CHB_RSW_Logo_mit_Welle_trans
Zeitschrift für Datenschutz | Banner

Einwilligungsverwaltungsverordnung - Förderung durch zertifiziertes Vertrauen

Dr. Stefan Hanloser ist Rechtsanwalt in München und Mitglied des Wissenschaftsbeirats der ZD.

ZD 2023, 421   Die Bundesregierung trägt nach wie vor den Regulierungsauftrag für Einwilligungsverwaltungsdienste aus § 26 TTDSG vor sich her. Nachdem ein erster RefE v. 8.7.2022 (dazu Hanloser ZD 2022, 529) in der Ressortabstimmung verebbt war, hat das Bundesministerium für Digitales und Verkehr (BMDV) nun einen vollständig überarbeiteten RefE für eine Einwilligungsverwaltungsverordnung (EinwV-RefE v. 1.6.2023) in die Verbändeanhörung gegeben. Einwilligungsverwaltungsdienste iSd § 26 TTDSG übernehmen den Einwilligungsdialog zwischen digitalen Angeboten und ihren Endnutzern für das Speichern und Auslesen von Informationen auf vernetzten Endeinrichtungen iSd § 25 Abs. 1 TTDSG. Sie ermöglichen den Nutzern zudem, ihre getroffenen Einwilligungsentscheidungen für die Vielzahl der genutzten digitalen Angebote an zentraler Stelle systematisch zu verwalten und zu revidieren - also erteilte Einwilligungen zu widerrufen oder abgelehnte Einwilligungen nachträglich zu erteilen. Das Dilemma, das der EinwV-RefE aufzulösen versucht, ist unter dem Gliederungspunkt „Alternativen“ prägnant umrissen: Ohne die geplante Regulierung blieben die Nutzer digitaler Angebote weiterhin mit der Einwilligungsflut, die der Einwilligungsvorbehalt des § 25 Abs. 1 TTDSG seit seinem Inkrafttreten am 1.12.2021 ausgelöst hat, konfrontiert; negative Folge des gestiegenen Autonomieaufwands für die Nutzer wäre der befürchtete Einwilligungsverdruss (Consent Fatigue). Andererseits sind die Grenzen der Ermächtigungsgrundlage des § 26 TTDSG recht eng gezogen. Wie die Entwurfsverfasser zutreffend feststellen, sind bei dem geringen Regulierungsspielraum weitergehende Verpflichtungen der Wirtschaftsbeteiligten als jetzt im EinwV-RefE vorgesehen ausgeschlossen. Wie erinnerlich war im Gesetzgebungsverfahren zum TTDSG umstritten, ob die erhofften Vorteile einer Regulierung der Einwilligungsverwaltungsdienste tatsächlich die erkannten Risiken überwiegen würden. In klarer Abgrenzung zur Intermediärsregulierung im damals bereits bekannten Kommissionsentwurf für den Data Governance Act (COM(2020) 767 fin. v. 25.11.2020) sprach sich der Ausschuss für Wirtschaft und Energie in seiner Beschlussempfehlung (BT-Drs. 19/29839, 67 f. v. 19.5.2021) gegen eine Ex-ante-Regulierung der sich entwickelnden Einwilligungsverwaltungsdienste aus. So beschloss der Bundestag mit § 26 TTDSG eine eingriffsfreie Experimentierklausel mit mittelfristiger Evaluations- und Berichtspflicht.

