Update Datenschutz Nr. 144
Neuer Verordnungsentwurf für Dienste zur Einwilligungsverwaltung (PIMS) gemäß § 26 TTDSG
Mit Datum vom 1. Juni 2023 hat das Bundesministerium für Digitales und Verkehr („BMDV“) einen neuen Entwurf für eine Verordnung über Dienste zur Einwilligungsverwaltung (sog. Einwilligungsverwaltungsverordnung – „EinwV“) nach dem Telekommunikation-Telemedien-Datenschutz-Gesetz („TTDSG“) veröffentlicht (abrufbar hier). In dem Verordnungsentwurf sind nunmehr die konkreten Anforderungen für die Anerkennung entsprechender Dienste zur Einwilligungsverwaltung gemäß § 26 TTDSG geregelt.
Hintergrund und Inhalt des Verordnungsentwurfs
Seit dem 1. Dezember 2021 gilt das neue TTDSG, das in den §§ 25 ff. den Einsatz von Cookies und ähnlichen Technologien (nachfolgend insgesamt einheitlich als „Cookies“ bezeichnet) regelt. Viele Anbieter von Telemedien (z. B. Webseiten, Mobile-Apps) verwenden solche Cookies, um Informationen auf den Geräten der Endnutzer zu speichern oder auszulesen. Dies erlaubt unter anderem die Wiedererkennung der Nutzer, das Wiederherstellen von Einstellungen oder das Tracking von Aktivitäten und die Anzeige personalisierter Werbung.
Grundsätzlich gilt, dass der Einsatz von Cookies einer Einwilligung bedarf, es sei denn, es greift eine der in § 25 TTDSG vorgesehenen Ausnahmen. In der Praxis werden entsprechende Einwilligungen über sog. Einwilligungs- bzw. Cookie-Banner eingeholt. In den letzten Jahren drehte sich die Diskussion vor allem um die Frage, welche konkreten Anforderungen bei der Ausgestaltung von solchen Einwilligungsbannern zu beachten sind (siehe hierzu unser Update Datenschutz Nr. 143 zur DSK Orientierungshilfe sowie unser Update Datenschutz Nr. 139 zur EDSA Cookie Task Force). Auch wenn in der Zwischenzeit viele Anbieter ihre Einwilligungsbanner bereits angepasst haben, besteht oftmals weiterhin die Schwierigkeit, dass Nutzer den Überblick bei der Verwaltung von Einwilligungen verlieren.
Nach der Idee des deutschen Gesetzgebers können Dienste zur Einwilligungsverwaltung – auch Personal Information Management Services (PIMS) genannt – diesem Problem entgegenwirken. Ruft ein Nutzer beispielsweise eine Webseite auf, so soll die Webseite mittels einer zentralen Einwilligungsverwaltung überprüfen, ob der Nutzer bereits entsprechende Einwilligungen hinterlegt hat. Die Nutzer müssen somit nicht jedes Mal erneut, über einen Einwilligungsbanner ihre Einwilligung erteilen oder verweigern. Vor diesem Hintergrund sind in § 26 TTDSG explizite Regelungen enthalten, die die Anerkennung von solchen Diensten zur Einwilligungsverwaltung regeln.
Gemäß § 26 Abs. 1 TTDSG erfolgt die Anerkennung von Diensten zur Einwilligungsverwaltungen durch die zuständige Stelle, wenn die in der Vorschrift genannten Anforderungen nach Maßgabe einer vom Gesetzgeber erlassenen Rechtsverordnung – in dem Fall somit die EinwV – erfüllt sind. Voraussetzung für die Anerkennung ist, dass die jeweiligen Dienste zur Einwilligungsverwaltung ein nutzerfreundliches und wettbewerbskonformes Verfahren zur Einholung und Verwaltung einer Einwilligung haben sowie kein wirtschaftliches Eigeninteresse an der Erteilung der Einwilligung und an den verwalteten Daten haben und unabhängig sind von Unternehmen, die ein solches Interesse haben können. Des Weiteren dürfen die personenbezogenen Daten und die Informationen über die Einwilligungsentscheidungen für keine anderen Zwecke als die Einwilligungsverwaltung verarbeiten werden. Schließlich muss ein Sicherheitskonzept vorliegen, das eine Bewertung der Qualität und Zuverlässigkeit des Dienstes und der technischen Anwendungen ermöglicht und aus dem sich ergibt, dass der Dienst sowohl technisch als auch organisatorisch die rechtlichen Anforderungen an den Datenschutz und die Datensicherheit, die sich insbesondere aus der DSGVO ergeben, erfüllt.
