Verordnung zu „PIMS“ – Werden Cookie Banner nun abgeschafft?

  • Lesedauer:9 min Lesezeit

Steht uns wirklich eine digitale Revolution bevor?

Von der schieren Flut an Cookie-Bannern, mit denen Webseitenbetreiber Einwilligungen im Sinne der
Datenschutz-Grundverordnung (DSGVO) einholen müssen, sind die meisten Nutzerinnen und Nutzer schlicht überfordert und genervt. Zu diesem Ergebnis kommt das Bundesministerium für Digitales und Verkehr (BMDV) und will nun mit einer „Einwilligungsverwaltung-Verordnung“ (EinwVO) etwas daran ändern. Der Entwurf sieht vor, dass durch die Einbindung anerkannter Dienste eine nutzerfreundliche Alternative zur Verfügung stehen soll, die User von den zahlreichen Einzelentscheidungen entlastet.

Was sind Cookies?

Cookies sind kleine Textdateien, die der Browser jedes Mal beim Aufrufen einer Webseite auf dem Computer oder Smartphone des Users ablegt. Diese Dateien sammeln von da an Daten zum Besuch der Webseite und erhöhen damit deren Benutzerfreundlichkeit. Zum Beispiel merkt sich der Browser Log-inDaten und Spracheinstellungen, oder was man beim Online-Shopping in den Warenkorb gelegt hat. Es können aber auch persönliche Informationen sein, wie Name, Adresse, oder Telefonnummer. Auch wie lange und wie oft man im Internet unterwegs ist, kann in Cookies gespeichert werden. Außerdem enthält ein Cookie idR. eine Angabe über die Lebensdauer der Textdatei und eine zufällig generierte Nummer, über die das Endgerät des Users wiedererkannt wird. Die Datenspeicherung erfolgt idR. anonymisiert. Nur wenn die Seite ein Log-in erfordert, können auch personenbezogene Daten erfasst werden.

Den offensichtlich nützlichen Aspekten gegenüber steht die Kritik, dass Cookies mit dem Datenschutz häufig nicht vereinbar sind, da viele Cookies eingesetzt werden, um z.B. das Surfverhalten der User aufzuzeichnen und dann entsprechend personalisierte Werbung im Browser zu platzieren, oder ganze Profile über die User zu erstellen.

Mit der s.g. „Cookie-Richtlinie“ will die Europäische Union die personenbezogenen Daten der Internetnutzer schützen und unterscheidet deshalb zwischen technisch notwendigen und nicht notwendigen Cookies.

Technisch notwendige Cookies sind für die Funktionen einer Website zwingend erforderlich. Sie speichern z.B. Log-in-Daten, den Warenkorb, oder die Sprachauswahl. Diese Session-Cookies werden beim Schließen des Browsers gelöscht. Laut Cookie-Richtlinie dürfen diese Cookies ohne vorherige Zustimmung durch den User von Beginn an gesetzt werden.

Technisch nicht notwendige Cookies sind Textdateien, die nicht allein der Funktionsfähigkeit der Webseite dienen, sondern auch andere Daten erheben. Dazu gehören folgende Cookies:

  • Tracking-Cookies – Sammeln Standortdaten der Internetnutzer
  • Targeting-Cookies – Passen Werbeanzeigen an den Internetnutzer an
  • Analyse-Cookies – Sammeln Daten über das Verhalten von Internetnutzern auf einer Website
  • Social-Media-Cookies – Verknüpfen eine Website mit Plattformen wie Facebook, Twitter und Co.

Bei nicht notwendigen Cookies verlangt Die EU-Richtlinie eine Opt-in-Lösung. D.h. Webseiten-Besucher müssen einwilligen, bevor die Cookies nicht notwendige Daten speichern.

Was sind Cookie-Banner?

„Diese Website verwendet Cookies“ – beim Besuch von Webseiten sollten Internetnutzer aktuell
grundsätzlich auf solche Hinweise stoßen. Damit kommen Webseitenbetreiber ihrer Pflicht nach, über die
Speicherung nutzerrelevanter Daten aufzuklären. Das Speichern dieser Informationen ist laut der E-Privacy-Richtlinie der EU (Richtlinie 2009/136/EC) Art. 66 (auch Cookie-Richtlinie genannt) aber nur erlaubt, wenn
die User dem zustimmen. Hier greift also das s.g. Opt-in-Verfahren. Das hat auch der Europäische
Gerichtshof in einem Urteil bestätigt: Nutzer müssen aktiv zustimmen, bevor Cookies gesetzt werden
dürfen. Aus einem Urteil des Bundesgerichtshofs (BGH) geht zudem hervor, dass die Einwilligung der Nutzer
aktiv, freiwillig und nach vorheriger Informierung erfolgen muss. Das bedeutet, dass die Besucher einer
Website das Häkchen für die Zustimmung selbst setzen müssen (aktiv). Gleichzeitig darf eine fehlende
Zustimmung den Besuch der Website nicht blockieren (freiwillig). Und den Besuchern muss klar vermittelt
werden, was sie gerade zustimmen – und zwar deutlich, und nicht in komplizierten Rechtstexten
(informiert).