 

Die rechtlichen und technischen Rahmenbedingungen erlauben dem deutschen Gesetzgeber aktuell keine effektivere Förderung von Einwilligungsverwaltungsdiensten als die vertrauensbildende, aber rechtsfolgenlose Anerkennung nach § 26 TTDSG. Eine durchschlagende rechtliche Förderung hätte einen - im Ergebnis kompetenzwidrigen - Dispens von hinderlichen Einwilligungsanforderungen der DS-GVO erfordert. Damit sich der Einwilligungsaufwand für die Nutzer digitaler Angebote spürbar reduziert, müssten die Nutzer ihre Einwilligungsentscheidungen nämlich insgesamt an den Einwilligungsverwaltungsdienst delegieren können. Oder sie müssten zumindest mit einer einzigen Einstellung möglichst viele Einwilligungsentscheidungen „auf einen Schlag“ rechtsverbindlich treffen können. Nur so könnte die Interaktion mit dem Einwilligungsverwaltungsdienst signifikant seltener stattfinden als aktuell mit den Cookie-Bannern der angesteuerten digitalen Angebote - eine ganz simple Nützlichkeitsrechnung. Zwar ist die gewillkürte Stellvertretung bei der Einwilligung in den Gerätezugriff nach § 25 TTDSG zulässig (Gierschmann/Baumgartner, TTDSG/Hanloser, 2023, § 25 Rn. 68); für eine normative Aner-kennung der Einwilligungsvollmacht fehlt dem deutschen Gesetzgeber allerdings die Regelungskompetenz. Und solange nach Art. 4 Nr. 11 DS-GVO die einzelnen Verarbeitungszwecke pro Einwilligungsempfänger „in bestimmter Form“ aufgelistet werden müssen, können Einwilligungsverwaltungsdienste nicht mit effizienten Pauschaleinwilligungen locken. Auch hier könnte nur Brüssel, nicht aber Berlin fördernd eingreifen und das Broad-Consent-Konzept des Erwägungsgrunds 33 DS-GVO auf Einwilligungsverwaltungsdienste erstrecken. Auch die technischen Rahmenbedingungen sind widrig: Es fehlen standardisierte Signale, mit denen Einwilligungsverwaltungsdienste die getroffenen Einwilligungsentscheidungen der Nutzer einheitlich und eindeutig an die Telemediendienste kommunizieren können. Ohne verbindliche Signalisierungskonvention kommt aktuell insbesondere keine Befolgungspflicht für Telemedienanbieter in Betracht. So sieht § 26 TTDSG in sauberer semantischer Abgrenzung vor, dass Telemediendienste die Einwilligungsentscheidungen bei der Einwilligungsverwaltung nur berücksichtigen und - im Gegensatz zu den Browseranbietern - nicht befolgen müssen. Entsprechend ermächtigt die Experimentierklausel des § 26 TTDSG die Bundesregierung lediglich zur vertrauensbildenden Förderung von Einwilligungsverwaltungsdiensten ohne Rechtspflichten für die Telemedienanbieter.

 

