Der Entwurf der PIMS-Verordnung: Auswirkungen auf Website-Betreiber
Der Entwurf einer Einwilligungsverwaltungs-Verordnung
Das Bundesministerium für Digitales und Verkehr hat den Referentenentwurf einer Einwilligungsverwaltungs-Verordnung (EinwVO-E) veröffentlicht. Die Verordnung konkretisiert den Einsatz unabhängiger Dienste zur Einwilligungsverwaltung (sog. Personal Information Management Systeme – PIMS), die es Nutzern ermöglicht, Einwilligungen übergreifend und anwenderfreundlich zu verwalten, ohne die Entscheidung hinsichtlich zum Einsatz von Technologien, die Zugriff auf das genutzte Gerät erlauben, erneut treffen zu müssen. Dies soll zu einer Entlastung der Endnutzer führen: Nutzer sollen einfach und informiert Entscheidungen treffen können, die dann von den Telemedienanbietern zu beachten sind.
Anforderungen an Website-Betreiber und andere Telemedien
Die Verordnung gestaltet die technischen und organisatorischen Anforderungen an Browser- sowie insbesondere Telemedienanbieter (Art. 26 Abs. 2 Nr. 3 lit. b TTDSG) aus. Sie verpflichtet Telemedienanbieter – letztlich also jeden Website-Betreiber und App-Anbieter – zu technischen Anpassungen, die einen sinnvollen Einsatz anerkannter PIMS durch Endnutzer überhaupt erst ermöglichen.
Um dem Telemedienanbieter die Erfüllung der Verpflichtung zur Berücksichtigung von PIMS-Nutzereinstellungen zu ermöglichen, werden Browser-Hersteller dazu verpflichtet, technische Vorkehrungen zu treffen, um die Einstellungen in dem vom Endnutzer eingesetzten, anerkannten PIMS an den Website-Betreiber zu übermitteln.
Der Website-Betreiber ist gemäß § 10 Abs. 1 Nr. 1 EinwVO-E verpflichtet, technisch sicherstellen, dass die ihm seitens des Browsers übermittelte Information zunächst registriert und dann gespeichert wird. Hinsichtlich des eingesetzten PIMS gilt „Systemoffenheit“: Der Telemedienanbieter darf nicht auf die Nutzung eines bestimmten Systems hinwirken. Die erhaltene Information muss im nächsten Schritt dahingehend ausgewertet werden können, ob eine nach § 25 Abs. 1 TTDSG benötigte Einwilligung erteilt wurde (§ 10 Abs. 1 Nr. 2 EinwVO-E). Im Falle einer Einwilligung hat der Telemedienanbieter gemäß § 10 Abs. 1 Nr. 2 EinwVO-E diese Einwilligung zu speichern und kann im Rahmen der zuvor bereitgestellten Informationen auf das Gerät des Nutzers zugreifen. Außerdem kann der Telemedienanbieter unter Verweis auf die Nutzung und Zusammenarbeit mit den akkreditieren PIMS den Nachweispflichten hinsichtlich des Vorliegens einer Einwilligung gerecht werden, § 11 EinwVO-E.
Hat ein Endnutzer Gebrauch von einem anerkannten PIMS gemacht, darf dieser nicht nochmalig durch den Telemedienanbieter zu einer Einwilligung in den Zugriff auf sein Endgerät aufgefordert werden (§ 10 Abs. 1 Nr. 4 EinwVO-E). Gleichzeitig ist es aber erlaubt, dass der Telemedienanbieter den Nutzer darauf hinweist, dass der Dienst, der einen Zugriff auf die Endeinrichtung notwendig macht, durch Werbung (teil-)finanziert wird, und kann den Nutzer auf ein kostenpflichtiges Alternativangebot verweisen oder zur Erteilung der Einwilligung im PIMS auffordern, § 10 Abs. 2 EinwVO-E.
Die Informationen, die deren Mitteilung gemäß Art. 13 f. DSGVO Voraussetzung für eine wirksame Einwilligung sind, müssen den PIMS-Anbietern durch die Telemedienanbieter zur Verfügung gestellt werden. Der PIMS-Anbieter stellt sicher, dass diese dem Endnutzer zum Zeitpunkt der Einwilligung zur Verfügung stehen, und bietet gleichzeitig den Telemedienanbietern beispielsweise eine Plattform oder Schnittstelle an, um die etwaigen Einwilligungsabfragen Informationen zur Verfügung zu stellen. In praktischer Hinsicht bedeutet das, dass sämtliche Website-Betreiber, App-Anbieter oder sonstige Anbieter von Telemedien umfangreiche Schnittstellen zu allen akkreditierten PIMS-Anbietern schaffen müssen, damit dieser gesetzlich vorgeschriebene Informationsaustausch gewährleistet ist.
Fazit und Ausblick
Der deutsche Gesetzgeber begibt sich in einen Spagat zwischen nationaler Cookie-Regulierung, DSGVO-Anforderungen und europäischen ePrivacy-Vorgaben. Website-Betreiber und App-Anbieter werden im Rahmen der Einwilligungsverwaltung vor Herausforderungen gestellt, wenn sie verpflichtet sind, die Entscheidungen von Nutzern, die diese in ihrem Personal Information Management-System getroffen haben, zu berücksichtigen.
Es ist nicht nur der initiale Implementierungsaufwand für die Einbindung von PIMS. Der Umstand, dass die Verordnung nur Cookie-Einwilligungen betrifft, nicht aber die datenschutzrechtliche Einwilligung, macht ein Einwilligungsmanagement auf Anbieterseite komplexer denn je.
Derzeit ist noch unklar, wann die ersten PIMS akkreditiert werden. Ein baldiges Ende des Cookie-Banners und der damit einhergehenden „Einwilligeritis“, vor der der Gesetzgeber die Nutzer schützen will, wird durch die Rechtsverordnung – jedenfalls vorerst – nicht eingeläutet. Unklar ist außerdem, wie genau die Bereitstellung der Information durch die Telemediendienste koordiniert werden soll, insbesondere wenn die Telemediendienste „systemoffen“ Informationen aus jedem anerkannten PIMS berücksichtigen müssen.
Nichtsdestotrotz sollten Telemedienanbieter vorbereitet sein: Der Entwurf der EinwVO sieht keine Übergangsfrist vor, die Anforderungen können also „von heute auf morgen“ kommen. Aus diesem Grund sollten die weiteren Entwicklungen auf dem Markt der PIMS beobachtet und technischer sowie rechtlicher Aufwand bei der Überarbeitung von Websites, Apps und anderen Telemedien eingeplant werden.