Vielen Dank – keine Kekse!

Während immer noch darüber gestritten wird, wem wir diese nervigen Internet-Banner zu verdanken haben – den Datenschützern oder doch den Webseiten-Betreibern, die einen „mehr als erforderlichen“ Datenhunger aufweisen –, hat sich die Bundesregierung daran gemacht, durch einen nationalen Alleingang mit einer Rechtsverordnung mehr Rechtsklarheit in den Cookie-Dschungel zu bringen. Mit der Verordnung vom 4. 9. 2024 „über Dienste der Einwilligungsverwaltung nach dem Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz“ strebt sie eine Alternative zu den Cookie-Bannern an – jedenfalls eine Vereinfachung beim Umgang mit Cookies, etwa durch Speicherung der Präferenzen des Betroffenen hinsichtlich des Umgangs mit Cookies. Dadurch soll das lästige wiederholte Eingeben dieser Präferenzen und das leidige Wegklicken der Banner entfallen. Bereitgestellt werden sollen diese Lösungen durch Drittanbieter, technisch umgesetzt etwa per Browser Plugin. Ob sich nun ein neuer Markt für Drittanbieter herausbildet, die „nutzerfreundliche und wettbewerbskonforme“ Alternativ-Verfahren zu den Cookie-Bannern bereitstellen, bleibt, mit Blick auf die vielfältigen Anforderungen an diese Dienste, allerdings abzuwarten. Denn wie ein tragfähiges Wirtschaftsmodell hinter diesen Einwilligungsdiensten aussehen sollte, die laut Verordnung keine wirtschaftlichen Eigeninteressen an der Einwilligung der Endnutzer und den verwalteten Daten verfolgen dürfen, steht eher in den Sternen als im Gesetz- und Verordnungsblatt des Bundes. Dass derartige Dienste mit Blick auf die von ihnen potentiell verwalteten Daten ein Sicherheitskonzept vorlegen müssen, ist äußerst sinnvoll und damit einer der wenigen Lichtblicke des Entwurfs.

Was sich nach einer grundsätzlich guten Idee anhört, ist allerdings bei näherem Hinsehen nur bedingt eine: So besteht bereits keine Pflicht der Internetanbieter, solche Drittanbieter einzubinden – weswegen die Verbraucherschützer die Verordnung auch bereits abgelehnt haben. Wenig einladend, wenn auch freiwillig, ist die mit Gebühren verbundene „Freigabe“ der Drittanbieterlösungen durch die Bundesbeauftragte BfDI – und diese beschert auch eine ganze Reihe von Problemen für den (nicht wirklich unwahrscheinlichen) Fall, dass sich die BfDI und andere Aufsichtsbehörden über die Rechtskonformität der Drittanbieterlösung nicht ganz einig sein sollten. Der Verordnungsentwurf sieht hier nur einen Informationsaustausch mit den zuständigen Aufsichtsbehörden der Länder vor, löst aber nicht auf, wie mit einem Dienst umgegangen wird, der von der BfDI anerkannt wurde, dessen Einwilligungsverwaltung die zuständige Aufsichtsbehörde eines Landes aber für mangelhaft hält. Und was passiert, wenn der notorisch datenschutzfreundliche EuGH die Korridore für wirksame Einwilligungen auch nur leicht verschiebt? Ist dann das ganze „anerkannte“ Einwilligungsmanagement perdu?

Unklarheiten gibt es auch bei anderen zentralen Fragestellungen: Wie granular wird die angebotene Einwilligungserklärung abgegeben werden können? Und sind diese Erklärungen dann immer kompatibel mit den Verarbeitungsbedingungen der Webseitenanbieter? Wie lange soll eine vom Betroffenen abgegebene Einwilligung eigentlich gelten? Unbegrenzt? Oder doch befristet, etwa auf ein Jahr? Zur Überprüfung der Einstellungen auffordern darf der Dienst zur Einwilligungsverwaltung nach dem Willen des Gesetzgebers frühestens nach einem Jahr. Wie sieht eigentlich das hierzu notwendige Einwilligungsmanagement aus? Wie erreicht der Drittanbieter bzw. der Webseitenanbieter im Nachhinein den Betroffenen? Was ist bei allfälligen Änderungen der Webseite – gilt eine einmal erteile Einwilligung bei „unwesentlichen“ Veränderungen der Datenverarbeitungen fort? Und was wären wesentliche Änderungen?

Allein diese kurze Aufzählung verdeutlicht zweierlei: dass gut gemeint und gut gemacht verschiedene Paar Schuhe sind und dass eine europäische Lösung dieser Thematik durchaus vorzugswürdig gewesen wäre.

RA Stephan Schmidt* und Dr. Stefan Brink**