Bundesverordnung zur „Cookie-Einwilligung“ (EinwV)

Die Bundesregierung hat eine neue Verordnung verabschiedet, die den Umgang mit Tracking-Einwilligungen transparenter und anwenderfreundlicher machen soll: die Einwilligungsverwaltungsverordnung (EinwV).

Die Einwilligungsverwaltungsverordnung (EinwV) basiert auf § 26 Abs. 2 Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG). Ihr Ziel ist, das ständige Erscheinen von Cookie-Bannern beim Aufruf von Webangeboten durch die Einführung anerkannter Dienste zur zentralen Verwaltung von Nutzereinwilligungen für Cookies und Technologien zu verringern. Ob die Flut der Cookie-Banner durch die EinwV tatsächlich eingedämmt wird, ist allerdings zu bezweifeln.

Einmalige zentrale Einwilligung statt fortwährend erneute Entscheidungen

Die neue Einwilligungsverwaltungsverordnung (EinwV) wurde im September 2024 von der Bundesregierung beschlossen. Sie regelt die Anforderungen für „anerkannte Dienste zur Einwilligungsverwaltung“, die eine anwenderfreundliche Alternative zu der Vielzahl zu treffender Einzelentscheidungen darstellen sollen, wenn es um Einholung der „Einwilligung in die weitere Verarbeitung personenbezogener Daten nach der Verordnung (EU) 2016/679“ geht. Mit anderen Worten: Ziel der EinwV ist es, das Erscheinen der ungeliebten Cookie-Banner zu reduzieren, indem es die rechtlichen Grundlagen für eine zentrale Einwilligungsverwaltung schafft, deren Einwilligungspräferenzen von den einzelnen besuchten Webangeboten ausgelesen werden können. Anwender legen einmal zentral fest, welche Cookies und Technologien sie zulassen möchten und werden dann nicht mehr von Cookie-Bannern behelligt, bei denen sie ihre Präferenzen immer wieder erneut angeben müssen.   

Hauptzielgruppe sind nicht Endnutzer, sondern Anbieter von Einwilligungsdiensten

Die neue EinwV richtet sich in erster Linie nicht an die Endnutzer, also die Besucher der Webangebote, sondern an die Anbieter, die die Dienste zur zentralen Einwilligungsverwaltung entwickeln und zur Verfügung stellen. Diese Dienste sollen es Endnutzern ermöglichen, ihre Einstellungen und Präferenzen für Cookies und andere Technologien transparent festzulegen und diese jederzeit ändern und anpassen zu können. Webangebotsbetreiber fragen die individuellen Einwilligungspräferenzen ihrer Endnutzer bei anerkannten Einwilligungsverwaltungsdiensten ab und setzen diese dann entsprechend um. Für sie entfällt dadurch die Notwendigkeit, ein Cookie-Banner einblenden zu müssen. Den Webangebotsbetreibern bleibt es allerdings weiterhin freigestellt, Cookie-Banner zu verwenden. Es gibt für sie keinerlei Verpflichtung, die anerkannten Dienste zur Einwilligungsverwaltung nutzen zu müssen.

Anforderungen an anerkannte Einwilligungsverwaltungsdienste

Die Anforderungen, die anerkannte Einwilligungsverwaltungsdienste erfüllen müssen, sind in § 3 bis § 7 EinwV geregelt:

  • § 3 Abs. 2 legt fest, dass anerkannte Dienste nur die Einwilligungen von Endnutzern verwalten dürfen, die zuvor umfassend informiert wurden. Die Informationspflicht umfasst den Anbieter des Einwilligungsdienstes, die gespeicherten Informationen, den Zweck und den Zeitraum der Speicherung sowie die jederzeitige Widerruflichkeit der Einwilligung.
  • § 4 Abs. 1 verlangt eine nutzerfreundliche Ausgestaltung der Einwilligungsverwaltungsdienste, die transparent und verständlich ermöglicht, dass Nutzer eine freie und informierte Entscheidung treffen können.
  • § 5 Abs. 1 regelt die Interoperabilität. Nutzer haben das Recht, jederzeit zu einem anderen anerkannten Dienst zu wechseln und ihre Einstellung dorthin zu übertragen. Die Einstellungen müssen dem neuen anerkannten Dienst kostenlos zur Verfügung gestellt werden (§ 5 Abs. 2).
  • § 6 schreibt die wettbewerbskonforme Ausgestaltung der Verfahren zur Einwilligungsverwaltung vor. Diese müssen in Echtzeit unter den gleichen Bedingungen von Webseitenbetreibern abrufbar und zugänglich sein.
  • § 7 beschäftigt sich mit den Technologien und Konfigurationen, die von den Einwilligungsverwaltungsdiensten verwendet werden, um die gegenseitige Erkennbarkeit sicherzustellen.

Anerkennung erfolgt widerruflich und wird ständig geprüft

Zuständig für die Anerkennung eines Einwilligungsverwaltungsdienstes ist nach § 8 EinwV die Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI). Der Antrag wird elektronisch gestellt und ist nach § 12 EinwV an die Vorlage eines Sicherheitskonzepts geknüpft. Ist die Anerkennung erfolgt, informiert die BfDI die Landesdatenschutzbeauftragten und trägt den Dienst in ein öffentliches Register aller anerkannten Einwilligungsverwaltungsdienste ein.

Die Anerkennung erfolgt widerruflich. Die BfDI und die Landesdatenschutzbeauftragten stehen in ständigem Informationsaustausch über auftretende Mängel, die auch von Dritten an die Datenschutzbehörden gemeldet werden können. Zudem muss jeder anerkannte Dienst jährlich nachweislich prüfen, ob er die Anerkennungsvoraussetzungen weiterhin erfüllt.

Erfolg der EinwV ist mehr als fraglich

Ob es der EinwV gelingen wird, die derzeitige Cookie-Banner-Flut tatsächlich einzudämmen, darf aus zweierlei Gründen stark bezweifelt werden.

Der erste Grund ist rein praktischer Natur und betrifft die Freiwilligkeit, die in der EinwV festgeschrieben ist: Solange Webseitenbetreiber nicht verpflichtet werden, anerkannte Dienste zur Einwilligungsverwaltung zu verwenden, werden nur sehr wenige Anbieter die neue, gut gemeinte Abfragemöglichkeit der Nutzereinwilligungen nutzen. Die wenigen Anbieter, die dies dennoch tun, werden zusammen nicht die kritische Masse erreichen, die es braucht, um die restlichen Anbieter zum Umdenken zu bewegen.

Der zweite Grund wiegt deutlich schwerer und betrifft die mangelhafte DSGVO-Konformität des Einwilligungsverfahrens: Die DSGVO verlangt, dass betroffene Personen ausreichend über die jeweiligen Datenverarbeitungsvorgänge, einbezogene Dritte und die Möglichkeit, eine gesonderte Zustimmung zu erteilen, informiert sind. Für viele Datenschutzexperten ist nicht ersichtlich, dass die EinwV die Rahmenbedingungen für eine DSGVO-konforme Verarbeitung personenbezogener Daten schafft, da eine rein pauschal erteilte Einwilligung nicht ausreicht, um den datenschutzrechtlichen Anforderungen für eine fundierte Entscheidung zu genügen. Hinzu kommt noch, dass die EinwV auf § 26 Abs. 2 TDDDG basiert und somit ausschließlich für Deutschland gilt.


Schlagworte zum Thema:  Gesetzgebung, IT-Recht, Recht, Werbung