Neue Regeln: So will das Digitalministerium die Cookie-Banner-Flut bändigen
Die ermüdende Online-Praxis, mit Cookie-Bannern Einwilligungen in Datenverarbeitungen einzuholen, soll mit speziellen Diensten überwunden werden.
(Bild: Bernd Weißbrod/dpa)
Die Flut an Cookie-Bannern, mit denen die Betreiber der meisten Webseiten momentan Einwilligungen im Sinne der Datenschutz-Grundverordnung (DSGVO) einholen müssen, überfordert die meisten Nutzerinnen und Nutzer. Zu diesem Ergebnis kommt das Bundesministerium für Digitales und Verkehr (BMDV) und will nun mit einem heise online vorliegenden Entwurf für eine "Einwilligungsverwaltungs-Verordnung" etwas daran ändern. Durch die Einbindung anerkannter Dienste soll damit bald eine "anwenderfreundliche Alternative" zur Verfügung stehen, die Verbraucher "von vielen Einzelentscheidungen entlastet".
Mit dem Gesetz zum Datenschutz in der Telekommunikation und bei Telemedien (TTDSG) greifen seit Dezember bereits rechtliche Vorgaben für Dienste, mit denen Verbraucher ihre Einwilligung in das Setzen von Cookies durch Webseitenbetreiber und damit verknüpfte Datenverarbeitungen verwalten können sollen. In Betracht kommen dafür etwa "Personal Information Management Systems" (PIMS) oder Single-Sign-on-Lösungen.
Was im Entwurf steht
Das Anerkennungsverfahren für und die rechtlich-organisatorischen Anforderungen an PIMS & Co. muss die Bundesregierung laut dem TTDSG noch durch eine Rechtsverordnung mit Zustimmung des Bundestags und des Bundesrats festlegen. Daran arbeitet das BMDV nun mit einem ersten Entwurf, den es noch mit Wirtschaftsverbänden und den anderen Ressorts abstimmen muss.
Laut dem 21-seitigen Papier mit Stand Juli soll ein Dienst zur Einwilligungsverwaltung Verfahren anbieten, die es dem Endnutzer ermöglichen, die Einwilligung in das Speichern und den Zugriff auf Informationen in einfacher Weise zu erklären oder abzulehnen und zu verwalten. Die entsprechenden Mechanismen müssen demnach transparent gestaltet und einfach bedienbar sein.
Voreinstellungen zu den Einwilligungsabfragen dürfen nicht getroffen werden, heißt es in dem Entwurf. Die Ausgestaltung und der Text sollen so erfolgen, dass der User nicht "in eine bestimmte Richtung beeinflusst" wird. Dies richtet sich laut der Begründung gegen Design-Tricks wie "Dark Patterns", die geeignet sind, "typische Verhaltensweisen wie etwa die Ungeduld der Endnutzer auszunutzen". Die Entscheidung zur Erteilung oder Ablehnung eines Opt-ins soll "gleichberechtigt nebeneinanderstehen".
Ein halbes Jahr lang Ruhe
Anwender einschlägiger Dienste können dem Plan nach "generelle Einwilligungen geordnet nach Kategorien für bestimmte Zugriffe auf Endeinrichtungen und Gruppen von Telemedienanbietern erteilen". Über den Inhalt der darunter erfassten Webseiten muss der Nutzer "in verständlicher Weise aufgeklärt werden", um gegebenenfalls einzelne Angebote ausnehmen zu können. Spätestens nach sechs Monaten soll eine Erinnerung an die Einstellungen und deren Überprüfung erfolgen.
Der Anbieter eines Opt-in-Managements muss sich vom Bundesdatenschutzbeauftragten anerkennen lassen und dabei darlegen, dass er "kein wirtschaftliches Eigeninteresse" an der Erteilung der Einwilligung sowie an den verwalteten Daten hat und unabhängig ist. Gefragt seien neutrale Vermittler, deren Offerten aber nicht kostenfrei sein müssen. Ein Sicherheitskonzept ist vorzulegen.
So funktioniert der Dienst
Kommt ein Dienst zur Einwilligungsverwaltung zum Einsatz, übermittelt dem Entwurf zufolge ein dafür geeignetes Programm oder eine sonstige Anwendung ein Signal etwa per http-Request über den Browser an die Endeinrichtung des Telemedienanbieters, das über die Nutzung des anerkannten Dienstes informiert und dem Webseitenbetreiber Zugang zu den vorgenommenen verschafft.
Browser-Hersteller müssen die Integration solcher Services erlauben. Auf bisherige "Do not Track"-Einstellungen geht das BMDV dabei nicht konkret ein. Anbieter von Telemedien wiederum sollen verpflichtet werden, die Einbindung anerkannter Dienste durch "technische und organisatorische Maßnahmen" zu berücksichtigen.
Kein Allheilmittel gegen Tracking
Jeglichem Tracking werden Nutzer mit dem Vorschlag nicht entkommen: Der Telemedienanbieter soll Anwender darauf hinweisen können, dass die Bereitstellung eines inhaltlichen Angebots "ganz oder teilweise durch Werbung finanziert wird", was den Gebrauch von Cookies "für diese Zwecke notwendig macht". In diesem Fall soll es statthaft sein, auf ein "kostenpflichtiges Alternativangebot" wie einen Premium-Dienst zu verweisen oder den User "zur Änderung seiner Voreinstellungen beim Dienst zu Einwilligungsverwaltung" aufzufordern.
Zustimmungsbanner, wie sie Medienseiten wie heise online oder Spiegel.de verwenden, wären damit zulässig. Laut der Begründung will das BMDV so dem Umstand Rechnung tragen, "dass ein Großteil der für die Endnutzer angebotenen Dienste im Internet kostenlos" ist und sich über Werbung refinanziert, "die auf dem Einsatz von Cookies und ähnlichen Tracking-Technologien basieren".
Der Bundesdatenschutzbeauftragte Ulrich Kelber hat den Entwurf laut einem Sprecher am Dienstag erhalten. Die Aufsichtsbehörde soll unter anderem noch die erwarteten Kosten für die Verwaltung ermitteln, die etwa durch die Anerkennung und Prüfung von Diensten entstehen. Inhaltlich will sich Kelber erst zu dem Vorhaben äußern, wenn das Bundeskabinett den Regierungsentwurf auf den Weg gebracht hat.
(mki)
