Die Einwilligungsverwaltungsverordnung ist in Kraft getreten. Doch hilft sie gegen die Cookie-Banner-Flut im Netz und was bedeutet sie für Unternehmen?
Datenschutzrechtliche Regelungen zum Einsatz von Cookies und ähnlichen (Tracking‑)Technologien fanden sich seit Ende 2021 im Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG), das im Mai 2024 in Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) umbenannt wurde.
Hintergrund der Flut der Cookie-Banner im Netz
Inhaltliche Änderungen gab es im Zuge der Umbenennung jedoch nicht: § 25 Abs. 1 TDDDG sieht nach wie vor ein grundsätzliches Einwilligungserfordernis für den Einsatz von Cookies und ähnlichen Technologien vor, durch die die Speicherung von Informationen in der Endeinrichtung der Endnutzer* oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, erfolgt.
Die Ausnahmetatbestände des § 25 Abs. 2 TDDDG, die eine Einwilligung entbehrlich machen könnten, sind sehr eng und greifen nicht in den für Webseitenbetreiber relevanten Fällen von Cookies zu Tracking- oder Analysezwecken. Die entsprechende Information der Endnutzer und ihre Einwilligung haben gem. § 25 Abs. 1 S. 2 TDDDG den Anforderungen der DSGVO zu genügen.
Das Speichern von oder der Zugriff auf Informationen entgegen diesen Vorgaben – also der Einsatz von Cookies und ähnlichen Technologien zu Tracking- oder Analysezwecken ohne informierte Einwilligung – kann gemäß § 28 Abs. 2, Abs. 1 Nr. 13 TDDDG ein Bußgeld in Höhe von bis zu 300.000 Euro nach sich ziehen. Nach der DSGVO können noch höhere Geldbußen drohen, wenn ein zeitgleicher Verstoß gegen die DSGVO vorliegt (wovon wegen der üblicherweise gleichzeitig stattfindenden Verarbeitung personenbezogener Daten beim Einsatz dieser Tools regelmäßig auszugehen ist).
Deshalb werden Endnutzern beim Besuch von Websites nach wie vor zahlreiche Cookie-Banner angezeigt, über die die Anbieter digitaler Dienste bzw. Webseitenbetreiber die Einwilligung für den Einsatz von Tracking- und Analysetools einholen.
Wie kann die Einwilligungsverwaltungsverordnung helfen?
§ 26 Abs. 1 TDDDG beinhaltet Regelungen zu anerkannten Diensten zur Einwilligungsverwaltung oder auch Personal Information Management Services (PIMS), die diese Cookie-Banner entbehrlich lassen werden sollen. Näheres zu den Anforderungen an diese PIMS soll gem. § 26 Abs. 2 TDDDG durch eine Rechtsverordnung geregelt werden.
Diese Einwilligungsverwaltungsverordnung liegt nun endlich vor: Im September 2024 hat die Bundesregierung nach einiger Zeit des Wartens auf der Grundlage von § 26 Abs. 2 TDDDG die vom Bundesministerium für Digitales und Verkehr vorgelegte Verordnung über Dienste zur Einwilligungsverwaltung nach dem Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (Einwilligungsverwaltungsverordnung – EinwV) beschlossen. Nach der Zustimmung des Bundestages im Oktober 2024 und des Bundesrates im Dezember 2024 ist die Verordnung am 1. April 2025 in Kraft getreten. Da die e-Privacy-Verordnung, die eine europaweite Lösung für die Einwilligungsverwaltung von Diensteanbietern schaffen sollte, gescheitert ist, sind die Regelungen des TDDDG und der EinwV nun umso relevanter.
Aber was sind diese PIMS eigentlich genau?
Ziel der PIMS bzw. Dienste zur Einwilligungsverwaltung ist es u.a., dass Endnutzer nicht mehr mit einer Vielzahl von Cookie-Bannern im Netz konfrontiert werden. Der Gesetzgeber definiert Dienste zur Einwilligungsverwaltung in § 2 Abs. 1 Nr. 1 EinwV als
eine informationstechnische Anwendung oder einen Digitalen Dienst, die oder der es Endnutzern ermöglicht, ihre Einstellungen zu verwalten; die Verwaltung umfasst das Speichern, Übermitteln und Widerrufen der Einstellungen der Endnutzer.
