Schon seit Jahren wird immer wieder über die Entwicklung von sogenannten PIMS (Personal Information Management Systems) gesprochen. Diese sollen Nutzer:innen bei der Interaktion mit insbesondere Websites beim Management ihrer Einwilligungsentscheidungen unterstützen. § 26 TTDSG soll hier einen gesetzgeberischen Anreiz zur Etablierung solcher Systeme setzen, die sich bislang in der Praxis noch nicht durchgesetzt haben. Der deutsche Gesetzgeber erhofft sich hier insbesondere eine Abkehr vom teils als „Consent Fatigue“ betitelten Phänomen, dass Nutzer:innen die eigentlich der besseren Kontrolle über die eigenen Daten dienenden Einwilligungsbanner lediglich Wegklicken, ohne tatsächlich eine bewusste Entscheidung über die damit zusammenhängende Datenverarbeitung zu treffen.
Relevanz der Regelung
Lange herrschte im Gesetzgebungsverfahren zum Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) Uneinigkeit darüber, wie und ob überhaupt auf nationaler Ebene eine Regelung zu PIMS getroffen werden sollte. Die grundsätzliche Idee einer entsprechenden nationalstaatlichen Regelung brachte bereits 2019 die sogenannte Datenethikkomission der Bundesregierung auf, der Europäische Datenschutzbeauftrage (EDSB) beschäftigte sich sogar schon im Jahr 2016 mit PIMS und ihrem Potential für die Wahrnehmung von Betroffenenrechten.
Inhalt von § 26 TTDSG
§ 26 TTDSG reguliert die sogenannten „anerkannten Dienste“ der Einwilligungsverwaltung und in diesem Zuge insbesondere die hierfür zu erfüllenden Anforderungen Es gibt allerdings keine Pflicht der Anbieter, sich nach § 26 TTDSG anerkennen zu lassen, vielmehr ist eine entsprechende Anerkennung eher wie eine Zertifizierung zu verstehen. Sie kann vielmehr die Position am Markt und insbesondere das Vertrauen von Endnutzer:innen in das eigene Angebot stärken.
Zunächst macht bereits Abs. 1 deutlich, dass die anerkannten Dienste der Einwilligungsverwaltung nach § 26 TTDSG solche sind, die Einwilligungen nach § 25 TTDSG verwalten. Es kann wohl zumindest davon ausgegangen werden, dass solche Einwilligungen, die sowohl Einwilligungen nach § 25 TTDSG als auch solche nach der DSGVO sind, ebenfalls in den Anwendungsbereich des § 26 TTDSG fallen. Das gilt selbstverständlich nicht für nachgelagerte Verarbeitungen personenbezogener Daten, die gerade keine Verarbeitungen im Kontext des § 25 TTDSG mehr sind. Absatz 1 bestimmt zudem bereits erste Anforderungen an die PIMS, wie etwa nutzerfreundliche und wettbewerbskonforme Verfahren, ein fehlendes wirtschaftliches Eigeninteresse an der eigentlichen Einwilligungserteilung, eine strenge Zweckbindung auf die Verarbeitung zur Einwilligungsverwaltung sowie das zwingende Vorlegen eines Sicherheitskonzeptes.
Die genauere Ausgestaltung der konkreten Anforderungen, allerdings sowie detailliertere Vorgaben zum tatsächlichen Anerkennungsverfahren vor der später zuständigen Behörde wird nach § 26 Abs. 2 TTDSG durch Rechtsverordnung, sprich durch die Bundesregierung erfolgen. Das genaue Regelungskonstrukt bleibt bis zu diesem Punkt an vielen Stellen offen. Wann genau mit der Verordnung gerechnet werden kann ist bislang ebenso unklar, eine Verabschiedung noch in diesem Jahr scheint allerdings eher unwahrscheinlich. Zudem schließt sich der eigentlichen Verabschiedung der Rechtsverordnung noch ein Notifizierungsverfahren auf Unionsebene an, da es sich bei der geplanten Rechtsverordnung um eine „technische Vorschrift“ im Sinne der Richtlinie (EU) 2015/1535 handelt.
