04.07.2023
§ 26 TTDSG in der praktischen Umsetzung: Zukunft der Einholung und Verwaltung von Einwilligungen im Internet?
§ 26 TTDSG soll einen gesetzgeberischen Anreiz zur Etablierung von sogenannten PIMS (Personal Information Management Systems) setzen, die sich bislang in der Praxis noch nicht durchgesetzt haben.
Dr. Philipp Siedenburg
Director Datenschutz
Schon seit Jahren wird immer wieder über die Entwicklung von sogenannten PIMS (Personal Information Management Systems) gesprochen. Diese sollen Nutzer:innen bei der Interaktion mit insbesondere Websites beim Management ihrer Einwilligungsentscheidungen unterstützen. § 26 TTDSG soll hier einen gesetzgeberischen Anreiz zur Etablierung solcher Systeme setzen, die sich bislang in der Praxis noch nicht durchgesetzt haben. Der deutsche Gesetzgeber erhofft sich hier insbesondere eine Abkehr vom teils als „Consent Fatigue“ betitelten Phänomen, dass Nutzer:innen die eigentlich der besseren Kontrolle über die eigenen Daten dienenden Einwilligungsbanner lediglich Wegklicken, ohne tatsächlich eine bewusste Entscheidung über die damit zusammenhängende Datenverarbeitung zu treffen.
Welche Rolle spielt § 26 TTDSG bei der Etablierung von PIMS?
Lange herrschte im Gesetzgebungsverfahren zum Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) Uneinigkeit darüber, wie und ob überhaupt auf nationaler Ebene eine Regelung zu PIMS getroffen werden sollte. Die grundsätzliche Idee einer entsprechenden nationalstaatlichen Regelung brachte bereits 2019 die sogenannte Datenethikkommission der Bundesregierung auf, der Europäische Datenschutzbeauftragte (EDSB) beschäftigte sich sogar schon im Jahr 2016 mit PIMS und ihrem Potential für die Wahrnehmung von Betroffenenrechten.
Die Regelungen des § 26 TTDSG für anerkannte Dienste der Einwilligungsverwaltung
§ 26 TTDSG reguliert die sogenannten „anerkannten Dienste“ der Einwilligungsverwaltung und in diesem Zuge insbesondere die hierfür zu erfüllenden Anforderungen. Es gibt allerdings keine Pflicht der Anbieter, sich nach § 26 TTDSG anerkennen zu lassen, vielmehr ist eine entsprechende Anerkennung eher wie eine Zertifizierung zu verstehen. Sie kann vielmehr die Position am Markt und insbesondere das Vertrauen von Endnutzer:innen in das eigene Angebot stärken.
Anforderungen und Zertifizierungsmöglichkeiten für PIMS-Anbieter:innen
Zunächst macht bereits Abs. 1 deutlich, dass die anerkannten Dienste der Einwilligungsverwaltung nach § 26 TTDSG solche sind, die Einwilligungen nach § 25 TTDSG verwalten. Es kann wohl zumindest davon ausgegangen werden, dass solche Einwilligungen, die sowohl Einwilligungen nach § 25 TTDSG als auch solche nach der DSGVO sind, ebenfalls in den Anwendungsbereich des § 26 TTDSG fallen. Das gilt selbstverständlich nicht für nachgelagerte Verarbeitungen personenbezogener Daten, die gerade keine Verarbeitungen im Kontext des § 25 TTDSG mehr sind. Absatz 1 bestimmt zudem bereits erste Anforderungen an die PIMS, wie etwa nutzerfreundliche und wettbewerbskonforme Verfahren, ein fehlendes wirtschaftliches Eigeninteresse an der eigentlichen Einwilligungserteilung, eine strenge Zweckbindung auf die Verarbeitung zur Einwilligungsverwaltung sowie das zwingende Vorlegen eines Sicherheitskonzeptes.
