Kommt eine zentrale Einwilligungsverwaltung für Cookies?
Das Bundesministerium für Digitales und Verkehr (BMDV) veröffentlichte einen Entwurf einer „Einwilligungsverwaltungs-Verordnung“, mithilfe derer nun eine Alternative zu der aufwendigen Einwilligungs-Praxis ins Leben gerufen werden könnte. Lesen Sie hierzu mehr im heutigen Beitrag!
Das Problem – Warum eine neue Verordnung?
Aufgrund der Datenschutz-Grundverordnung (DSGVO) sind Unternehmer verpflichtet, bei der Speicherung und dem Zugriff auf Informationen auf den Endgeräten (wie es z.B. bei der Verwendung von Cookies oder ähnlichen Technologien der Fall ist) Einwilligungen hierzu einzuholen.
Dies hat in Deutschland seither zur Folge, dass Nutzer bei jedem Besuch einer Webseite durch Zustimmungs-Banner zur Einwilligungsabgabe aufgefordert werden. Wegen der Vielzahl der Anfragen seien jedoch dem BMDV zufolge die meisten Nutzer überfordert, „die häufig keine bewusste Entscheidung mehr treffen, sondern die Einwilligung ohne Weiteres erteilen“. Dies entspreche jedoch nicht dem Zweck des Gesetztes.
In § 26 Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) wurde jedoch eine mögliche Alternative zu der Flut an Zustimmungsbannern geschaffen, welche nun aufgrund des neuen Referentenentwurfs des BMDV besonders relevant werden könnte. Was § 26 TTDSG vorsieht: Personal Information Management Services („PIMS“) oder auch kurz „zentrale Einwilligungsverwaltung“.
Diese „anwenderfreundliche Alternative“ soll es ermöglichen, alle Einwilligungen zentral vorab zu regeln, wonach Nutzer „von vielen Einzelentscheidungen entlastet werden“. Genauere Angaben zum Verfahren sowie sonstige technisch-organisatorische Anforderungen sollen dem Gesetz nach durch eine Verordnung geregelt werden. Ein nun veröffentlichter Entwurf der sog. „Einwilligungsverwaltungs-Verordnung“ (Einw-VO) soll dem nachkommen.
Die Lösung: Was sind PIMS?
Um nicht bei jedem Webseiten-Besuch gesondert in Cookies oder ähnliches einwilligen zu müssen, können als Alternative PIMS eingesetzt werden. Hierbei handelt es sich demnach um eine Software-Lösung, die es Nutzern ermöglichen soll, in „nutzerfreundlicher und wettbewerbskonformer Weise“ zentral und vorab ihre Einwilligungen hinsichtlich Telemedien, also z.B. Webseiten, zu erklären, abzulehnen, zu verwalten oder zu widerrufen.
In welchem Umfang die Einwilligungen erteilt werden bleibe den Nutzern überlassen, sodass sie bspw. Werbe-Cookies insgesamt, nur solche von bestimmten Anbietern (z.B. deutschen Anbieter) oder bestimmten Telemedienangeboten (z.B. Zeitungen) zulassen bzw. ablehnen können.
Einwilligungsabfragen würden folglich nicht mehr bei jedem Webseitenbesuch erscheinen, sondern müssten lediglich in gewissen Zeiträumen (bis zu 6 Monaten) überprüft und ggf. aktualisiert werden.
Bereitgestellt werde der Service dem Entwurf nach von „anerkannten Diensten zur Einwilligungsverwaltung“. Die Anbieter der Opt-In-Managements müssten unabhängig und neutral arbeiten, dürften insbesondere kein Eigeninteresse an der Einwilligungserteilung und -verwaltung haben.
Auch seien sie verpflichtet, ein Sicherheitskonzept vorzulegen, um deren Zuverlässigkeit und Qualität des Services einschätzen zu können.
Folgen für Webseiten-Betreiber
Auch Anbieter von Telemedien sollen wegen der Neurungen keine Nachteile erleiden.
Vielmehr sollen sie über die PIMS wirksame und nachweisbare Einwilligungen erhalten können. Der Verordnungsentwurf sehe hierbei einen Vorschlag für das Verfahren der Anbieter vor:
Wurden Einwilligungseinstellungen per PIMS festgesetzt, erhalten die Telemedienanbieter (bspw. Webseiten-Betreiber) automatisch bei jedem Besuch ihres Telemediums ein Signal, dass die anerkannten Dienste hier in Anspruch genommen wurden.
Auf das Signal hin müsse dann überprüft werden, ob die Einwilligungsfestsetzungen das jeweilige Telemedium umfassen oder nicht. Hieran sei der Betreiber dann gebunden, er dürfe also im Falle der verweigerten Einwilligung nicht über einen Zustimmungsbanner erneut nach der Einwilligung fragen, um diese so doch noch zu erhalten. Wurden keine Einwilligungen vorab erteilt, müsse er mithilfe eines Banners diese, wie derzeit gewohnt, erst einholen.
Eine Ausnahme von diesem Ablauf könne jedoch dann gemacht werden, wenn Telemedien sich ganz oder teilweise durch Werbung finanzieren.
