Neues Datenschutzgesetz: Naht die Erlösung von der Cookie-Banner-Flut?
Im Dezember tritt das TTDSG für die Privatsphäre in der digitalen Kommunikation in Kraft, das Cookie-Verwalter wie PIMS ermöglicht. Die Folgen sind umstritten.
(Bild: Datenschutz-Stockfoto/Shutterstock.com)
Von Dezember an gibt es hierzulande mit dem Inkrafttreten des Gesetzes zum Datenschutz in der Telekommunikation und bei Telemedien (TTDSG) erstmals rechtliche Vorgaben für Dienste, mit denen Verbraucher ihre Einwilligung in das Setzen von Cookies durch Webseitenbetreiber und damit verknüpfte Datenverarbeitungen verwalten können sollen. In Betracht kommen dafür etwa "Personal Information Management Systems" (PIMS) oder Single-Sign-on-Lösungen. Beobachter erhoffen sich davon teils eine "Erlösung" von der aktuellen Flut an Cookie-Bannern. Experten sind größtenteils skeptischer.
PIMS & Co
Die Auswirkungen des TTDSG hingen ganz davon ab, wie dieses interpretiert werde, erklärte Florian Glatzner vom Bundesverband der Verbraucherzentralen (vzbv) am Mittwoch auf dem Datentag der Stiftung Datenschutz in Berlin. Sollten generelle Widersprüche etwa im Werbetracking damit anerkannt werden, könnten Verbraucher größtenteils aufatmen. In diesem Fall müssten die werbetreibende Wirtschaft und Portalbetreiber wie Verleger aber auch eine derart technisch ausgedrückte Ansage akzeptieren. Sie dürften die Nutzerinnen und Nutzer also nicht trotzdem weiter mit Cookie-Bannern bombardieren.
Das Anerkennungsverfahren für PIMS & Co. muss die Bundesregierung laut dem TTDSG noch durch eine Rechtsverordnung mit Zustimmung des Bundestags und des Bundesrats festlegen. Darin sollen auch detaillierte technische und organisatorische Maßnahmen getroffen werden.
Glatzner plädierte hier im Sinne einer Stellungnahme des vzbv dafür, dass der Rahmen möglichst viele unterschiedliche Dienste einschließen sollte. Der Nutzer müsse selbst entscheiden können, ob er etwa dem Modell von Max Schrems auf Basis eines Advanced Data Protection Protocol oder einer kommerziellen Login-Lösung mehr vertraue.
Der Verbraucherschützer gab zu bedenken, dass mit dem TTDSG erst die bereits in die Jahre gekommene Richtlinie für den Datenschutz in der elektronischen Kommunikation umgesetzt werde. Die weitergehende E-Privacy-Verordnung stehe noch aus. Hier habe der Ministerrat die Klausel für datenschutzfreundliche Voreinstellungen im Browser gestrichen, während das EU-Parlament auf eine solche Möglichkeit zur "Signalisierung" von Entscheidungen dränge. Hier müsse nun genauso der finale Kompromiss abgewartet werden wie beim parallel geplanten Data Governance Act mit seinen Vorgaben für Treuhänder.
"Vertrauenswürdige Umgebung" schaffen
Da eine Einwilligung schon aufgrund der Datenschutz-Grundverordnung (DSGVO) "meist zwingend" sei, bringen laut Michael Neuber aus dem Lobbybereich bei Google PIMS wenig Mehrwert. Er plädierte daher dafür, über technische Voreinstellungen wie eine weitgehende Pseudonymisierung von vornherein eine "vertrauenswürdige Umgebung" für die Verarbeitung anfangs personenbezogener Daten zu schaffen. Wichtig sei dabei eine "industrieweite Lösung, um trotzdem in HTTP die Nachvollziehbarkeit sicherzustellen".
Der Rechtsanwalt plädierte hier für den Google-Ansatz der Privacy Sandbox, um datenschutzfreundliche Techniken jenseits von Third-Party-Cookies zu entwickeln, die nicht vom eigentlichen Webseitenbetreiber direkt stammen und für übergreifendes Tracking genutzt werden. Bislang gebe es unter diesem Dach 30 Vorschläge wie das umstrittene FLoC für das das Verfolgen von Nutzern durch föderales Lernen. Im hauseigenen Browser Chrome finde sich daher schon keine Option mehr, dessen "Fingerprint" auszulesen und darüber Profile zu erstellen.
