Zurück zum Blog

Einwilligungsverwaltungs-Verordnung: PIMS als Alternative zur Cookie Banner-Flut

Data Management Datenschutz

Geschrieben von

Veröffentlicht Februar 15, 2023 Aktualisiert Juli 31, 2023

Einwilligungsverwaltungs-Verordnung: PIMS als Alternative zur Cookie Banner-Flut

Sie möchten nur ganz schnell etwas auf einer Webseite checken. Sie geben die Adresse in den Browser ein. Die Seite wird geladen. Sie versuchen, auf den gewünschten Link zu klicken und … nicht so eilig. Erst erwartet Sie ein Dschungel von Optionen in einem vorgeschalteten Cookie-Banner. Wenn Sie sich den Weg dadurch nicht bahnen, bleibt der Inhalt der Website für Sie unerreichbar. Dies nervt und überfordert selbst die Datenschutzbewusste.

Die DSGVO verpflichtet die Webseitenbetreiber, die Besucher um eine Einwilligung zur Verarbeitung ihrer Daten zu bitten. Diese Regel stärkt den Schutz der Privatsphäre, erweist sich jedoch im Alltag oft als recht lästig – sowohl für die User als auch für die Telemedienanbieter. Denn die meisten Telemedienanbieter halten sich an die Regel, indem sie die Einwilligungen bei jedem Besuch der Webseite mittels Cookie-Banner einholen.

Als Alternative bieten viele Websites in Deutschland „Pur-Abos“ an. Der Nutzer zahlt eine Monatsgebühr und surft die Website trackingfrei. Datenschutzorganisationen wie NOYB behaupten jedoch, dass die Anbieter dabei „Wucherpreise“ verlangen und reichen Beschwerden dagegen. 

Das deutsche Bundesministerium für Digitales und Verkehr will diese Hürden aus dem Weg räumen. Es will den Internetnutzern die Option geben, zentral zu bestimmen, welches Vorgehen sie in Bezug auf ihre personenbezogenen Daten zulassen. 

Ende 2022 sickerte erster Entwurf für die Einwilligungsverwaltungs-Verordnung (EinwVO) ins Internet durch. Der neue Rechtsakt sollte den Einsatz von PIMS (Personal Information Management Systems) regeln. Die Autoren des Projekts hoffen, dass PIMS die Abfrage der Einwilligungen in Einzelfällen minimieren. 

Wie soll diese Verordnung funktionieren? Wann wird sie in Kraft treten? Was bedeutet es für Webseitenbetreiber? Antworten finden Sie in diesem Artikel.

Inhaltsverzeichnis

  1. Warum benötigen wir überhaupt eine neue Verordnung?
  2. Was sind PIMS?
  3. Wen wird die EinwVO betreffen?
  4. Was enthält der Entwurf?
    1. Was ist ein Dienst zur Einwilligungsverwaltung im Sinne des Entwurfs?
    2. Wie soll der Dienst zur Einwilligungsverwaltung die Nutzerfreundlichkeit gewährleisten?
    3. Was soll der Dienst zur Einwilligungsverwaltung den Telemedienanbietern anbieten?
    4. Wie soll das Verfahren zur Einwilligungsverwaltung mit PIMS funktionieren?
  5. Vorteile der EinwVO
  6. Kritik an dem Entwurf der EinwVO
  7. Wie geht es weiter?

Warum benötigen wir überhaupt eine neue Verordnung?

Der Entwurf konkretisiert die Regelungsinhalte des § 26 Absatz 1 und 2 TTDSG. Das Gesetz, genauso wie die DSGVO, erlaubt Zugriffe in Endeinrichtungen zu Werbezwecken grundsätzlich nur dann, wenn der Endnutzer es einwilligt.

Laut dem TTDSG ist „Endeinrichtung“ jede direkt oder indirekt an die Schnittstelle eines öffentlichen Telekommunikationsnetzes angeschlossene Einrichtung zum Aussenden, Verarbeiten oder Empfangen von Nachrichten.

Das führt dazu, dass Endnutzer sich im Internet mit einer Vielzahl von Einwilligungsanfragen konfrontiert sieht. Die meisten Endnutzer werden dabei „klickmüde“ und entscheiden nicht bewusst. Wir reden hier kaum über eine „informierte Einwilligung“ im Sinne der DSGVO.

Die Telemedienanbieter sind auch nicht zufrieden. Insbesondere kleine und mittlere Unternehmen tun sich schwer, die erforderlichen Einwilligungen zu erlangen, um ihre Geschäftsmodelle datenschutzkonform zu gestalten. 