Die entsprechende Verordnung soll nach § 26 Abs. 3 TTDSG zudem zwei Jahre nach Inkrafttreten durch die Bundesregierung hinsichtlich ihrer Wirksamkeit evaluiert werden. Über die entsprechende Selbstevaluierung soll ein Bericht an Bundestag und Bundesrat vorgelegt werden.
Funktionale Ausgestaltung eines PIMS
Aber wie kann ein PIMS eigentlich funktional und rechtskonform ausgestaltet werden? Grundsätzlich kann hier vorangestellt werden, dass sich die Ausgestaltung einer Plattform zur Einwilligungsverwaltung stets im Konfliktfeld zwischen einer möglichst datenschutzfreundlichen bzw. -sparsamen Umsetzung und wirksamen Einwilligungserteilung auf der einen Seite sowie einer mehrwertschaffenden Lösung für Endnutzer:innen gegenüber den aktuell vorherrschenden Einwilligungsbannern auf der anderen Seite bewegt.
Aus technischer Sicht kommen zunächst zwei Ansätze bei Konzeption eines PIMS in Betracht: Zum einen können PIMS so aufgebaut werden, dass sie nur auf der Endeinrichtung der Endnutzer:innen ausgeführt werden. Zum anderen könnten PIMS zumindest teilweise cloudbasiert betrieben werden, was insbesondere die geräteübergreifende Nutzung massiv erleichtert. Datenschutzfreundlicher ist hierbei das Betreiben des PIMS auf der Endeinrichtung der Endnutzer:innen, in der Regel direkt im Browser. Bei minimalistischer Herangehensweise genügt hier die Angabe der Einwilligungspräferenzen im PIMS mit reiner Endgeräteauthentifizierung. Wird nun eine Webseite aufgerufen, könnten die Einwilligungseinstellungen direkt von der Endeinrichtung beziehungsweise aus dem dortigen Browser abgerufen werden. Dies würde die größtmögliche Kontrolle der Endnutzer:innen über ihre Einwilligungsentscheidungen bedeuten, da die Einwilligungsdaten im PIMS nur bei Einwilligungsabfragen überhaupt die jeweilige Endeinrichtung verlassen. Allerdings müssten, bei Verwendung mehrerer Browser und / oder Endeinrichtungen, die Einstellungen im PIMS auch entsprechend mehrfach hinterlegt werden. Würde ein PIMS cloudzentriert umgesetzt, liefe die Synchronisierung endgeräteübergreifend über ein User:innenprofil oder -konto. Hierbei könnten die Daten entweder weiterhin auf der Endeinrichtung gespeichert und lediglich über die Cloud bei etwaigen Veränderungen untereinander synchronisiert werden oder aber die Speicherung der Einwilligungsdaten auf den Servern des PIMS-Anbieters (sei es auch nur als Back-up).
Woran sich eine potenzielle Einwilligungserklärung inhaltlich messen lassen muss, bestimmt sich auch bei Einwilligungen im Rahmen des § 25 Abs. 1 TTDSG aufgrund eines entsprechenden Verweises nach der Legaldefinition der datenschutzrechtlichen Einwilligung in Art. 4 Nr. 11 DSGVO. Insbesondere die Bestimmtheit einer Einwilligung kann hier problematisch werden bei einem Konzept, dass an Mehrwert für Nutzer:innen vor allem durch tendenziell abstraktere Einwilligungserklärungen gewinnt.
Wieder sind vor allem zwei Modelle hinsichtlich des genauen Umfangs der Einwilligungs- beziehungsweise PIMS-Einstellungen denkbar. Zum einen könnte bei jeder PIMS-Einstellung der konkrete Zweck samt konkretem Verantwortlichen angegeben werden. Dies könnte neben der schlicht manuellen Einstellung durch die Endnutzer:innen auch durch ein „Whitelisting“ konkreter Verantwortlicher samt der durch sie vorgesehenen Verarbeitungszwecke oder auch durch Übernahme von „Einwilligungslisten“ Dritter umgesetzt werden. Um die Einwilligung auch „informiert“ abzugeben und die entsprechenden Pflichten aus Art. 12 ff. DSGVO zu erfüllen, müsste Betroffenen bei Vornahme der entsprechenden Einstellungen zumindest die Kenntnisnahme der entsprechenden Datenschutzhinweise ermöglicht werden. Eine so granulare Einstellung für jede Verarbeitung hinsichtlich Verantwortlichen sowie dazugehörigen Zwecken würde allerdings auch bei jeder Veränderung auch nur einer konkreten Kombination in den PIMS-Einstellungen die Notwendigkeit einer Anpassung der PIMS-Einstellungen nach sich ziehen.