Förderung durch zertifiziertes Vertrauen, so könnte man das alternative Regulierungskonzept des § 26 TTDSG schlagwortartig bezeichnen. Zwar bieten Einwilligungsverwaltungsdienste ihren Nutzern offensichtliche Vorteile, allem voran einen transparenten Einwilligungsdialog und eine übersichtliche Einwilligungsverwaltung. Dass sie dennoch keine breite Nutzerakzeptanz finden, liegt nach Ansicht des Gesetzgebers am fehlenden Nutzervertrauen. Das freiwillige Anerkennungsverfahren soll es Einwilligungsverwaltungsdiensten künftig ermöglichen, vertrauensbildende Anerkennungsvoraussetzungen gegenüber den Nutzern nachzuweisen und sich so als vertrauenswürdige Treuhänder der Nutzerinteressen zu positionieren. Anerkannte Dienste genießen dann einen Vertrauensvorsprung gegenüber ihren Wettbewerbern, die ihre Tätigkeit auch unter der Geltung des § 26 TTDSG zulassungs- und anerkennungsfrei ohne Eignungsprüfung anbieten können. Vertrauensbildend ist nach § 26 Abs. 1 Nr. 1 TTDSG zunächst die nutzerfreundliche Abfrage und Verwaltung der Einwilligungsentscheidungen. Die rechtswirksame Abgabe der Einwilligungserklärung durch den Nutzer und die Signalisierung der Einwilligung an die Telemediendienste frei von Erklärungsmängeln muss als Minimum garantiert sein. Vertrauensbildend ist zudem der Ausschluss der typischen Intermediärsrisiken, allen voran Interessenkonflikte. § 26 Abs. 1 Nr. 2 TTDSG verbietet deshalb wirtschaftliche oder auch ideologische Eigeninteressen an der Erteilung oder Nichterteilung einer Einwilligung. Diese Indifferenz gegenüber der Einwilligungsentscheidung wird durch eine strukturelle Unabhängigkeit von Dritten mit störenden Eigeninteressen abgesichert. So ist sichergestellt, dass anerkannte Einwilligungsverwaltungsdienste kein Motiv für die entscheidungslenkende Bevormundung (Nudging) der Nutzer haben. Eine weitere Vertrauenslücke schließt § 26 Abs. 1 Nr. 3 TTDSG mit dem Verbot, die gewonnenen Metadaten - welcher Nutzer hat welchem digitalen Angebot eine Einwilligung für welche Zwecke erteilt - für andere Zwecke als zur Einwilligungsverwaltung zu verarbeiten. Statt also im Wege der strikten Regulierung Ausübungsvoraussetzungen für sämtliche Einwilligungsverwaltungsdienste vorzuschreiben, beruht die Anreizregulierung des § 26 TTDSG auf der Förderung durch freiwillige Anerkennung. Man darf jedoch erwarten, dass die Anerkennungsvoraussetzungen als Quasistandard auch von Einwilligungsverwaltungsdiensten faktisch erfüllt werden, die das aufwendige Anerkennungsverfahren scheuen. Durch diese Sogwirkung steigt die Akzeptanz und die Verbreitung von Einwilligungsverwaltungsdiensten insgesamt.

Wie bei jeder Anreizregulierung wird auch der Erfolg der EinwV davon abhängen, ob für die Akteure die Nutzen den Aufwand und die Kosten übersteigen.

 

Aufwand-Nutzen-Rechnung der Einwilligungsverwaltungsdienste

Die Aufwand-Nutzen-Rechnung fällt für Einwilligungsverwaltungsdienste, die von den Telemedienanbietern eingebunden werden (anbieterseitige Einwilligungsverwaltungsdienste), und für Dienste oder technische Anwendungen, zB Browser-Plug-ins, die von Nutzern verwendet werden (nutzerseitige Einwilligungsverwaltungsdienste), unterschiedlich aus.

Anbieterseitige Einwilligungsverwaltungsdienste können ihre Akzeptanz und Verbreitung durch ein gesteigertes Nutzervertrauen nicht verbessern. Für sie bietet der EinwV-RefE keinen Anreiz, das Anerkennungsverfahren zu absolvieren.

Der Vertrauensvorsprung durch Anerkennung ist allein für nutzerseitige Einwilligungsverwaltungsdienste attraktiv, die bei den Nutzern um die Registrierung bzw. den Download werben. Doch auch für anbieterseitige Dienste ist zweifelhaft, ob die Aufwand-Nutzen-Rechnung zu Gunsten einer Anerkennung ausfällt. Bereits die Basispflicht aus § 3 Abs. 1 EinwV-RefE, den Nutzern eine rechtswirksame Einwilligung für einen Gerätezugriff durch einen Telemediendienst zu ermöglichen, ist ein unbeherrschbares Rechtsrisiko. Ob die angefragte Einwilligung den intendierten Gerätezugriff legitimiert, kann allein der Akteur beantworten, der die Art und die Zwecke des Gerätezugriffs definiert - das ist nicht der Einwilligungsverwaltungsdienst. Ähnliches gilt für die Pflichtinformationen über den Gerätezugriff nach § 3 Abs. 3 EinwV-RefE, die ohne eine gesetzliche Klarstellung, dass den Einwilligungsverwaltungsdienst keine Prüfpflicht auf Richtigkeit und Vollständigkeit der Angaben trifft, inakzeptabel sind. Unerfüllbar ist auch die Hinweispflicht auf geänderte Zugriffs- und Speichervorgänge bei den digitalen Angeboten nach § 4 Abs. 1 Nr. 4 EinwV-RefE, die nicht unter der ausdrücklichen Bedingung steht, dass der für den Gerätezugriff verantwortliche Akteur den Einwilligungsverwaltungsdienst über die Änderungen informiert hat.