D.h. das Fenster, das erscheint, wenn man eine neue Webseite besucht und einen nach der Einwilligung zur
Nutzung von Cookies fragt, ist ein Consent Management (dt. Verwaltung von Einwilligungen), mit dessen
Hilfe Webseiten-Besucher individuell auswählen können, welchen Diensten sie auf einer Webseite
zustimmen und welche sie ablehnen.

Um sich nicht strafbar zu machen, muss, wer in Deutschland eine Website betreibt, darauf achten, dass die
Cookie-Banner rechtskonform sind. (Art. 6 DSGVO zur Verarbeitung personenbezogener Daten)

Im seit 2021 geltenden „Telekommunikations-Telemedien-Datenschutzgesetz“ (TTDSG) hat der deutsche
Gesetzgeber in Art. 25 f. TTDSG den oben beschrieben Sachverhalt nochmals gesetzlich festgelegt. Alle, die
eine Website betreiben, brauchen für Trackingdienste und Cookies eine echte und ausdrückliche Einwilligung. Ausgenommen sind technisch notwendige Cookies.

Entwurf zur Einwilligungsverwaltung-Verordnung

Cookie-Banner sind nicht nutzerfreundlich. Änderung könnte hier der Verordnungs-Entwurf des Bundesministeriums für Digitales und Verkehr (BMDV) schaffen. Dieser beschreibt die rechtlichen Bedingungen, damit sogenannte Personal Information Management Systems (PIMS) die Einwilligungen der User verwalten können. Zudem soll die geplante Verordnung festlegen, welchen rechtlich organisatorischen Anforderungen die PIMS leisten müssen. Dass das Ganze technisch bereits möglich ist, zeigt ein jüngst vorgestellter Prototyp der Datenschutz NGO noyb.

Was steht im Entwurf?

Laut dem TTDSG muss die Bundesregierung das Anerkennungsverfahren für und die rechtlichorganisatorischen Anforderungen an PIMS noch durch eine Rechtsverordnung mit Zustimmung des Bundestags und des Bundesrats festlegen. Das BMDV arbeitet daran mit diesem Entwurf, der noch mit Wirtschaftsverbänden und den anderen Ressorts abgestimmt werden muss.

Der Entwurf sieht vor, dass ein Dienst zur Einwilligungsverwaltung transparente Verfahren anbieten soll, die es dem User ermöglichen, die Einwilligung zur Speicherung von Daten und den Zugriff auf Informationen einfach zu erklären und zu verwalten.

Im Entwurf heißt es außerdem, dass keine Voreinstellungen zu den Einwilligungsabfragen getroffen werden dürfen und die User dürfen durch die Ausgestaltung und durch die Text nicht „in eine bestimmte Richtung beeinflusst“ werden. Dies soll bestimmte Design-Tricks verhindern, wie „Dark Patterns“, die geeignet sind, „typische Verhaltensweisen wie etwa die Ungeduld der Endnutzer auszunutzen“. Außerdem soll die Entscheidung zur Erteilung oder Ablehnung eines Opt-ins „gleichberechtigt nebeneinanderstehen“.

Anwender einschlägiger Dienste können dem Entwurf nach „generelle Einwilligungen geordnet nach Kategorien für bestimmte Zugriffe auf Endeinrichtungen und Gruppen von Telemedienanbietern erteilen“.
Über den Inhalt der in den Kategorien erfassten Webseiten muss der User „in verständlicher Weise aufgeklärt werden“, um gegebenenfalls einzelne Angebote ablehnen zu können. Spätestens nach einem halben Jahr soll eine Erinnerung an die Einstellungen und deren Überprüfung erfolgen.

Der Anbieter eines Einwilligungs-Managements muss sich vom Bundesdatenschutzbeauftragten anerkennen
lassen und glaubhaft zeigen, dass er unabhängig ist und „kein wirtschaftliches Eigeninteresse“ an der Erteilung der Einwilligung und an den verwalteten Daten hat. Außerdem muss er ein Sicherheitskonzept vorlegen. Gefragt sind hier neutrale Vermittler, deren Angebote aber nicht kostenfrei sein müssen.

