© everythingpossible / 123RF.com

Die deutsche Bundesregierung will eine pauschale Ablehnung von Tracking durchsetzen. Die Pläne gefallen der Wirtschaft gar nicht.

Die IT- und Werbewirtschaft ist unzufrieden mit der geplanten Regelung für sogenannte Dienste zur Einwilligungsverwaltung im Internet. “Der Entwurf gibt keine Antworten auf die zahlreichen technischen und rechtlichen Herausforderungen, die mit der Regulierung einhergehen”, kritisierte der Bundesverband Digitale Wirtschaft (BVDW) Ende August in einer Pressemitteilung [1]. Zwar hat das Bundesdigitalministerium den Entwurf der geplanten Einwilligungsverwaltungsverordnung noch nicht veröffentlicht, doch erste Details wurden bereits bekannt.

Hintergrund der Regulierung ist das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG), das am 1. Dezember 2021 in Kraft trat. Es sieht in Paragraf 26 die Schaffung “anerkannter Dienste zur Einwilligungsverwaltung” vor, die unter anderem “nutzerfreundliche und wettbewerbskonforme Verfahren und technische Anwendungen zur Einholung und Verwaltung der Einwilligung haben”. Damit sind Cookie-Manager, Personal Information Management Services (PIMS) oder Single-Sign-on-Dienste wie Verimi, NetID oder ID4me gemeint.

Bestimmte Vorgaben für solche Dienste formuliert das Gesetz direkt. So ist für deren Anerkennung unter anderem erforderlich, dass sie “kein wirtschaftliches Eigeninteresse an der Erteilung der Einwilligung und an den verwalteten Daten haben und unabhängig von Unternehmen sind, die ein solches Interesse haben können”. Das schließt Firmen wie Facebook oder Google praktisch als Anbieter von Single-Sign-on-Diensten nach dem TTDSG aus. Inwieweit das bei Anbietern wie NetID der Fall ist, scheint unklar, denn dahinter stehen Medienunternehmen wie RTL, ProSiebenSat1, der Axel-Springer-Verlag sowie Dutzende Lokalzeitungen, die ein Interesse an solchen Daten haben könnten.

Einwilligung nach Kategorien

Einem Bericht des Tagesspiegels [2] zufolge enthält die 21-seitige Verordnung Anforderungen an die Nutzerfreundlichkeit, Wettbewerbskonformität und technische Anwendung der Dienste. Laut Heise.de [3] können Nutzer “generelle Einwilligungen geordnet nach Kategorien für bestimmte Zugriffe auf Endeinrichtungen und Gruppen von Telemedienanbietern erteilen”. Über den Inhalt der darunter erfassten Webseiten müssten die Anwender “in verständlicher Weise aufgeklärt werden”, um gegebenenfalls einzelne Angebote ausnehmen zu können. Spätestens nach sechs Monaten soll eine Erinnerung an die Einstellungen und deren Überprüfung erfolgen.

Das bedeutet jedoch nicht, dass Webseitenbetreiber nicht doch um eine konkrete Einwilligung bitten können. So könnten sie darauf hinweisen, dass sich eine Webseite “ganz oder teilweise durch Werbung finanziert”, sodass Cookies notwendig seien. In diesem Fall wäre es zulässig, auf ein “kostenpflichtiges Alternativangebot” zu verweisen oder den Nutzer “zur Änderung seiner Voreinstellungen beim Dienst zur Einwilligungsverwaltung” aufzufordern, berichtete Heise.de.

Laut der Begründung will das Bundesdigitalministerium unter Volker Wissing (FDP) so dem Umstand Rechnung tragen, “dass ein Großteil der für die Endnutzer angebotenen Dienste im Internet kostenlos” bereitsteht und sich über Werbung refinanziert, “die auf dem Einsatz von Cookies und ähnlichen Tracking-Technologien” basiert.

Konkrete Einwilligung

Diese Möglichkeit genügt der Digitalwirtschaft jedoch nicht, denn die Regelung bedeutet, dass Anbieter ohne “kostenpflichtige Alternativangebote” die Voreinstellungen akzeptieren müssen und nicht mehr individuell um eine Einwilligung zum Tracking bitten dürfen. “Dies ist umso fragwürdiger, da der Gesetzgeber in den letzten Jahren zunehmend darauf hingewirkt hat, die Einwilligung als Rechtsgrundlage für Datenverarbeitung zu forcieren und nun deren Einholung quasi untersagen will”, kritisiert der BVDW und fügt hinzu: “Dieser unmittelbare Einschnitt in die direkte Beziehung zwischen Konsumenten und Unternehmen erscheint nicht nur rechtssystematisch kritisch.”

Auch dem Zentralverband der deutschen Werbewirtschaft (ZAW) gefällt das gar nicht. Die Verordnung stelle die Anbieter “weitgehend schutzlos, weil sie ihnen kein eigenes Einwilligungsmanagement mehr zugesteht, Kundenbeziehungen weitgehend kappt und den rechtlich fundierten Vorrang individuell erteilter Einwilligungen vor generellen Einwilligungsmanagern nicht kennt”, sagte ZAW-Hauptgeschäftsführer Bernd Nauen dem Tagesspiegel.

Wenn die Anbieter die pauschalen Einstellungen der Nutzer akzeptieren müssen, wäre das “aus Sicht der Datenökonomie und besonders aus Sicht der informationellen Selbstbestimmung der Nutzerinnen und Nutzer nicht der große Wurf, sondern ein großer Rückschritt”, moniert der BVDW. Sollte sich die Wirtschaft mit ihren Forderungen durchsetzen, würde die Cookie-Banner-Flut auf Webseiten wohl eher nicht eingedämmt.

Keine Dark Patterns

Positiver beurteilen hingegen Datenschützer die Pläne. So begrüßte dem Bericht zufolge Frederick Richter, Vorstand der Stiftung Datenschutz, “dass Anforderungen an die Nutzerfreundlichkeit im Entwurf an erster Stelle stehen. Denn nur nutzungsfreundliche Einwilligungsdienste werden Erfolg haben”. Zudem sei kein Nudging der Nutzer, also eine Beeinflussung in eine gewisse Richtung, durch eine tendenziöse Ausgestaltung der Abfragemaske erlaubt.

Solche Praktiken sind auch als Dark Patterns (Abbildung 1) bekannt. Die Möglichkeiten zum Erteilen oder Ablehnen eines Opt-ins sollen laut Heise “gleichberechtigt nebeneinander stehen”. Inzwischen gehen aber selbst Anbieter wie Google und dessen Videodienst Youtube dazu über, Ablehnung und Zustimmung gleichberechtigt mit einem Mausklick zu ermöglichen.

Abbildung 1: Dark Patterns: Der Anbieter lässt nur eine offensichtliche Antwortmöglichkeit. Quelle: VZBV

Zweifel beim VZBV

Ebenfalls kritisch äußerten sich die Verbraucherschützer zu dem Entwurf. Es sei zweifelhaft, ob der Entwurf das Ziel erreiche, mit Einwilligungsdiensten “eine echte, nutzer- und wettbewerbsfreundliche Alternative zu den lästigen Einwilligungsbannern zu bieten”, sagte Lina Ehrig vom Verbraucherzentrale Bundesverband (VZBV) auf Anfrage. So sei es aus Sicht der Nutzer wichtig, dass Einwilligungsdienste ermöglichen könnten, “generelle Einwilligungen oder Ablehnungen für bestimmte Arten von Telemedienanbietern (Suchmaschinen, Nachrichtenseiten, Einkaufen, soziale Medien) zu erteilen”.

Dazu Ehrig: “Hier müssen wir genau schauen, ob die Anforderungen an eine datenschutzkonforme Einwilligung auch erfüllt sind.” Weiter sehr kritisch sei die Ausnahme für werbefinanzierte Webseiten.

Aus Sicht des VZBV ist für einen Erfolg von Einwilligungsdiensten entscheidend, dass Telemedienanbieter den über die Einwilligungsdienste signalisierten Entscheidungen der Nutzer Folge leisten müssen. Das bedeutet laut Ehrig: “Nicht alleine die Erteilung von Einwilligungen über Einwilligungsdienste darf die Anzahl der Cookie-Banner reduzieren. Dies muss auch die Folge bei einer bekundeten Ablehnung über einen Einwilligungsdienst sein.”

Bis der Verordnungsentwurf verabschiedet wird, dürfte es aber einige Zeit dauern. Nach der Ressortabstimmung ist eine Verbändeanhörung vorgesehen. Zudem müssen nach dem Kabinettsbeschluss noch Bundestag und Bundesrat zustimmen. Auch eine Notifizierung bei der EU-Kommission soll erforderlich sein.