Aufsatz : Einwilligungsmanagementsysteme nach dem Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) – Lösungen und Chancen für einen fairen Onlinedatenschutz : aus der RDV 5/2021, Seite 248 bis 253
Die Kontrolle über Daten muss beim Nutzer liegen, nicht bei Anbietern von Betriebssystemen und Browsern oder der Online-Werbebranche. Dies erkennt der Gesetzgeber des TTDSG und hat „anerkannte Dienste zur Einwilligungsverwaltung“ nun zukunftsweisend in § 26 TTDSG verankert. Das TTDSG soll digitale Souveränität gewährleisten und Weichen für eine fairen Onlinedatenschutz stellen, der die Interessen der Nutzer und der Digitalwirtschaft in den Blick nimmt und Weichen für Europa stellt. Ob der deutsche Gesetzgeber dieses Ziel erreicht, hängt auch von den europäischen Entwicklungen ab.
I. Regelungszweck von Einwilligungsmanagementsystemen
Nicht nur Maximilian Schrems will dem „Cookie-Banner – Wahnsinn ein Ende setzen“.[1] Auch der Gesetzgeber tüftelt schon lange an einer Möglichkeit, um dem Nutzer seine digitale Souveränität zurückzugeben. Fakt ist, dass die derzeitige Situation auf Websites und Apps sowohl für Nutzer als auch für Verantwortliche mehr als unbefriedigend ist. Beim Aufruf einer Webseite wird man mit Einwilligungsmanagementsystemen konfrontiert, die eine freie Wahl nur vorgaukeln. Oft sind die Einwilligungen, die über „Cookie-Banner“ auf Websites eingeholt werden, unwirksam. Dieses Dilemma ist längst bekannt.
Neu ist, dass rechtswidrige Websites zunehmend in den Fokus der Aufsichtsbehörden geraten. So hat zuletzt die Berliner Beauftragte für Datenschutz und Informationsfreiheit zahlreiche Mängel auf Websites festgestellt und kam zu dem Ergebnis, dass häufig keine wirksame Einwilligung eingeholt wird.[2] Der Umstand, dass viele Websites nach wie vor nicht die datenschutzrechtlichen Anforderungen erfüllen, liegt keinesfalls am Willen der Unternehmen. Zweifelsohne hat sich seit Geltung der Datenschutz-Grundverordnung (DS-GVO) viel getan. Das Bayerische Landesamt für Datenschutzaufsicht stellte im Rahmen einer WebsitePrüfung im Jahr 2019 fest, dass 20 % der geprüften Websites keine Einwilligung vom Nutzer abfragen. Das hat sich spätestens seit der Rechtsprechung des BGH im Verfahren „planet49“[3] geändert, nach der uns Einwilligungsbanner quasi überfluten. Obwohl die deutschen Aufsichtsbehörden Handlungsempfehlungen für Website-Betreiber veröffentlicht haben, herrscht weiterhin große Rechtsunsicherheit bei der Frage, wie Einwilligungen wirksam gestaltet werden müssen. Auch der deutsche Gesetzgeber hat erkannt, dass das Nebeneinander von DS-GVO, Telemedien- und Telekommunikationsgesetz (TMG/TKG) nicht nur bei Nutzern für Unverständnis, sondern auch bei Unternehmen und auch bei den Aufsichtsbehörden für Rechtsunsicherheit sorgt.[4]
Eine Lösung aus Sicht des deutschen Gesetzgebers könnten anerkannte Dienste zur Einwilligungsverwaltung sein. Über solche Dienste, sog. Personal Information Management Systeme (PIMS), können Nutzer ihre Daten in einem Dashboard einsehen, verwalten oder mit anderen Stellen teilen.[5] Die Idee, dass ein neutraler Dritter Daten ohne wirtschaftliches Eigeninteresse verwaltet, ist keinesfalls neu. Bereits vor Geltung der DS-GVO wurden Systeme zur Verwaltung von Einwilligungen diskutiert.[6] Die Datenethikkommission sieht großes Potenzial, sofern solche Systeme praxisgerecht, robust und datenschutzkonform ausgestaltet werden.[7] Dennoch sind Dienste zur Einwilligungsverwaltung bisher kaum verbrietet. Das soll sich künftig nach dem Willen des Gesetzgebers ändern. Der Gesetzgeber hat in § 26 TTDSG den regulatorischen Rahmen geschaffen, indem datenschutz- sowie wettbewerbsrechtliche Anforderungen an PIMS formuliert werden.
