Update Datenschutz Nr. 184
Bundesregierung erlässt Einwilligungsverwaltungsverordnung – (K)ein Ende der Cookie-Banner?
Kein Internetnutzer kann ihnen entgehen: Cookie-Banner und Consent Management Plattformen („CMPs“). In den vergangenen Jahren haben sie sich zur Erteilung datenschutzrechtlicher Einwilligungen im Internet und zur Darstellung der erforderlichen Informationen nach Art. 13 DSGVO etabliert. Aus Nutzersicht wird die Interaktion mit Cookie-Bannern bzw. CMPs mitunter als störend empfunden.
Dem möchte die Bundesregierung entgegentreten: Am 4. September 2024 beschloss sie die Einwilligungsverwaltungsverordnung („EinwV“). Sie stellt Anforderungen für sog. „anerkannte Dienste zur Einwilligungsverwaltung“. Diese Dienste sollen eine effizientere und anwenderfreundliche Alternative zu Cookie-Bannern bieten, indem sie die einmal dokumentierten Einwilligungsentscheidungen der Nutzer verwalten sowie gebündelt und automatisiert als Treuhänder an alle Diensteanbieter übermitteln. Eine gesonderte Einholung der Einwilligung durch jeden einzelnen Diensteanbieter wäre dann – so der vermutlich etwas praxisferne Wunsch der Bundesregierung – daneben nicht erforderlich. Ziel ist es also, Endnutzern ein effektives und nachvollziehbares Instrument zur Verwaltung ihrer Einwilligungen bereitzustellen.
Die EinwV befasst sich mit drei Regelungsbereichen (eine Veranschaulichung zeigt das SCHAUBILD):
- Anforderungen an anerkannte Dienste zur Einwilligungsverwaltung (Teil 2 EinwV),
- Den Prozess der Anerkennung von Diensten zur Einwilligungsverwaltung (Teil 3 EinwV) und
- Technische und organisatorische Maßnahmen durch Anbieter von digitalen Diensten und Hersteller und Anbieter von Abruf- und Darstellungssoftware (Teil 4 EinwV).
Inhaltlich reguliert die EinwV zwei Ebenen: Einerseits das Verhältnis zwischen dem Endnutzer und dem Einwilligungsverwaltungsdienst (Ebene 1), andererseits das Verhältnis zwischen dem Einwilligungsverwaltungsdienst und dem Anbieter digitaler Dienste (Ebene 2).
Anforderungen an anerkannte Dienste zur Einwilligungsverwaltung
§§ 3 bis 7 EinwV regeln die Anforderungen an anerkannte Dienste zur Einwilligungsverwaltung.
Sie dürfen nur die Einwilligungen von Endnutzern verwalten, die zuvor umfassend informiert wurden (§ 3 Abs. 2 EinwV). Die Informationspflicht umfasst insbesondere:
- Den Anbieter des digitalen Dienstes,
- die gespeicherten Informationen,
- den Zweck der Speicherung,
- den Zeitraum der Speicherung und
- die jederzeitige Widerruflichkeit der Einwilligung.
Einwilligungsverwaltungsdienste müssen ferner nutzerfreundlich ausgestaltet sein (§ 4 Abs. 1 EinwV). Dies setzt eine transparente und verständliche Gestaltung voraus, unter der die Nutzer eine freie und informierte Entscheidung treffen können. Ebenso müssen Nutzer jederzeit in der Lage sein, ihre gespeicherten Einstellungen einzusehen und zu widerrufen.
Endnutzer haben das Recht, jederzeit zu einem anderen Dienst zur Einwilligungsverwaltung zu wechseln und ihre Einstellungen dorthin zu übertragen, sog. Interoperabilität (§ 5 Abs. 1 EinwV). Dies setzt voraus, dass der Einwilligungsverwaltungsdienst die Einstellungen des Endnutzers in einem gängigen sowie maschinenlesbaren Format vorhält und sie für einen anderen anerkannten Dienst kostenlos zum Abruf bereitstellt (§ 5 Abs. 2 EinwV).
Verfahren zur Einwilligungsverwaltung müssen wettbewerbskonform ausgestaltet sein (§ 6 EinwV). Daraus resultieren folgende Leitlinien:
- Jeder Anbieter von digitalen Diensten muss das Verfahren zur Einwilligungsverwaltung in Echtzeit unter den gleichen Bedingungen erfragen können.
- Keinem Anbieter von digitalen Diensten darf die Einwilligungsverwaltung verweigert werden.
- In den Voreinstellungen der Benutzerschnittstelle des anerkannten Dienstes zur Einwilligungsverwaltung müssen die Anbieter digitaler Dienste entweder alphabetisch oder chronologisch in einer Liste einheitlich dargestellt werden.
