Einwilligungsdienste: Wissing schwächt Cookie-Banner-Verordnung stark ab
Die Bundesregierung will Internetanbieter nicht dazu verpflichten, neue Dienste zu Tracking-Einstellungen von Nutzern einzubinden. Das geht aus dem Verordnungsentwurf zu sogenannten Einwilligungsdiensten hervor, den die Bundesregierung am 4. September 2024 beschlossen hat. "Die Einbindung von anerkannten Diensten zur Einwilligungsverwaltung durch Anbieter von digitalen Diensten erfolgt freiwillig" , heißt es in Paragraf 18 des 35-seitigen Entwurfs(öffnet im neuen Fenster) . Auch ein pauschales Ablehnen von Tracking-Cookies ist nicht vorgesehen.
Hintergrund der Regulierung ist das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) vor, das am 1. Dezember 2021 in Kraft trat und inzwischen in Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG) umbenannt wurde. Dieses sieht in Paragraf 26 die Schaffung "anerkannter Dienste zur Einwilligungsverwaltung" vor, die unter anderem "nutzerfreundliche und wettbewerbskonforme Verfahren und technische Anwendungen zur Einholung und Verwaltung der Einwilligung haben" . Damit sind Cookie-Manager, Personal Information Management Services (Pims) oder Single-Sign-On-Dienste wie Verimi, NetID oder ID4me gemeint.
Ein erster Entwurf der Verordnung kursierte bereits im August 2022 . Doch das Bundesdigitalministerium unter Volker Wissing (FDP) benötigte zwei weitere Jahre, um eine beschlussfähige Fassung herbeizuführen. Vor allem die Werbewirtschaft hatte die ursprünglichen Pläne scharf kritisiert.
Wissing will Cookie-Flut reduzieren
"Durch die Einbindung eines anerkannten Dienstes zur Einwilligungsverwaltung soll den Endnutzern ein transparentes Werkzeug zur Verfügung stehen, mittels dessen sie ihre Einwilligungen erteilen oder nicht erteilen und ihre Entscheidungen jederzeit nachvollziehen und überprüfen können" , heißt es in dem Entwurf. Ziel der Verordnung ist laut Wissing: "Wir wollen die Cookie-Flut reduzieren und ein angenehmeres Surferlebnis für die Nutzer ermöglichen."
Für die Anerkennung solcher Dienste ist die Bundesdatenschutzbeauftragte Louisa Specht-Riemenschneider zuständig. So ist für deren Anerkennung laut TDDDG unter anderem erforderlich, dass sie "kein wirtschaftliches Eigeninteresse an der Erteilung der Einwilligung und an den verwalteten Daten haben und unabhängig von Unternehmen sind, die ein solches Interesse haben können" . Das schließt Firmen wie Facebook oder Google praktisch als Anbieter von Einwilligungsdiensten aus.
Keine pauschalen Einstellungen zulässig
Mit Blick auf die praktische Umsetzung heißt es: "Der anerkannte Dienst zur Einwilligungsverwaltung speichert bei der erstmaligen Inanspruchnahme eines digitalen Dienstes durch den Endnutzer die hierzu getroffenen Einstellungen der Endnutzer." Generelle Einwilligungen nach Kategorien, wie sie noch der ursprüngliche Entwurf vorsah, sind nicht mehr enthalten.
In der Begründung heißt es: "Pauschale Voreinstellungen zu möglichen Einwilligungsanfragen des Anbieters von digitalen Diensten, die vom Endnutzer ohne Bezug zur konkreten Inanspruchnahme eines digitalen Dienstes getroffen werden, erfüllen nicht die Anforderungen an die Verwaltung von Einwilligungen ."
Sogenannte Dark Patterns sind nicht zulässig: "Die Einwilligung der Endnutzer darf nicht durch den Einsatz verhaltensbeeinflussender Gestaltungselemente gesteuert werden. Dies umfasst den Einsatz manipulativer Designs oder Prozesse, die Endnutzer zu einer Handlung überreden sollen." Die Überprüfung der Einstellungen "darf frühestens nach einem Jahr erfolgen, wenn der Endnutzer nicht eine andere Einstellung hierzu vorgesehen hat" .
Keine Einbindungspflicht
Zudem bleibt es den Webseitenanbietern selbst überlassen, ob sie die Dienste überhaupt in ihre Cookie-Abfragen einbinden. Zur Begründung heißt es in dem Entwurf: "Es wird davon ausgegangen, dass die Anbieter von digitalen Diensten freiwillig anerkannte Dienste zur Einwilligungsverwaltung einbinden, wenn solche Dienste von einer unabhängigen Stelle anerkannt wurden und sie hierdurch auf rechtssicherem Weg wirksame Einwilligungen nachfragen und erhalten können."
Weiter heißt es: "Zudem ist bei einer entsprechenden Nachfrage der Endnutzer, anerkannte Dienste zur Einwilligungsverwaltung bevorzugt zu nutzen, wenn sie angeboten werden, davon auszugehen, dass auch von Anbietern von digitalen Diensten ein Interesse besteht, anerkannte Dienste zur Einwilligungsverwaltung einzubinden. Das gilt insbesondere im Segment von neu gegründeten Digitalangeboten."
Der Bundesrat muss der Verordnung noch zustimmen. Sie tritt am ersten Tag des auf die Verkündung folgenden Quartals in Kraft.
Die Internetwirtschaft begrüßte die geplanten Regelungen. "Der Entwurf zur TDDDG-Verordnung berücksichtigt eines der wesentlichen Prinzipien der marktwirtschaftlichen Grundordnung: die Freiheit wirtschaftlicher Betätigung und unternehmerische Wahlfreiheit" , sagte der Vizepräsident des Bundesverbands Digitale Wirtschaft (BVDW), Moritz Holzgraefe, auf Anfrage von Golem.de.
Jedoch seien nach wie vor Rechtsunsicherheiten vorhanden, unter anderem durch unpräzise Regelungen. "Dies betrifft unter anderem die technische Umsetzbarkeit, zum Beispiel zur Signalverarbeitung, sowie die Handhabung bei mehrfachen Einwilligungen und entsprechenden Konflikten" , sagte Holzgraefe.
Er kritisierte zudem den nationalen Sonderweg, den Deutschland mit der Verordnung beschreite. "Digitale Angebote und Dienste sind jedoch nicht national verankert, sondern überschreiten Grenzen. Ob das am Ende die informationelle Selbstbestimmung im Internet stärkt und Deutschland damit zum Vorbild digitaler Gesetzgebung wird, wage ich zu bezweifeln" , sagte der BVDW-Vize.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.