Stellungnahme vom 11. Juli 2023: Referentenentwurf des BMDV zur Rechtsverordnung nach § 26 Abs. 2 TTDSG

Bezug: Schreiben des BMDV vom 1. Juni 2023 zur Beteiligung von Ländern, kommunalen Spitzenverbänden, Fachkreisen und Verbänden (Az. DP 25#862.2/4)

Die Einführung von „Diensten zur Einwilligungsverwaltung“ kann ein sinnvolles Mittel sein, um der im Internetbereich bestehenden Gefahr der „Einwilligungsmüdigkeit“ der Nutzenden von Webseiten entgegenzuwirken. Ein solcher Dienst müsste es Nutzenden des World Wide Web ermöglichen, ihre Einwilligungspräferenzen einmal festzulegen, um Einwilligungsprozesse auf den besuchten Webseiten zu vereinfachen. Im Ergebnis sollten sich die Anwendenden nicht mehr bei jedem Aufruf einer Webseite erneut mit einem Einwilligungsbanner auseinandersetzen und regelmäßig identisch ausfallende Entscheidungen über die Abgabe einer Einwilligung mitteilen müssen. Auf den positiven Effekt in Bezug auf die Ausübung der informationellen Selbstbestimmung durch den Einzelnen weist auch die Datenethikkommission ausdrücklich hin.¹

Die Einwilligungsverwaltungsverordnung verfolgt vor diesem Hintergrund das grundsätzliche Ziel, dass Webseiten zukünftig ohne Einwilligungsbanner auskommen und Einwilligungen der Nutzenden über Einwilligungsdienste erteilt werden. Auf Seite 2 des Entwurfs der EinwV wird ausgeführt, dass Einwilligungsdienste für Anbieter von Telemedien eine Möglichkeit bieten, die Einwilligungen nach § 25 Abs. 1 TTDSG nutzerfreundlich zu erfragen, ohne die Inanspruchnahme ihres Dienstes durch die Einblendung eines „Cookie‐Einwilligungs‐Banner“ stören zu müssen. Ergänzend wird darauf hingewiesen, dass ein Verzicht auf die Einwilligungsverwaltungsverordnung dazu führen würde, dass die Praxis der Einholung von Einwilligungen nach § 25 Abs. 1 TTDSG weiterhin durch den Einsatz der „Cookie‐Einwilligungs‐Banner“ bestimmt werde.

Ziel der Verordnung

Die DSK weist darauf hin, dass es nicht möglich ist, das mit dem Verordnungsentwurf verfolgte Ziel zu erreichen. Selbst wenn die Einwilligungsverwaltungsverordnung erlassen wird, sich Einwilligungsdienste am Markt etablieren und auch von den Nutzenden des Web in Anspruch genommen werden, können und werden die Einwilligungsbanner auf den Webseiten nicht überflüssig werden und verschwinden.

Einwilligungsbanner auf Webseiten dienen nicht nur und nicht einmal vorrangig dem Zweck, von den Nutzenden der Webseite Einwilligungen gemäß § 25 Abs. 1 TTDSG einzuholen. Einwilligungsbanner gab es bereits vor § 25 TTDSG und die immer komplexeren Ausgestaltungen waren zunächst der Einführung der Datenschutz‐Grundverordnung im Mai 2018 geschuldet. Über Einwilligungsbanner werden regelmäßig Einwilligungen gemäß § 25 Abs. 1 TTDSG, Art. 6 Abs. 1 lit. a DS‐GVO und Art. 49 Abs. 1 lit. a DS‐GVO abgefragt – also rechtlich drei verschiedene Einwilligungen mit unterschiedlichen Erklärungsinhalten. § 25 Abs. 1 TTDSG regelt nur die Einwilligung bzgl. des Zugriffs auf die Endgeräte mittels Cookies und anderen Vorgängen des Speicherns und Zugriffs von bzw. auf Informationen im Endgerät, die bei fast allen Webseiten und teils in sehr großem Umfang erfolgen. Diese Vorgänge dienen der Vorbereitung von Verarbeitungen personenbezogener Nutzerdaten, die gemäß Art. 6 Abs. 1 DS‐GVO einer Rechtsgrundlage bedürfen und häufig nur auf die Einwilligung gemäß Art. 6 Abs. 1 lit. a DS‐GVO gestützt werden können. Schließlich kann die Einbindung von Drittdienstleistern aus Drittstaaten, insbesondere den USA, allenfalls auf Art. 49 Abs. 1 lit. a DS‐GVO gestützt werden.² Die Einwilligungsverwaltungsverordnung kann sich unter Berücksichtigung des Unionsrechts und der fehlenden Regelungskompetenz der Mitgliedstaaten für Einwilligungen gemäß Art. 6 Abs. 1 lit. a und Art. 49 Abs. 1 lit. a DS‐GVO ausschließlich auf die Einwilligung gemäß § 25 Abs. 1 TTDSG beziehen. In dem Entwurf der Einwilligungsverwaltungsverordnung wird ausdrücklich darauf hingewiesen, dass sich dieser in den Grenzen der Ermächtigungsgrundlage des § 26 TTDSG halte. Deutsche Datenschutzaufsichtsbehörden haben bereits im Januar 2021 im Rahmen der Länderbeteiligung zum Referentenentwurf des BMWi für ein Telekommunikation‐Telemedien‐Datenschutz‐Gesetz und der dort vorgesehenen Regelung zur Einführung von Datenmanagementsystemen auf dieses Problem hingewiesen.³ Im aktuellen Rechtsetzungsverfahren wurde vom Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) mündlich und zuletzt mit Stellungnahme vom 2. Juni 2023 (im Folgenden: StN BfDI) auf dieses Problem aufmerksam gemacht.

