Die Einwilligungsverwaltungsverordnung (EinwV)
Jetzt hat es „nur“ ein Jahr und neun Monate gebraucht vom Zeitpunkt der Veröffentlichung des Entwurfs der Einwilligungsverwaltungsverordnung (wir berichteten) bis zum Inkrafttreten der Verordnung am 01.04.2025. Und wie sollen wir es sagen – wir sind hin- und hergerissen zwischen „endlich, jetzt wird alles gut!“ und „das wird nix“. Warum? Das erläutern wir gern, aber der Reihe nach.
Consentmanager nerven
Wir alle kennen die nervigen Consentmanager, die leider immer noch viel zu häufig „Cookie-Banner“ genannt werden. Sie poppen regelmäßig auf Webseiten, die wir besuchen, auf und mittlerweile auch in Apps auf dem Smartphone. Alle Umsetzungen der Consentmanager auf den unterschiedlichen Webseiten und in den Apps unterscheiden sich selbst bei Nutzung desselben Anbieters voneinander. Auf jeder Seite müssen wir uns die optische Darstellung erneut und genau ansehen, damit wir nicht versehentlich doch auf die Option klicken, die wir gerade nicht auswählen wollen. Und wenn es nicht mit „ja zu allem“ oder „nein zu allem“ getan ist, müssen wir uns auch noch durch teilweise sehr lange Listen von „Anbietern“, „Kooperationspartnern“, „Diensten“, „Cookies“ oder anders bezeichneten Optionen arbeiten, um am Ende dann festzustellen, dass Teile davon bei Verweigerung der Einwilligung angeblich auf Basis eines berechtigten Interesses trotzdem genutzt werden dürfen und wir hier noch ein zweites Mal „nein“ sagen müssen.
Nudging und bewusst(?) schlechte Umsetzung
Beim nächsten Öffnen der Seite (oder der App, wir bleiben im weiteren Artikel beim Begriff „Seite“ und meinen Apps mit) kann es dann durchaus passieren, dass wir erneut nach unserer Einwilligung gefragt werden, wenn wir diese beim letzten Besuch verweigert hatten. Gleiches passiert natürlich, wenn wir – ganz im Sinne des Datenschutzes – zwischendurch die auf unserem Endgerät gespeicherten Daten (z.B. Cookies) löschen. Dieses penetrante Nachfragen, insbesondere, wenn die Frage nach der Einwilligung bereits aktiv verneint wurde, ist ein Teil dessen, was man „Nudging“ nennt. Ebenfalls unter Nudging fallen optisch nicht gleichwertig gestaltete Knöpfe für „ja“ und „nein“ oder auch das Weglassen des „alles ablehnen“ Knopfs, wenn es einen „allem zustimmen“ Knopf gibt. Wenn Sie sich diesbezüglich für mehr Details interessieren, finden Sie in diesem Beitrag aus dem Jahr 2022 weiterhin aktuelle Informationen (bitte beachten Sie, wenn Sie diesen Artikel lesen dass damals das TDDDG noch TTDSG hieß).
Endlich eine gesetzliche Vorgabe
Mit der Einwilligungsverwaltungsverordnung (wir hatten uns diesen Namen vor fast zwei Jahren selbst ausgedacht, weil wir ihn wirklich doof fanden – nun hat der Bundesgesetzgeber dieselbe Idee gehabt…) haben wir eine gesetzliche Vorgabe, wie die Einwilligungen der Nutzer*innen sowie ebenfalls deren Ablehnungen zukünftig gespeichert werden sollen. Leider – und das ist unsere große Kritik an der Verordnung – nur freiwillig. Es wird weiterhin möglich sein, einfach nur die altbekannten und bei den Nutzer*innen ungeliebten Consentmanager einzusetzen. Selbst, wenn sich ein*e Nutzer*in entscheidet, einen Dienst zur Einwilligungsverwaltung oder sogar einen anerkannten Dienst zur Einwilligungsverwaltung einzusetzen, können die Webseitenbetreiber*innen dies aktuell ignorieren und stattdessen weiterhin den Consentmanager anzeigen.
Haben sich die Webseitenbetreiber*innen sich jedoch dazu entscheiden, die über solche Dienste zur Einwilligungsverwaltung gelieferten Informationen zu berücksichtigen, dann sind sie auch daran gebunden, was die Nutzer*innen entschieden haben.