 

Aufwand-Nutzen-Rechnung der Telemedienanbieter

Für Telemedienanbieter besteht kein Anreiz, anerkannte Einwilligungsverwaltungsdienste vorrangig einzubinden. Der EinwV-RefE unterstellt konzeptionell, dass sämtliche Gerätezugriffe im Zusammenhang mit der Nutzung eines Telemediendienstes durch den Anbieter des Telemediendienstes erfolgen bzw. ihm normativ zuzurechnen sind. Normadressat des § 25 TTDSG ist jedoch der jeweilige Technologieanbieter, der von seinem Server aus Informationen auf der Endeinrichtung des Nutzers speichert oder dort ausliest - das gilt auch dann, wenn der Gerätezugriff im Zusammenhang mit der Nutzung eines Telemediendienstes erfolgt. Solange der EinwV-RefE die Einwilligungsabfrage für eingebundene Technologieanbieter ausklammert, muss der Telemedienanbieter weiterhin einen Einwilligungsdialog als Bote seiner eingebundenen Technologieanbieter außerhalb des anerkannten Einwilligungsverwaltungsdienstes führen.

 

Auch können Telemediendienste die Abfragefrequenz nicht durch die Einbindung eines anerkannten Einwilligungsverwaltungsdienstes weiter reduzieren. Sie speichern die Einwilligungsentscheidungen ihrer Nutzer bereits heute, ohne bei jedem erneuten Aufruf einen Cookie-Banner auszuspielen.

Der EinwV-RefE fingiert keine rechtskonforme Einwilligungsabfrage bei Einbindung eines anerkannten Einwilligungsverwaltungsdienstes, sodass der Telemediendienst die rechtswirksame Erteilung der Einwilligung im Beanstandungsfall unverändert nachweisen muss. Er müsste hierfür die Einwilligungsdialoge aller von ihm berücksichtigten Einwilligungsverwaltungsdienste fortlaufend prüfen und gerichtsfest dokumentieren. Dann beschränkt er sich doch lieber auf seine eigene Banner-Lösung.

 

Aufwand-Nutzen-Rechnung der Endnutzer

Die Wahl eines anerkannten Einwilligungsverwaltungsdienstes statt eines nicht anerkannten Wettbewerbers rechnet sich für den Nutzer bereits wegen der vermiedenen Interessenkonflikte und der verbotenen Kommerzialisierung der Metadaten. Für den Nutzer stellt sich jedoch die Grundsatzfrage, ob er überhaupt einen Eiwilligungsverwaltungsdienst verwenden soll, wenn er mangels Befolgungspflicht selbst bei anerkannten Diensten weiterhin die proprietären Cookie-Banner der Telemediendienste ausgespielt erhält.

 

Fazit

Der EinwV-RefE füllt den geringen Regulierungsspielraum, den ihm die Experimentierklausel des § 26 TTDSG einräumt, optimal aus. Wenn die herausgearbeiteten Rechtsrisiken für die Einwilligungsverwaltungsdienste in den anstehenden Beratungen noch ausgeräumt werden, besteht für sie durchaus ein Anreiz, sich um eine Anerkennung zu bemühen.

Anzeigen:

ZD 4Wochen Testabonnement

beck-online DatenschutzR

Teilen:

Menü