Soweit in der Begründung des Verordnungsentwurfs auf Seite 16 angedeutet wird, der Dienst zur Einwilligungsverwaltung könne auch Einwilligungen in die Verarbeitung personenbezogener Daten gemäß der Datenschutz‐Grundverordnung ermöglichen, hat die DSK Bedenken gegen diese Einschätzung. Gemäß § 3 Abs. 1 EinwV‐E ist Grundfunktion eines anerkannten Dienstes zur Einwilligungsverwaltung, dass dieser es dem Endnutzer ermöglichen muss, vor der Speicherung von Informationen oder dem Zugriff auf Informationen in seiner Endeinrichtung durch Anbieter von Telemedien gegenüber diesen eine den Anforderungen der Datenschutz‐Grundverordnung entsprechende Einwilligung zu erteilen. In der Verordnungsbegründung wird auf Seite 17 ergänzend ausgeführt, wesentliches Merkmal dieser Grundfunktion sei es, dass der Endnutzer über einen Dienst zur Einwilligungsverwaltung eine Einwilligung nach § 25 Abs. 1 TTDSG gegenüber einem spezifischen Telemediendienst erklären oder ablehnen kann, bevor Informationen in seiner Endeinrichtung gespeichert werden oder auf dort bereits gespeicherte Informationen zugegriffen wird. Es ist daher davon auszugehen, dass der anerkannte Dienst eine wesentliche Funktion bei der Erteilung der Einwilligung gegenüber dem Betreiber der Webseite übernimmt. Diesbezüglich ist wiederum die fehlende Regelungskompetenz des nationalen Gesetzgebers in Bezug auf Einwilligungen nach der Datenschutz‐Grundverordnung zu berücksichtigen.

Darüber hinaus wird sich nach Einschätzung der DSK die konkrete Ausgestaltung der Einwilligungsverwaltungsverordnung als Hindernis für das angestrebte Ziel erweisen. Die konkrete Funktionsweise des Dienstes zur Einwilligungsverwaltung wird in dem Entwurf der Einwilligungsverwaltungsverordnung nicht beschrieben, sondern sie lässt sich nur sehr unbestimmt aus den Regelungen, einschließlich der Begründungen, ableiten.

Die konkrete Funktionsweise ist allerdings für das Gesamtverständnis der Regelungen in der Einwilligungsverwaltungsverordnung und der Erreichung des angestrebten Ziels von grundlegender Bedeutung. Obwohl die Grundfunktion der Dienste gemäß § 3 Abs. 1 EinwV‐E die Erteilung der Einwilligung und damit deren Wirksamkeit betrifft, scheint sich der Einsatz der Dienste tatsächlich darauf zu beschränken, von Nutzenden gegenüber einzelnen Anbietern von Telemedien erteilte Einwilligungen zu speichern, zu verwalten und bei Bedarf zu übermitteln.⁴

Unter Berücksichtigung der Verordnungsbegründung ist wohl vom folgenden Ablauf auszugehen: Nutzende des Web melden sich bei einem anerkannten Dienst zur Einwilligungsverwaltung an. Wird anschließend eine Webseite oder eine App erstmalig aufgerufen, erhalten die Anbieter der Webseite oder App, sofern sie dies anfragen, die Information, dass die Nutzenden einen Dienst zur Einwilligungsverwaltung verwenden. Wie sich aus der Verordnungsbegründung zu § 7 Abs. 2 EinwV‐E ergibt, können die Nutzenden anschließend direkt gegenüber den Anbietern der Webseite oder App Einwilligungen erteilen. Die spezifisch für eine Webseite oder App getroffene Einwilligungsentscheidung der Nutzenden wird in dem Dienst zur Einwilligungsverwaltung gespeichert. Rufen die Nutzenden dieselbe Webseite oder App zu einem späteren Zeitpunkt erneut auf, werden den Anbietern die gespeicherten Einwilligungsentscheidungen übermittelt, sodass grundsätzlich keine erneute Abfrage erfolgen muss.

Das bedeutet, dass die Nutzenden weiterhin bei jedem (erstmaligen) Besuch einer Webseite oder App mit einer zu treffenden Einzelentscheidung zu § 25 Abs. 1 TTDSG konfrontiert werden. Erst und nur wenn die Nutzenden eine Webseite oder App zu einem späteren Zeitpunkt erneut aufrufen, zu der sie zuvor eine Einwilligungsentscheidung mittels anerkanntem Dienst getroffen haben, entfällt eine Einwilligungsabfrage durch die Anbieter.

Es ist daher davon auszugehen, dass die Anbieter der Telemediendienste die individuellen Einwilligungsabfragen trotz Erlasses der Einwilligungsverwaltungsverordnung weiterhin über Einwilligungsbanner auf den Webseiten oder Apps vornehmen werden. Die Einwilligungsbanner werden zudem weiterhin eingesetzt werden, um erstens, wie bereits dargelegt, Einwilligungen gemäß der Datenschutz‐Grundverordnung und zweitens Einwilligungen von Nutzenden, die keinen anerkannten Dienst zur Einwilligungsverwaltung verwenden, einzuholen.