Bei PIMS warnte Neuber ferner, dass auch hier die Signale vom Managementsystem zum Browser sowie die Kommunikation mit anderen Webseiten und Servern abgesichert werden müsse. Dafür gebe es noch keinen Standard. So lasse sich bislang kaum klären, ob ein Einwilligungssignal "von Menschen eingeholt" worden und "valide sowie integer ist". Beim browserbasierten Standard "Do not Track" hätten mit der Zeit andere Akteure wie Provider und Routerhersteller die Voreinstellungen selbst getroffen, was sich nicht wiederholen dürfe.
Datengetrieben finanzieren
Google sei vielleicht nicht mehr auf Cookies angewiesen, meinte Bernd Nauen, Geschäftsführer des Zentralverbands der deutschen Werbewirtschaft (ZAW). Der Konzern habe andere Optionen, seinen Datenspeicher zu füllen. Für viele andere Unternehmen handle es sich aber um eine "sehr wichtige Technologie", um sich datengetrieben zu finanzieren und ihr Geschäft im Netz skalieren zu können. Wenn Google sich in eine andere Richtung weiterentwickeln wolle, sei dies "wunderbar". Eine Grenze werde aber erreicht, "wenn legitime Positionen anderer beschnitten werden".
Den Appell etwa aus dem EU-Parlament, zielgerichtete "spionierende" Werbung zu verbieten, tat Nauen als "Irrweg" ab. Dies würde nur zu einer größeren Flut "nicht relevanter" Anzeigen und zu mehr Bezahlinhalten führen, was der Allgemeinheit nicht gefallen würde. Kontextbezogene Werbung ohne Tracking sei keine ernstzunehmende Alternative. Auch das von Schrems vorgeschlagene Protokoll dürften viele Verbandsmitglieder dem Insider zufolge "nicht als Einwilligungsmanager wiedererkennen, die sie bisher vor Augen haben".
Prinzipiell arbeite die Branche an PIMS. Dabei sei aber darauf zu achten, dass diese "nicht nur zu Nutzerfreundlichkeit" tendierten. Zudem dürften die Anbieter solcher Programme nicht zu neuen Torwächtern werden.
"Toxische Geschäftsmodelle"
Auf "fundamentale Probleme" schon mit dem Modell der Einwilligung an sich verwies Malte Engeler, Richter am Schleswig-Holsteinischen Verwaltungsgericht. Die Hürden dafür seien zu niedrig, danach sei zudem alles freigegeben bis hin zur Verletzung des Wesensgehalts von Grundrechten. Selbst "toxische Geschäftsmodelle" wie die von Facebook ließen sich damit rechtfertigen. Ferner verfestige sich die Ungleichheit auf digitalem Wege, da vor allem ärmere Bevölkerungsteile verstärkt getrackt würden. Für den Juristen liegt es daher am Gesetzgeber, "kollektiven Rechtsschutz zu gewähren" und die Einwilligung für bestimmte Bereiche wie personenbezogene Werbung zu untersagen. Er sei hier etwa im Rahmen der E-Privacy-Verordnung für eine "klare, strenge, harte Regulierung", sodass ein Opt-in zu Profiling gar nicht mehr möglich sei. Nur so lasse sich verhindern, "dass wir uns überall Gedanken über Cookie-Banner machen müssen".
Eine Kollegin Engelers vom Verwaltungsgericht Regensburg, Kristin Benedikt, bezeichnete die Einwilligung als überbewertet. Die DSGVO und das TTDSG sähen viele Fälle vor, in denen für eine Datenverarbeitung eine andere Rechtsgrundlage greife. Gesetzlich geregelt sei inzwischen auch, dass der Nutzer für Dienste mit seinen Daten bezahlen könne. Mit PIMS böten sich so "ganz tolle Lösungen, um viele Szenarien aufzulösen". Die Zivilgerichte könnten dann prüfen, ob Unternehmen mit ihren Geschäftsmodellen "Nutzer über den Tisch gezogen" oder die Herausforderungen "sauber über die AGB gelöst haben".
Das Bundeswirtschaftsministerium habe derweil zunächst Fachkreise gebildet und ein Gutachten zu PIMS in Auftrag gegeben, erläuterte Rolf Bender aus dem federführenden Ressort. Es gebe noch viel Beratungsbedarf. Ziel sei es, einen ersten Entwurf für die Verordnung im 1. Quartal 2022 vorzulegen. Da dieser bei der EU-Kommission notifiziert werden müsse, sei mit einem Beschluss im Bundeskabinett im Herbst zu rechnen. In Kraft treten können die Regeln dann Ende 2022.
(kbe)