Wie soll der Dienst zur Einwilligungsverwaltung funktionieren?

Dem Entwurf zufolge soll ein entsprechendes Programm oder eine Anwendung ein Signal etwa per httpRequest über den Browser an die Endeinrichtung des Telemedienanbieters übermitteln. Damit wird über die Nutzung des anerkannten Dienstes informiert und dem Webseitenbetreiber ermöglicht die vorgenommenen Einstellungen abzurufen.

Browser-Hersteller müssen die Einbindung solcher Services erlauben und Anbieter von Telemedien sollen verpflichtet werden, die Integration anerkannter Dienste durch „technische und organisatorische Maßnahmen“ zu berücksichtigen.

Einfach gesagt: Die User sollen mehr Kontrolle über ihre Daten erhalten. Sie sollen mehr selber entscheiden können und das v.a. einfach und zentral. Die Idee ist, dass man einem System oder einem Plug-in seine persönlichen Präferenzen einmal mitteilt und dass dieses Tool (PIMS) es dann übernimmt diese Entscheidungen allen möglichen Webseiten, die man besucht, zu übermitteln.

Das Ganze muss natürlich rechtlich abgesichert und technische standardisiert sein. Die Bundesregierung arbeitet aktuell daran diese Absicherungen und Standards zu setzen.

Kritik

Anbietern von digitalen Diensten wie Telemedien oder Smart Devices dürften, bei Inkrafttreten der Verordnung nicht mehr versuchen, per Cookie die Einwilligung zur Datenverarbeitung zu erhalten. Jeglichem Tracking werden User mit dem Vorschlag jedoch nicht entgehen, denn Anbieter sollen die User im Falle einer Werbefinanzierung, was die Nutzung von Cookies notwendig macht, auf ein „kostenpflichtiges Alternativangebot“ (z.B. Abo o. Premium-Dienst) verweisen dürfen.

Der Bundesverband Digitale Wirtschaft (BVDW) e.V. begrüßt den EU-weit einmaligen und zukunftsweisenden Ansatz, PIMS als einen der wahrscheinlich elementaren Grundpfeiler zukünftigen Handelns und Wirkens von (analogen und digitalen) Identitäten in digitalen Räumen einen rechtlichen Rahmen zu geben. Die zentrale Einbindung des Bundesdatenschutzbeauftragten (BfDI) und damit die Bündelung von Entscheidungs-Kompetenz in einer Aufsichtsbehörde wird ebenfalls positiv bewertet.

Kritisch wird jedoch gesehen, dass der Entwurf Verbraucher- und Wirtschaftsinteressen nicht praxistauglich in ein ausgewogenes Verhältnis bringt. Er gibt keine ausreichenden Antworten auf die zahlreichen technischen und rechtlichen Herausforderungen, die mit der Regulierung einhergehen und berücksichtit nur unzureichend die voraussichtlich erheblichen Mehraufwendungen, die auf die Unternehmen der Digitalen Wirtschaft wie auf die zukünftig erforderlichen koordinierenden Behörden zukommen könnten.

Der Entwurf sieht zudem ausschließlich wirtschaftsferne Organisationen als mögliche legitime Anbieter von PIMS vor. Unabhängig von der dahinterliegenden politischen Grundannahme, befürchtet der BVDW dadurch eine weitgehend undifferenzierte Ablehnung von Datenverarbeitungen. Die pauschale Befolgungspflicht für Anbieter von digitalen Diensten nimmt den Nutzerinnen und den Nutzern faktisch die Möglichkeit, einzelnen Anbietern ihr Vertrauen in Form einer eindeutigen Einwilligung auszusprechen. Dies wäre aus Sicht der Datenökonomie und aus Sicht der Informationellen Selbstbestimmung der Nutzerinnen und Nutzer ein großer Rückschritt, meint der BVDW.

Fazit:

Technisch gesehen ist bereits vieles vorhanden, um Cookie-Banner aus unserem Alltag zu verbannen. Prototypen von PIMS gibt es schon. Ob Cookie-Banner damit aber bald ganz verschwinden, ob sich damit digitale Geschäftsmodelle noch lohnen, weil viele Webseitenanbieter sich über personalisierte Werbung finanzieren und ob dieser Entwurf wirklich eine digitale Revolution einleitet, muss sich zeigen. Es kommt am Ende darauf an, wie sauber die Verordnung ausgearbeitet wird und wie genau auf die technischen und rechtlichen Fragen eingegangen wird. Und ganz ohne Banner wird es vermutlich auch in Zukunft nicht gehen.