Technische und organisatorische Implementierung

Die technische und organisatorische Ausgestaltung der anerkannten Dienste wird im Entwurf der Einwilligungsverwaltungsverordnung weitgehend offengelassen. Denkbar sind sowohl lokale, browserbasierte als auch zentrale, serverbasierte Lösungen. Diese unterschiedlichen Implementationspfade wurden auch im seinerzeit vom BMWi in Auftrag gegebenen Forschungsgutachten zu § 26 TTDSG untersucht. Bezug nehmend auf dieses Gutachten hatte die DSK dem BMWi im März 2022 eine Stellungnahme übersandt, in der positiv zur Kenntnis genommen wurde, dass das Gutachten die Vorteile des browserbasierten Ansatzes im Hinblick auf die Datenschutz‐Grundsätze der Datenminimierung und der Datensicherheit aufzeigt. Die DSK hatte in ihrem damaligen Schreiben zudem zum Ausdruck gebracht, dass Lösungen mit stärkeren Authentifizierungsmechanismen als endgerätebezogene Methoden dazu führen, dass weitere Datenkategorien verarbeitet werden müssen. Es ist darauf zu achten, dass Einwilligungsverwaltungsdienste keine weiteren möglicherweise überbordenden Datensammlungen mit sich bringen oder eine Identifizierung von Nutzenden erleichtern. Die Rechtsverordnung sollte daher Lösungen, mit denen zusätzliche, gegebenenfalls sehr umfangreiche Datenverarbeitungsprozesse verbunden sein könnten, entsprechend eng regulieren.

Bisher wurde das Risiko, das mit zentralisierten Lösungen einhergeht, nicht entsprechend berücksichtigt. Dem Verordnungsentwurf sind keine Schutzmechanismen zu entnehmen, um die erforderliche Datenminimierung zu gewährleisten. Zwar sieht § 10 EinwV‐E vor, dass dem Anerkennungsantrag ein Sicherheitskonzept beizufügen ist, welches Angaben über Maßnahmen enthalten muss, die sicherstellen, dass personenbezogene Daten ausschließlich für die Funktionen des Dienstes verarbeitet werden. Welche Daten jedoch überhaupt für die Funktion des Dienstes erhoben und mit den Anbietern von Telemedien ausgetauscht werden dürfen, wird durch die Verordnung offenkundig nicht (ausdrücklich) geregelt. Mithin scheint es möglich, dass ein anerkannter Dienst auch zusätzliche eindeutige Kennungen für Nutzende vergibt. Eine solche Kennung ermöglicht es grundsätzlich, Nutzende auch webseiten‐ und endgeräteübergreifend sowie bei einem Wechsel der IP‐Adresse zu identifizieren. Es ist daher sicherzustellen, dass eine Nachverfolgung von Nutzendenverhalten nicht mittelbar über einen anerkannten Dienst zur Einwilligungsverwaltung ermöglicht wird.

Schließlich weist die DSK darauf hin, dass sofern Dienste der Einwilligungsverwaltung als Telemediendienst angeboten werden, wie es in § 2 Abs. 1 Nr. 1 EinwV‐E ausdrücklich vorgesehen ist, die spezifischen Datenschutzvorschriften für Anbieter von Telemediendiensten im Telekommunikation‐Telemedien‐Datenschutz‐Gesetz gelten. § 19 TTDSG enthält spezifische technische und organisatorische Maßnahmen, die umzusetzen sind. In Abs. 2 S. 1 wird insbesondere die Pflicht normiert, die Nutzung von Telemedien und ihre Bezahlung anonym oder unter Pseudonym zu ermöglichen, soweit dies technisch möglich und zumutbar ist. Diese Regelung unterstützt die Bedeutung des Grundsatzes der Datenminimierung für Telemedien.

Zum Vorwort / zur Begründung

Die Einwilligungsverwaltungsverordnung soll sich auf Einwilligungen für alle Prozesse beziehen, die unter § 25 Abs. 1 TTDSG fallen. § 25 TTDSG adressiert unabhängig von der technischen Ausgestaltung jede Speicherung von Informationen in der Endeinrichtung der Endnutzenden oder den Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind. Die Formulierungen im Vorwort und der Begründung des Entwurfs der Einwilligungsverwaltungsverordnung beschränken sich sprachlich teilweise jedoch auf „Cookies“, mithin eine einzelne technische Form, mittels derer Prozesse nach § 25 TTDSG erfolgen können. Es wird angeregt, „Cookies“ jeweils um „und ähnliche Techniken“ zu ergänzen. Auch die Bezeichnung der Einwilligungsbanner sollte (sprachlich) nicht auf „Cookie“‐Einwilligungsbanner beschränkt werden (s. hierzu bereits Formulierungsvorschlag in der Stellungnahme des BfDI – StN BfDI).

Zu § 1 Nr. 3 – Anwendungsbereich – und § 2 Abs. 1 Nr. 4 – Begriffsbestimmung „Software“

Der Entwurf der Einwilligungsverwaltungsverordnung trifft Regelungen für Anbieter und Hersteller von bestimmter Software. „Software“ wird in § 2 Abs. 1 Nr. 4 EinwV‐E definiert als „Programme und Anwendungen, durch die Endnutzer über ihre Endeinrichtung eine Verbindung zum Internet herstellen und über die sie sich im Internet vorhandene Informationen anzeigen und darstellen lassen kann“. Dies soll laut Verordnungsbegründung derzeit z. B. auf Apps und auch Browser zutreffen. Um der Technikneutralität der ePrivacy‐Richtlinie gerecht zu werden, wird angeregt, in der Begriffsbestimmung nicht auf das „Internet“ abzustellen. Zumal diesem in der genannten Definition anscheinend unterschiedliche Bedeutungen zukommen. Eine Verbindung zum Internet wird regelmäßig über einen Internetzugangsdienst i. S. v. § 3 Nr. 61 lit. a TKG hergestellt. Das Internet ist das Telekommunikationsnetz. Gemeint sind hier wohl Browser, über die Inhalte aus dem Web angezeigt und dargestellt werden. Daher sollte die Begriffsbestimmung präzisiert und gekürzt werden, um diese zu vereinfachen (s. hierzu bereits Formulierungsvorschlag in StN BfDI).

