Nutzertracking: Koalition will Cookie-Manager und Login-Dienste anerkennen

Die Koalition will die Rechte der Nutzer beim Einsatz von Cookies und Trackingverfahren durch Internetdienste stärken. Das geht aus einem Änderungsantrag (PDF) der Fraktionen von Union und SPD zum sogenannten Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) vor, das am Donnerstag vom Bundestag beschlossen werden soll. Demnach will die Regierung bestimmte Dienste anerkennen, die unter anderem "nutzerfreundliche und wettbewerbskonforme Verfahren und technische Anwendungen zur Einholung und Verwaltung der Einwilligung haben".

Einen entsprechenden Vorschlag für solche Einwilligungsdienste hatte bereits das Bundeswirtschaftsministerium in seinem Referentenentwurf gemacht. Doch in dem vom Bundeskabinett im vergangenen Februar beschlossenen Entwurf fand sich dieser Passus nicht mehr. Nun soll ein neuer Paragraf 26 in das TTDSG eingefügt werden.

PIMS und Single-Sign-on-Dienste betroffen

Mit den geplanten Einwilligungsdiensten sind Cookie-Manager, Personal Information Management Services (PIMS) oder Single-Sign-on-Dienste wie Verimi, NetID oder ID4me gemeint. "Beispiele für solche Dienste sind etwa von Unternehmen als unabhängige Stiftung organisierte Einrichtungen, die sogenannte Single-Sign-on-Lösungen für die in der Stiftung zusammengeschlossenen Unternehmen anbieten, über die Nutzer ihre Einwilligung organisieren können", heißt es in der Begründung.

Für die Anerkennung solcher Dienste ist jedoch erforderlich, dass sie "kein wirtschaftliches Eigeninteresse an der Erteilung der Einwilligung und an den verwalteten Daten haben und unabhängig von Unternehmen sind, die ein solches Interesse haben können". Offenbar ist die Koalition der Ansicht, dass dies bei Anbietern wie NetID der Fall ist, obwohl diese von Medienunternehmen wie RTL, ProSiebenSat1, dem Axel-Springer-Verlag sowie Dutzenden Lokalzeitungen getragen werden.

Der Axel-Springer-Verlag will beispielsweise das Angebot NetID Professionell nutzen. "Dies ermöglicht die gezielte und geräteübergreifende Aussteuerung von Inhalten und Werbung unter Berücksichtigung der vom Nutzer gegebenen Einwilligungen", sagte der Verlag im April 2020. Auf Anfrage von Golem.de hieß es aus der SPD-Fraktion, dass die Stiftungen wirtschaftlich völlig unabhängig von den Firmen sein müssten. Details würden in der geplanten Rechtsverordnung geregelt.

Anforderungen werden per Verordnung bestimmt

Die Dienste dürfen demnach die personenbezogenen Daten der Nutzer nicht für andere Zwecke als die Einwilligungsverwaltung verarbeiten. Zudem müssen sie ein "Sicherheitskonzept vorlegen, das eine Bewertung der Qualität und Zuverlässigkeit des Dienstes und der technischen Anwendungen ermöglicht".

Per Rechtsverordnung will die Regierung die Anforderungskriterien bestimmen. Welche Behörde diese überprüft und Anerkennung erteilt, steht noch nicht fest. Ursprünglich war der Bundesdatenschutzbeauftragte dafür vorgesehen.

Ebenfalls soll die Verordnung mit "technischen und organisatorischen Maßnahmen" dafür sorgen, dass Internetbrowser nur dann Cookies auf Endgeräten abspeichern oder auslesen, wenn Nutzer ihre Einwilligung dazu gegeben haben. Auch Internetanbieter müssen demnach die Einstellungen der Nutzer und deren Einwilligungen beachten. Nach Ansicht der Koalition muss das Gesetz selbst nicht bei der EU-Kommission zur Notifizierung vorgelegt werden, wohl aber die geplante Verordnung. Das Gesetz soll zum 1. Dezember 2021 in Kraft treten.

Cookies nur noch mit Einwilligung

Mit dem TTGSG setzt die Bundesregierung mit jahrelanger Verspätung die sogenannte E-Privacy-Richtlinie der EU um. Künftig ist das Speichern von Cookies nur noch erlaubt, wenn die Endnutzer darüber gemäß der EU-Datenschutz-Grundverordnung (DSGVO) informiert wurden und sie eingewilligt haben. Laut Paragraf 25 (vorher 24) ist die Speicherung von Informationen auf Endgeräten oder der Zugriff darauf nur zulässig, "wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat". Die Einwilligung muss nach den Vorgaben der DSGVO erfolgen.

Ausnahmen sind zulässig, wenn deren alleiniger Zweck "die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist" oder wenn dies "unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann".

Nachtrag vom 20. Mai 2021, 12:20 Uhr

Der Bundestag votierte am Donnerstag mit den Stimmen der Fraktionen von Union und SPD für das Gesetz. AfD, FDP und Linke stimmten dagegen, die Grünen enthielten sich.