§ 26 TTDSG setzt deshalb auf ein alternatives System. Es empfiehlt, anerkannte Dienste zur Einwilligungsverwaltung in den Prozess einzubinden. Anbieter solcher Dienste sind unabhängige Datentreuhänder. Sie dürfen kein wirtschaftliches Interesse an der Erteilung der Einwilligung und an den verwalteten Daten haben. Ein Verkauf von Daten oder das Erstellen der Userprofile ist ausgeschlossen.

Diese Dienste sind auch bekannt unter dem englischen Namen: Personal Information Management Systems oder kurz: PIMS.

Mehr zum Thema – das TTDSG und der Umgang mit personenbezogenen Daten hier: TTDSG – Piwik PRO reagiert kunden- und datenorientiert

Was sind PIMS?

PIMS sind neue Produkte und Dienste, die dem Internet-User helfen, mehr Kontrolle über seine personenbezogenen Daten zu gewinnen. PIMS ermöglichen es dem User, seine Online-Identität selbst zu verwalten und zu kontrollieren.

Der Europäische Datenschutzbeauftragte meint dazu:

Mittels PIMS haben Menschen die Möglichkeit, ihre personenbezogenen Daten in sicheren, lokalen oder Online-Speichersystemen zu verwalten und sie zu teilen, wann und mit wem sie es wünschen. Anbieter von Onlinediensten und Werbetreibende werden mit den PIMS interagieren müssen, wenn sie beabsichtigen, die Daten natürlicher Personen zu verarbeiten. Dadurch können ein am Menschen orientierter Ansatz in Bezug auf personenbezogene Informationen und auch neue Geschäftsmodelle entstehen.

Das PIMS-Konzept beruht darauf, dass der Internet-User seine personenbezogenen Daten besitzt. Der User entscheidet, ob und mit wem, zu welchem Zweck und für welchen Zeitraum er diese Informationen teilt. Dieser menschenzentrierter Ansatz für personenbezogene Daten und neue Geschäftsmodelle schützt vor unrechtmäßigem Tracking und Profiling.

PIMS sind noch nicht weitverbreitet. Deshalb haben wir noch nicht viele Einblicke in ihren praktischen Einfluss auf die Verarbeitung personenbezogener Daten. Die existierenden PIMS folgen nicht unbedingt einem einheitlichen Modell, aber sie haben einige gemeinsame Merkmale. 

PIMS stellen eine Zugangskontrolle und einen Zugangspfad bereit. Einzelpersonen, Dienstanbieter und Apps müssen sich authentifizieren, um auf ein persönliches Speicherzentrum zuzugreifen. Dies ermöglicht es dem User, zurückzuverfolgen, wer sein digitales Verhalten beobachtet. Der User bestimmt selbst, welche Datenkategorien er mit wem teilt.

Andere gemeinsame Elemente von PIMS:

  • Die sichere Datenspeicherung
  • Der sichere Datentransfer zwischen Systemen und Apps
  • Das Potenzial, mit anderen Systemen auf Datenebene zusammenzuarbeiten, 
  • Die Datenübertragbarkeit (das Recht einer Person, ihre personenbezogenen Daten bei einem Anbieterwechsel mitzunehmen)

Es gibt bereits Beispiele für Initiativen, die PIMS-Funktionen beanspruchen, wie Nextlcloud, Solid oder MyDex.

Wenn Sie mehr zum Thema PIMS erfahren möchten, empfehlen wir auch die Stellungnahme des EDSB zu Systemen für das Personal Information Management (PIMS)

Wen wird die EinwVO betreffen?

Auf der Unternehmensseite betrifft die EinwVO:

  • Webseiten-Anbieter
  • Anbieter von Apps für Smartphones 
  • Anbieter von Webbrowsern
  • Onlineshop-Betreiber
  • Anbieter von anderen Onlinediensten

Die EinwVO wird den nationalen Geltungsbereich für Deutschland haben.

Was enthält der Entwurf?

Der EinwVO-Entwurf ist relativ kurz und beschreibt in allgemeiner Form den Prozess der Einwilligungsverwaltung durch PIMS. Er stellt auch grundlegende Anforderungen an die Teilnehmer des Prozesses und die technischen und organisatorischen Mittel.

Was ist ein Dienst zur Einwilligungsverwaltung im Sinne des Entwurfs?

Der Entwurf bezieht sich auf PIMS als „anerkannte Dienste zur Einwilligungsverwaltung“. 
Es sind Dienste oder technische Anwendungen, mit denen Endnutzer Einwilligungen in das Speichern und den Zugriff auf Informationen auf ihren Endeinrichtungen erteilen und verwalten. 