Zu § 2 Abs. 1 Nr. 3 – Begriffsbestimmung „anerkannter Dienst“

Es wird angeregt, den Satzbau umzustellen, indem „in einem anderen Mitgliedstaat der Europäischen Union“ vorgezogen wird vor „von einer unabhängigen Datenschutzaufsichtsbehörde“. Anderenfalls wäre unklar, ob (auch) die deutschen Landesdatenschutzaufsichtsbehörden angesprochen sind. Darüber hinaus sollte „in vergleichbarer Weise“ geändert werden in „in entsprechender Weise“, da eine Vergleichbarkeit nicht genügen kann (siehe hierzu die nachfolgenden Ausführungen zu § 11 EinwV‐E).

Zu § 2 Abs. 1 Nr. 1 und weiteren Stellen im Verordnungstext – „Ablehnen“

Als Dienste zur Einwilligungsverwaltung werden solche definiert, die es ermöglichen „Einwilligungen [...] zu erteilen, abzulehnen und zu verwalten“. Die Formulierung „zu erteilen oder abzulehnen“ findet sich an mehreren weiteren Stellen des Entwurfs der Einwilligungsverwaltungsverordnung.

Diese Formulierung vermittelt den Eindruck, beides setze ein Tätigwerden der Endnutzenden voraus. Dies ist jedoch tatsächlich nur bei der Erteilung einer Einwilligung der Fall, die gemäß Art. 4 Nr. 11 DS‐GVO eine Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung voraussetzt. Für die Erteilung bedarf es stets eines aktiven Handelns der Endnutzenden, beispielsweise durch Anklicken einer designierten Schaltfläche in einem Banner. Demgegenüber müssen Personen, die generell oder in bestimmten Situationen keine Einwilligung erteilen wollen, dies nicht aktiv zum Ausdruck bringen. Sie können einfach untätig bleiben.

Mithin ist die Formulierung in § 2 Abs. 1 Nr. 1 EinwV‐E missverständlich und unklar. Einwilligungen können nur durch eine aktive Handlung erteilt werden. Mit der gewählten Formulierung im Verordnungstext wird jedoch der Eindruck erweckt, es stehe die Entscheidung „Ablehnen oder Einwilligung“ zur Disposition. Einwilligungen müssen aber nicht abgelehnt, sondern nur erteilt und widerrufen werden.

Die Forderung der DSK nach einer Ablehnfunktion auf erster Ebene⁵ ist ausschließlich der Gestaltung der Einwilligungsbanner am Markt geschuldet. Gängige Einwilligungsbanner hindern die Nutzenden daran, Inhalte der Webseite wahrzunehmen, und verschwinden am schnellsten, wenn mit dem Klick auf eine „Zustimmen“‐Schaltfläche umfassende Pauschaleinwilligungen erteilt werden. Im Fall einer solchen Gestaltung muss den Nutzenden eine ebenso einfache Option eröffnet werden, keine Einwilligung zu erteilen. Eine Ablehnung der Einwilligung geht damit jedoch nicht einher.

Die Variante „Ablehnen“ sollte demzufolge generell im Verordnungstext gestrichen werden.

Zu § 3 – Verwaltung

Der Entwurf der Einwilligungsverwaltungsverordnung regelt eingangs zwar die Grundfunktionen eines anerkannten Dienstes. Dabei wird jedoch das Szenario nicht adressiert, wenn Endnutzende in unterschiedlichen anerkannten Diensten Einwilligungseinstellungen in Bezug auf denselben Telemedienanbieter getroffen haben. Die Einwilligungen werden einschließlich eines Zeitstempels gespeichert, sodass grundsätzlich nachvollziehbar ist, welche Einstellungen zuletzt getroffen wurden. Dennoch erscheint eine Konfliktklausel sinnvoll, die den Umgang mit unterschiedlichen Einstellungen in verschiedenen anerkannten Diensten zur Einwilligungsverwaltung regelt.

Zu § 3 Abs. 2 – Speicherung

§ 3 Abs. 2 EinwV‐E regelt, wie der anerkannte Dienst mit Einwilligungen umgeht, die gegenüber dem Anbieter von Telemedien getroffen wurden. Während in § 7 Abs. 2 EinwV‐E hierfür die Formulierung „Entscheidungen“ verwendet wird, wird in § 3 Abs. 2 EinwV‐E der Begriff „Willensbekundungen“ genutzt. Es ist unklar, weshalb für dieselbe Handlung zwei unterschiedliche Formulierungen verwendet werden, zumal der Begriff „Willensbekundung“ an keiner anderen Stelle der Verordnung vorkommt. Zur Vermeidung von Widersprüchen oder Inkonsistenzen sollte an allen Stellen der Verordnung, in der eine Einwilligung adressiert wird, auch dieselbe Formulierung „Einwilligung“ verwendet werden.

Zu § 3 Abs. 3 – Informiertheit

Das Verhältnis von § 3 Abs. 1 und Abs. 3 ist nicht eindeutig nachvollziehbar. Laut Verordnungsbegründung handelt es sich bei Abs. 3 um eine Konkretisierung von Abs. 1. Laut Abs. 1 muss ermöglicht werden, eine den Anforderungen der DS‐GVO entsprechende Einwilligung zu erteilen. Durch diesen Verweis werden die Anforderungen an die Einwilligung – inklusive der Informiertheit ‐– bereits vorgegeben. Es ist daher anzunehmen, dass Abs. 3 rein deklaratorischen Charakter hat. Sollte hieran festgehalten werden, wird einerseits empfohlen, zu ergänzen, dass dies „vor Abgabe der Einwilligung“ sicherzustellen ist. Andererseits wäre in der Auflistung zu ergänzen, dass Endnutzende auch Kenntnis darüber erhalten müssen, ob und welche Dritten auf die jeweilige Endeinrichtung zugreifen können.⁶

Zu § 3 Abs. 3 Nr. 1 – Anbieter

Es ist unklar, wer mit „verantwortlicher Anbieter“ gemeint ist und ob damit der datenschutzrechtlich Verantwortliche angesprochen ist. Im Zusammenhang mit dem Telekommunikation‐Telemedien‐Datenschutz‐Gesetz ist entscheidend, wer die Anbieter von den Telemedien sind, die die Endnutzenden nutzen. Dies können auch mehrere Stellen sein. Daher sollte das Wort „verantwortlichen“ in dem Text „den verantwortlichen Anbieter von Telemedien“ gestrichen und im Plural formuliert werden.

