Am gestrigen Tage, dem 01.04.2025, ist eine neue Verordnung bezüglich des Themas „Einwilligungsverwaltung“ in Kraft getreten, auf die sich Bundestag und Bundesrat bereits im Vorjahr geeignet hatten. Die Verordnung trägt den vollständigen Namen „Verordnung über Dienste zur Einwilligungsverwaltung nach dem Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (Einwilligungsverwaltungsverordnung – EinwV)“.
Durch die Inhalte dieser Verordnung soll es nun möglich werden, einen alternativen Dienst zur Einwilligungsverwaltung zu nutzen, der die Präferenzen des Nutzers einmal zentral erfasst und danach beim Surfen im Browser „mitnimmt“, wenn sich der Nutzer auf verschiedenen Webseiten bewegt. Der Dienst soll dabei helfen, die Zustimmungen und Ablehnungen eines Nutzers webseitenübergreifend zu managen. Hat ein Nutzer beispielsweise eingestellt, dass er nicht möchte, dass externe Dienste seine Daten zu Werbezwecken verwenden, werden sämtliche Dienste und entsprechende Cookies, die in diese Kategorie fallen, beim Besuch einer Webseite automatisch blockiert. Dies hat unter anderem den Vorteil, dass Nutzer nicht mehr auf jeder Webseite den Cookies immer neu zustimmen müssen und somit von „den nervigen Cookiemanagern“ verschont bleiben.
Die Verordnung setzt dabei auf Paragraf 26 des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG) auf. Darin geht es um die Entwickelung von anerkannten Diensten zur Einwilligungsverwaltung, die zum Ziel haben „nutzerfreundliche und wettbewerbskonforme Verfahren“ einzuführen, um damit die Einholung und Verwaltung von Cookie-Entscheidungen zu erleichtern.
Datenschützer diskutieren bereits heftig über die technische Umsetzbarkeit und damit den Mehrwert der Verordnung. Benannte Kritikpunkte sind dabei, dass die Einbindung der einschlägigen Services freiwillig erfolgt und dass pauschale Voreinstellungen zu Tracking-Cookies nicht vorgesehen sind.
Für die Umsetzung dieser Einwilligungsverwaltung kommen dabei die sogenannte „PIMS“-Technologie (Personal Information Management Systems) oder Single-Sign-on-Lösungen in Frage. Dienste, die für diesen Zweck genutzt werden, müssen allerdings erst durch die Bundesdatenschutzbeauftragte Louisa Specht-Riemenschneider abgenommen werden, nachdem ein entsprechender Antrag und ein Sicherheitskonzept vorgelegt wurden. Darin muss auch eine Aufstellung diverser technischer und organisatorischer Schutzmaßnahmen enthalten sein. Laut heise.de gibt es bisher keinen Dienst, der dieses Verfahren durchlaufen hat und anerkannt wurde.
Wir sind gespannt, wie es in diesem Thema weitergeht und halten Sie hier bei Neuigkeiten oder bei der Anerkennung eines Dienstes natürlich auf dem Laufenden. Die Verordnung finden Sie unter dem nachfolgenden Link: https://www.gesetze-im-internet.de/einwv/BJNR0200B0025.html
Quellenangabe:
- Artikel „Einwilligungsmanagement: Verordnung gegen die Cookie-Banner-Flut tritt in Kraft“, abgerufen am 01.04.2025 unter: https://www.heise.de/news/Einwilligungsmanagement-Verordnung-gegen-die-Cookie-Banner-Flut-tritt-in-Kraft-10334551.html
Autorin:
Sabrina Reinecke [SRE], externe betriebliche Datenschutzbeauftragte (TÜV-Zertifizierung)