Neue Bundesverordnung zur „Cookie-Einwilligung“
Die Einwilligungsverwaltungsverordnung (EinwV) basiert auf § 26 Abs. 2 Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG). Ihr Ziel ist, das ständige Erscheinen von Cookie-Bannern beim Aufruf von Webangeboten durch die Einführung anerkannter Dienste zur zentralen Verwaltung von Nutzereinwilligungen für Cookies und Technologien zu verringern. Ob die Flut der Cookie-Banner durch die EinwV tatsächlich eingedämmt wird, ist allerdings zu bezweifeln.
Einmalige zentrale Einwilligung statt fortwährend erneute Entscheidungen
Die neue Einwilligungsverwaltungsverordnung (EinwV) wurde im September 2024 von der Bundesregierung beschlossen. Sie regelt die Anforderungen für „anerkannte Dienste zur Einwilligungsverwaltung“, die eine anwenderfreundliche Alternative zu der Vielzahl zu treffender Einzelentscheidungen darstellen sollen, wenn es um Einholung der „Einwilligung in die weitere Verarbeitung personenbezogener Daten nach der Verordnung (EU) 2016/679“ geht. Mit anderen Worten: Ziel der EinwV ist es, das Erscheinen der ungeliebten Cookie-Banner zu reduzieren, indem es die rechtlichen Grundlagen für eine zentrale Einwilligungsverwaltung schafft, deren Einwilligungspräferenzen von den einzelnen besuchten Webangeboten ausgelesen werden können. Anwender legen einmal zentral fest, welche Cookies und Technologien sie zulassen möchten und werden dann nicht mehr von Cookie-Bannern behelligt, bei denen sie ihre Präferenzen immer wieder erneut angeben müssen.
Hauptzielgruppe sind nicht Endnutzer, sondern Anbieter von Einwilligungsdiensten
Die neue EinwV richtet sich in erster Linie nicht an die Endnutzer, also die Besucher der Webangebote, sondern an die Anbieter, die die Dienste zur zentralen Einwilligungsverwaltung entwickeln und zur Verfügung stellen. Diese Dienste sollen es Endnutzern ermöglichen, ihre Einstellungen und Präferenzen für Cookies und andere Technologien transparent festzulegen und diese jederzeit ändern und anpassen zu können. Webangebotsbetreiber fragen die individuellen Einwilligungspräferenzen ihrer Endnutzer bei anerkannten Einwilligungsverwaltungsdiensten ab und setzen diese dann entsprechend um. Für sie entfällt dadurch die Notwendigkeit, ein Cookie-Banner einblenden zu müssen. Den Webangebotsbetreibern bleibt es allerdings weiterhin freigestellt, Cookie-Banner zu verwenden. Es gibt für sie keinerlei Verpflichtung, die anerkannten Dienste zur Einwilligungsverwaltung nutzen zu müssen.
Anforderungen an anerkannte Einwilligungsverwaltungsdienste
Die Anforderungen, die anerkannte Einwilligungsverwaltungsdienste erfüllen müssen, sind in § 3 bis § 7 EinwV geregelt:
- § 3 Abs. 2 legt fest, dass anerkannte Dienste nur die Einwilligungen von Endnutzern verwalten dürfen, die zuvor umfassend informiert wurden. Die Informationspflicht umfasst den Anbieter des Einwilligungsdienstes, die gespeicherten Informationen, den Zweck und den Zeitraum der Speicherung sowie die jederzeitige Widerruflichkeit der Einwilligung.
- § 4 Abs. 1 verlangt eine nutzerfreundliche Ausgestaltung der Einwilligungsverwaltungsdienste, die transparent und verständlich ermöglicht, dass Nutzer eine freie und informierte Entscheidung treffen können.
- § 5 Abs. 1 regelt die Interoperabilität. Nutzer haben das Recht, jederzeit zu einem anderen anerkannten Dienst zu wechseln und ihre Einstellung dorthin zu übertragen. Die Einstellungen müssen dem neuen anerkannten Dienst kostenlos zur Verfügung gestellt werden (§ 5 Abs. 2).
- § 6 schreibt die wettbewerbskonforme Ausgestaltung der Verfahren zur Einwilligungsverwaltung vor. Diese müssen in Echtzeit unter den gleichen Bedingungen von Webseitenbetreibern abrufbar und zugänglich sein.
- § 7 beschäftigt sich mit den Technologien und Konfigurationen, die von den Einwilligungsverwaltungsdiensten verwendet werden, um die gegenseitige Erkennbarkeit sicherzustellen.
