Sie möchten nur ganz schnell etwas auf einer Webseite überprüfen. Sie geben die Adresse in den Browser ein. Die Seite wird geladen. Sie versuchen, auf den gewünschten Link zu klicken, doch Sie werden unterbrochen. Auf dem vorgeschalteten Cookie-Banner erwartet Sie zunächst ein Dschungel von Optionen. Wenn Sie sich den Weg dadurch nicht bahnen, bleibt der Inhalt der Website für Sie unerreichbar. Dies frustriert und überfordert selbst datenschutzbewusste Nutzer.
Die DSGVO verpflichtet Webseitenbetreiber, Besucher um eine Einwilligung zur Verarbeitung ihrer Daten zu bitten. Diese Regel stärkt den Schutz der Privatsphäre, erweist sich jedoch im Alltag oft als störend – sowohl für die Nutzer als auch für die Anbieter digitaler Dienste. Denn die meisten Webseitenbetreiber halten sich an die Regel, indem sie die Einwilligungen bei jedem Besuch der Webseite mittels Cookie-Banner einholen.
Mehr zum Thema Cookie-Consent-Banner finden Sie hier:
Als Alternative bieten viele Websites in Deutschland sogenannte „Pur-Abos“ an. Der Nutzer zahlt eine Monatsgebühr und surft auf der Website trackingfrei. Allerdings kritisieren Datenschutzorganisationen wie NOYB das Modell und reichen deshalb Beschwerden gegen solche Praktiken ein.
Die deutsche Bundesregierung will diese Hürden aus dem Weg räumen. Am 2. September 2024 verabschiedete sie die vom Bundesministerium für Digitales und Verkehr vorgelegte Verordnung über Dienste zur Einwilligungsverwaltung.
Der Bundesminister für Digitales und Verkehr, Dr. Volker Wissing, erläutert die Ziele der Verordnung wie folgt:
Wir wollen die Cookie-Flut reduzieren und ein angenehmeres Surferlebnis für die Nutzer ermöglichen. Wir schaffen den Rechtsrahmen für ein alternatives Einwilligungsverfahren, das die Einbindung unabhängiger Dienste ermöglicht. Dadurch reduzieren wir die Anzahl der notwendigen Klicks und geben den Nutzerinnen und Nutzern einen besseren Überblick und mehr Kontrolle über ihre Einwilligungen.
(Quelle)
Mit alternativem Einwilligungsverfahren sind hier vorwiegend PIMS (Personal Information Management Systems) gemeint.
Wie soll die Einwilligungsverwaltungsverordnung (EinwV) funktionieren? Was bedeutet es für Webseitenbetreiber? Antworten auf diese und andere Fragen finden Sie in diesem Artikel.
Warum benötigen wir eine neue Verordnung?
Die EinwV konkretisiert die Inhalte des § 26 Absatz 1 und 2 TDDDG. Das Gesetz, ebenso wie die DSGVO, erlaubt Zugriffe auf Endeinrichtungen zu Werbezwecken grundsätzlich nur mit Einwilligung des Nutzers. Als Endeinrichtung gilt dabei jede direkt oder indirekt an die Schnittstelle eines öffentlichen Telekommunikationsnetzes angeschlossene Einrichtung zum Aussenden, Verarbeiten oder Empfangen von Nachrichten.
Infolgedessen werden Internetnutzer wiederholt mit Anfragen zur Datennutzung konfrontiert, insbesondere in Bezug auf Cookies. Die meisten werden dabei „klickmüde“ und entscheiden nicht bewusst. Wir reden hier kaum über eine „informierte Einwilligung“ im Sinne der DSGVO.
Die Anbieter digitaler Dienste sind auch unzufrieden. Vorwiegend kleine und mittlere Unternehmen tun sich schwer, die erforderlichen Einwilligungen datenschutzkonform zu erlangen und gleichzeitig ihre Geschäftsmodelle aufrechtzuerhalten.