II. Weg der Gesetzgebung zu §§ 25, 26 TTDSG
In einem Arbeitsentwurf zum TTDSG hatte der deutsche Gesetzgeber erstmals eine Rechtsgrundlage für die rechtssichere und wirksame Einbindung von anerkannten Diensten zur Einwilligungsverwaltung geschaffen. § 3 TTDSG-E sah vor, dass Nutzer ihre Rechte über PIMS ausüben können. Dazu zählt insbesondere die Verwaltung der Einwilligung in die Verarbeitung von Verkehrs- und Standortdaten sowie für das Speichern oder den Zugriff auf Endeinrichtungen. Der Betreiber eines anerkannten Dienstes zur Verwaltung der Einwilligung darf kein wirtschaftliches Eigeninteresse an den verwalteten Daten haben und muss unabhängig von den Unternehmen sein, für die eine Einwilligung eingeholt wird. Weiterhin war vorgesehen, dass der oder die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) die zuständige Behörde für die Anerkennung der PIMS ist. Durch die Behörde soll gewährleistet werden, dass die technischen und organisatorischen Anforderungen an den Datenschutz und die Datensicherheit in Deutschland einheitlich durch eine zentrale Akkreditierungsstelle geprüft werden.[8] Im weiteren Gesetzgebungsverfahren wurde die Regelung zu PIMS aber gestrichen, da eine Regelung auf europäischer Ebene – allerdings mit Zielrichtung des Datenteilens – im Data Governance Act (DGA) vorgesehen ist.[9] Nach vermehrter Kritik wurde in das TTDSG aber eine Regelung zu PIMS aufgenommen, die die Ausgestaltung der Dienste weitaus differenzierter regelt, als dies ursprünglichen vorgesehen war.
Überraschend ist der Regelungsmechanismus, für den sich der Gesetzgeber entschieden hat. § 26 Abs. 1 TTDSG regelt abstrakt die Voraussetzungen, die ein Dienst zur Verwaltung von Einwilligungen erfüllen muss. Kumulativ müssen folgende rechtliche und technische Anforderungen erfüllt werden
- der Dienst muss ein nutzerfreundliches und wettbewerbskonformes Verfahren zur Einholung und Verwaltung der Einwilligung darstellen (Nr. 1),
- der Betreiber darf kein wirtschaftliches Eigeninteresse an den Einwilligungen und den verwalteten Daten haben und muss unabhängig von Unternehmen sein, die ein solches Interesse haben könnten (Nr. 2),
- die Daten dürfen nur für die Zwecke der Einwilligungsverwaltung verarbeitet werden (Nr. 3) und
- es muss ein Sicherheitskonzept vorliegen, welches unter anderem an die Anforderungen der DS-GVO erfüllt (Nr. 4).
Welche Anforderungen für ein nutzerfreundliches und wettbewerbskonformes Verfahren gelten, welche technischen und organisatorischen Maßnahmen konkret berücksichtigt werden müssen und wie das Anerkennungsverfahren gestaltet ist, bestimmt § 26 TTDSG nicht. Stattdessen ist in Abs. 2 eine Befugnis für den Erlass einer Rechtsverordnung vorgesehen. Diese muss innerhalb von 2 Jahren nach Inkrafttreten evaluiert werden (§ 26 Abs. 3 TTDSG). Der Gesetzgeber sichert damit, dass insbesondere die technischen und organisatorischen Maßnahmen dem Stand der Technik entsprechen und die Anforderungen der Datensicherheit entsprechend Art. 5 Abs. 1 lit. f), Art. 32 DS-GVO gewährleistet sind.
III. Die gesetzliche Regelung der §§ 25, 26 TTDSG und die künftige Rechtsverordnung
Bei der Einführung einer Regelung zu PIMS muss der Verordnungsgeber Rahmenbedingungen beachten. Nutzer sollten über den Dienst zur Einwilligungsverwaltung (PIMS) nicht nur Zugriff und Speicherung von Informationen sondern auch in die anschließende Weiterverarbeitung personenbezogener Daten einwilligen. Die Einwilligung oder deren Ablehnung muss für alle Akteure, also insbesondere Telemedienanbieter und Browseranbieter verbindlich sein. PIMS-Anbieter dürfen also für ihre Dienste durchaus Entgelte erheben, etwa um die Organisation des Dienstes zu refinanzieren. Sie dürfen aber nicht an der Einwilligung und der Nutzung der verwalteten Daten verdienen (§ 26 Abs. 1 Nr. 2 TTDSG).