Die Dienste werden durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit in Deutschland oder durch eine unabhängige Datenschutzaufsichtsbehörde in einem anderen Mitgliedstaat der EU genehmigt. Der Bundesbeauftragte führt auch ein öffentliches Register von diesen Organisationen.

Wer ein anerkannter Dienst zur Einwilligungsverwaltung werden will, reicht erst einen Antrag bei der zuständigen Stelle ein. Dem Antrag fügt er folgende Dokumente bei: 

  • Die Angabe, dass der Dienst die personenbezogenen Daten der Endnutzer nur für die Zwecke der Einwilligungsverwaltung verarbeiten wird.
  • Ein Sicherheitskonzept, das die Qualität und Zuverlässigkeit des Dienstes und der technischen Anwendungen bewerten lässt.

Das Ziel des Entwurfs war es, einen Regelungsrahmen für ein nutzerfreundliches und wettbewerbskonformes Einwilligungsverfahren als Alternative zur bisherigen Praxis zu schaffen. Den Fokus auf die Nutzerfreundlichkeit sieht man in allen Phasen des Verfahrens. Die Umsetzung umfasst u. a. die digitale Barrierefreiheit, einen logischen Aufbau und Gestaltung sowie eine selbsterklärende Navigation auf den Endgeräten. Das Konzept soll sich auch in der technisch und organisatorisch sichergestellten Zusammenarbeit zwischen Telemedien und Diensten zur Einwilligungsverwaltung widerspiegeln. Schauen wir uns die Details an.

Wie soll der Dienst zur Einwilligungsverwaltung die Nutzerfreundlichkeit gewährleisten?

  • Die Dienste verwalten die Einwilligungen nutzerfreundlich. Das Verfahren ist transparent und einfach bedienbar. 
  • Die Dienste dürfen keine Einwilligungsabfragen voreinstellen oder so gestalten, dass sie den Nutzer beeinflussen. 
  • Der Nutzer darf jederzeit seine Einwilligungen einsehen, verändern oder widerrufen. 
  • Die Dienste erinnern die Nutzer jede 6 Monate daran, dass sie ihre Einstellungen überprüfen sollen. 
  • Der Endnutzer kann generelle Einwilligungen, geordnet nach Kategorien für bestimmte Zugriffe auf Endeinrichtungen (z. B. Werbecookies für Anbieter aus der EU) und Gruppen von Telemedienanbietern  (z. B. Digitalangebote von Zeitungen), erteilen. 
  • Er kann auch bestimmen, für welche Zugriffe auf seine Endeinrichtungen sowie für welche Gruppen von Telemedienanbietern er generell keine Einwilligung erteilt.
  • Der Endnutzer kann seine Settings zu den Einwilligungsabfragen jederzeit einfach auf andere Dienste übertragen.

Was soll der Dienst zur Einwilligungsverwaltung den Telemedienanbietern anbieten?

  • Jeder Telemedienanbieter hat Zugang zu benötigten Einwilligungen und kann sie übermitteln.
  • Der Dienst muss die Informationen über die Voreinstellungen zur Einwilligung der Endnutzer so bereitstellen, dass Telemediendienste auf diese zugreifen können. Die entsprechenden staatlichen Behörden können dazu erforderliche Richtlinien festlegen.
  • Dienste zur Einwilligungsverwaltung dürfen keine Geschäftsmodelle oder Telemedienanbieter bevorzugen.

Wie soll das Verfahren zur Einwilligungsverwaltung mit PIMS funktionieren?

  1. Der Nutzer wählt eine Software, eine App oder einen Browser Plug-in aus der Liste der anerkannten Dienste zur Einwilligungsverwaltung aus. Er legt dort seine Cookie-Präferenzen fest. Dann surft er im Internet und besucht Webseiten so wie bisher.
  2. Wenn der Nutzer eine neue Webseite öffnet, übermittelt das PIMS ein Signal an die Endeinrichtung des Telemedienanbieters. Dieses Signal informiert, dass der User den anerkannten Dienst nutzt. Dann verschafft es dem Telemedienanbieter Zugang zu den vom Endnutzer vorgenommenen Einstellungen. 
  3. Der Telemedienanbieter prüft, ob der Nutzer bei einem der anerkannten Dienste eine Einwilligung im Umfang ihres Interesses erteilt hat. Wenn ja, speichert er die vom PIMS abgerufene Einwilligung. Der Anbieter muss bei Bedarf nachweisen, dass er die Einwilligung via einen anerkannten Dienst erhalten hat. Dieser Prozess soll automatisch ablaufen, aber es ist noch nicht klar, wie genau dies geschehen wird.
  4. Der Nutzer sieht keine Cookie-Banner mehr.
  5. Falls der Nutzer keine Settings vorgenommen hat oder kein PIMS verwendet, darf der Anbieter ihm ein Cookie Banner anzeigen und den bisherigen Verfahren folgen. Wenn der Nutzer seine Präferenzen im PIMS angegeben hat, ist seine Entscheidung verbindlich. Der Anbieter darf den Nutzer nicht erneut um eine Einwilligung bitten.