Inhaltlich regelt der Verordnungsentwurf nunmehr die Anforderungen an die Nutzerfreundlichkeit und Wettbewerbskonformität, die ein Dienst zur Einwilligungsverwaltung erfüllen muss, um anerkannt zu werden. Weiterhin regelt der Verordnungsentwurf das Verfahren der Anerkennung von Diensten zur Einwilligungsverwaltung durch die zuständige unabhängige Stelle sowie die technischen und organisatorischen Maßnahmen von Anbietern von Telemedien und von Software (z. B. Webseitenbetreiber, Browseranbieter), damit die Einstellungen der Endnutzer zur Einwilligung befolgt und die Einbindung anerkannter Dienste zur Einwilligungsverwaltung berücksichtigt werden können.
Anforderungen an nutzerfreundliche und wettbewerbskonforme Verfahren und technische Anwendungen
Nach dem Verordnungsentwurf ist ein Verfahren unter anderem „nutzerfreundlich“, wenn:
- die Benutzeroberfläche des Dienstes zur Einwilligungsverwaltung so transparent gestaltet ist, dass sie die Fähigkeit der Endnutzer, eine freie und informative Entscheidung zu treffen, nicht beeinträchtigt oder behindert;
- Endnutzer die von ihnen erklärten oder abgelehnten Einwilligungen einschließlich des Zeitstempels bei erklärten Einwilligungen und der dabei dem Endnutzer zur Verfügung gestellten Informationen im Dienst zur Einwilligungsverwaltung jederzeit einsehen können;
- die Entscheidungen zur Ablehnung oder Erteilung jederzeit geändert werden können; und
- Endnutzer bei Änderungen der relevanten Zugriffs- und Speichervorgänge an die Einstellungen zur Einwilligung erinnert und zur Überprüfung aufgefordert werden.
Wettbewerbskonformität soll vorliegen, wenn der Dienst zur Einwilligungsverwaltung gewährleistet, dass jeder Anbieter von Telemedien unter den gleichen Bedingungen die erforderlichen Einwilligungen beim Endnutzer erfragen kann und ihm die hierzu getroffenen Entscheidungen der Endnutzer übermittelt werden. Des Weiteren muss eine einheitliche Darstellung der Anbieter von Telemedien auf seiner Benutzerschnittstelle, alphabethisch geordnet nach den verfügbar gehaltenen Namen, sowie ein einheitliches Erscheinungsbild der Einwilligungseinstellungen und der dafür erforderlichen Informationen vorliegen.
Die Anforderungen an die technischen Anwendungen zur Einholung und Verwaltung der Einwilligung sollen, soweit erforderlich, in einer technischen Richtlinie festgelegt werden.
Regelungen zum Anerkennungsverfahren
Zuständig für die Anerkennung ist der Bundesbeauftragte für Datenschutz und Informationsfreiheit („BfDI“). Dem Verfahren der Anerkennung soll zunächst ein Antrag vorausgehen, der schriftlich oder elektronisch beim BfDI einzureichen ist.
Weiterhin muss ein Sicherheitskonzept vorgelegt werden, das eine Bewertung der Qualität und der Zuverlässigkeit der Einwilligungsverwaltung ermöglicht. Aus dem Sicherheitskonzept muss hervorgehen, dass der Dienst sowohl technisch als auch organisatorisch die rechtlichen Anforderungen der DSGVO an den Datenschutz und die Datensicherheit erfüllt. So muss das Sicherheitskonzept unter anderem Angaben über die Sicherheit der personenbezogenen Daten und Informationen über die Einwilligungsentscheidungen, die durch den Dienst verarbeitet werden sollen, sowie über die Maßnahmen, die sicherstellen sollen, dass personenbezogene Daten und Informationen über die Einwilligungsentscheidung verarbeitet werden, enthalten. Zudem müssen die Anforderungen des zweiten Teils der Verordnung umgesetzt werden.