Nach § 26 Abs. 1 TTDSG können diese Dienste von einer unabhängigen anerkannten Stelle nach Maßgabe anerkannt werden. Entsprechende Angebote sollten nur von akkreditierten Datentreuhändern erbracht werden dürfen. Nach der Formulierung des Gesetzes können nicht akkreditierte transatlantische Angebote (GAFA) ihre Geschäft ansonsten ungestört weiter betreiben, während rechtstreue europäische Dienste durch eine freiwillige Akkreditierung für Vertrauen werben können. Zumindest dürfte durch die enge Formulierung des § 26 Abs. 1 Nr. 2 TTDSG ausgeschlossen sein, dass diese Anbieter wegen der unausweichlichen (mittelbaren) Eigeninteressen ihrerseits als PIMS-Anbieter akkreditiert werden. Die Gesetzesbegründung legt auf Grundlage einer Erwägung der Datenethikkommission an, PIMS-Anbieter als Stiftung zu organisieren.
Bei der Ausgestaltung der Verordnung muss der Verordnungseber auf Grundlage des § 26 Abs. 2 TTDSG bei der Umsetzung von § 26 Abs. 1 TTDSG rechtlichen und technischen Sachverstand beweisen. Er muss etwa die Konkretisierung der generellen Funktionsweise bei Erst- und Wiederverwendung eines Dienstes durch den Nutzer, sowie die generelle Steuerung der Verwendung regulatorisch fassen. Beim Verhältnis zwischen Endgeräten und Software muss die Funktion des Dienstes im Verhältnis zum Endgerät bzw. Software zum Internetzugang geregelt werden. Allgemein wird es um eine nutzerfreundliche Gestaltung der Verwendung und Wiederverwendung der Rahmenbedingungen einer Verwendung von Einwilligungen durch Telemedienanbieter gehen. Bei der Einbindung in die generelle Verwaltung der Einwilligung beim Telemedienanbieter nach § 26 Abs. 2 Nr. 3 b TTDSG muss die Berücksichtigung der im Dienst vorliegenden Einwilligungen klar gefasst werden. Das Anbieten des Dienstes sowie das Abfragen von vorliegenden Einwilligungen und deren Widerruf müssen hier abgebildet werden.
Hinsichtlich technischer Aspekte bei Browsern und Betriebssystemen (§ 26 Abs. 2 Nr. 3a, bb TTDSG) müssen die Anforderungen an die technische Einbindung dieser Dienste geregelt werden. Hier kommt es auf eine Verpflichtung zur nutzerfreundlichen Ermöglichung der Funktion (Schnittstellen, Informationshinterlegung im Endgerät und Informationsübertragung) an, und es muss ein Verbot geben, diese zu erschweren. Schließlich muss es um organisatorische Aspekte bei Browsern und Betriebssystemen nach § 26 Abs. 2 Nr. 3 a, aa) TTDSG gehen. Der Detailgrad der Rahmenbedingungen für die Befolgung von Nutzereinstellungen nach § 25 TTDSG ist nicht nur bzgl. technischer Aspekte relevant sondern auch bzgl. sog. App-Store Policys und der Software/Betriebssysteme mit eigenen Berechtigungsstrukturen. Hier muss es darum gehen, den „code is law“-Ansatz der übermächtigen GAFA-Unternehmen gesetzlich einzuhegen. Aktuell realisieren sich Gefahren einer Marktsteuerung durch diese Unternehmen, deren Browser und Betriebssysteme und App-Store-Zugangsregeln Wettbewerber verdrängen.
IV. Anwendungsbereiche von Einwilligungsmanagementsystemen nach TTDSG
PIMS finden in der Unternehmenspraxis bisher kaum Anwendung und wurden noch nicht systematisch auf ihre Wirksamkeit überprüft.[10] Unklar ist auch, wie hoch die Akzeptanz der Nutzer sein wird und welche Anforderungen an die Benutzerfreundlichkeit bestehen. Bei der technischen Gestaltung orientiert sich der deutsche Gesetzgeber an Single-Sign-On-Lösungen.[11] Denkbar sind jedoch auch weitere Gestaltungsmöglichkeiten, wenn eine rechts-konforme Lösung durch Browsereinstellungen oder durch Dashboards im Betriebssystem des Endgeräts erreicht werden kann. Es werden auch Lösungsansätze diskutiert, die mit zentralisierten Whitelists arbeiten. Weiterhin existiert ein Ansatz, der Einwilligungen auf dem Endgerät des Benutzers speichern will,[12] so dass der anerkannte Dienst zur Einwilligungsverwaltung die Programmlogik und ggf. Transfermechanismen zu Endgeräten ohne eigene grafische Benutzerschnittstelle bereitstellen kann, die Daten aber technisch grundsätzlich unter der eigenen Kontrolle des Benutzers gespeichert werden.
