Die Einwilligungsbanner auf Webseiten sind für viele Nutzer ein nerviges Hindernis. Mit einer neuen Verordnung über Dienste zur Einwilligungsverwaltung (EinwV) gemäß § 26 TTDSG wollte das Bundesministerium für Digitales und Verkehr (BMDV) Abhilfe schaffen. Ziel war es, diese Banner durch zentrale Einwilligungsdienste zu ersetzen. Doch die Datenschutzkonferenz (DSK) bewertet den aktuellen Verordnungsentwurf kritisch und hält das Ziel in der jetzigen Form für unerreichbar.
Die Idee hinter § 26 TTDSG
Der 2021 eingeführte § 26 TTDSG erlaubt die Anerkennung zentraler Dienste zur Verwaltung von Einwilligungen. Nutzer sollen einmalig ihre Präferenzen für Cookies und Tracking-Technologien festlegen und nicht bei jedem Besuch einer neuen Website erneut gefragt werden. Die Einwilligungsverwaltungsdienste (Personal Information Management Services, PIMS) sollen diese Präferenzen speichern und automatisch umsetzen.
Warum scheitert die Idee?
1. Begrenzter Geltungsbereich
Der § 26 TTDSG regelt ausschließlich Einwilligungen für Cookies und Tracking-Technologien. Viele Websites benötigen jedoch auch Einwilligungen gemäß der Datenschutz-Grundverordnung (DSGVO) für die Verarbeitung personenbezogener Daten, etwa für personalisierte Werbung. Da die DSGVO vorrangig ist, fehlt dem deutschen Gesetzgeber die Kompetenz, diese Einwilligungen umfassend zu regeln.
2. Unzulässige Pauschaleinwilligungen
Die Verordnung sieht vor, dass Nutzer im Dienst „generelle Einwilligungen“ abgeben können. Dies widerspricht den strengen Anforderungen der DSGVO, die individuelle, informierte und spezifische Einwilligungen verlangt.
3. Fehlende technische Spezifikationen
Ob die Dienste lokal im Browser oder zentral serverbasiert gestaltet werden sollen, bleibt unklar. Browserbasierte Lösungen wären datenschutzfreundlicher, da sie weniger Daten zentral speichern und somit die Datensicherheit erhöhen.
4. Praktische Umsetzung fragwürdig
Aus dem Verordnungsentwurf geht nicht hervor, wie die Einwilligungsdienste tatsächlich funktionieren sollen. Nutzer müssten ihre Einwilligungen weiterhin über Cookie-Banner abgeben, was das eigentliche Ziel – die Abschaffung der Banner – verfehlt.
Kritik der Datenschutzkonferenz
Die Datenschutzkonferenz äußerte in ihrer Stellungnahme vom Juli 2023 umfassende Kritik:
- Die Verordnung könnte weniger den Nutzern dienen als den Unternehmen, indem sie deren Aufwand zur Einholung von Einwilligungen reduziert.
- Die technischen Anforderungen sind zu vage und priorisieren nicht den Datenschutz der Nutzer.
- Statt einer echten Vereinfachung droht eine zusätzliche Komplexität durch neue Dienste.
Fazit: Ein zäher Weg ohne klare Aussicht
Der Verordnungsentwurf verfehlt aus Sicht der DSK sein Ziel, die Nutzer zu entlasten und Einwilligungsbanner abzuschaffen. Solange die grundlegenden Probleme nicht gelöst werden – insbesondere der Konflikt mit den Anforderungen der DSGVO –, bleibt der Erfolg der EinwV fraglich. Es bleibt abzuwarten, ob und wie die Arbeiten an der Verordnung fortgesetzt werden.
Für Internetnutzer bedeutet dies vorerst: Die ungeliebten Cookie-Banner bleiben uns erhalten.
Weitere Informationen zur Stellungnahme: DSK-Stellungnahme zur EinwV.