Diese sollen nach der Verordnungsbegründung (BT-Drs. 20/12718, S. 1) „eine anwenderfreundliche Alternative zu der Vielzahl zu treffender Einzelentscheidungen für Endnutzer schaffen.“ Sie verwalten die von den Nutzern getroffenen Entscheidungen darüber, ob sie eine Einwilligung gegenüber einem Anbieter von digitalen Diensten erteilen oder nicht und übermitteln diese Entscheidung dem Anbieter, wenn dieser sie erfragt. Bekommen die Anbieter die Einwilligung oder die Entscheidung der Nichterteilung der Einwilligung auf diese Weise übermittelt, müssen sie die Einstellungen der Endnutzer entsprechend berücksichtigen. Durch die Reduzierung von Einwilligungsanfragen bzw. Cookie-Bannern sollen Endnutzer entlastet werden. Ihnen soll außerdem ein
transparentes Werkzeug zur Verfügung stehen, mittels dessen sie (…) ihre Entscheidungen jederzeit nachvollziehen und überprüfen können
Voraussetzungen der Anerkennung von Diensten zur Einwilligungsverwaltung nach der EinwV
Allerdings kann nicht jeder Dienst die Aufgabe der Einwilligungsverwaltung zur Entlastung der Nutzer übernehmen. Sie werden nur als solche anerkannt, wenn die Voraussetzungen des § 26 Abs. 1 TDDDG nach Maßgabe der neuen EinwV vorliegen.
Gemäß § 26 Abs. 1 TDDDG müssen die Dienste nutzerfreundliche und wettbewerbskonforme Verfahren und technische Anwendungen zur Einholung und Verwaltung der Einwilligung vorweisen (Nr. 1). Sie dürfen kein wirtschaftliches Eigeninteresse an der Erteilung der Einwilligung und an den verwalteten Daten haben und müssen unabhängig von Unternehmen sein, die ein solches Interesse haben können (Nr. 2). Ferner dürfen die personenbezogenen Daten und die Informationen über die Einwilligungsentscheidungen für keine anderen Zwecke als die Einwilligungsverwaltung verarbeitet werden (Nr. 3). Schließlich muss für jeden Dienst ein Sicherheitskonzept vorliegen, das eine Bewertung der Qualität und Zuverlässigkeit des Dienstes und der technischen Anwendungen ermöglicht und aus dem sich ergibt, dass der Dienst sowohl technisch als auch organisatorisch die rechtlichen Anforderungen an den Datenschutz und die Datensicherheit erfüllt, die sich insbesondere aus der DSGVO ergeben (Nr. 4).
Hier kommt die neue EinwV weiter ins Spiel. Sie regelt die Anforderungen, die ein Dienst zur Einwilligungsverwaltung erfüllen muss, um anerkannt zu werden (Teil 2 der EinwV), das Verfahren der Anerkennung von Diensten zur Einwilligungsverwaltung durch eine unabhängige Stelle (Teil 3 der EinwV) sowie die technischen und organisatorischen Maßnahmen, die von Anbietern von digitalen Diensten sowie Herstellern und Anbietern von Software zum Abrufen und Darstellen von Informationen aus dem Internet getroffen werden sollen, damit die Einstellungen der Endnutzer befolgt werden können und die Einbindung anerkannter Dienste zur Einwilligungsverwaltung berücksichtigt werden kann (Teil 4 der EinwV).
Anforderungen an anerkannte Dienste zur Einwilligungsverwaltung (§§ 3-7 EinwV)
Dabei konkretisiert die EinwV zunächst die allgemeinen Anforderungen an die anerkannten Dienste zur Einwilligungsverwaltung sowie die Tatbestandsmerkmale des § 26 Abs. 1 TDDDG, insbesondere die der Nutzerfreundlichkeit und der Wettbewerbskonformität gem. § 26 Abs. 2 Nr. 1 TDDDG, §§ 3-7 EinwV.
§ 3 Abs. 1 EinwV regelt, dass der Dienst zur Einwilligungsverwaltung bei der erstmaligen Inanspruchnahme eines digitalen Dienstes durch den Endnutzer die hierzu getroffenen Einstellungen der Endnutzer speichert und diese bei jeder weiteren Inanspruchnahme des digitalen Dienstes dem jeweiligen Anbieter übermittelt, sofern dieser dem Endnutzer vorab die in der EinwV konkret genannten Informationen übermittelt hat. Die in § 3 Abs. 2 EinwV geregelten Informationspflichten entsprechen denen der Art. 13, 14 DSGVO, der Gesetzgeber hat sie jedoch auf den Fall der Speicherung von Informationen in den Endeinrichtungen der Nutzer bzw. den Zugriff auf diese zugeschnitten.
Nach § 4 Abs. 1 EinwV liegt Nutzerfreundlichkeit vor, wenn die Benutzeroberfläche des Dienstes derart transparent und verständlich gestaltet ist, dass Endnutzer eine freie und informierte Entscheidung treffen und die Einstellungen inklusive Datum und Uhrzeit der getroffenen Entscheidungen jederzeit eingesehen, geändert und ggf. widerrufen werden können.