Der Anwendungsbereich des TTDSG und damit auch der Einwilligungsmanagementsysteme ist keinesfalls auf Websites oder native Apps beschränkt. Im Unterschied zur DSGVO kommt es für das TTDSG nicht darauf an, ob die erhobenen Daten personenbezogen sind. Entscheidend ist nur, ob per Software aus dem Internet auf ein Endgerät zugegriffen wird. Über den Inhalt von Nachrichten hinaus, sind nun auch die näheren Umstände der Kommunikation, sogenannte Meta-Daten, geschützt, die Auskunft über Kommunikationspartner, Standort- oder Gerätedaten usw. geben. Weil der Zugriff auf ein mit dem Netz verbundenes Gerät durch den Anbieter eines Onlinedienstes, etwa eines Onlineshops mit Website, per App, per Cookie oder per sogenannte APISchnittstelle über das Betriebssystem des Geräts erfolgt, sind Endgeräte erfasst, die per Internet verbunden sind. Das sind nicht nur Computer und Smartphones, sondern auch vernetzte smarte Endgeräte wie vernetzte Fahrzeuge und Fernseher, Musiklautsprecher, Navigationsgeräte bis hin zum Toaster oder Rasenmäher. Anwendungsfälle sind auch Videokonferenzsoftware, Streamingdienste, Messangerdienste und vernetze medizinische Geräte, etwa Blutzuckermessgeräte.[13] § 26 TTDSG ist technologieneutral formuliert, sodass bei der Gestaltung von PIMS Smart Home-Anwendungen oder vernetzte Fahrzeuge berücksichtigt werden sollten. Vor allem in Mehrnutzerkonstellationen, d.h. in Szenarien, in denen sich mehrere Nutzer ein Endgerät teilen, zum Beispiel bei der Verwendung eines Fahrzeugs innerhalb der Familie, beim Carsharing oder beim unternehmerischen Einsatz in Fuhrparks. Hierüber können über Dashboards eines TTDSG-konformen Einwilligungsmanagementsystems praktikabel und nutzerfreundlich individuelle Einwilligungen unter Wahrung der hohen Standards der Datensicherheit nach Art. 5, 32 DSGVO eingeholt und verwaltet werden.
Das Einwilligungsmanagement könnte künftig auch mit einer Altersverifikation, wie sie Art. 8 Abs. 1 DS-GVO vorsieht, verbunden werden. Dem Schutz von Kindern und Jugendlichen wurde bisher in der Praxis wenig Rechnung getragen. Grund dafür war insbesondere, dass es keine tauglichen Altersverifikationssysteme gibt. Zwar hat der europäische Datenschutzausschuss in seiner Leitlinie diverse Altersverifikationsverfahren empfohlen. Diese sind einerseits wenig praktikabel, da beispielsweise bei dem Postident-Verfahren stets ein Medienbruch vorliegt und das System somit wenig benutzerfreundlich ist. Andere Verfahren wie beispielsweise die Eingabe von Kreditkartendaten oder die bloße Eingabe einer E-Mail-Adresse der gesetzlichen Vertreter bergen Missbrauchspotenzial.