Zu § 3 Abs. 3 Nr. 5 – Widerruflichkeit

Die Auflistung, wonach Endnutzende Angaben zur „Widerruflichkeit der Einwilligung“ erhalten, greift zu kurz. Gemäß Art. 25 Abs. 1 S. 2 TTDSG hat die Einwilligung gemäß der Datenschutz‐Grundverordnung zu erfolgen, was die Bedingungen an die Einwilligung gemäß Art. 7 DS‐GVO umfasst. Um die Auswirkungen der Erteilung der Einwilligung zu verdeutlichen, muss daher auch über die Tatsache informiert werden, dass ein späterer Widerruf sich gemäß Art. 7 Abs. 3 S. 3 DS‐GVO nicht mehr auf die Rechtmäßigkeit des bis zum Widerruf erfolgten Zugriffs bzw. der bis dahin erfolgten Speicherung auswirkt.⁷ Dies wird auch in der Verordnungsbegründung auf S. 17 ausgeführt, findet sich im Verordnungstext jedoch nicht wieder.

Zu § 3 Abs. 4 – Zugänglichkeit

Es wird angeregt, den Begriff „leicht“ zu ergänzen. Die Formulierung „leicht zugängliche Weise“ findet sich so auch in Art. 7 Abs. 2 S. 1 und Art. 12 Abs. 1 S. 1 DS‐GVO, zweier Regelungen, die ebenfalls im Zusammenhang mit der Informationsmitteilung bzw. ‐verfügbarkeit stehen. Zur Vermeidung von Widersprüchen oder Inkonsistenzen sollte auch hier dieselbe Formulierung aufgenommen werden.

Zu § 4 Abs. 1 Nr. 1 – Beeinträchtigungen

Die DSK begrüßt ausdrücklich, dass der Verordnungsentwurf das Problem von verhaltensbeeinflussenden Gestaltungselementen adressiert. Allerdings erscheint die konkrete Formulierung nicht geeignet, um einen echten Mehrwert für die Endnutzenden zu erzielen. Geregelt wird, dass Dienste anerkannt werden, wenn ihre Einwilligungsverwaltung bestimmte Anforderungen an die Nutzerfreundlichkeit erfüllt. Ein solches nutzerfreundliches Verfahren soll vorliegen, wenn die Gestaltung der Benutzeroberfläche die „Fähigkeit der Endnutzer, eine freie und informierte Entscheidung zu treffen, nicht beeinträchtigt oder behindert“. Diese Formulierung ist letztlich jedoch so allgemein gehalten, dass sie eigentlich nur Selbstverständlichkeiten abdeckt, die sich bereits aus den Anforderungen an eine wirksame Einwilligung nach der Datenschutz‐Grundverordnung ergeben. Denn wenn die Endnutzenden keine ungehinderte Entscheidung treffen können, ist die Einwilligung ohnehin nicht freiwillig erteilt und damit unwirksam. Hier sollte eine detailliertere Formulierung gewählt oder es sollten konkrete Kategorien von (problematischen) Gestaltungsmöglichkeiten benannt werden.

Eine mögliche Differenzierung von Kategorien findet sich zum Beispiel in den Leitlinien des Europäischen Datenschutzausschusses zu „Deceptive Design Patterns“, der spezifische verhaltensbeeinflussende Gestaltungselemente identifiziert hat:⁸

• Overloading: users are confronted with an avalanche/ large quantity of requests, information, options or possibilities in order to prompt them to share more data or unintentionally allow personal data processing against the expectations of data subject.
• Skipping: designing the interface or user journey in a way that the users forget or do not think about all or some of the data protection aspects.
• Stirring: affects the choice users would make by appealing to their emotions or using visual nudges.
• Obstructing: an obstruction or blocking of users in their process of getting informed or managing their data by making the action hard or impossible to achieve.
• Fickle: the design of the interface is inconsistent and not clear, making it hard for users to navigate the different data protection control tools and to understand the purpose of the processing. Left in the dark: an interface is designed in a way to hide information or data protection control tools or to leave users unsure of how their data is processed and what kind of control they might have over it regarding the exercise of their rights.

Zu § 4 Abs. 1 Nr. 4 – Änderungen

In der Verordnungsbegründung zur „Erinnerungsfunktion“ nach Nr. 4 wird ausgeführt, dass die ursprüngliche Einwilligung nicht länger gültig ist, „wenn sich die Verarbeitungsvorgänge jedoch beträchtlich ändern oder weiterentwickeln.“ Die DSK weist darauf hin, dass das Wort „weiterentwickeln“ zu unbestimmt ist. Es ist völlig unklar, wann Verarbeitungsvorgänge die Grenze zur Weiterentwicklung überschritten haben, damit eine neue Einwilligung eingeholt werden muss. Zudem sollte dringend das Wort „beträchtlich“ gestrichen werden. Denn jede Änderung eines Verarbeitungsvorgangs ist geeignet, um eine Einwilligung unwirksam werden zu lassen. Die jetzige Formulierung erlaubt Anbietern eine zu weitgehende Interpretation.