Ein wettbewerbskonformes Verfahren liegt nach § 6 EinwV dann vor, wenn der digitale Dienst, der PIMS einbindet, die erforderlichen Einwilligungen nach § 25 Abs. 1 TDDDG in Echtzeit beim Endnutzer unter den gleichen Bedingungen erfragen kann und ihm die hierzu getroffenen Entscheidungen der Endnutzer übermittelt werden. Zusätzlich müssen in den Voreinstellungen der Benutzerschnittstellen der PIMS die Anbieter von digitalen Diensten in einer Liste sowie die Einwilligungseinstellungen der Endnutzer und der dafür erforderlichen Informationen einheitlich dargestellt werden.
§ 7 EinwV regelt die Anforderungen an Technologien und Konfigurationen für das Zusammenwirken mit Anbietern von digitalen Diensten und mit Abruf- und Darstellungssoftware. Der anerkannte Dienst zur Einwilligungsverwaltung muss z.B. ermöglichen, dass Anbieter von digitalen Diensten bzw. Webseitenbetreiber ihre Nachfragen einer Einwilligung der Endnutzer nach § 25 Abs. 1 TDDDG über den Dienst zur Einwilligungsverwaltung senden können.
Anerkennung von Diensten zur Einwilligungsverwaltung (§§ 8-16 EinwV)
Das Verfahren der Anerkennung eines Dienstes zur Einwilligungsverwaltung wird gem. § 26 Abs. 2 Nr. 2 TDDDG in den §§ 8-16 EinwV näher geregelt:
Ein Antrag auf Anerkennung des Dienstes zur Einwilligungsverwaltung muss bei der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit als zuständige Stelle gestellt werden (§§ 8, 11 EinwV). Ein Dienst zur Einwilligungsverwaltung wird gem. § 10 EinwV nur als solcher anerkannt, wenn er die oben genannten Anforderungen des 2. Teils der EinwV erfüllt und ein Sicherheitskonzept nach § 12 EinwV vorlegt, das ebenfalls von der zuständigen Stelle überprüft wird.
§ 9 EinwV sieht einen zweckdienlichen Informationsaustausch zwischen der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit als zuständige Stelle und den Datenschutzaufsichtsbehörden der Länder vor. Dieser betrifft z.B. die Anerkennung eines Dienstes und den Fall, dass dieser nach Ansicht einer zuständigen Datenschutzaufsichtsbehörde das Vorliegen einer wirksamen Einwilligung nach § 25 Absatz 1 TDDDG aufgrund von Mängeln des eingebundenen anerkannten Dienstes zur Einwilligungsverwaltung nicht nachweisen kann.
Die Anerkennung eines Dienstes zur Einwilligungsverwaltung kann nach § 16 EinwV widerrufen werden. Zudem soll die zuständige Stelle ein öffentliches Register der anerkannten Dienste zur Einwilligungsverwaltung führen (§ 13 EinwV).
Die EinwV – keine gelungene Umsetzung
Die EinwV beabsichtigt, PIMS-Nutzern mehr Kontrolle über ihre Einwilligungen in die Nutzung von Tracking-Technologien durch Webseitenbetreiber zu geben. Die Benutzeroberfläche der Einwilligungsverwaltung soll transparent gestaltet werden, um freie und informierte Entscheidungen der Nutzer zu ermöglichen und gleichzeitig manipulative Designs (sog. „Dark Patterns“) zu verhindern. Laut einer Bitkom-Studie sind außerdem gut drei Viertel aller Internetnutzer von Cookie-Bannern genervt und zwei Drittel möchten sich nicht mit dem Thema beschäftigen – der praktische Nutzen der Regelungen ist damit nicht von der Hand zu weisen.
Es ist jedoch nicht zu erwarten, dass die Flut an Cookie-Bannern absehbar nachlassen wird:
Die EinwV bringt nicht viel Neues, sondern setzt auf bekannte Vorgaben der DSGVO auf. Klare Vorgaben für die Einwilligungsverwaltung, um den Datenschutz und die Transparenz beim Einsatz von Cookies und ähnlichen Technologien zu verbessern, fehlen. Die technische Funktionsweise von PIMS bleibt teilweise offen.
Mangels einer europaweiten, einheitlichen Vorgabe bei der Einwilligungsverwaltung in Folge der gescheiterten e-Privacy-Verordnung, können Mitgliedstaaten zudem weiterhin nationale Vorschriften erlassen. In Europa kann es somit zu einem Flickenteppich an Regelungen kommen, was Webseitenbetreiber vor zusätzliche Herausforderungen stellen kann.