Ein für die Praxis relevanter Kern im Onlinedatenschutz bleibt dabei die Frage, wann Anbieter von Telemedien wie z.B. von Websites und Apps eine Einwilligung vom Nutzer einholen müssen (§ 25 Abs. 2 TTDSG). Das ist grundsätzlich erforderlich, um Informationen auf Endgeräten zu speichern oder darauf zuzugreifen. Aktuell geht es in der Praxis vor allem um Werbecookies und die lästigen Banner zu deren Abwehr. Sie wird das TTDSG nicht abschaffen. Mit dieser Technik greifen Anbieter auch künftig auf Informationen zu, die im Browser des Nutzers gespeichert werden, um anschließend personalisierte Online-Werbung ausspielen zu können. Ungeachtet dessen werden „Werbecookies“ als unbefriedigend und lästig empfunden. Deren Wegklicken ist faktisch kein Ausdruck einer informierten Einwilligung, weil es mehr ein „egal“ als ein „ja“ bedeutet.[14] Um die Bedürfnisse der Nutzer und der digitalen Werbebranche angemessen zu regulieren, greift ein Einwilligungserfordernis für Cookies aber in der Perspektive zu kurz. Die technische Entwicklung zum Werbetracking kommt längst auch ohne Cookies aus, weil eindeutige Gerätekennungen das Nutzerverhalten auch ohne deren Hilfe detailliert erfassen. Ohne eine entsprechende Regelung der PIMS hätte das TTDSG den unbeabsichtigten Nebeneffekt, dass durch massenhaft abgefragte Einwilligungen die gesellschaftliche Akzeptanz für den Datenschutz insgesamt schwindet.[15]
Die eng an Art. 5 Abs. 3 ePrivacy-RL orientierte Lösung des § 25 TTDSG hat insbesondere in Bezug auf die Bestimmtheit im Detail erhebliche Schwächen.[16] Eine Einwilligung ist dann nicht nötig, wenn der Zugriff auf das Gerät des Nutzers unbedingt erforderlich ist, um den Online-Dienst zu erbringen. Diese Formulierung in § 25 Abs. 2 TTDSG lässt zu viel Spielraum für Interpretation. Es hätten Regelbeispiele im Gesetz geschaffen werden sollen.[17] Unklar bleibt im Gesetz, ob Anbieter etwa auch zur Betrugsprävention, bedarfsgerechten Gestaltung oder statistischer Analyse eine Einwilligung vom Nutzer abfragen müssen. Auch für „systemrelevante“ Sonderfälle wie vernetzte Fahrzeuge müssen künftig adäquate gesetzliche Regeln getroffen werden. Sie sind insbesondere vor dem Hintergrund rechtlicher Pflichten, die für den sicheren Betrieb der Fahrzeuge relevant sind, bedeutsam. Hinzu kommen Rechtspflichten zur Erfüllung zivilrechtlicher Gewährleistungspflichten oder mit Relevanz für die Produkthaftung. Einwilligungskonstruktionen geraten nicht nur bei Fuhrpark und Carsharing an Grenzen. Sie lassen sich mit zunehmender Autonomie der Fahrzeuge rechtlich nicht mehr sinnvoll abbilden. Da auch Fahrzeug zu Fahrzeug-Kommunikation (IOT) schon bei assistiertem Fahren zur Gewährleistung Sicherheit des Straßenverkehrs erforderlich ist, müssen auch hier Lösungen zur Präzisierung der gesetzlichen Erlaubnisse nach § 25 TTDSG gefunden werden. Sobald es um autonomes Fahren geht, versagen beim Fahrer des Fahrzeuges ansetzende Einwilligungskonzepte systembedingt. Die Praxis der Unternehmen und der Aufsicht können sind hier dringend auf die Hilfe des Gesetzgebers angewiesen.
V. Umsetzungsoptionen
Der Gesetzgeber lässt dem Anbieter grundsätzlich freien Spielraum bei der Gestaltung des Dienstes zur Einwilligungsverwaltung. Denkbar ist beispielsweise die Einwilligungsverwaltung über Browser-Plugins, API für App-Entwickler oder Webportale.[18] Der Verordnungsgeber steht vor der Herausforderung, die technischen Anforderungen i.S.d. § 26 Abs. 2 TTDSG hinreichend präzise, aber dennoch derart generisch zu benennen, dass bestimmte Gestaltungsmöglichkeiten nicht von vornerein ausgeschlossen sind. Es ist naheliegend, dass es künftig nicht die universelle PIMS-Architektur geben wird, denn je nach Anwendungsszenario ergeben sich Vor- und Nachteile. Beispielsweise mögen Plugins zur Einwilligungsverwaltung bei Websites dem Nutzer eine benutzerfreundliche Oberfläche bieten. Nachteilig ist jedoch, dass Plugins nicht von jedem Web-Browser unterstützt werden. Dies gilt nicht nur im Hinblick auf die Browseranbieter selbst, sondern auch hinsichtlich der unterschiedlichen Browserversionen, denn ein Großteil der Nutzer verwendet nicht die aktuelle Version. Zu berücksichtigen ist auch, dass die Verbreitung eines PIMS-Plugins ausschließlich vom Nutzerwillen abhängt. Ist der Nutzer nicht bereit, zu bequem oder einfach nicht informiert, wird der Nutzer Plugins nicht installieren. Hinzu kommt, dass ein erheblicher Teil der Online-Nutzung über native Apps erfolgt, sodass über BrowserPlugins Nutzerpräferenzen nur teilweise verwaltet werden können. Gleiches gilt zwar auch für die Programmierschnittstellen (API) für App-Entwickler. Der Vorteil von API ist jedoch, dass Internet of Things-Geräte zentral vom Nutzer verwaltet werden können. Darüber hinaus eignen sich API vor allem für Konstellationen, in denen mehrere Nutzer ein Endgerät z.B. Fahrzeuge verwenden. Nutzerfreundlich könnten solche Apps gestaltet werden, indem Authentifizierungsfunktionen des Smartphones oder Tablets wie z.B. Gesichtserkennung oder Fingerabdruckscan verwendet werden.