Liegen die oben genannten Voraussetzungen vor, entscheidet der BfDI innerhalb einer Frist von sechs Wochen über die Anerkennung und trägt den anerkannten Dienst in ein öffentliches Register ein. Diese Anerkennung kann widerrufen werden, wenn dem BfDI Tatsachen bekannt werden, wonach die für die Anerkennung erforderlichen Voraussetzungen nicht mehr erfüllt werden.
Anforderungen an technische und organisatorische Maßnahmen von Software- und Telemedienanbietern und -herstellern
In dem Verordnungsentwurf werden verschiedene Anforderungen für technische und organisatorische Maßnahmen gestellt, die sich einerseits an die Anbieter und Hersteller von Softwareprodukten sowie andererseits an die Anbieter von Telemedien richten. Hintergrund für diese Regelung ist, dass die entsprechenden Anbieter und Hersteller sicherstellen sollen, dass entsprechende Dienste zur Einwilligungsverwaltung auch ordnungsgemäß integriert werden können und reibungslos funktionieren.
Softwarehersteller und -anbieter sollen demnach dafür Sorge tragen, dass ihre Software die Einbindung von anerkannten Diensten zur Einwilligungsverwaltung zulässt. Demgegenüber soll die jeweilige Software nicht derart bereitgestellt werden, dass ein über den anerkannten Dienst zur Einwilligungsverwaltung hinterlegtes Signal oder die Einstellung der Endnutzer hinsichtlich der Einwilligung unterdrückt, verzögert, entschlüsselt oder sonst verändert wird.
Telemedienanbieter sollen hingegen dafür Sorge tragen, dass die Einbindung eines anerkannten Dienstes zur Einwilligungsverwaltung durch den Endnutzer bei dem Aufruf ihres Telemediendienstes berücksichtigt wird und dass überprüft wird, ob der Endnutzer bereits Entscheidungen zur Einwilligung getroffen hat und diese bei der Einwilligungsverwaltung gespeichert sind.
Ausblick & Fazit
Als nächsten Schritt wird der Verordnungsentwurf nun zur Konsultation an die Länder, kommunale Spitzenverbände sowie Fachkreise und Verbände zugeleitet. Es bleibt hierbei abzuwarten, inwieweit im Rahmen dieser Beteiligung noch Änderungen erfolgen. Erst nach Abschluss der Konsultation ist mit einer Verabschiedung des Verordnungsentwurfs zu rechnen.
Aus inhaltlicher Sicht ist festzuhalten, dass die Intention des Verordnungsgebers mit dem neuen Verordnungsentwurf zu begrüßen ist, da hierdurch die Endnutzer mehr Kontrolle über ihre erteilten Einwilligungen gegenüber unterschiedlichen Anbietern von Telemedien erhalten sollen. Des Weiteren möchte der Verordnungsgeber (zumindest teilweise) sog. Dark Patterns, also Design-Muster, welche durch versteckte oder manipulative Gestaltung die Webseitenbesucher zu unerwünschten Handlungen verleiten sollen, Einhalt gebieten, indem die Benutzeroberfläche des Dienstes zur Einwilligungsverwaltung so transparent zu gestalten ist, dass eine freie und informative Entscheidung des Nutzers nicht gefährdet wird.
Insgesamt bietet der Verordnungsentwurf klare Vorgaben für die Einwilligungsverwaltung, um den Schutz der Nutzerdaten und die Transparenz bei der Verwendung von Cookies zu verbessern und stellt dem Endnutzer ein alternatives Verfahren zur Erteilung oder Ablehnung von Einwilligungsanfragen nach § 25 Abs. 1 TTDSG durch Anbieter von Telemedien zur Verfügung. Ob diese Vorstellungen und Ziele des BMDV allerdings erfüllt werden, bleibt abzuwarten. Der BfDI als zuständige Behörde für das Anerkennungsverfahren ist schon jetzt nicht unterbeschäftigt. Außerdem zeigen Erfahrungen aus dem Jugendschutzbereich, dass Zertifizierungen hohe Anforderungen erfüllen müssen, unter denen die Nutzbarkeit leidet, weswegen solche Dienste selten genutzt werden. Es bleibt daher abzuwarten, inwieweit in Zukunft tatsächlich entsprechende Dienste zur Einwilligungsverwaltung das vorgesehene Anerkennungsverfahren durchlaufen werden.