Der Entwurf nimmt eine Kategorie der Anbieter aus dem Verfahren aus. Es sind Telemedien, die sich ganz oder teilweise durch Werbung finanzieren.

Vorteile der EinwVO

Man kann den Autoren des Projekts gute Absichten und einige geeignete Ideen nicht absprechen. Der Entwurf hat das Potenzial, den Nutzern die Last des ständigen Ankreuzens von Optionen in Cookie-Bannern abzunehmen. Wichtig ist auch, dass er den Schwerpunkt auf die Nutzerfreundlichkeit legt und keine Dark Patterns erlaubt.

Über Dark Patterns sprechen wir, wenn ein Anbieter versucht, die Nutzer in eine Richtung zu führen, indem er die Abfragemaske tendenziös ausgestaltet. Mehr zu diesem Thema finden Sie in unserem Blogbeitrag: Wenn Design fehlschlägt – Wie Dark Patterns mit der DSGVO und CCPA in Konflikt stehen

Es ist auch bemerkenswert, dass die Urheber des Entwurfs die Entscheidungskompetenz an eine Aufsichtsbehörde, den Bundesdatenschutzbeauftragten, übertragen. Es ist daher klar, wer die Befugnis hat, über diese Fragen zu entscheiden.

Kritik an dem Entwurf der EinwVO

Der Bundesverband Digitale Wirtschaft (BVDW) e.V. beteiligte sich im Rahmen eines Fachkreises des Bundesministeriums für Digitales und Verkehr an Diskussionen zu einer Rechtsverordnung auf Basis von § 26 TTDSG. Trotzdem ist der BVDW von dem Entwurf der EinwVO nicht begeistert. Der Verband gab auf seiner Website einen Meinungsbeitrag ab, in dem es heißt:

Der Entwurf gibt keine Antworten auf die zahlreichen technischen und rechtlichen Herausforderungen, die mit der Regulierung einhergehen. Zudem berücksichtigt er unzureichend die voraussichtlich erheblichen Mehraufwendungen, die sowohl auf die Unternehmen der Digitalen Wirtschaft als auch die zukünftig erforderlichen koordinierenden Behörden zukommen können.

Der BVDW wirft dem Entwurf unter anderem vor, dass: 

  • Einige der Vorschläge im Widerspruch zu dem Ansatz stehen, dass die bevorzugte Rechtsgrundlage für die Verarbeitung personenbezogener Daten die Einwilligung der Nutzer ist.
  • Die Annahme, dass nur wirtschaftsferne Organisationen als Anbieter von PIMS in Frage kommen, bedeutet, dass die Nutzer ihr Vertrauen in einzelne Anbieter in Form einer ausdrücklichen Einwilligung nicht ausdrücken können.

Der Zentralverband der deutschen Werbewirtschaft äußerte sich auch kritisch zum Entwurf: 

Dabei stellt sie die Anbieter jedoch weitgehend schutzlos, weil sie ihnen kein eigenes Einwilligungsmanagement mehr zugesteht, Kundenbeziehungen weitgehend kappt und den rechtlich fundierten Vorrang individuell erteilter Einwilligungen vor generellen Einwilligungsmanagern nicht kennt.

Die Autoren des Entwurfs gehen davon aus, dass mit der EinwVO kein unmittelbarer Erfüllungsaufwand für die Wirtschaft entstehe. Sie nehmen an, dass der benötigte Aufwand, um die neuen Pflichten umzusetzen, die bisherigen Kosten der Einwilligungsverwaltung ersetzt.

Dies ist eine eher optimistische Annahme, da das Projekt noch keine detaillierten technischen Lösungen vorsieht. Genaue Daten zum Aufwand der Wirtschaft werden erst im Rahmen der Evaluierung der Wirksamkeit der Verordnung ermittelt.

Die Verbraucherschützer begeistern sich ebenso nicht für den Entwurf. Die Nutzer entkommen dem Kontakt mit Cookie Bannern nicht vollständig. Große Medienanbieter, die ihr inhaltliches Angebot „ganz oder teilweise durch Werbung finanzieren“, werden sie nach wie vor anzeigen. Die Verbraucherzentrale Bundesverband möchte dagegen eher generelle Einwilligungen oder Ablehnungen für bestimmte Arten von Telemedienanbietern (Suchmaschinen, Nachrichtenseiten, Einkaufen, soziale Medien) einführen.