Die Ausgestaltung der Anforderungen und das Anerkennungsverfahren
Die nähere Ausgestaltung der konkreten Anforderungen sowie nähere Vorgaben für das tatsächliche Anerkennungsverfahren vor der später zuständigen Behörde werden gemäß § 26 Abs. 2 TTDSG durch Rechtsverordnung, d.h. durch die Bundesregierung, erfolgen. Das genaue Regelungskonstrukt bleibt bis zu diesem Punkt an vielen Stellen offen. Wann genau mit der Verordnung gerechnet werden kann, ist bislang ebenso unklar. Eine Verabschiedung noch im Jahr 2023 scheint allerdings eher unwahrscheinlich. Zudem schließt sich der eigentlichen Verabschiedung der Rechtsverordnung noch ein Notifizierungsverfahren auf Unionsebene an, da es sich bei der geplanten Rechtsverordnung um eine „technische Vorschrift“ im Sinne der Richtlinie (EU) 2015/1535 handelt. Das Bundesministerium für Digitales und Verkehr (BMDV) veröffentlichte am 01.06.2023 seinen Entwurf der Einwilligungsverwaltungsverordnung, der bereits erste Erkenntnisse zur Ausgestaltung liefern kann und nun in das Konsultationsverfahren geht (siehe unten zum Update).
Die entsprechende Verordnung soll nach § 26 Abs. 3 TTDSG zudem zwei Jahre nach Inkrafttreten durch die Bundesregierung hinsichtlich ihrer Wirksamkeit evaluiert werden. Über die entsprechende Selbstevaluierung soll ein Bericht an Bundestag und Bundesrat vorgelegt werden.
Ihre Strategie für den besten Schutz
Die Grundlage jeder guten Geschäftsbeziehung ist Vertrauen. Stärken Sie die Beziehung zu Ihren Kunden mit unserer Expertise im Datenschutz und der Informationssicherheit. Damit sichern Sie Ihrer Unternehmung einen starken Wettbewerbsvorteil und können sich voll auf Ihr Geschäft konzentrieren.
Die Herausforderungen bei der funktionalen und rechtskonformen Ausgestaltung von PIMS im Rahmen von § 26 TTDSG
Aber wie kann ein PIMS eigentlich funktional und rechtskonform ausgestaltet werden? Grundsätzlich kann hier vorangestellt werden, dass sich die Ausgestaltung einer Plattform zur Einwilligungsverwaltung stets im Konfliktfeld zwischen einer möglichst datenschutzfreundlichen bzw. -sparsamen Umsetzung und wirksamen Einwilligungserteilung auf der einen Seite sowie einer mehrwertschaffenden Lösung für Endnutzer:innen gegenüber den aktuell vorherrschenden Einwilligungsbannern auf der anderen Seite bewegt.
Technische Ansätze für PIMS: Endeinrichtungs- oder cloudbasierte Umsetzung
Aus technischer Sicht kommen zunächst zwei Ansätze bei Konzeption eines PIMS in Betracht: Zum einen können PIMS so aufgebaut werden, dass sie nur auf der Endeinrichtung der Endnutzer:innen ausgeführt werden. Zum anderen könnten PIMS zumindest teilweise cloudbasiert betrieben werden, was insbesondere die geräteübergreifende Nutzung massiv erleichtert. Datenschutzfreundlicher ist hierbei das Betreiben des PIMS auf der Endeinrichtung der Endnutzer:innen, in der Regel direkt im Browser. Bei minimalistischer Herangehensweise genügt hier die Angabe der Einwilligungspräferenzen im PIMS mit reiner Endgeräteauthentifizierung. Wird nun eine Webseite aufgerufen, könnten die Einwilligungseinstellungen direkt von der Endeinrichtung beziehungsweise aus dem dortigen Browser abgerufen werden. Dies würde die größtmögliche Kontrolle der Endnutzer:innen über ihre Einwilligungsentscheidungen bedeuten, da die Einwilligungsdaten im PIMS nur bei Einwilligungsabfragen überhaupt die jeweilige Endeinrichtung verlassen. Allerdings müssten, bei Verwendung mehrerer Browser und / oder Endeinrichtungen, die Einstellungen im PIMS auch entsprechend mehrfach hinterlegt werden. Würde ein PIMS cloudbasiert umgesetzt, liefe die Synchronisierung endgeräteübergreifend über ein Userprofil oder -konto. Hierbei könnten die Daten entweder weiterhin auf der Endeinrichtung gespeichert und lediglich über die Cloud bei etwaigen Veränderungen untereinander synchronisiert werden oder aber die Speicherung der Einwilligungsdaten auf den Servern des PIMS-Anbieters (sei es auch nur als Back-up).
