Zum Inhalt springen Zur Navigation springen
Alternative zu Cookie-Bannern: Neuer Verordnungsentwurf

Alternative zu Cookie-Bannern: Neuer Verordnungsentwurf

Nachdem wir bereits im vergangenen Jahr über erste konkretere Pläne zu Alternativen zu Cookie-Bannern berichtet haben, hat die Bundesregierung nun einen entsprechenden Verordnungsentwurf veröffentlicht. Welche Erleichterungen § 26 TTDSG für Webseiten-Betreiber und -Besucher mit sich bringen kann und was genau der Verordnungsentwurf regelt, erfahren Sie in diesem Beitrag.

TTDSG macht’s möglich

Die Idee ist, dass Nutzer unter Zuhilfenahme von neu zu schaffenden Diensten nur einmal in ihrem Browser einstellen müssen, welche Arten von Cookies und ähnlichen Abfragen sie beim Surfen zulassen möchten und welche nicht. Einmal im Browser eingestellt, übernimmt der Dienst die Anfrage der aufgerufenen Webseite bzw. des jeweiligen Cookie-Banners. Ein aktives Handeln des Nutzers ist somit nicht mehr erforderlich. Damit soll auch erreicht werden, dass die häufig als nervig oder störend wahrgenommenen Cookie-Banner weniger präsent sind.

Die Verordnung hat ihre rechtliche Grundlage in § 26 TTDSG (Telekommunikation-Telemedien-Datenschutzgesetz). Gemäß Abs. 1 soll die Verordnung die Anerkennung von Diensten zur Verwaltung von Einwilligungen nach § 25 Abs. 1 TTDSG regeln. Zur Erinnerung: Gemäß § 25 Abs. 1 TTDSG ist eine Einwilligung des Besuchers einzuholen,

  • wenn Dienste auf dem Gerät des Besuchers gespeichert werden (z.B. Cookies)
  • bzw. ein Zugriff auf Daten des Gerätes erfolgt, und dies nicht technisch notwendig ist.

Diese Einwilligung soll nun also über genannte Dienste eingeholt werden können. Genaueres zum TTDSG und den damit wichtigsten Änderungen kann hier nachgelesen werden.

Der Absatz 2 des § 26 TTDSG benennt die einzelnen Anforderungen, die bestimmt, dass eine zuständige unabhängige Stelle Dienste anerkennen kann, die nutzerfreundliche und wettbewerbskonforme Verfahren bereitstellen, um die nach § 25 Absatz 1 TTDSG erforderliche Einwilligung von Endnutzern zu verwalten. Solche Dienste werden häufig auch als PIMS bezeichnet (Personal Information Management System).

Verordnungsentwurfs macht klare Vorgaben

Aber was steht denn nun alles in diesem Verordnungsentwurf? Die Verordnung teilt sich in drei wesentliche Teile auf:

  1. Anforderungen an anerkannte Dienste zur Einwilligungsverwaltung
  2. Anerkennung von Diensten zur Einwilligungsverwaltung
  3. Technische und organisatorische Maßnahmen

Kernfunktionen der neuen Dienste

Der anzuerkennende Dienst zur Einwilligungsverwaltung muss dabei gemäß § 3 des Verordnungsentwurfs dem Nutzer ermöglichen, im Vorfeld Einstellungen zur Erteilung oder Ablehnung der Einwilligung vorzunehmen. Der Dienst muss diese Einstellungen speichern und dem Anbieter von Telemedien (Webseiten-Betreiber) auf Anfrage (= Besuch der Webseite) übermitteln. Dabei muss der Dienst eine vollständige Dokumentation der Einwilligung und der hierzu relevanten Informationen ermöglichen.

Nutzerfreundliche und wettbewerbsneutrale Gestaltung

Die Verordnung macht zusätzlich aber auch Vorgaben hinsichtlich der Nutzerfreundlichkeit. So soll die Benutzeroberfläche so transparent gestaltet sein, dass die Fähigkeit der Nutzer, eine freie und informierte Entscheidung
zu treffen, nicht beeinträchtigt oder behindert wird. Die ausgewählten Einwilligungen oder Ablehnungen müssen übersichtlich angezeigt werden und müssen auch jederzeit geändert werden können. Standardmäßig soll die einmal eingestellte Option für mindestens ein Jahr Bestand haben und erst nach Ablauf dieses Jahres eine Überprüfung der Entscheidung neue angefragt werden.

Die Verordnung regelt darüber hinaus, dass die Dienste wettbewerbsneutral gestaltet sein müssen. Es dürfen also keine Anbieter von Telemedien (Webseiten-Betreiber) bevorzugt oder benachteiligt werden, bspw. hinsichtlich der angezeigten Reihenfolge der aufzulistenden Anbieter.