Zu § 4 Abs. 2 – Nachfrage

Es wird davon ausgegangen, dass der Verweis auf Absatz 2 ein Redaktionsversehen ist und eigentlich Absatz 1 gemeint ist.

Zu § 4 Abs. 3 – Dateiformat

In § 5 EinwV‐E wird geregelt, dass anerkannte Dienste die hinterlegten Einstellungen in einem „maschinenlesbaren“ Format vorhalten müssen. In § 4 Abs. 3 EinwV‐E wird hingegen die Exportmöglichkeit in einem „gängigen“ Dateiformat geregelt. Soweit ersichtlich, geht es in beiden Regelungen um denselben Datensatz, sodass eine sprachliche Angleichung der Formatanforderungen erfolgen sollte: In § 4 Abs. 3 und § 5 sollte es einheitlich lauten „in gängige und maschinenlesbare“.

Zu § 4 Abs. 4 – Weitere Maßnahmen

§ 4 Abs. 4 EinwV‐E benennt verbraucherfreundliche Anforderungen an einen Dienst als Kann‐Vorschrift. Es sollte geprüft werden, ob dies im Rahmen der Verordnungsermächtigung mit einer stärkeren Bindungswirkung (sollte oder muss) versehen werden kann.

Zu § 5 – Wechsel

§ 5 EinwV‐E enthält lediglich Ausführungen zum Export von gespeicherten Einstellungen der Endnutzenden beim Wechsel zu einem anderen anerkannten Dienst zur Einwilligungsverwaltung. Es wird daher angeregt, auch Regelungen zum Import von Datenschutzeinstellungen aufzunehmen.

Zu § 7 Abs. 1 Nr. 3 – Zusammenwirken

Es wird angeregt, die Regelung hinter „Anbieter von Telemedien“ um den Einschub „die eine Einwilligungsanfrage nach Absatz 1 Nummer 2 gesendet haben,“ zu ergänzen. Dies dient der Vermeidung eines Missbrauchspotenzials, wenn sonst alle – und damit auch völlig unbeteiligte – Anbieter von Telemedien Informationen erhalten könnten, ob Einwilligung erteilt oder abgelehnt wurden (s. hierzu bereits Formulierungsvorschlag in kommentierter StN BfDI).

Zu § 7 Abs. 3 – Technische Richtlinien

Der BfDI hat sich in seiner Stellungnahme vom 2. Juni 2023 bereits im Hinblick auf seine Zuständigkeit zur Festlegung von technischen Richtlinien geäußert:

„Danach gehört die Erstellung technischer Richtlinien gemäß § 14 Bundesdatenschutzgesetz (BDSG) oder § 29 Absätze 1 und 2 TTDSG weder zu dessen Aufgaben noch zu dessen Befugnissen gemäß § 16 BDSG oder § 29 Absatz 3 TTDSG in Verbindung mit Artikel 58 DSGVO. Aufgrund der höheren Sachnähe wird daher angeregt, eine Festlegung der technischen Richtlinien durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) treffen zu lassen.“

Die DSK schließt sich diesen Ausführungen an.

Schließlich ist unklar, wann das Merkmal „soweit erforderlich“ erfüllt sein soll. Die Verordnungsbegründung ist in dieser Hinsicht nicht aussagekräftig genug.

Zu § 9 Abs. 1 Nr. 4 – Elektronische Abrufbarkeit

Im Hinblick auf die Formulierung „Angaben zur elektronischen Abrufbarkeit“ bleibt völlig unklar, welche Angaben hier gemeint sein sollen. Auch die Verordnungsbegründung gibt hierzu keine weitere Hilfestellung. Es wird daher eine Konkretisierung angeregt.

Zu § 9 Abs. 1 Nr. 7 – Unabhängigkeit

Die DSK begrüßt ausdrücklich, dass die Einwilligungsverwaltungsverordnung konkrete Vorgaben hinsichtlich der Unabhängigkeit anerkannter Dienste vorsieht. Hierzu findet sich im Schreiben des BMDV vom 1. Juni 2023 ein zusätzlicher Hinweis, der nicht in der Verordnung und der Begründung enthalten ist: „Anerkannte Dienste zur Einwilligungsverwaltung können kommerziell sein und etwa von den gleichen Dienstleistern angeboten werden, die das Consent‐Management für Anbieter von Telemedien konfigurieren.“

Vorsorglich weist die DSK darauf hin, dass die Anbieter der meisten Consent‐Management‐Systeme nach dem Transparency and Consent Framework (TCF) des Branchenverbands IAB Europe zertifiziert sind. Um diese Zertifizierung nicht zu verlieren, unterliegen die Anbieter hinsichtlich der Gestaltung und Funktionsweise ihrer Systeme Regularien des IAB Europe. Es ist in dieser Konstellation nicht ersichtlich, wie eine ausreichende Unabhängigkeit i. S. v. § 9 Abs. 1 Nr. 7 EinwV‐E gewährleistet werden soll. Die Aussage, dass anerkannte Dienste von denjenigen Unternehmen angeboten werden können, die derzeit Consent‐Management‐Systeme betreiben, wird daher als pauschal und voreilig erachtet.

Hinzu kommt, dass die Anbieter von Consent‐Management‐Systemen zumindest in Bezug auf die Datenverarbeitungsprozesse als Auftragsverarbeiter der Telemedienanbieter gemäß Art. 28 DS‐GVO fungieren könnten. Auch hieraus resultiert eine Abhängigkeit, die fraglich erscheinen lässt, ob und wie eine ausreichende wirtschaftliche und organisatorische Unabhängigkeit erreicht werden soll.