Die Bestimmtheit von Einwilligungserklärungen und ihre Inhalte
Woran sich eine potenzielle Einwilligungserklärung inhaltlich messen lassen muss, bestimmt sich auch bei Einwilligungen im Rahmen des § 25 Abs. 1 TTDSG aufgrund eines entsprechenden Verweises nach der Legaldefinition der datenschutzrechtlichen Einwilligung in Art. 4 Nr. 11 DSGVO. Insbesondere die Bestimmtheit einer Einwilligung kann hier problematisch werden bei einem Konzept, dass an Mehrwert für Nutzer:innen vor allem durch tendenziell abstraktere Einwilligungserklärungen gewinnt.
Modelle für den Umfang der Einwilligungs- und PIMS-Einstellungen
Wieder sind vor allem zwei Modelle hinsichtlich des genauen Umfangs der Einwilligungs- beziehungsweise PIMS-Einstellungen denkbar. Zum einen könnte bei jeder PIMS-Einstellung der konkrete Zweck samt konkretem Verantwortlichen angegeben werden. Dies könnte neben der schlicht manuellen Einstellung durch die Endnutzer:innen auch durch ein „Whitelisting“ konkreter Verantwortlicher samt der durch sie vorgesehenen Verarbeitungszwecke oder auch durch Übernahme von „Einwilligungslisten“ Dritter umgesetzt werden. Um die Einwilligung auch „informiert“ abzugeben und die entsprechenden Pflichten aus Art. 12 ff. DSGVO zu erfüllen, müsste Betroffenen bei Vornahme der entsprechenden Einstellungen zumindest die Kenntnisnahme der entsprechenden Datenschutzhinweise ermöglicht werden. Eine so granulare Einstellung für jede Verarbeitung hinsichtlich Verantwortlichen sowie dazugehörigen Zwecken würde allerdings auch bei jeder Veränderung auch nur einer konkreten Kombination in den PIMS-Einstellungen die Notwendigkeit einer Anpassung der PIMS-Einstellungen nach sich ziehen.
Pragmatischer Ansatz für PIMS-Einstellungen: Einwilligung für Kategorien statt einzelner Verantwortlicher und Zwecke
Ein wesentlich pragmatischerer Ansatz könnte bedeuten, dass sich die PIMS-Einstellungen nicht stets auf konkrete Verantwortliche und Zwecke beziehen müssen. Denkbar wäre, dass Einwilligungseinstellungen nur für konkrete Zwecke, nicht allerdings stets für einen konkreten Verantwortlichen, sondern etwa für gewisse Kategorien abgegeben werden. Ein Beispiel könnte hier die Einstellung der Einwilligungserteilung für alle Tages- und Wochenzeitschriften für Verarbeitungen zu Marketingzwecken sein. Die weniger granulare Ausgestaltung der Einwilligungseinstellung dürfte dazu führen, dass sich diese gröberen Konstellationen weniger öfter grundsätzlich verändern und damit auch weniger oft eine Notwendigkeit für Anpassungen der Einstellungen besteht. Aus datenschutzrechtlicher Sicht scheint hier allerdings sowohl eine ausreichende Bestimmtheit für den konkreten Fall als auch das tatsächliche Erfüllen der Informationspflichten problematisch. Insbesondere die Anforderungen des Europäischen Datenschutzausschusses (EDSA) an die Einwilligungserteilung im Einwilligungsbanner dürfte dies nicht erfüllen, ähnliche Maßstäbe müssten hier aber gesetzt werden. Aber auch praktische Überlegungen sprechen gegen den hiesigen Ansatz: soll sich die Einwilligungsentscheidung auch anbieterübergreifend auf einen konkreten Zweck beziehen, müssten sich ebendiese auch auf eine übergreifende Beschreibung von fest definierten Zwecken einigen. Denkbar wäre hier wiederum ein System wie das „GDPR Transparency and Consent Framework“ (TCF).
