Einwilligungsmanagement: Bundesregierung will Cookie-Banner-Flut bekämpfen
Über einen anerkannten Dienst zur Einwilligungsverwaltung sollen Nutzer ein transparentes Werkzeug erhalten, um Zustimmungen und Ablehnungen zu managen.
(Bild: Datenschutz-Stockfoto/Shutterstock.com)
Die Bundesregierung hat sich auf ein Vorgehen geeinigt, um Cookie-Banner einzudämmen. Das Bundeskabinett brachte am Mittwoch einen Verordnungsentwurf auf den Weg. Vorausgegangen waren jahrelange Verhandlungen. Konkret geht es um den Paragrafen 26 aus dem Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG). Anbieter von Telemedien müssen die Nutzer prinzipiell im Sinne der Datenschutz-Grundverordnung (DSGVO) bei jeder Inanspruchnahme ihres Dienstes nach Einwilligungen in die unterschiedlichen Arten zum Einsatz von Cookies fragen. Ist das Plazet einmal erteilt und dokumentiert, sollen die User künftig nicht mehr durch eine Abfrage durch die Vorschaltbanner behelligt werden.
Die Kernbestimmung des Regierungsentwurfs lautet: Durch die Einbindung eines anerkannten Dienstes zur Einwilligungsverwaltung soll den Endnutzern ein transparentes Werkzeug zur Verfügung stehen, mit dem sie Einwilligungen dauerhaft erteilen oder ein Opt-out aussprechen sowie ihre Entscheidungen jederzeit nachvollziehen und überprüfen können. Die Anerkennung durch eine unabhängige Stelle soll für die Verbraucher und die Anbieter digitaler Dienste einen Anreiz bieten, solche Verwaltungsservices zu nutzen und das Vertrauen in ein rechtssicheres Verfahren stärken. Die Dienste sollen etwa auch für das Geltendmachen von Datenschutz-Betroffenenrechten oder die Verwaltung von Einwilligungen in die Verarbeitung personenbezogener Daten übernehmen können.
Einmal getroffene Entscheidungen müssen nicht ständig wiederholt werden, wenn Anbieter digitaler Dienste die hinterlegten Einstellungen akzeptieren, erläutert das Bundesministerium für Digitales und Verkehr (BMDV), von dem der Entwurf stammt. Für Anbieter digitaler Dienste biete dieses Verfahren ebenfalls Vorteile: Sie könnten Zustimmungen oder Ablehnungen "in einem rechtssicheren Verfahren nutzerfreundlich erfragen, ohne das Design ihrer Webseite durch ein Banner zu stören".
Erinnerung frühestens nach einem Jahr
Eine getroffene Erklärung soll nicht zeitlich befristet werden. So behalte sie ihre Gültigkeit "bis zum Widerruf, wenn sich aus dem Kontext oder den Erwartungen der Parteien nichts anderes ergibt". Der anerkannte Dienst zur Einwilligungsverwaltung dürfe Nutzer frühestens nach Ablauf eines Jahres an seine Einstellungen zu den Einwilligungsanfragen erinnern. In einem ersten Entwurf von 2022 sollten die User noch "nach Ablauf einer angemessenen Frist, spätestens aber nach sechs Monaten" angehalten werden, ihre Vorgaben zu überprüfen.
Neue Dienste zur Einwilligungsverwaltung sollen anerkannt werden, wenn die neue Bundesdatenschutzbeauftragte Louisa Specht-Riemenschneider dazu ein Sicherheitskonzept vorgelegt hat. Für die Zulassung setzt die Regierung bei der Datenschutzbehörde jährliche Kosten in Höhe von etwa 79.000 Euro an. Sie sollen auf die Wirtschaft – und letztlich möglicherweise auf die Anwender – umgelegt werden. Dazu komme ein einmaliger Erfüllungsaufwand in Höhe von 187.200 Euro für die Einführung der Neuerungen.
Ein Cookie-Management-Dienst darf nur solche Einwilligungen verwalten, bei denen der Anbieter von digitalen Diensten den Anwender vor Erteilung seiner Entscheidung "mindestens in Kenntnis gesetzt hat" auch über "Dritte, die Informationen in der Endeinrichtung des Endnutzers speichern" oder darauf zugreifen können. Die eingelagerten Daten sollen zudem konkret anschaulich werden zusammen mit Zwecken sowie Zeiträumen ihrer Verarbeitung und der Option für einen jederzeitigen Widerruf.
Exportfunktion inklusive
Um die Nutzerfreundlichkeit zu sichern, ist die Benutzeroberfläche des Dienstes zur Einwilligungsverwaltung "transparent und verständlich" zu gestalten. Der Anwender soll die Einstellungen auch in gängige Dateiformate exportieren können. Dazu kommt das Recht, jederzeit einfach zu einem anderen anerkannten Dienst zu wechseln und die Vorgaben zu übertragen.
Im "Sinne der Technologieneutralität" will die Regierung "keine Vorgaben zur technischen Umsetzung" machen. Ein Verwaltungsservice könne etwa ein abrufbarer digitaler Dienst auf einer zentralen Plattform oder eine technische Anwendung im Browser sein, heißt es dazu nur. Der Stand der Technik sei aber zu beachten. Dies bedeute den Einsatz einer marktgängigen Programmiersprache beziehungsweise eines solchen Kommunikationsprotokolls wie HTTP und HTTPS. Eine andere denkbare Technologie wäre die Ergänzung der Kopfzeile (Header) der HTTP/HTTPS-Anfrage um ein Signal, "das die Einbindung des anerkannten Dienstes zur Einwilligungsverwaltung kenntlich macht".
Die Technik soll das Surferlebnis verbessern
Ursprünglich wollte das BMDV Zustimmungsbanner fürs Nachverfolgen von Nutzeraktivitäten durch Tracking als zulässig erklären, wie sie viele Medienseiten als Alternative zu einem kostenpflichtigen Angebot verwenden. Der Telemedienanbieter sollte Anwender darauf hinweisen können, dass die Bereitstellung von Inhalten "ganz oder teilweise durch Werbung finanziert wird", lautete der einstige Ansatz. Dies mache den Gebrauch von Cookies "für diese Zwecke notwendig". Diese Passage findet sich im Regierungsentwurf nicht mehr. Datenschutzbehörden haben inzwischen "Pur-Abo-Modelle" grundsätzlich freigegeben.
Es handele sich um einen – auch auf europäischer Ebene – neuen Ansatz, erläutert das BMDV. Innerhalb der Grenzen des europäischen Datenschutzrechts werde erstmals ein gesetzlicher Rahmen festgelegt, um der Flut von Cookie-Bannern zu begegnen. Das stärke die informationelle Selbstbestimmung Nutzer im Internet. Der Erfolg hänge wesentlich davon ab, dass sich Anbieter auf dem Markt entwickeln und User sowie Diensteanbieter die neuen Einwilligungsverfahren in Anspruch nehmen. Die Wirksamkeit der Vorgaben soll zwei Jahre nach Inkrafttreten der Verordnung evaluiert werden. Bundestag und Bundesrat müssen noch zustimmen.
(mki)