Der Einsatz von PIMS entbindet Webseitenbetreiber auch nicht von der Pflicht zur Einhaltung der DSGVO (§ 1 Abs. 2 EinwV); sie müssen nach wie vor z.B. ihren Informationspflichten gem. Art. 13, 14 DSGVO nachkommen und die Anforderungen an die Wirksamkeit der Einwilligung gem. Art. 6 Abs. 1 a), Art. 7 DSGVO erfüllen und nachweisen. Nach den Vorgaben der EinwV bleibt die Verantwortung für die DSGVO-Compliance und damit auch die der Integration von PIMS in die bestehenden Produkte bei den Anbietern digitaler Dienste bzw. Webseitenbetreibern – was zusätzliche technische Schwierigkeiten mit sich bringen kann.
Auch an der tatsächlichen, effizienten Wirkung von PIMS kann gezweifelt werden: Es wird auf Anreize statt auf Verpflichtung gesetzt, die Einbindung von PIMS ist für Webseitenbetreiber freiwillig (§ 18 Abs. 1 EinwV). Hinzu kommt, dass die intendierte Wirkung der PIMS – u.a. die Vermeidung von Cookie-Bannern – nur dann erzielt wird, wenn die Endnutzer eine Einwilligung über die PIMS erteilt haben. Lehnt ein Endnutzer die Einwilligung über einen anerkannten Dienst ab, darf der Anbieter digitaler Dienste den Endnutzer erneut nach einer Einwilligung fragen (BT-Drs. 20/12718, S. 31). Ob dadurch Endnutzern tatsächlich weniger Cookie-Banner angezeigt werden, erscheint fraglich.
Es ist darüber hinaus derzeit noch nicht absehbar, mit welchen Kosten Webseitenbetreiber konfrontiert werden, was eine zusätzliche wirtschaftliche Hemmschwelle darstellen kann, PIMS einzubinden – zumal Webseitenbetreiber für Endnutzer, die von PIMS keinen Gebrauch machen, gleichwohl ein Cookie-Banner in datenschutzkonformer Art und Weise vorhalten müssen.
Auch dürfte nicht anzunehmen sein, dass Webseitenbetreiber ein Interesse an der Integration von PIMS und der Teilnahme an einer Einwilligungsverwaltung haben, die ihnen ggf. mehr Ablehnungen bzgl. des Einsatzes optionaler Cookies einbringen wird als die bisherige Praxis. Verlässliche Studien zur „Consent-Praxis“ von Nutzern im Vergleich zwischen den bisher üblichen Cookie-Bannern und der Einwilligungsverwaltung über PIMS gibt es noch nicht.
Entsprechend hagelte es bereits am Entwurf der EinwV Kritik. Der Verbraucherzentrale Bundesverband (vzbv) stellte beispielsweise den gesamten Aufwand in Frage. Insbesondere forderte der Verband klarere Regelungen, die sicherstellen, dass Anbieter digitaler Dienste den Entscheidungen der Nutzer folgen müssen und wiederholte Abfragen untersagt werden, um so die Selbstbestimmung der Nutzer effektiv zu schützen. Auch der Vizepräsident des Bundesverbandes Digitale Wirtschaft (BVDW) bemängelte, dass die Verordnung teilweise unpräzise Regelungen enthalte, etwa hinsichtlich der technischen Umsetzbarkeit und der Handhabung von Konflikten durch mehrfache Einwilligungen. Aber nicht nur seitens der Wirtschaft, sondern auch seitens der Datenschützer gab es Kritik: Unter anderem wurden Vorschläge zur Konkretisierung der Begriffsbestimmungen und des Wortlauts der EinwV der Unabhängigen Datenschutzkonferenz des Bundes und der Länder nicht beachtet, was z.B. auch der Landesbeauftragte für den Datenschutz Niedersachen deutlich bemängelte.
Die Zukunft der PIMS bleibt spannend
Die intendierte Wirkung der EinwV ist begrüßenswert. Ob aber tatsächlich genügend Anreize geschaffen wurden, um vom Einsatz von Cookie-Bannern und bestehender Systeme wie Consent Management Plattformen auf PIMS umzustellen, ist zweifelhaft.
Zwei Jahre nach Inkrafttreten der EinwV soll evaluiert werden, ob das angestrebte Ziel – die Schaffung einer nutzerfreundlichen Alternative zu den Cookie-Bannern – tatsächlich erreicht wurde. Bislang liegen derBundesbeauftragten für den Datenschutz und die Informationsfreiheit noch keine Anträge auf Anerkennung vor (Stand Mai 2025). Die Zukunft der PIMS bleibt also spannend, und Cookie-Banner werden uns wohl noch eine Weile begleiten.
*Gemeint sind Personen jeder Geschlechtsidentität. Um der leichteren Lesbarkeit willen wird im Beitrag die grammatikalisch männliche Form verwendet.
