher konkreten Ausgestaltung die Verordnung letztendlich erlassen wird.
Nichtsdestotrotz ist die Stoßrichtung des vorliegenden Referentenentwurfs ein wichtiger Schritt hin zu einer Praxis, welche Nutzern erlaubt, ihre informierte Einwilligung zur Verarbeitung ihrer personenbezogenen Daten auch ohne die Notwendigkeit einer ständigen Prüfung unterschiedlicher Cookie-Consent-Tools abzugeben.
Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!