Um diese Probleme anzugehen, führt § 26 TDDDG ein alternatives System ein. Es empfiehlt, anerkannte Dienste zur Einwilligungsverwaltung in den Prozess einzubinden. Diese Dienste, auch bekannt als Personal Information Management Systems (PIMS), fungieren als unabhängige Datentreuhänder. Sie dürfen kein wirtschaftliches Interesse an der Erteilung der Einwilligung oder an den verwalteten Daten haben. Verkauf von Daten oder Erstellen von Nutzerprofilen sind ausdrücklich untersagt.
Die Einwilligungsverwaltungsverordnung:
- Legt Anforderungen an Dienste zur Einwilligungsverwaltung fest
- Regelt das Verfahren zur offiziellen Anerkennung dieser Dienste
- Setzt technische Standards für die problemlose Einbindung in Websites und Apps
Ziel ist es, das Online-Erlebnis für Nutzer zu verbessern, die Anzahl der Einwilligungsanfragen zu reduzieren und gleichzeitig die Datenschutzrechte der Nutzer zu wahren.
Was sind PIMS?
PIMS repräsentieren innovative Produkte und Dienste, die Internetnutzern eine verbesserte Kontrolle über ihre personenbezogenen Daten ermöglichen. Der Europäische Datenschutzbeauftragte definiert sie wie folgt:
Mittels PIMS haben Menschen die Möglichkeit, ihre personenbezogenen Daten in sicheren, lokalen oder Online-Speichersystemen zu verwalten und sie zu teilen, wann und mit wem sie es wünschen. Anbieter von Onlinediensten und Werbetreibende werden mit den PIMS interagieren müssen, wenn sie beabsichtigen, die Daten natürlicher Personen zu verarbeiten. Dadurch können ein am Menschen orientierter Ansatz in Bezug auf personenbezogene Informationen und auch neue Geschäftsmodelle entstehen.
Das Grundprinzip von PIMS basiert auf der Annahme, dass jeder Internetnutzer Eigentümer seiner personenbezogenen Daten ist. Er entscheidet selbst über die Weitergabe, den Zweck und die Dauer der Nutzung seiner Informationen. Dieser Ansatz schützt vor unrechtmäßigem Tracking und Profiling.
Obwohl PIMS bisher nicht weitverbreitet sind, weisen die existierenden Systeme einige gemeinsame Merkmale auf:
- Zugangskontrolle und -pfad: Nutzer, Dienstanbieter und Apps müssen sich authentifizieren, um auf ein persönliches Speicherzentrum zuzugreifen.
- Sichere Datenspeicherung und -übertragung zwischen Systemen und Apps.
- Potenzial zur Zusammenarbeit mit anderen Systemen auf Datenebene.
- Datenübertragbarkeit: Nutzer können ihre Daten bei einem Anbieterwechsel mitnehmen.
- Transparenz: Nutzer können nachverfolgen, wer ihr digitales Verhalten beobachtet.
- Granulare Kontrolle: Nutzer bestimmen selbst, welche Datenkategorien sie mit wem teilen.
Bereits existierende Initiativen mit PIMS-Funktionen sind Nextlcloud, Solid oder MyDex. Diese Projekte geben einen Einblick in die praktische Umsetzung des PIMS-Konzepts.
Wenn Sie mehr zum Thema PIMS erfahren möchten, empfehlen wir auch die Stellungnahme des EDSB zu Systemen für das Personal Information Management.
PIMS in der Einwilligungsverwaltungsverordnung
Definition laut EinwV
Die EinwV verwendet den Begriff Dienste zur Einwilligungsverwaltung anstelle von PIMS. Diese sind digitale Dienste oder informationstechnische Apps, die Internetnutzer bei folgenden Entscheidungen unterstützen:
- Zustimmung zur Speicherung von Informationen (z. B. Cookies) auf ihrem Endgerät (Computer oder Smartphone)
- Zugriff auf bereits auf dem Endgerät gespeicherte Daten
Diese Dienste ermöglichen es den Nutzern, ihre Entscheidungen zu speichern, zu modifizieren und an Websites weiterzugeben. Dadurch behalten die User den Überblick über ihre Privatsphäre-Einstellungen.