Zu § 10 Abs. 1 S. 2 – Sicherheitskonzept

Der Verordnungsbegründung ist zu entnehmen, dass aus dem Sicherheitskonzept hervorgehen muss, dass der Dienst sowohl technisch als auch organisatorisch die rechtlichen Anforderungen der Datenschutz‐Grundverordnung erfüllt. Dadurch entsteht der Eindruck, dass im Anerkennungsverfahren eine datenschutzrechtliche Konformitätsbewertung vorgenommen wird. Diese Bewertung ist jedoch Gegenstand von datenschutzrechtlichen Akkreditierungsverfahren nach der Verordnung (EU) 2016/679, in die die Deutsche Akkreditierungsgesellschaft einzubeziehen ist. Nach den formulierten Anforderungen zum Anerkennungsverfahren für Dienste der Einwilligungsverwaltung ist somit unklar, wie sich dieses zum Zertifizierungsverfahren der Datenschutz‐Grundverordnung verhält.

Zu § 10 Abs. 2 – Sicherheitskonzept und personenbezogene Daten

§ 10 Abs. 2 EinwV‐E rekurriert wiederholt auf die Formulierung „personenbezogene Daten“. Hierbei ist unklar, welche personenbezogenen Daten von dem Dienst gespeichert werden müssen oder dürfen. Die DSK regt daher an, hier eine Konkretisierung vorzunehmen.

Zu § 11 Abs. 1 – Verfahrensfrist

Es wird angeregt, die Frist zu streichen, da eine Entscheidung über die Anerkennung innerhalb einer festgesetzten Frist in Anbetracht der möglicherweise äußerst umfangreichen dem Antrag nach § 9 EinwV‐E beizulegenden Unterlagen – jedenfalls in bestimmten Fällen – nicht möglich sein dürfte (s. hierzu bereits Formulierungsvorschlag in kommentierter StN BfDI).

Zu § 11 Abs. 3 – vergleichbare Verfahren

Die DSK schließt sich auch hier dem BfDI an, der in seiner Stellungnahme vom 2. Juni 2023 wie folgt ausgeführt hat:

„Die für die Anerkennung zuständige Stelle soll gemäß § 11 Absatz 3 EinwV‐E die Anerkennung bestätigen, wenn ein Dienst zur Einwilligungsverwaltung in einem anderen Mitgliedstaat der Europäischen Union nach einem vergleichbaren Verfahren anerkannt wurde. Eine Vergleichbarkeit des Verfahrens soll vorliegen, wenn ein wirtschaftliches Eigeninteresse an der Erteilung der Einwilligung geprüft wurde und technisch und organisatorisch die Anforderungen der DSGVO an den Datenschutz und die Datensicherheit erfüllt werden.

Hinsichtlich der letztgenannten Anforderung weise ich darauf hin, dass die Zuständigkeit für Fragen zur Vereinbarkeit mit der DSGVO aufgrund des sogenannten One‐Stop‐Shop Mechanismus nach Artikel 56 Absatz 1 DSGVO bei der Aufsichtsbehörde der Hauptniederlassung oder einzigen Niederlassung des Verantwortlichen oder Auftragsverarbeiters als federführender Aufsichtsbehörde liegt.

Ferner kann eine reine Bestätigung bei Vorliegen eines vergleichbaren Verfahrens, welches dem aktuellen Entwurf zufolge bereits bei der Prüfung eines wirtschaftlichen Eigeninteresses vorliegen soll, nicht genügen, eine Anerkennung eines Dienstes zu bestätigen. Meines Erachtens muss es unbedingte Anforderung sein, dass das Verfahren in dem anderen Mitgliedstaat den Anforderungen des Teil 3 entspricht. Zudem muss der Dienst, um in Deutschland anerkannt werden zu können, zumindest die Anforderungen des Teils 2 umsetzen. Denn sonst droht wegen teils abweichender nationaler Umsetzungsregelungen der Vorgaben des Artikel 5 Absatz 3 Richtlinie 2002/58/EG (ePrivacy‐RL) in anderen Mitgliedstaaten, eine Bestätigung der Anerkennung von solchen Diensten in Deutschland, die mit den Vorgaben des § 25 TTDSG unvereinbare und damit im Ergebnis unwirksame Einwilligungen einholen und an die Telemedienanbieter weitergeben. Hierdurch wäre nicht nur der Schutz der Privatsphäre bei Endeinrichtungen gefährdet, sondern es könnte auch zu Widersprüchen der gesetzlichen Anforderungen und damit zu einer erheblichen Rechtsunsicherheit kommen.“

Zu § 13 – Widerruf

Nach der Verordnungsbegründung besteht keine anlasslose Kontroll‐ oder Prüfpflicht für die zuständigen Stellen nach § 12 EinwV‐E. Damit basiert die Kontrolle der Einhaltung der Regelungen der Verordnung vorrangig darauf, dass dem Dienst zur Einwilligungsverwaltung vertraut wird, die Voraussetzungen der Antragstellung jährlich selbst zu prüfen und festgestellte Änderungen der zuständigen Stelle nach § 12 durch Dritte zu melden. Wenn schon keine aktiven Prüfpflichten bestehen, sollte die zuständige Stelle nach § 12 wenigstens Meldewege für Hinweise und Beschwerden Dritter einrichten. Darüber hinaus fehlt in § 13 EinwV‐E eine Regelung zu den Rechtsfolgen eines Widerrufs der Anerkennung durch die zuständige Stelle.

Zu § 15 Abs. 2 – Aufforderung

Aufgrund der Formulierung ist unklar, ob eine weitere Aufforderung gleichwohl möglich ist, wenn der Anbieter von Telemedien eine erforderliche Einwilligung nicht erhalten hat. Auch die Verordnungsbegründung ist an dieser Stelle nicht hilfreich. Hier wird lediglich ausgeführt, dass Anbieter von Telemedien keine weitere Einwilligungsanfrage mehr an die Endnutzenden übermitteln müssen.