UPDATE

Im Juni 2023 bereitete das Bundesdigitalministerium den zweiten Entwurf der EinwVO vor, der Neuerungen enthält, z. B.

  • Option der privatwirtschaftlichen Organisation des anerkannten Dienstes
  • Freiwillige Nutzung von PIMS durch Anbieter von Telemedien

Länder, Industrieverbände und Verbraucherschützer äußerten sich im Rahmen der Konsultation zu dem Entwurf. Der neue Vorschlag stößt ebenfalls auf breite Kritik, u. a. von dem Berufsverband der Datenschutzbeauftragten Deutschlands, Bundesverband Digitale Wirtschaft, Handelsverband Deutschland und der Verbraucherzentrale Bundesverband.

Hauptvorwürfe:

  • Der Entwurf enthält kaum Anreize für Verbraucher, PIMS zu nutzen. Er schont sie nicht von wiederholten Anfragen der Telemedienanbieter. Außerdem könnten sich die erteilten Einwilligungen gegenüber dem Dienst oder direkt an den Telemedienanbieter überlagern. 
  • Die Nutzer sollten sich nicht für einen Dienst entscheiden müssen, nur weil der Telemedienanbieter mit diesem zusammenarbeitet.
  • Der Vorschlag ist auch nicht attraktiv für Unternehmen. Das derzeitige Tracking und Profilbildung seien so komplex, dass sie nicht ernsthaft kontrollierbar sind. Das ganze Werbeökosystem muss angepasst werden, um die DSGVO-Compliance zu gewährleisten.
  • Die Hersteller und Anbieter von PIMS werden nicht hinreichend in Bezug auf die Anforderungen der DSGVO in die Pflicht genommen. Sie sollten wenigstens die Datenschutzfolgenabschätzung durchführen, um die Webseitenbetreiber zu entlasten. 
  • Die Telemedienanbieter werden in hohem Maße auf die Mitarbeit von PIMS angewiesen. Dadurch entstehen erhebliche rechtliche Risiken für die Anbieter, da sie die Verantwortlichen im Rahmen der DSGVO bleiben. Falls diese Dienste für die Anbieter kostenpflichtig werden, ergibt sich zudem ein wirtschaftliches Risiko. 
  • Laut dem Entwurf sollen Anbieter und Hersteller von Software dafür sorgen, dass sie die Einbindung von PIMS zulässt. Es sei fraglich, ob sie überhaupt in der Lage sind, dies bei sämtlicher Software zu tun. 
  • Unklare Definition von privatwirtschaftlichen Modellen.

Wie geht es weiter?

Zurzeit ist es schwierig zu beurteilen, ob die EinwVO die Cookie Banner-Flut aufhalten wird. Wir wissen auch noch nicht, wie sie den Markt beeinflussen wird und welche zusätzlichen Kosten die Unternehmen tragen werden, um sich darauf einzustellen. 

Es wird noch lange dauern, bis wir den endgültigen Inhalt der EinwVO kennenlernen. Das Ministerium wird den Entwurf im Rahmen der weiteren Konsultation anpassen. Der Bundesdatenschutzbeauftragte wird die voraussichtlichen Kosten für die Verwaltung von Diensten zur Einwilligungsverwaltung festlegen. Der Bundestag und der Bundesrat werden dann über den Entwurf abstimmen. Die Regierung sollte auch ihre Pläne für Gesetzesänderungen der EU-Kommission mitteilen.

Wir werden die Fortschritte verfolgen und Sie in unserem Blog auf dem Laufenden halten. Bis dahin empfehlen wir unsere Artikel über geltende Consent Management-Regeln:

Autor

Beata Moryl

Content Marketer

Beata Moryl ist ein Profi mit 20 Jahren freiberuflicher Erfahrung im Übersetzen und Verfassen von Inhalten. Sie verfügt außerdem über einen soliden betriebswirtschaftlichen Hintergrund und Erfahrung als Managerin in den Bereichen Kundenservice, Produktmanagement und Geschäftsentwicklung. Beata übersetzte fast 20 wirtschaftsbezogene Bücher (zu den Themen Marketing, Soft Skills, Coaching, HR und Kundenservice) für etablierte Verlage wie den Verlag C.H. Beck. Bei Piwik PRO spezialisiert sie sich auf die rechtlichen Aspekte der Webanalyse, den Datenschutz und die Optimierung von Geschäftsergebnissen mithilfe moderner IT-Tools. LinkedIn Profil.

Mehr von diesem Autor lesen