Verpflichtende Anerkennung durch den BfDI

Um im Sinne des § 26 Abs. 2 TTDSG ein anerkannter Dienst zur Einwilligungsverwaltung zu sein, muss der Dienst die eben genannten Anforderungen erfüllen. Darüber hinaus muss er einen entsprechenden Antrag stellen und ein gesondertes Sicherheitskonzept vorlegen. Die zuständige Stelle zur Anerkennung ist die oder der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit.

In letzten Teil des Verordnungsentwurfs werden Anbieter von Diensten sowie Anbieter von Telemedien (wie gesagt: Webseiten-Betreiber) darauf verpflichtet, technische und organisatorische Maßnahmen nach Stand der Technik einzuhalten. Dabei geht es im Wesentlichen um die Gewährleistung von einheitlichen technischen Standards bzw. Bedienungsmöglichkeiten.

Keine Probleme mehr mit Consent-Bannern

Somit lassen sich nicht nur für die Besucher von Webseiten, sondern auch für deren Betreiber gewisse Vorteile erkennen. So handelt es sich bei dem anvisierten Verfahren um eine Möglichkeit, nutzerfreundlich nach einer Einwilligung nach § 25 Abs. 1 TTDSG zu fragen. Dadurch sind Besucher möglicherweise weniger genervt, da ihre erste Interaktion mit der Webseite kein Cookie-Banner mehr ist. Zudem entfällt die Pflicht für Betreiber, ein rechtlich zulässiges Consent-Banner einzusetzen. Dies bereitet noch immer einer Vielzahl von Betreibern wiederkehrende Probleme (Stichworte Opt-In, Nudging, Dark Pattern etc.). Wie man dennoch im Dschungel von DSGVO und TTDSG ein Cookie-Banner richtig betreibt, haben wir hier zusammengefasst.

Viele Anforderungen für eine Welt ohne Cookie-Banner

Das federführende Bundesministerium für Digitales und Verkehr gibt den beteiligten Kreisen bis zum 14.07.2023 Zeit, um zum Verordnungsentwurf Stellung zu nehmen. Anschließend soll eine Auswertung stattfinden, um gewichtige Bedenken zu berücksichtigen und Fehler des Verordnungstext auszubessern.

Zusammenfassend soll die Verordnung also einen konkreten Rahmen setzen, wie Systeme zum Einwilligungsmanagement technisch zuverlässig auf den Markt gebracht werden können. Die simple Idee, nur einmal darüber entscheiden zu müssen, ob man in Cookies bzw. in den Zugriff auf sein System einwilligt oder eben nicht, weil diese Entscheidung für alle weiteren Fälle gespeichert und automatisiert übermittelt wird, überzeugt. Der Erfolg dieser Systeme ist jedoch nicht garantiert, insbesondere im Hinblick auf die Vielzahl der gesetzlichen Anforderungen an diese Systeme und deren Anbieter.

Es kommt also Bewegung in die Sache! Wenngleich noch unklar ist, wie viele Anbieter ein solches Management-Tool auf den Markt bringen, so ist jedenfalls die Stoßrichtung der Verordnung ein Schritt in die richtige Richtung. Nämlich in eine (virtuelle) Welt ohne allzu viele Cookie-Banner.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Der Fehler steckt im Beitrag selbst. Es gibt keine praktisch sinnvolle Möglichkeit, den § 26 TTDSG so umzusetzen, dass der NICHT gegen Logik, Recht und/oder technische Gegebenheiten verstößt.

    • Wie genau meinen Sie das, dass es „keine praktisch sinnvolle Möglichkeit“ gebe, den § 26 TTDSG vernünftig und rechtmäßig umzusetzen? Gewisse Zweifel sind auch dem Beitrag zu entnehmen. Insgesamt bleibt natürlich spannend zu sehen, inwiefern die doch zahlreichen Vorgaben des Verordnungsentwurfs schlussendlich in eine marktreife und -taugliche Fassung gegossen werden können.

  • Ich bin wahrlich kein Freund von Cookie-Bannern. Aber mit Grauen denke ich daran, wie künftig viele kostenlose (weil durch Werbung finanzierte) Dienste und journalistische Angebote verschwinden werden. RIP freies Internet!

  • Das kann funktionieren, wenn über ein PIMS nur eine komplette Ablehnung abgehandelt wird. Sollten jedoch Einwilligungen nach Art. 49 Abs. 1 lit. a DSGVO abgefragt werden, so ist eine pauschale Zustimmung vorab nicht möglich. Dann wären wir nämlich weit entfernt von einer „Ausnahme“.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.