Ein wesentlich pragmatischerer Ansatz könnte bedeuten, dass sich die PIMS-Einstellungen nicht stets auf konkrete Verantwortliche und Zwecke beziehen müssen. Denkbar wäre, dass Einwilligungseinstellungen nur für konkrete Zwecke, nicht allerdings stets für einen konkreten Verantwortlichen, sondern etwa für gewisse Kategorien abgegeben werden. Ein Beispiel könnte hier die Einstellung der Einwilligungserteilung für alle Tages- und Wochenzeitschriften für Verarbeitungen zu Marketingzwecken sein. Die weniger granulare Ausgestaltung der Einwilligungseinstellung dürfte dazu führen, dass sich diese gröberen Konstellationen weniger öfter grundsätzlich verändern und damit auch weniger oft eine Notwendigkeit für Anpassungen der Einstellungen besteht. Aus datenschutzrechtlicher Sicht scheint hier allerdings sowohl eine ausreichende Bestimmtheit für den konkreten Fall als auch das tatsächliche Erfüllen der Informationspflichten problematisch. Insbesondere die Anforderungen des Europäischen Datenschutzausschusses (EDSA) an die Einwilligungserteilung im Einwilligungsbanner dürfte dies nicht erfüllen, ähnliche Maßstäbe müssten hier aber gesetzt werden. Aber auch praktische Überlegungen sprechen gegen den hiesigen Ansatz: soll sich die Einwilligungsentscheidung auch anbieterübergreifend auf einen konkreten Zweck beziehen, müssten sich ebendiese auch auf eine übergreifende Beschreibung von fest definierten Zwecken einigen. Denkbar wäre hier wiederum ein System wir das „GDPR Transparency and Consent Framework“ (TCF).
Ein wesentlich pragmatischerer Ansatz könnte bedeuten, dass sich die PIMS-Einstellungen nicht stets auf konkrete Verantwortliche und Zwecke beziehen müssen. Denkbar wäre, dass Einwilligungseinstellungen nur für konkrete Zwecke, nicht allerdings stets für einen konkreten Verantwortlichen, sondern etwa für gewisse Kategorien abgegeben werden. Ein Beispiel könnte hier die Einstellung der Einwilligungserteilung für alle Tages- und Wochenzeitschriften für Verarbeitungen zu Marketingzwecken sein. Die weniger granulare Ausgestaltung der Einwilligungseinstellung dürfte dazu führen, dass sich diese gröberen Konstellationen weniger öfter grundsätzlich verändern und damit auch weniger oft eine Notwendigkeit für Anpassungen der Einstellungen besteht. Aus datenschutzrechtlicher Sicht scheint hier allerdings sowohl eine ausreichende Bestimmtheit für den konkreten Fall als auch das tatsächliche Erfüllen der Informationspflichten problematisch. Insbesondere die Anforderungen des Europäischen Datenschutzausschusses (EDSA) an die Einwilligungserteilung im Einwilligungsbanner dürfte dies nicht erfüllen, ähnliche Maßstäbe müssten hier aber gesetzt werden. Aber auch praktische Überlegungen sprechen gegen den hiesigen Ansatz: soll sich die Einwilligungsentscheidung auch anbieterübergreifend auf einen konkreten Zweck beziehen, müssten sich ebendiese auch auf eine übergreifende Beschreibung von fest definierten Zwecken einigen. Denkbar wäre hier wiederum ein System wir das „GDPR Transparency and Consent Framework“ (TCF).