Anforderungen an Dienste zur Einwilligungsverwaltung
Die Verordnung stellt auch bestimmte Anforderungen an Dienste zur Einwilligungsverwaltung.
Sie sollten nutzerfreundlich sein, was sich in den folgenden Merkmalen ausdrückt:
- Eine klare Benutzeroberfläche, die informierte Entscheidungen ermöglicht.
- Option, Einstellungen jederzeit zu überprüfen, zu ändern oder zu widerrufen.
- Der Nutzer entscheidet selbst, wie oft er seine Einstellungen aktualisiert.
- Export von Einstellungen in Standardformaten.
- Option, jederzeit zu einem anderen anerkannten PIMS zu wechseln und die Einstellungen zu übertragen.
- Speicherung der Einstellungen in einem leicht lesbaren Format.
- Kostenlose Datenweitergabe an andere Dienste auf Wunsch des Nutzers.
PIMS sollten auch sicherstellen, dass Website-Betreiber, Online-Shops und Anbieter von Apps und Browsern einen wettbewerbskonformen Zugang zu den Nutzerdaten haben. Die Grundprinzipien dabei lauten:
- Gleiche Bedingungen für alle Anbieter
- Faire Darstellung aller Anbieter in den Voreinstellungen (standardisierte, alphabetisch oder chronologisch sortierte Liste)
- Einsatz marktgängiger Technologien und Konfigurationen für die Datenübertragung
- Einfacher Zugang zu Nutzereinstellungen
Wie werden PIMS offiziell anerkannt?
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit genehmigt die Dienste. Er führt auch ein öffentliches Register von diesen Organisationen.
Wer ein anerkannter Dienst zur Einwilligungsverwaltung werden will, reicht erst einen Antrag samt Sicherheitskonzept bei der zuständigen Stelle ein.
Wie funktioniert das Verfahren zur Einwilligungsverwaltung mit PIMS?
Das Verfahren zur Einwilligungsverwaltung mit PIMS lässt sich in mehrere Schritte unterteilen:
- Erstmaliger Websitebesuch:
- Der PIMS-Dienst (eine Software, App oder ein Browser-Plugin) speichert die Datenschutzeinstellungen des Nutzers.
- Der Dienst speichert auch neue Einwilligungen, falls die Website nach zusätzlichen Erlaubnissen fragt.
- Folgebesuche:
- Bei späteren Besuchen übermittelt der Dienst automatisch die gespeicherten Einstellungen an die Website, sofern diese PIMS unterstützt.
- Der Nutzer muss somit nicht bei jedem Besuch erneut Einstellungen vornehmen.
- Informationspflicht der Website:
- Der PIMS-Dienst verwaltet nur Einwilligungen, bei denen die Website dem Nutzer wesentliche Informationen übermittelt hat:
- Wer auf die Daten zugreift
- Art der verarbeiteten Daten
- Zweck und Dauer der Datenverarbeitung
- Der PIMS-Dienst verwaltet nur Einwilligungen, bei denen die Website dem Nutzer wesentliche Informationen übermittelt hat:
- DSGVO-Compliance:
- Die Website bleibt verantwortlich dafür, dass die Einwilligung gültig ist.
- Der PIMS-Dienst prüft lediglich, ob grundlegende Informationen vorhanden sind.
- Dokumentation:
- Der PIMS-Dienst dokumentiert alle Entscheidungen des Nutzers.
- Er passt sich auch an, wenn sich etwas an den Bedingungen ändert oder wenn eine frühere Einwilligung abläuft.
- Transparenz:
- Der Nutzer kann jederzeit einsehen, welche Einwilligungen er erteilt hat.
Dieses Verfahren zielt darauf ab, den Prozess der Einwilligungsverwaltung für Nutzer zu vereinfachen und DSGVO-konform zu machen. Es setzt jedoch voraus, dass Websites sämtliche PIMS-Dienste integrieren und die notwendigen Informationen bereitstellen.
Werden sich PIMS dank der Verordnung über Dienste zur Einwilligungsverwaltung durchsetzen und die Flut von Cookie-Bannern stoppen?