Anerkennung erfolgt widerruflich und wird ständig geprüft
Zuständig für die Anerkennung eines Einwilligungsverwaltungsdienstes ist nach § 8 EinwV die Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI). Der Antrag wird elektronisch gestellt und ist nach § 12 EinwV an die Vorlage eines Sicherheitskonzepts geknüpft. Ist die Anerkennung erfolgt, informiert die BfDI die Landesdatenschutzbeauftragten und trägt den Dienst in ein öffentliches Register aller anerkannten Einwilligungsverwaltungsdienste ein.
Die Anerkennung erfolgt widerruflich. Die BfDI und die Landesdatenschutzbeauftragten stehen in ständigem Informationsaustausch über auftretende Mängel, die auch von Dritten an die Datenschutzbehörden gemeldet werden können. Zudem muss jeder anerkannte Dienst jährlich nachweislich prüfen, ob er die Anerkennungsvoraussetzungen weiterhin erfüllt.
Erfolg der EinwV ist mehr als fraglich
Ob es der EinwV gelingen wird, die derzeitige Cookie-Banner-Flut tatsächlich einzudämmen, darf aus zweierlei Gründen stark bezweifelt werden.
Der erste Grund ist rein praktischer Natur und betrifft die Freiwilligkeit, die in der EinwV festgeschrieben ist: Solange Webseitenbetreiber nicht verpflichtet werden, anerkannte Dienste zur Einwilligungsverwaltung zu verwenden, werden nur sehr wenige Anbieter die neue, gut gemeinte Abfragemöglichkeit der Nutzereinwilligungen nutzen. Die wenigen Anbieter, die dies dennoch tun, werden zusammen nicht die kritische Masse erreichen, die es braucht, um die restlichen Anbieter zum Umdenken zu bewegen.
Der zweite Grund wiegt deutlich schwerer und betrifft die mangelhafte DSGVO-Konformität des Einwilligungsverfahrens: Die DSGVO verlangt, dass betroffene Personen ausreichend über die jeweiligen Datenverarbeitungsvorgänge, einbezogene Dritte und die Möglichkeit, eine gesonderte Zustimmung zu erteilen, informiert sind. Für viele Datenschutzexperten ist nicht ersichtlich, dass die EinwV die Rahmenbedingungen für eine DSGVO-konforme Verarbeitung personenbezogener Daten schafft, da eine rein pauschal erteilte Einwilligung nicht ausreicht, um den datenschutzrechtlichen Anforderungen für eine fundierte Entscheidung zu genügen. Hinzu kommt noch, dass die EinwV auf § 26 Abs. 2 TDDDG basiert und somit ausschließlich für Deutschland gilt.
-
Italienische Bußgeldwelle trifft deutsche Autofahrer
2.172
-
Wohnrecht auf Lebenszeit trotz Umzugs ins Pflegeheim?
1.7342
-
Gerichtliche Ladungen richtig lesen und verstehen
1.635
-
Klagerücknahme oder Erledigungserklärung?
1.613
-
Überbau und Konsequenzen – wenn die Grenze zum Nachbargrundstück ignoriert wurde
1.471
-
Wie kann die Verjährung verhindert werden?
1.400
-
Brief- und Fernmelde-/ Kommunikationsgeheimnis: Was ist erlaubt, was strafbar?
1.368
-
Wann muss eine öffentliche Ausschreibung erfolgen?
1.305
-
Verdacht der Befangenheit auf Grund des Verhaltens des Richters
1.136
-
Formwirksamkeit von Dokumenten mit eingescannter Unterschrift
1.0461
-
Risiko der Betriebsstättenbegründung durch mobiles Arbeiten im Ausland
18.11.2024
-
Handelsregistervollmachten – Anforderungen und Umgang bei Rückfragen des Handelsregisters
12.11.2024
-
Datenschutzbehörden müssen nicht zwingend Sanktionen verhängen
07.11.2024
-
Typisch stille Beteiligung an Kapitalgesellschaften – Unterschiede zwischen GmbH und AG
06.11.2024
-
Bundesnetzagentur wird nationale Marktüberwachungsbehörde bei der KI-Aufsicht
05.11.2024
-
Neue Bundesverordnung zur „Cookie-Einwilligung“
31.10.2024
-
Zahl der Datenschutz-Bußgeldverfahren steigt
24.10.2024
-
Untersuchungs- und Rügeobliegenheit im B2B-Bereich
23.10.2024
-
Fernmeldegeheimnis gilt nicht für private E-Mails und Telefonate am Arbeitsplatz
17.10.2024
-
Wirecard: Geschädigte Aktionäre sind keine nachrangigen Gläubiger!
16.10.2024