Die tatsächliche Erteilung der Einwilligung würde wohl bei Abgabe der Einwilligungseinstellungen nur für ganz konkrete Zwecke samt konkreter Verantwortlicher durch den PIMS als eine Art „Bote“ zu verstehen sein. Wird die mögliche Abgabe der Einwilligungsentscheidungen aber abstrakter, bedeutet dies auch mehr Spielraum des PIMS bzw. des PIMS-Anbieters bei der Einwilligungserteilung: hier wäre eher eine Art „Stellvertretung“ anzunehmen.
Sonstige Implikationen
Im Kontext des § 26 TTDSG bleibt weiterhin vieles offen. So herrscht Uneinigkeit darüber, ob § 26 Abs. 2 Nr. 3 TTDSG eine Berücksichtigungs- oder Befolgungspflicht für PIMS-Einstellungen für Browser- sowie Telemedienanbieter normiert. Auch überschneidet sich der persönliche Anwendungsbereich des § 26 TTDSG teilweise mit dem jüngst verabschiedeten Data Governance Act, der sogenannten „Datenvermittlungsdiensten“ wiederum eigene Pflichten auferlegt. Auch die baldige Verabschiedung der ePrivacy-Verordnung steht weiterhin stets im Raum. Auch sie würde die Rahmenbedingungen, in denen PIMS ihre Dienste erbringen würden nochmal bedeutend verändern.
Rechtsverordnung
Im August 2022 wurde ein erster Entwurf einer potenziellen Verordnung aus dem Bundesministerium für Digitales und Verkehr geleakt. Insbesondere sieht der Entwurf etwa vor, dass der Dienst zur Einwilligungsverwaltung Kenntnis sicherzustellen hat, dass Endnutzer:innen bei Einwilligungserteilung oder -ablehnung Kenntnis von den zur Erfüllung der Informationspflichten aus der DSGVO erforderlichen Angaben haben. Auch soll es zur Vermeidung von Gatekeeping eine Kooperationspflicht für Dienste zur Einwilligungsverwaltung, Anbieter von Browsersoftware sowie für Telemedienanbieter geben. Neben konkretisierten Anforderungen an den Antrag auf Anerkennung findet sich zudem eine bemerkenswerte Regelung, die sich so liest, als sei bei getroffenen PIMS-Einstellungen das Ausspielen zusätzlicher Einwilligungen grundsätzlich untersagt.
Schenkt man allerdings einem Schreiben des BfDI in einer Anfrage nach dem IFG bei Frag den Staat vom 30.09.2022 Glauben, ist das Vorhaben bereits in der Ressortabstimmung gescheitert. Damit wird die hoffentlich aufschlussreichere Rechtsverordnung der Bundesregierung also noch etwas länger auf sich warten lassen.
-
Joint Controller Agreement: Vorteile und Herausforderungen der gemeinsamen Verantwortlichkeit
Die Vereinbarung über die gemeinsame Verantwortlichkeit („Joint Controller Agreement“ oder auch kurz „JCA“ genannt) erscheint vielen Verantwortlichen in der Praxis noch immer als kompliziert und umständlich. Doch zu Unrecht: Mit der sorgfältigen Ausgestaltung des Agreements können verantwortliche Unternehmen von vielen Vorteilen profitieren, Effizienzgewinne durch vorausschauende Prozessgestaltung erzielen und ein entsprechendes effektives Risikomanagement betreiben.
-
Anonymisierung und Pseudonymisierung in der Praxis
Wie der vermeintliche Widerspruch zwischen Datenschutz durch Pseudonymisierung und dem Nutzen personenbezogener Daten in der wissenschaftlichen Praxis bearbeitet werden kann, beleuchten wir in diesem Beitrag. Außerdem werfen wir einen Blick auf die besonderen Herausforderungen, denen Akteur:innen des Gesundheitswesens bei diesem Thema begegnen.
-
Die NIS-2-Richtlinie: Die wichtigsten Ziele und Regelungen
Nach Inkrafttreten der NIS-2-Richtlinie am 16. Januar 2023 verbleiben Deutschland und anderen den EU-Mitgliedsstaaten nunmehr 21 Monate, um die Regelungen in nationales Recht umzusetzen und bestehende Regelungen an die neue Rechtslage anzupassen. Welche Neuerungen ergeben sich und was müssen Unternehmen jetzt beachten? Wir geben Ihnen einen Überblick.