Der letzte Halbsatz von § 15 Abs. 2 sollte daher wie folgt angepasst werden:

„...oder nicht erhalten haben, dürfen keine weitere Aufforderung zur Erteilung einer dahingehenden Einwilligung an den Endnutzer übermitteln.“

Zudem sollte das Wort „müssen“ durch das Wort „dürfen“ in der Verordnungsbegründung ersetzt werden. Dies hätte klarstellenden Charakter.

Zu § 15 Abs. 3 – Hinweis

Es wird angeregt, den § 15 Abs. 3 EinwV‐E zu streichen. Zur Begründung nimmt die DSK erneut Bezug auf die Stellungnahme des BfDI vom 2. Juni 2023:

„Anbieter von Telemedien sollen nach § 15 Absatz 3 EinwV‐E im Fall einer erneuten Aufforderung zur Erteilung der Einwilligung den Endnutzer auf die Möglichkeit der Anpassung seiner Einstellungen bei dem anerkannten Dienst zur Einwilligungsverwaltung hinweisen, wenn sie über die Einbindung eines anerkannten Dienstes zur Einwilligungsverwaltung und über die Einstellungen des Endnutzers nicht die nach § 25 Absatz 1 TTDSG erforderliche Einwilligung erhalten.

Die darin angelegte rechtliche Legitimierung von Hinweisen auf die Möglichkeit der Anpassung der Einstellungen in Fällen abgelehnter Einwilligungen durch Telemedienanbieter steht in Widerspruch zu den Anforderungen an eine freiwillige Einwilligung gemäß § 25 Absatz 2 Satz 1 TTDSG in Verbindung mit Artikel 4 Nummer 11, Artikel 7 DSGVO. Nach den Leitlinien des Europäischen Datenschutzausschusses können wiederholte Aufforderungen („continuous prompting“) irreführende Designmuster („deceptive design patterns“) darstellen, die der Freiwilligkeit einer Einwilligung entgegenstehen (aktuell nur auf Englisch verfügbar, siehe EDPB Guidelines 03/2022 on Deceptive design patterns in social media platform interfaces, Version 2.0 vom 14. Februar 2023, Rn. 119 f.). Gleichwohl kann dem Bedürfnis der Anbieter der Telemedien Rechnung getragen werden, in angemessenen Zeiträumen Endnutzer auf die Möglichkeit der Erteilung der Einwilligung hinzuweisen. Hierfür schlage ich als vor, eine Regelung in § 4 EinwVO‐E aufzunehmen, wonach die anerkannten Dienste zur Einwilligungsverwaltung (und nicht die Telemedienanbieter) in Fällen erneuter Aufforderung zur Erteilung der Einwilligung den Endnutzer in einer mit den Anforderungen an die Einwilligung und deren Ablehnung vereinbaren Art und Weise auf die Tatsache hinweisen können, dass Einstellungen getroffen wurden und diese im Dienst angepasst werden können. Dies würde eine Prüfung der Rechtmäßigkeit solcher Hinweise im Rahmen des Anerkennungsverfahrens ermöglichen.“

Zu § 15 Abs. 4 – Freiwillige Maßnahmen

Es wird angeregt, auch diesen Absatz zu streichen. Die Festlegung der Freiwilligkeit gefährdet das Ziel des Verordnungsentwurfs, eine anwenderfreundliche Alternative zu der Vielzahl zu treffender Einzelentscheidungen für Endnutzende zu schaffen. Die über die anerkannten Dienste von den Endnutzenden abgegebenen Einwilligungen müssen von den Anbietern von Telemedien berücksichtigt werden, um praktische Wirksamkeit zu entfalten. Darüber hinaus könnte die Freiwilligkeit auch zum umgekehrten Effekt führen, dass Nutzende doppelt, über die Dienste und die Telemedien, zur Erteilung von Einwilligungen gefragt werden und damit noch mehr Einzelentscheidungen treffen müssen.

¹ Gutachten der Datenethikkommission, Oktober 2019, S. 126, 140, https://www.bundesregierung.de/breg‐de/service/publikationen/gutachten‐der‐datenethikkommission‐langfassung‐1685238.

² S. ausführlich zu den unterschiedlichen Einwilligungen DSK, Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien ab dem 1. Dezember 2021 (OH Telemedien 2021), Version 1.1, Stand: Dezember 2022, Rn. 10 ff.; 96 ff., 112 und 113 ff.

³ S. z. B. die Stellungnahme der LfD Niedersachsen vom 22.01.2021, https://www.bmwk.de/Redaktion/DE/Downloads/Stellungnahmen/Stellungnahmen‐TTDSG/landesbeauftragte‐datenschutz‐niedersachsen.pdf.

⁴ S. z. B. Satz 2 der Verordnungsbegründung zu § 2 Abs. 1 Nr. 1, die allerdings im Widerspruch zum Wortlaut von § 2 Abs. 1 Nr. 2 EinwV‐E steht, wonach der Dienst explizit ermöglichen soll, Einwilligungen der Nutzer, „die sie gegenüber Anbietern von Telemedien erteilen oder ablehnen wollen, zu speichern, zu verwalten und bei Bedarf zu übermitteln“.

⁵ DSK, OH Telemedien 2021 Version 1.1, Rn. 122, 123.

⁶ S. hierzu auch DSK, OH Telemedien 2021, Version 1.1, Rn. 35.

⁷ S. zum Problem der Löschung von Cookies und anderen auf den Endgeräten der Nutzenden gespeicherten Informationen DSK, OH Telemedien 2021, Version 1.1, Rn. 140 f.

⁸ EDSA, Guidelines 03/2022 on Deceptive design patterns in social media platform interfaces: how to recognise and avoid them, Version 2.0, Adopted on 14 February 2023, Rn. 5.