Viele Unklarheiten
Die Kritik geht jedoch noch weiter: Aktuell ist unklar, wie die Einwilligungen und Ablehnungen der Nutzer*innen von den Diensten zur Einwilligungsverwaltung an die aufgerufenen Seiten übermittelt werden sollen. Angenommen, es gibt mehr als einen Anbieter für solche Dienste, könnten die Schnittstellen vollkommen unterschiedlich aussehen. Die Verordnung macht diesbezüglich keine Vorgaben.Der § 7 EinwV regelt lediglich sehr allgemein, dass die Dienste zur Einwilligungsverwaltung Technologien und Konfigurationen zu verwenden haben, die es ermöglichen, dass
1. Anbieter von digitalen Diensten und Abruf- und Darstellungssoftware erkennen können, dass der Endnutzer den Dienst zur Einwilligungsverwaltung nutzt und dass dieser nach Teil 3 [der EinwV] anerkannt ist,
2. Anbieter von digitalen Diensten ihre Nachfragen einer Einwilligung nach § 25 Absatz 1 des Telekommunikation- Digitale-Dienste-Datenschutz-Gesetzes über ihn senden können und
3. Anbieter von digitalen Diensten, die eine Einwilligung nach § 25 Absatz 1 des Telekommunikation-Digitale- Dienste-Datenschutz-Gesetzes über ihn nachgefragt haben, prüfen können, ob Einstellungen der Endnutzer verwaltet werden.
Im Ergebnis können diese wenigen Vorgaben dazu führen, dass eine Schnittstellenvielfalt entsteht, weil jede*r Anbieter*in von Diensten zur Einwilligungsverwaltung eine eigene Schnittstelle implementieren könnte. Wobei das voraussichtlich sogar noch eines der besseren der möglichen Ergebnisse wäre. Noch schlechter wäre unseres Erachtens, wenn es einfach gar keine entsprechenden Dienste gäbe oder, wenn die Browserhersteller, insbesondere Google, auf die Idee kämen, die Dienste selbst anzubieten und direkt im Browser zu integrieren. Schließlich obliegt den Gatekeepern die Pflicht, Einwilligungen nachzuweisen, gemäß Digital Markets Act (DMA) zumindest in Teilen ohnehin.Der Art. 5 Absatz 2 lit. b DMA regelt, dass Gatekeeper die Einwilligung der Nutzer*innen einholen müssen, bevor deren Daten für personalisierte Werbung verarbeitet werden dürfen.
Positive Auswirkungen auf Consentmanager?
Unsere derzeitige Hoffnung ist, dass sich die Regelungen der Einwilligungsverwaltungsverordnung auf die Umsetzung der Consentmanager auswirken könnte. So wird in § 4 Abs. 1 Nr. 2 EinwV geregelt, dass „eine Aufforderung zur Überprüfung der Einstellungen der Endnutzer durch den anerkannten Dienst zur Einwilligungsverwaltung […] frühestens nach einem Jahr erfolgen [darf] , wenn der Endnutzer nicht eine andere Einstellung hierzu vorgesehen hat„. Anders ausgedrückt: Ein „nein“ darf nicht mehr dazu führen, dass regelmäßig und in kurzen Abständen nachgefragt wird, ob man nicht doch einwilligen will. Nudging wäre damit zumindest in Teilen vorbei. Das ist für uns das eigentliche Highlight der Einwilligungsverwaltungsverordnung, denn wir gehen davon aus, dass diese Regelung dazu führen wird, dass die Webseitenbetreiber*innen über kurz oder lang dazu gezwungen werden, von den nervigen Dauer-Nachfragen abzusehen.
Fazit
Ein wirkliches Fazit haben wir offen gesagt nicht. Unsere Befürchtung ist, dass wir in Zukunft nicht sehr viel über die EinwV berichten müssen. Das könnte sich allerdings schlagartig ändern, wenn der Gesetzgeber sich dafür entscheidet, die Berücksichtigung der Dienste zur Einwilligungsverwaltung verpflichtend zu machen. Warten wir’s also ab. Sobald es hier Bewegung gibt, werden wir uns wieder zu Wort melden.