Die tatsächliche Erteilung der Einwilligung würde wohl bei Abgabe der Einwilligungseinstellungen nur für ganz konkrete Zwecke samt konkreter Verantwortlicher durch den PIMS als eine Art „Bote“ zu verstehen sein. Wird die mögliche Abgabe der Einwilligungsentscheidungen aber abstrakter, bedeutet dies auch mehr Spielraum des PIMS bzw. des PIMS-Anbieters bei der Einwilligungserteilung: hier wäre eher eine Art „Stellvertretung“ anzunehmen.
Offene Fragen und sich abzeichnende Veränderungen: Der aktuelle Stand des § 26 TTDSG und seine Auswirkungen auf PIMS
Im Kontext des § 26 TTDSG bleibt weiterhin vieles offen. So herrscht Uneinigkeit darüber, ob § 26 Abs. 2 Nr. 3 TTDSG eine Berücksichtigungs- oder Befolgungspflicht für PIMS-Einstellungen für Browser- sowie Telemedienanbieter normiert. Auch überschneidet sich der persönliche Anwendungsbereich des § 26 TTDSG teilweise mit dem jüngst verabschiedeten Data Governance Act, der sogenannten „Datenvermittlungsdiensten“ wiederum eigene Pflichten auferlegt. Auch der Abschluss der Trilog-Verhandlungen und die Verabschiedung der ePrivacy-Verordnung steht weiterhin stets im Raum. Auch sie würde die Rahmenbedingungen, in denen PIMS ihre Dienste erbringen würden, nochmal bedeutend verändern.
Leak des Verordnungsentwurfs von 2022 und möglicher Rückschlag in der Ressortabstimmung
Im August 2022 wurde ein erster Entwurf einer potenziellen Verordnung aus dem Bundesministerium für Digitales und Verkehr geleakt. Insbesondere sah der Entwurf etwa vor, dass der Dienst zur Einwilligungsverwaltung sicherzustellen habe, dass Endnutzer:innen bei Einwilligungserteilung oder -ablehnung Kenntnis von den zur Erfüllung der Informationspflichten aus der DSGVO erforderlichen Angaben haben. Auch sollte es zur Vermeidung von Gatekeeping eine Kooperationspflicht für Dienste zur Einwilligungsverwaltung, Anbieter von Browsersoftware sowie für Telemedienanbieter geben. Neben konkretisierten Anforderungen an den Antrag auf Anerkennung fand sich zudem eine bemerkenswerte Regelung, die sich so liest, als sei bei getroffenen PIMS-Einstellungen das Ausspielen zusätzlicher Einwilligungen grundsätzlich untersagt.
Schenkt man allerdings einem Schreiben des BfDI in einer Anfrage nach dem IFG bei Frag den Staat vom 30.09.2022 Glauben, sei das Vorhaben bereits in der Ressortabstimmung gescheitert. Damit wird die hoffentlich aufschlussreichere Rechtsverordnung der Bundesregierung also noch etwas länger auf sich warten lassen.