VI. Das TTDSG im Kontext europäischer Regelungen zu PIMS
Zweifelsohne wäre eine europäische Regelung zu PIMS vorzuziehen, da eine Rechtszersplitterung vermieden und eine europäische Lösung sowohl bei Nutzern als auch bei Unternehmen zu höherer Akzeptanz führen würden. Dennoch setzt der deutsche Gesetzgeber wichtige Impulse, die auch das Gesetzgebungsverfahren zur ePrivacy-Verordnung (ePrivacy-VO) und des DGA beeinflussen können.
Erstmals sah der Entwurf der Europäischen Kommission zur ePrivacy-VO eine Regelung zur verpflichtenden Berücksichtigung von Nutzerpräferenzen vor. Nach Art. 10 KommE[19] sollten Anbieter von Browsern und Betriebssystemen auf technischer Ebene verhindern, dass Dritte Informationen auf dem Endgerät speichern oder auf bereits gespeicherte Informationen zugreifen. Diese Regelung soll die Einwilligungen der Nutzer bündeln und den inflationären Gebrauch von Cookie-Bannern erheblich reduzieren. Zwar wird der Begriff des Datentreuhänders oder Datenmittlers im Entwurf der ePrivacy-VO nicht ausdrücklich erwähnt. Softwareanbieter, die eine Funktion zur Verwaltung der Einwilligung einbinden, würden jedoch faktisch zu Torwächtern.[20] Ihre Rolle ist insofern vergleichbar mit der eines Datentreuhänders, da Akteure, die eine Einwilligung für die Verarbeitung benötigen, von dem abhängig sind, der die Einwilligung des Nutzers „durchreicht“. Sie haben eine Schlüsselrolle in der Datenwirtschaft.[21] Aufgrund dieser Regelung befürchtete die Wirtschaft einerseits massive Einschränkungen bei den Datenflüssen für europäische Marktakteure und ander-seits Wettbewerbsvorteile der ohnehin schon übermächtigen Datenmonopolisten. Die Kritik wurde wahrgenommen und Art. 10 KommE im weiteren Gesetzgebungsverfahren zur ePrivacy-VO gestrichen. Dennoch ist der initiale Vorschlag, Einwilligungen zentral zu regeln und eine Pflicht zur Befolgung des Nutzerwillens vorzusehen, zu begrüßen.
Weitaus ausgewogener ist das Konzept des Datentreuhänders nach dem Entwurf des Digital Governance Act (DGA-E).[22] Der DGA-E enthält regelt u.a. die Voraussetzungen für die Erbringung von Diensten zur gemeinsame Datennutzung (data sharing services) durch Datenmittler (data intermediaries). Verbraucher sollen ohne direkte Gegenleistung Daten zum Wohle der Allgemeinheit zur Verfügung stellen. Umfasst sind personenbezogene Daten sowie alle sonstigen digital dargestellten Informationen.[23] Im Vordergrund steht die Bereitstellung und Nutzungsüberlassung von Daten aus altruistischen Motiven.[24] Der Datentreuhänder bzw. Datenmittler soll den Austausch von Daten erleichtern und zugleich gewährleisten, dass die Anforderungen der DS-GVO erfüllt werden.[25] Um einen Missbrauch der Marktmacht und eine Kommerzialisierung von Daten zu verhindern, sind Diensteanbieter sowie Cloud-Dienste von der Rolle als Datenmittler ausgeschlossen. Der Datenmittler muss ein neutraler Anbieter sein. Um diese Stellung zu gewährleisten, sieht Art. 11 DGA-E elf Bedingungen (Nrn. 1-11) vor, die ein Datenmittler erfüllen muss.