Schließlich werden an die anerkannten Dienste zur Einwilligungsverwaltung Anforderungen hinsichtlich Technologien und Konfigurationen gestellt (§ 7 EinwV): So muss einerseits gegenüber Anbietern digitaler Dienste und Abruf- und Darstellungssoftware technisch erkennbar sein, dass der Nutzer einen anerkannten Dienst zur Einwilligungsverwaltung verwendet. Andererseits müssen Anbieter von digitalen Diensten ihre Nachfragen an sie übersenden können und prüfen können, ob Einstellungen der Endnutzer verwaltet werden.
Anerkennung von Diensten zur Einwilligungsverwaltung
§§ 8 bis 16 EinwV regulieren die Anerkennung von Diensten zur Einwilligungsverwaltung.
Zuständig für die Anerkennung ist die BfDI (§ 8 EinwV). Eine Anerkennung erfolgt auf elektronischen Antrag eines Dienstes zur Einwilligungsverwaltung (§ 11 EinwV), wenn der Einwilligungsverwaltungsdienst die Anforderungen der §§ 3 bis 7 EinwV erfüllt und ein Sicherheitskonzept nach § 12 EinwV vorlegt. Die BfDI informiert die Datenschutzbeauftragten der Länder über jede Anerkennung (§ 9 Abs. 1 EinwV) und führt ein öffentliches Register aller anerkannten Einwilligungsverwaltungsdienste (§ 13 EinwV).
Die Anerkennung als Dienst zur Einwilligungsverwaltung ist unterdessen widerruflich: BfDI und Landesdatenschutzbehörden befinden sich im ständigen Informationsaustausch hinsichtlich auftretender Mängel (§ 9 Abs. 2 EinwV). Gleichzeitig müssen die anerkannten Einwilligungsverwaltungsdienste jährlich prüfen, ob sie die gesetzlichen Voraussetzungen der Anerkennung weiterhin erfüllen. Festgestellte Mängel sind der BfDI melden; die BfDI kann zudem zur Prüfung auffordern (§ 14 EinwV). Auch können Dritte der BfDI ihnen bekannte Mängel melden (§ 15 EinwV). Erhält die BfDI Kenntnis von Tatsachen, denen zufolge die Voraussetzungen für die Anerkennung eines Dienstes zur Einwilligungsverwaltung nicht mehr erfüllt sind, hat sie die Anerkennung nach Anhörung zu widerrufen (§ 16 EinwV).
Technische und organisatorische Maßnahmen
§§ 17 bis 20 EinwV sehen Pflichten sowohl für Anbieter digitaler Dienste als auch für Anbieter und Hersteller von Abruf- und Darstellungssoftware vor. Diese Pflichten umfassen im Wesentlichen technische und organisatorische Maßnahmen.
Hersteller und Anbieter von Abruf- und Darstellungssoftware haben zwei Pflichten (§ 17 EinwV): Einerseits müssen sie gewährleisten, dass die Abruf- und Darstellungssoftware die Einbindung von anerkannten Diensten zur Einwilligungsverwaltung durch Endnutzer berücksichtigt. Andererseits müssen sie sicherstellen, dass die bei einem Dienst hinterlegten Informationen weder unterdrückt, verzögert oder entschlüsselt noch in anderer Weise verändert werden.
Anbieter von digitalen Diensten haben vergleichbare Maßnahmen zur Einbindung von anerkannten Diensten zur Einwilligungsverwaltung zu treffen. Zwar ist die Einbindung von Einwilligungsverwaltungsdiensten freiwillig (§ 18 Abs. 1 EinwV), sodass weiterhin mit Cookie-Bannern gearbeitet werden kann. Entscheidet sich ein Anbieter aber für die Einbindung eines anerkannten Dienstes zur Einwilligungsverwaltung, muss er zahlreiche Vorgaben beachten, um deren Funktionsweise sicherzustellen und den Endnutzer zu informieren (§ 18 Abs. 2 und Abs. 3 EinwV sowie § 19 Abs. 1 EinwV). Gleichermaßen müssen Anbieter von digitalen Diensten alle ihnen bereits vorliegende Einwilligungen eines Endnutzers an den Einwilligungsverwaltungsdienst übermitteln (§ 19 Abs. 2 EinwV).
Anbieter von digitalen Diensten sowie Hersteller und Anbieter von Abruf- und Darstellungssoftware sind schließlich zur Neutralität verpflichtet: Sie sollen nicht ohne sachlichen Grund darauf hinwirken, dass Endnutzer bestimmte anerkannte Dienste zur Einwilligungsverwaltung anwenden oder ausschließen (§ 20 EinwV).
Ausblick – Vorerst kein Ende der Cookie-Banner!
Ob die EinwV die Flut der Cookie-Banner eindämmen wird, bleibt abzuwarten. Zwar stellen anerkannte Dienste zur Einwilligungsverwaltung aus Nutzerperspektive potenziell und theoretisch ein attraktives Instrument zur Umgehung von Tracking-Maßnahmen dar. Jedoch besteht keine rechtliche Verpflichtung für Dienstanbieter, anerkannte Dienste zur Einwilligungsverwaltung zu implementieren. Es bleibt den Dienstanbietern somit freigestellt, weiterhin Cookie-Banner zu verwenden.