Der aktuelle Stand der Rechtsverordnung und die geplante Finalisierung bis 2024
Am 01.06.2023 hat das BMDV einen (in einigen Teilen neuen) Entwurf für die Einwilligungsverwaltungsverordnung (EinwV-E) veröffentlicht. Der Veröffentlichung schließt sich das Konsultationsverfahren zur Beteiligung von Ländern, kommunalen Spitzenverbänden, Fachkreisen und Verbänden an. Zum aktuellen Zeitpunkt hat die Bundesregierung den in Frage stehenden Entwurf der Rechtsverordnung noch nicht beschlossen. Nach eigener Aussage ist eine Finalisierung bis 2024 geplant.
Der offizielle EinwV-E lässt nun erste Schlüsse darauf zu, mit welchem eigentlichen Inhalt der § 26 TTDSG gefüllt werden soll. So sieht der EinwV-E in § 3 Abs. 2 vor, dass der Dienst zur Einwilligungsverwaltung sicherzustellen habe, dass er nur solche Einwilligungen nach § 25 Abs. 1 TTDSG verwaltet, bei denen Endnutzer:innen Kenntnis von etwa den verantwortlichen Telemedienanbieter:innen, der Dauer der Datenspeicherung sowie auch der Widerruflichkeit der Einwilligung erhalte. Um dem zu entsprechen, könnte das PIMS unter Umständen auch selbst über die nach § 3 Abs. 3 EinwV-E notwendigen Angaben zu den konkreten Telemedienanbieter:innen informieren. Dies hätte überdies die Folge, dass PIMS-Anbieter:innen kein eigener Entscheidungsspielraum zukäme, um etwa die Möglichkeit der Einwilligungserteilung in noch nicht konkret definierte, sondern ganze Kategorien von Verantwortlichen vorzusehen. Dies hatte noch der Wortlaut des § 3 Abs. 4 des geleakten Rechtsverordnungsentwurfs mit Stand 08.07.2022 nahegelegt.
§ 6 Abs. 1 EinwV-E sieht eine Kooperationspflicht für Dienste zur Einwilligungsverwaltung vor, um Gatekeeping vorzubeugen. Der geleakte Entwurf aus dem August 2022 sah eine entsprechende Kooperationspflicht auch noch für Telemedien- und Browseranbieter:innen vor. Dass sich diese Regelung so im offiziellen EinwV-E nun nicht mehr wiederfindet, wird mutmaßlich zu einer deutlich geringeren Verbreitung und auch zu einem weniger intensiven Zusammenwirken der einzelnen Beteiligten führen.
§ 15 EinwV-E ist ebenso bemerkenswert. Nach Abs. 2 hätten Telemedienanbieter:innen, die eine Einwilligung nach § 25 Abs. 1 TTDSG bei einem anerkannten Einwilligungsmanagementdienst einholen, keine weiteren Einwilligungsanfragen an Endnutzer:innen zu richten. Eine Verpflichtung zur Abfrage der Einwilligung bei PIMS-Anbieter:innen bestehe jedoch nicht, wie § 15 Abs. 1 EinwV-E indirekt andeutet. Wie in Absatz 3 ausgeführt, sollten sie die Endnutzer:innen auf die Möglichkeit der Anpassung ihrer Einstellungen beim PIMS hinweisen, sofern sie auch nach einer Abfrage beim PIMS keine Einwilligung erhalten haben. Die Durchführung aller vorstehenden Maßnahmen sei nach Absatz 4 allerdings freiwillig. In der geleakten Fassung der Rechtsverordnung vom 8. Juli 2022 schien § 10 Absatz 1 Nummer 4 die Anzeige zusätzlicher Einwilligungsbanner noch vollständig zu verbieten, wenn die Einwilligung über PIMS-Anbieter:innen eingeholt wird. Damit wäre Artikel 4 Absatz 2aa des Vorschlags für die E-Privacy-Verordnung, der die Behandlung von Willenserklärungen im Einzelfall gegen in Software eingebettete Entscheidungen vorsieht, nicht ausreichend Rechnung getragen worden. Dieser Konflikt kann jedoch durch die Anpassung hinsichtlich der Freiwilligkeit der Maßnahmen im offiziell veröffentlichten Entwurf umgangen werden. Nach der Gesetzesbegründung solle eine frühere ausdrückliche Verweigerung der Einwilligung von Telemedienanbieter:innen bei einer erneuten Aufforderung zur Einwilligung aber zumindest berücksichtigt werden.