Das TTDSG verfolgt aber einen anderen Ansatz. Es zielt in erster Linie darauf ab, dem Endnutzer eine benutzerfreundliche Möglichkeit zu eröffnen, seine Einwilligung i.S.d. § 25 Abs. 1 TTDSG zu erteilen und zu verwalten. § 26 TTDSG ist im Verhältnis zu § 25 TTDSG zu betrachten. § 25 TTDSG regelt, dass ein Zugriff oder eine Speicherung grundsätzlich einwilligungsbedürftig sind. In die Integrität des Endgerätes wird durch einen Dritten eingegriffen. Dieser Eingriff wird durch eine Einwilligung legitimiert, es sei denn, eine Erlaubnis ergibt sich aus § 25 Abs. 2 TTDSG. Da in der Praxis eine Vielzahl von Einwilligungen des Nutzers abgefragt werden, sollen PIMS gem. § 26 Abs. 1 TTDSG die Einholung von Verwaltung der Einwilligungen zentralisieren.
VII. Fazit
Der deutsche Gesetzgeber hat in § 26 TTDSG auf eine Formulierung verzichtet, nach der die Berücksichtigung des Nutzerwillens verbindlich ist. Auch ein Verstoß gegen § 26 TTDSG ist nicht bußgeldbewehrt. Ob PIMS zur Einwilligungsverwaltung auf dem deutschen Markt erfolgreich sind, hängt maßgeblich von den konkretisierenden Regelungen der Rechtsverordnung ab. Auch wenn die Regelungen des DGA-E andere Zwecke als das TTDSG verfolgen, sollte der deutsche Verordnungsgeber sicherstellen, dass sich die technische Ausgestaltung an dem Entwurf des Art. 11 DGA orientiert. Die technische und organisatorische Umsetzung der PIMS bzw. des Datenmittlers wird in jedem Fall erhebliche Ressourcen, sei es finanzieller, personeller und zeitlicher Art, in Anspruch nehmen. Unternehmen werden nur bereits sein, Implementierungskosten in Kauf zu nehmen, wenn sich ein Standard etabliert, der sowohl den Datenaltruismus ermöglicht als auch die Integrität des Endgeräts sowie den Schutz personenbezogener Daten gewährleistet.
Prof. Dr. Rolf Schwartmann Kölner Forschungsstelle für Medienrecht der Technischen Hochschule Köln, Mitherausgeber von Recht der Datenverarbeitung (RDV) sowie Vorsitzender der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD)
Kristin Benedikt ist Richterin am Verwaltungsgericht Regensburg
[1] NOYB, abrufbar unter: https://noyb.eu/de/noyb-setzt-dem-cookie-bannerwahnsinn-ein-ende.
[2] Berliner Beauftragte für Datenschutz und Informationsfreiheit, Pressemitteilung vom 09.08.2021, abrufbar unter https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/pressemitteilungen/2021/20210809-PMTracking-de.pdf.
[3] BGH, Urteil vom 28.05.2020 – I ZR 7/16 – Cookie-Einwilligung II.
[4] BT-Drucksache 19/27441, S. 1.
[5] Golland, NJW 2021, 2238 (2241); Schwartmann/Benedikt/Reif, MMR 2021, 99 (101); Europäischer Datenschutzbeauftragter: Stellungnahme des EDSB zu Systemen für das Personal Information Management (PIM). Stellungnahme 9/2016 (2016), S. 6, abrufbar unter https://edps.europa.eu/sites/edp/files/publication/16-10-20_pims_opinion_de.pdf [Zugriff: 19.08.2020].
[6] Europäischer Datenschutzbeauftragter: Stellungnahme des EDSB zu Systemen für das Personal Information Management (PIM). Stellungnahme 9/2016 (2016), S. 6, abrufbar unter https://edps.europa.eu/sites/edp/files/publication/16-10-20_pims_opinion_de.pdf [Zugriff: 19.08.2020]; Stiftung Datenschutz: Neue Wege bei der Einwilligung im Datenschutz – technische, rechtliche und ökonomische Herausforderungen. Studie (2017), abrufbar unter: https://stiftungdatenschutz.org/fileadmin/Redaktion/Bilder/PIMS-Abschluss-Studie-30032017/stiftungdatenschutz_broschuere_20170611_01.pdf
[7] Gutachten der Datenethikkommission, 2019, Handlungsempfehlung 21; Schwartmann/Weiß (Hrsg), Datenmanagement- und Datentreuhandsysteme – Digital-Gipfel 2020: https://www.de.digital/DIGITAL/Redaktion/DE/DigitalGipfel/Download/2020/p9-datenmanagement-unddatentreuhandsysteme.pdf.