Besonders bei Tageszeitungen öffnet sich häufig eine sog. Cookie-Wall, bei welchen entweder eine Einwilligung erteilt werden oder ein kostenpflichtiges Angebot ausgewählt werden muss, um auf den Inhalt der Webseite zugreifen zu können. Selbst bei zuvor verweigerter Einwilligung dürfe eine solche Aufforderung weiterhin angezeigt werden.
Fazit
Ob die Verordnung in dieser Verfassung erlassen wird oder noch weitere Änderungen vorgenommen werden müssen, bleibt abzuwarten. Bis zum offiziellen In-Kraft-Treten der Verordnung und dem darauffolgenden Angebot der PIMS durch die anerkannten Dienste müssen wir jedoch weiterhin mit Cookie-Bannern rechnen und unsere Einwilligungen gesondert erteilen.
Auch wird sich zeigen, ob Nutzer letztendlich von den Angeboten Gebrauch machen wollen und ihnen das nötige Vertrauen der Verwahrung ihrer Einwilligungen schenken werden. Immerhin birgt eine zentrale Speicherung von Daten auch große Risiken mit sich, da sie ein attraktives Angriffspunkt darstellt, sollte die Verwahrung nicht dem höchsten Sicherheitsstandard entsprechen.
Sobald feststeht, ob und in welcher konkreten Form die Einwilligungsverwaltungs-Verordnung Geltung erlangen wird, werden wir unsere Mandanten eingehend über die sich daraus ergebenden Konsequenzen informieren.
Unser Tipp: Eine Lösung, um die Einwilligung in das Setzen von Cookies wirksam einzuholen, bieten Ihnen unsere Kooperationspartner für professionelle Cookie-Consent-Tools! Die Lösungen für Cookie-Consent-Tools sind in allen Schutzpaketen der IT-Recht Kanzlei bereits enthalten!
Tipp: Fragen zum Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .
Link kopieren
Als PDF exportieren
Per E-Mail verschicken
Zum Facebook-Account der Kanzlei
Zum Instagram-Account der Kanzlei
Beiträge zum Thema
2 Kommentare
1. Wie viele Benutzer werden das tun?
2. Wie werden die Benutzer darüber informiert, dass es überhaupt möglich ist? (Durch ein weiteres Banner? *lol*)
3. Es gibt Millionen von Systemen, Anbietern, Diensten, etc.
3a. Wer sollte die alle inkl. der zugehörigen Datenschutzerklärungen in dem zentralen System pflegen?
3b. Welcher Benutzer will all diese möglichen Cookies und Varianten in diesem zentralen System noch überblicken, alles jeweils lesen um dann gezielt zustimmen oder ablehnen zu können? (Wird dann vermutlich wieder pauschal geklickt)
3c. Sobald ein Dienst nicht dabei ist, würde so oder so ein Banner auf der Webseite erforderlich
3d. Wie sollte bei so ein Abgleich der Abgleich zwischen dem zentralen System und den einzelnen Shopsystemen erfolgen
4. Wer soll diesen zentralen Dienstanbieter bezahlen? -> Vermutlich doch wieder die Onlinehändler, die diesen auf ihrer Seite einbinden. Also noch mehr Kosten für die kleinen Händler
5. Wer soll die Implementierung eines solchen zentralen Dienstes in die Webseite bezahlen und warum? Hier bleibt nur entweder der Zwang, dass es genutzt werden muss (siehe Frage 4) oder Freiwilligkeit (welcher Händler würde sich das freiwillig antun, wenn es auch mit bestehendem Banner geht?).
Fazit:
Wird ein solcher zentraler Dienst freiwillig, wird kaum ein Händler den Sinn darin sehen dieses auf eigene Kosten einzubinden. Wird es ein Zwang, sind wieder alle kleinen Händler benachteiligt, da hohe Implementierungskosten und vermutlich danach laufende Kosten für den Dienst entstehen.
Vorschlag:
Wie wäre es, wenn den Verbrauchern wieder etwas mehr Eigenverantwortung zugetraut wird?
Es ist richtig und wichtig, dass all diese Informationen bereitgestellt werden müssen, aber wie wäre es mit einer Pflicht zu einem eindeutig zu benennenden Link im Footer der dann zu einer Seite mit allen rechtlichen Informationen führt, die der Anbieter bereitstellen muss (Impressum, Datenschutz, etc, etc.). Der Verbraucher KANN diesen bei Informationsbedarf dann jederzeit erreichen und sich informieren. Wer es nicht möchte, wird aber nicht durch immer mehr Rechtshinweise genervt, die überall im Shop verteilt werden müssen.
Das wichtigste Bildungsziel: selbständig Denken lernen.
© Prof. Querulix (*1946)
Jetzt wird es wieder Zeit, mal was neues anzufangen. Eventuell was zentrales, vielleicht mit einer Datenbank bei der EU oder im Ministerium. Man könnte ja dieselben Leuten fragen, ob sie Lust haben, da mitzumachen, die gleichen, die den Cookie Banner zum Zwang gemacht haben.