Sollte die Rechtsverordnung in der aktuellen Entwurfsfassung so auch tatsächlich von der Bundesregierung verabschiedet werden, scheint es in der Praxis insbesondere wegen der lediglich freiwilligen Nutzung und Integration für Telemedien- und Browseranbieter:innen eher unwahrscheinlich, dass sich das auf § 26 TTDSG basierende Konzept der PIMS tatsächlich durchsetzen wird. Schließlich räumte das BMDV sogar selbst ein, dass ihm bislang kein Dienst bekannt sei, der alle von § 26 TTDSG und der korrespondierenden EinwV-E Voraussetzungen erfülle.
Nutzen Sie unser Know-how und unsere Erfahrung, um Ihr Unternehmen datenschutzrechtlich auf den neuesten Stand zu bringen! Seit Jahren wird über die Entwicklung von PIMS diskutiert, aber nicht alle Unternehmen haben die Ressourcen, um solche Systeme datenschutzkonform zu implementieren. Wir helfen ihnen dabei. Kontaktieren Sie uns noch heute, um zu erfahren, wie Sie die Anforderungen des TTDSG erfüllen.
Weitere Neuigkeiten
23.09.2024
NIS2-Richtlinie: Anwendungsbereich, Anforderungen & notwendige Maßnahmen
Am 16.01.2023 trat die NIS2-Richtlinie EU-weit in Kraft. Nachdem des zugehörige Umsetzungsgesetz mehrfach geändert wurde, liegt mittlerweile der wohl finale Entwurf vor und das Inkrafttreten der NIS2-Anforderungen rückt immer näher. Eine Vielzahl von Unternehmen steht nun vor der Frage, ob sie dem Anwendungsbereich der NIS2-Richtlinie unterfallen, welche Pflichten sie treffen und wie sie diese Pflichten durch geeignete Maßnahmen erfüllen können. Wir haben die Anforderungen und notwendigen Maßnahmen für Sie aufbereitet.
Weiterlesen … NIS2-Richtlinie: Anwendungsbereich, Anforderungen & notwendige Maßnahmen
10.09.2024
Konzerndatenschutz: Anforderungen & Rechtsgrundlagen für die Datenübermittlung im Konzern
Wenn Konzerne nach außen wie innen als eine geschlossene Einheit auftreten, sollten Datenübermittlungen zwischen ihren einzelnen Unternehmen auf den ersten Blick kein besonderes Problem darstellen. Doch den Konzern als eigenen datenschutzrechtlich Verantwortlichen, kennt die Datenschutz-Grundverordnung nicht. Und damit sind auch Datenübermittlungen im Konzern nicht automatisch rechtlich zulässig. Wir geben in diesem Beitrag einen Überblick über die wichtigsten Fragestellungen, Anforderungen und Lösungsmöglichkeiten im Bereich Datenübermittlung in Konzernen.
26.08.2024
Datenschutzmanagementsystem (DSMS): Ihr Schlüssel zur DSGVO-Compliance
Um den Anforderungen der Datenschutz-Grundverordnung (DSGVO) gerecht zu werden, empfiehlt sich ein Datenschutzmanagementsystem (DSMS). Denn damit lassen sich die datenschutzrechtlichen Anforderungen regeln, planen, umsetzen und kontrollieren. Das vereinfacht die Compliance für Unternehmen und deren Mitarbeiter:innen wesentlich. Lesen Sie hier, wie der DSGVO-konforme Aufbau eines DSMS gelingt, wer im Unternehmen dafür Verantwortlich ist und welche Software Ihnen helfen kann.
Weiterlesen … Datenschutzmanagementsystem (DSMS): Ihr Schlüssel zur DSGVO-Compliance