[8] Referentenentwurf, Bearbeitungsstand: 14.07.2020 § 3 TTDSG-E alt.
[9] Vgl. Art. 9 ff. Vorschlag für eine Verordnung des europäischen Parlaments und des Rates über europäische Daten-Governance (DatenGovernance-Gesetz), COM/2020/767 final.
[10] ConPolicy, innovatives Datenschutz- Einwilligungsmanagement, Abschlussbericht, 07.09.2020.
[11] BT-Drucksache 19/29839.
[12] Die NGO “noyb” hat zusammen mit dem Sustainable Computing Lab („CSL“) der Wirtschaftuniversi-tät Wien einen Vorschlag für ein neues automatisches Browser-Signal „Advanced Data Protection Control (ADPC)“ erarbeitet, weitere Informationen abrufbar unter: https://www.dataprotectioncontrol.org/.
[13] Dazu Schwartmann, Neues Datengesetz für vernetzte Toaster: Wie willigt man in den Datenzugriff ein? https://web.de/magazine/digital/datengesetz-datenzugriff-smarte-haushaltsgeraete-36064362.
[14] Dazu die Stellungnahmen von Schwartmann und Benedikt in der Gesetzesanhörung unter https://www.bundestag.de/dokumente/textarchiv/2021/kw16-pa-wirtschaft-kommunikation-834182; Schwartmann/ Benedikt, F.A.Z. vom 26.05.2021, S. 16.
[15] Schwartmann/Hanloser/Weiß, Kurzgutachten zu PIMS im TTDSG – Vorschlag zur Regelung von Diensten zur Einwilligungsverwaltung im Telekommunikation-Telemedien-Datenschutzgesetz, März 2021, S. 2.
[16] Dazu die Stellungnahmen von Schwartmann und Benedikt in der Gesetzesanhörung unter https://www.bundestag.de/dokumente/textarchiv/2021/kw16-pa-wirtschaft-kommunikation-834182.
[17] Dazu die Stellungnahmen von Schwartmann und Benedikt in der Gesetzesanhörung unter https://www.bundestag.de/dokumente/textarchiv/2021/kw16-pa-wirtschaft-kommunikation-834182
[18] Für eine Übersicht bisheriger Umsetzungsmodelle vgl. Stiftung Datenschutz: Neue Wege bei der Einwilligung im Datenschutz – technische, rechtliche und ökonomische Herausforderungen. Studie (2017), Anhang 2, abrufbar unter: https://stiftungdatenschutz.org/fileadmin/Redaktion/Bilder/PIMS-Abschluss-Studie-30032017/stiftungdatenschutz_broschuere_20170611_01.pdf.
[19] KommE v. 10.01.2017, COM(2019) 10 final.
[20] Hanloser, ZD 2018, 213 (216).
[21] Erwgr. 22 DGA-E.
[22] Dazu Hofmann/Schwartmann/Weiß, Die verpflichtende Einführung eines EU Single Sign-On (2021), S. 20 ff. Abrufbar unter https://enid.foundation/wp-content/uploads/2021/01/Hofmann_Schwartmann_Weiss_Kurzgutachten_SSO_netID_20210119.pdf; vgl. auch Schwartmann/Hanloser/Weiß PIMS im TTDSG, Vorschlag zur Regelung von Diensten zur Einwilligungsverwaltung im Telekommunikation-Telemedien-Datenschutzgesetz (2021), abrufbar unter https://enid.foundation/wp-content/uploads/2021/03/Schwartmann_Hanloser_Weiss-Kurzgutachten_Dienste_zur_Einwilligungsverwaltung_20210302.pdf.
[23] Hanloser, ZD 2021, 121 (122).
[24] Erwgr. 22, 23 DGA-E.
[25] Verbraucherzentrale Bundesverband e.V.: Vertrauen stärken durch verbraucherfreundliche Daten-Governance, Stellungnahme des Verbraucherzentrale Bundesverbands zum Vorschlag der EU-Kommission für eine Verordnung über europäische Daten-Governance, 12.01.1021, S. 9.