Auf nahezu jeder Webseite, die ein Nutzer erstmals besucht, erscheint es: Ein Cookie-Banner, das den Zugriff auf die eigentlich gewollten Inhalte der Website zunächst einmal sperrt. Das Cookie-Banner ist zumeist lästig, wenn es auch einen wichtigen Zweck erfüllt: Es schützt unsere Selbstbestimmtheit über die Verarbeitungsprozesse im Internet. Aber muss dafür auf jeder Website eine Flut an Informationen auf uns einprasseln? Womöglich ändert sich das bald: Nach dem Entwurf für eine Einwilligungsverwaltungsverordnung (EinwVO-E) kommen bald „PIMS“, die das Cookie-Banner auf jeder Website ersetzen. Für Publisher und Online-Vermarkter heißt es jetzt aufgepasst: Der Entwurf ist höchst kritisch zu bewerten (übrigens auch aus Nutzersicht).
Anbieter von Webseiten, Apps und anderen Telemedien benötigen die Einwilligung ihrer Nutzer, wenn sie auf deren Endgeräte zugreifen wollen, Informationen auslesen und Daten etwa für personalisierte Werbung verarbeiten. Nur, wenn das jeweilige Tool unbedingt erforderlich zum Ausspielen des Dienstes ist, kann auf die Einwilligung verzichtet werden. Diese auf eine EU-Richtlinie zurückgehende Regelung in § 25 Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) ist Grund für die Cookie-Banner, die auf jeder Webseite erscheinen.
Gibt es da nicht eine bessere Lösung als unzählige Cookie-Banner, die den Zugriff auf die Seiten und Dienste erstmal verhindern? Nutzerfreundlich ist das kaum, obwohl es doch gerade die Selbstbestimmtheit der Nutzer schützen soll.
Das hat auch der Gesetzgeber gesehen und bei Verabschiedung des TTDSG im Juni 2021 die Grundlage gelegt: Personal Information Management Systeme, kurz „PIMS“, sollten die Lösung werden. Der Gesetzgeber hat die Basis dafür in § 26 TTDSG gelegt und die nähere Ausgestaltung einer Rechtsverordnung überantwortet. Diese Rechtsverordnung liegt inzwischen im Entwurf vor. Und ist enttäuschend. Aber fangen wir vorne an:
Personal Information Management Systems (PIMS) als anerkannte Dienste
Die geplante Verordnung soll einen Regelungsrahmen schaffen, mit dem sich PIMS-Anbieter als anerkannte Dienste akkreditieren lassen können. PIMS werden dann im Browser des Nutzers verankert und sollen eine zentrale, generelle Einstellung ermöglichen, ob etwa ein Nutzer personenbezogene Werbung wünscht oder bestimmten Analysetools zustimmt. Webseiten, Apps etc. sollen verpflichtet werden, diese Einstellungen zu berücksichtigen, solange sie von eine akkreditierten PIMS ausgegeben werden. Nutzer könnten so sicherstellen, dass die einzelnen Angebote keine gesonderten Cookie-Banner mehr ausspielen, für ein störungsfreies Surf-Erlebnis.
Ziel der PIMS ist es also, dass Nutzer lediglich einmalig entscheiden und dann surfen, ohne auf jeder Webseite ein Cookie-Banner anklicken zu müssen. Aber funktionieren derart generelle Einwilligungen? Dies wird eine Herausforderung für PIMS-Anbieter, die zumindest eine Kategorisierung von Webseiten vorsehen sollten. Denn auf einer Blog-Seite mit privatem Engagement und der Zeitungsseite mit redaktionellen Inhalten wird ein Nutzer womöglich der personalisierten Werbung zustimmen wollen, um deren Refinanzierung zu unterstützen, während er das bei E-Commerce-Anbietern womöglich nicht möchte. In der EinwVO-E ist daher auch angelegt, dass Einzeleinwilligungen für bestimmte Webseiten bzw. Apps etc., bestimmte Tools oder eben alternativ Gruppen möglich sein sollen (vgl. insb. § 3 EinwVO-E). Dies in verständlicher, nutzerfreundlicher und für den Durchschnittsnutzer handhabbarer Form umzusetzen wird eine Herausforderung.
Hohe Umsetzungshürden für PIMS- und Telemediendienste
Ob sich dem eine ausreichende Anzahl von Anbietern im Markt stellen werden, bleibt abzuwarten: PIMS-Anbieter werden nur dann akkreditiert, wenn sie unabhängig von den Interessen von Webseitenanbietern etc. agieren, PIMS-Angebote von Google & Co. würden also nicht akkreditiert. Wie aber sollen sich PIMS-Anbieter dann refinanzieren? Gibt es eine Zahlungsbereitschaft der Nutzer für ein solches Angebot?
Der Akkreditierungsvorgang von PIMS-Diensten ist in §§ 6-8 EinwVO-E geregelt. Dabei wird ein umfassendes und bürokratisch aufwändiges Sicherheitskonzept gefordert. Wie genau die Bereitstellung der Information durch die Telemediendienste organisiert werden soll, ist noch offen. Dies wird technische Herausforderungen mit sich bringen, zumal die Angebote „systemoffen“ sein müssen, also mit allen auf dem Markt tätigen Diensten und Browsern kompatibel (§10 Abs. 3 EinwVO-E).
Einwilligungsnachweis
Jenseits der praktischen Umsetzbarkeit auf Seiten von PIMS-Anbietern wie auf Seite der Website- und App-Anbieter ist eine weitere Regelung in der EinwVO-E zu begrüßen, die auch jenseits von PIMS-Angeboten Auswirkungen haben könnten: § 11 EinwVO-E regelt, dass Website- und App-Anbieter das Vorliegen einer wirksamen Einwilligung dadurch nachweisen könnten, indem sie darlegen, dass ihnen die erforderliche Einwilligung über einen PIMS-Anbieter zugestellt wurden und sie zuvor dem PIMS-Anbieter die für eine wirksame Einwilligung notwendigen Informationen zur Verfügung gestellt hatten. In der Begründung heißt es sodann, dass der Nachweis während des Zugriffs vorliegen muss und durch einen Prozessnachweis geführt werden kann (Dokumentation des Einwilligungs-Workflows). Eben dies stützt die etablierte Praxis: Nachgewiesen wird auch heute regelmäßig nicht die Einwilligung eines konkreten Nutzers, sondern schon aus Gründen der Datenminimierung nur, dass prozessual ohne Einwilligung eine Nutzung bzw. die konkrete Verarbeitung nicht möglich sein wird.