Die Idee hinter der EinwV klingt vielversprechend: Zentrale Systeme, die Datenschutzpräferenzen der Nutzer verwalten, machen lästige Cookie-Banner überflüssig. Doch wird sich dieses Konzept in der Praxis durchsetzen? Betrachten wir die Argumente dafür und dagegen:
Argumente für PIMS im Sinne der Verordnung
- Nutzerfreundlichkeit: PIMS nehmen die Last des ständigen Ankreuzens von Optionen in Cookie-Bannern von den Nutzern.
- Einheitlicher Standard: Ein technischer Standard für PIMS könnte in allen Systemen, Websites und Apps einheitlich umgesetzt werden.
- Verbesserter Datenschutz: Beim korrekten Einsatz könnten PIMS zu einem echten Mehrwert im Datenschutz führen.
- Keine Dark Patterns: Die Verordnung verbietet manipulative Designs.
Mehr zum Thema Dark Patterns finden Sie in unserem Blogbeitrag: Wenn Design fehlschlägt – Wie Dark Patterns mit der DSGVO und CCPA in Konflikt stehen
- Klare Entscheidungsbefugnis: Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit ist die zuständige Stelle für PIMS-Fragen.
Argumente gegen PIMS im Sinne der Verordnung
- Fehlende Anreize für Nutzer: Anbieter von digitalen Diensten binden anerkannte Dienste zur Einwilligungsverwaltung vollkommen freiwillig ein. Nutzer von PIMS können nicht sicher sein, dass sie keine Cookie-Banner mehr sehen. Bestimmte Websites binden möglicherweise überhaupt keine PIMS oder einen anderen Dienst als der Nutzer ein.
- Mangelnde Anreize für Anbieter digitaler Dienste: Die Website bleibt für die DSGVO-Compliance verantwortlich. Anbieter können aber nicht annehmen, dass alle Nutzer PIMS verwenden. Sie werden deshalb weiter Cookie-Banner und Consent-Management-Systeme benötigen. Dies verkompliziert den ohnehin schon komplexen Prozess von Tracking und Profilbildung.
- Technische Herausforderungen: Laut der EinwV sollen Anbieter und Hersteller von Software dafür sorgen, dass sie PIMS in ihre Produkte integrieren. Es sei fraglich, ob sie überhaupt in der Lage sind, dies bei sämtlicher Software zu tun.
- Unbestimmte Kosten: Die Autoren des Entwurfs nehmen an, dass der benötigte Aufwand, um PIMS einzubinden, die bisherigen Kosten der Einwilligungsverwaltung ersetzt. Dies ist eine eher optimistische Annahme, wenn wir die oben dargelegten Argumente berücksichtigen. Falls die Dienste zur Einwilligungsverwaltung für die Anbieter kostenpflichtig werden, besteht ein weiteres wirtschaftliches Risiko.
- Internationale Durchsetzung fraglich: Es ist unwahrscheinlich, dass Deutschland einen Weltstandard entwickelt, während die EU es nicht schafft.
Fazit
Während PIMS theoretisch eine elegante Lösung für das Problem der Cookie-Banner darstellt, stehen der Umsetzung noch erhebliche Hürden im Weg. In der Begründung der Verordnung heißt es, dass je mehr Nutzer PIMS wollen und je sicherer das System ist, desto eher werden Websitebetreiber es freiwillig einsetzen. Das Fehlen greifbarer Anreize für Nutzer und Anbieter lässt dies jedoch eher als Wunschdenken erscheinen. Derzeit scheint es zweifelhaft, dass sich PIMS bald durchsetzen werden.
Bis dahin werden Cookie-Banner wohl weiterhin ein fester Bestandteil unserer Online-Reise bleiben. Websitebetreiber sollten sich daher vorerst darauf konzentrieren, ihre bestehenden Cookie-Lösungen zu optimieren. Behalten Sie dabei sowohl die gesetzlichen Pflichten als auch die User-Experience im Blick. Dazu empfehlen wir Ihnen unsere Artikel über geltende Consent-Management-Regeln: