© dolgachov / 123RF.com
Mit jahrelanger Verspätung macht Deutschland die Cookie-Einwilligung zur Pflicht. Die Verordnung zu Einwilligungsdiensten lässt noch auf sich warten.
Betreiber von Telemediendiensten müssen ab sofort bei der Speicherung von Cookies und beim Zugriff auf gespeicherte Daten auf Endgeräten die Einwilligung der Nutzer einholen. Das sieht das sogenannte Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG [1]) vor, das am 1. Dezember 2021 in Kraft getreten ist. Ausnahmen erlaubt das Gesetz nur, wenn deren alleiniger Zweck “die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist” oder wenn das “unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann”.
Mit dem TTDSG setzt die Bundesregierung mit jahrelanger Verspätung die sogenannte E-Privacy-Richtlinie der EU um. Diese Umsetzung wurde auch deswegen notwendig, weil die sogenannte E-Privacy-Verordnung, die eigentlich die Richtlinie implementieren sollte, bislang auf sich warten lässt. Beobachter schließen nicht aus, dass sie überhaupt nicht mehr kommt.
Nach Auskunft des hamburgischen Datenschutzbeauftragten [2] bereitet die Datenschutzkonferenz (DSK) derzeit eine neue Orientierungshilfe für Telemedienanbieter zum Anwendungsbereich des TTDSG vor. Sie soll unter anderem die Frage klären, wann genau der Betreiber eine Einwilligung des Nutzers gemäß Paragraf 25 des Gesetzes einholen muss.
In der Praxis dürfte sich durch das Inkrafttreten des Gesetzes wenig ändern. Nach einem Urteil des Bundesgerichtshofs (Abbildung 1) vom Mai 2020, das eine ausdrückliche Zustimmung der Nutzer zum Setzen von Werbe-Cookies verlangte, haben die meisten Webseitenbetreiber ihre Zustimmungssysteme bereits nach den Erfordernissen der EU-Datenschutzgrundverordnung (DSGVO) angepasst (Abbildung 1).
Abbildung 1: Der Bundesgerichtshof in Karlsruhe hatte die Zustimmung zu Werbe-Cookies verlangt. Quelle: Joe Miletzki
Verordnung noch 2022?
Ein wichtiger Aspekt des Gesetzes wird jedoch noch nicht umgesetzt. Das betrifft sogenannte anerkannte Dienste zur Einwilligungsverwaltung, die unter anderem “nutzerfreundliche und wettbewerbskonforme Verfahren und technische Anwendungen zur Einholung und Verwaltung der Einwilligung haben”. Das meint Cookie-Manager, Personal Information Management Services (PIMS) oder Single-Sign-on-Dienste wie Verimi, NetID oder ID4me.
Per Rechtsverordnung will die Regierung die Anforderungskriterien für solche Dienste bestimmen. Erste Fachanhörungen hat das Bundeswirtschaftsministerium bereits in die Wege geleitet. Auf Basis dieser Gespräche könnte es im Frühjahr 2022 einen ersten Verordnungsentwurf geben, mit einer Veröffentlichung wäre dann noch im Lauf des Jahres zu rechnen.
VZBV fordert Standard
Der Verbraucherzentrale Bundesverband (VZBV) hat Anfang November erste Anforderungen an diese Dienste aus Sicht des Verbraucherschutzes formuliert. Darin spricht sich der Verband dafür aus, “eine technische Spezifikation zu entwickeln, mit der Verbraucher ihre Einwilligung, deren Widerruf sowie generelle Widersprüche gegen die Datenverarbeitung für spezifische Verarbeitungszwecke gegenüber Telemedienanbietern (wie beispielsweise Webseiten) signalisieren können”.
Auf Basis einer solchen offenen technischen Spezifikation könnten die Betreiber verschiedene Dienste zur Einwilligungsverwaltung entwickeln und den Nutzern anbieten. Dazu sollten auch Browser-Erweiterungen zählen, fordern die Verbraucherschützer. Der Anwender müsse die Einwilligungen ebenso leicht ablehnen und widerrufen können, wie er sie erteilt, heißt es weiter. Pauschale Einwilligungen für diverse Zwecke oder für eine Vielzahl datenverarbeitender Stellen seien nicht mit der DSGVO vereinbar.
In diesem Sinne sei auch eine Konzeptionierung der Dienste zu bevorzugen, bei denen die Einwilligungsverwaltung allein auf den Endgeräten der Nutzer erfolge. Das soll ausschließen, dass zusätzliche Stellen verarbeiten, welche Webseiten die Nutzer besuchen. Zudem sollten die Anwender nach dem Willen der Verbraucherschützer ihre Einstellungen exportieren und zu anderen Diensten übertragen können, um Lock-in-Effekte zu vermeiden.
Die Anerkennung solcher Dienste setzt laut TTDSG unter anderem voraus, dass sie “kein wirtschaftliches Eigeninteresse an der Erteilung der Einwilligung und an den verwalteten Daten haben und unabhängig von Unternehmen sind, die ein solches Interesse haben können”. Das schließt Firmen wie Facebook oder Google praktisch als Anbieter von Single-Sign-on-Diensten nach dem TTDSG aus. Aber auch an Angeboten wie Verimi oder dem als Stiftung organisierten NetID beteiligen sich beispielsweise deutsche Verlage, die die Produkte auch auf ihren eigenen Webseiten nutzen wollen. Auf Anfrage hieß es zur Verabschiedung des TTDSG aus der SPD-Fraktion, dass die Stiftungen wirtschaftlich völlig unabhängig von den Firmen sein müssten. (uba)
Infos