Allerdings ist es denkbar, dass zwar keine rechtliche Verpflichtung, dafür aber ein faktischer Handlungsdruck zur Implementierung von Einwilligungsverwaltungsdiensten nach den Grundsätzen der Plattformökonomie eintritt. Die EinwV birgt insoweit Entwicklungspotenzial für neue Geschäftsmodelle. Wenn die „First-Mover“ eine kritische Nutzermasse für sich gewinnen können, könnten die Anbieter digitaler Dienste faktisch zur Einbindung von Einwilligungsverwaltungsdiensten bewegt werden, soweit sie nicht auf den Traffic dieser Nutzer verzichten wollen. Dass ein solcher Vorgang grundsätzlich möglich ist, belegt die signifikante Verbreitung des IAB TCF. Es besteht zwar weder eine rechtliche Pflicht zur Einhaltung des IAB TCF noch zur Nutzung von CMPs und Tracking Tools, die unter dem IAB TCF registriert sind. Aber die Anwendung dieses Rahmenwerks durch eine erhebliche Anzahl von Dienstanbietern hat dazu geführt, dass es faktisch obligatorisch geworden ist.
Dass Einwilligungsverwaltungsdienste einen ähnlichen Siegeszug wie das IAB TCF erfahren werden, darf jedoch bezweifelt werden. Insoweit sprechen gleich mehrere Anhaltspunkte gegen eine solche Entwicklung:
- Die anerkannten Dienste zur Einwilligungsverwaltung gehen viel weiter als das IAB TCF: Es werden nicht nur Vorgaben und Klassifizierungen zur Einwilligungseinholung gemacht, sondern vielmehr entfällt ein individuelles Abfragen der Einwilligung komplett. Insoweit dürften auf Vendoren- und Publisherseite Einwilligungsverwaltungsdienste keinen großen Zuspruch finden, da mit weniger Werbe-Traffic zu rechnen ist.
- Hinzu kommt, dass auch auf die Nutzung von Einwilligungsverwaltungsdiensten hingewiesen werden muss. Cookie-Banner würden damit schlicht durch ein vergleichbares Informations-Pop-Up nach dem Vorbild einer CMP substituiert, welches bei jeder Modifizierung eines digitalen Dienstes erneut dem Endnutzer ausgespielt werden müsste.
- Außerdem dürfte der Vorteil einer Anerkennung unter der EinwV für Einwilligungsverwaltungsdienste überschaubar sein. Solche Dienste hätten auch in der Vergangenheit jederzeit schon angeboten werden können. Offenbar bestand jedoch kein ausreichendes Bedürfnis hierfür, sonst hätten sich entsprechende Einwilligungsverwaltungsdienste in Deutschland, Europa oder den USA – vergleichbar zum IAB TCF – längst etabliert. Der Gesetzgeber hat offenbar die Hoffnung, dass der Markteintritt für einen Einwilligungsverwaltungsdienst wesentlich erleichtert wird, wenn das Nutzervertrauen durch die staatliche Anerkennung gesteigert wird. Tatsächlich werden einem Einwilligungsverwaltungsdienst jedoch durch die Anforderungen der EinwV signifikant höhere Hürden auferlegt. Es muss bezweifelt werden, dass dies dazu führt, dass sich nun zahlreiche Einwilligungsverwaltungsdienste etablieren.
- Hinzu treten datenschutzrechtliche Bedenken: Jegliche Anforderungen, welche die Datenschutzaufsichtsbehörden an das IAB TCF stellen, müssen auch für Einwilligungsverwaltungsdienste gelten. Neben Fragen der Transparenz und der Definition der Zwecke, für welche eine Einwilligung gilt (eine zu weit gefasste Einwilligung birgt die Gefahr eines Verstoßes gegen den Zweckbindungsgrundsatz), verbleibt vor allem die Frage nach der gemeinsamen Verantwortlichkeit der beteiligten Akteure. Insoweit sei daran erinnert, dass die belgische Datenschutzaufsichtsbehörde das IAB Europe für gemeinsam verantwortlich erklärte (vgl. hierzu unsere Updates Nr. 174, 155, 131, 128 und 76).
Ob entsprechende Einwilligungsverwaltungsdienste zukünftig auch datenschutzrechtliche Einwilligungen nach der DSGVO abbilden sowie die Erfüllung von Betroffenenrechten erleichtern und dadurch ihre Attraktivität steigern, bleibt abzuwarten. Jedenfalls erscheint es zweifelhaft, dass sich – abseits der rechtlichen – eine faktische Verpflichtung für Dienstanbieter zur Nutzung von anerkannten Diensten zur Einwilligungsverwaltung entwickeln wird.
Zwingender Handlungsbedarf besteht für Vendoren und Publisher zum jetzigen Zeitpunkt nicht. Ob die EinwV einen messbaren Einfluss auf die Übermittlung von Einwilligungen haben wird, darf stark bezweifelt werden.