Aufsatz : Die Einwilligungsverwaltungsverordnung (EinwV): Reduzierung von Cookie-Bannern und Stärkung der Nutzerkontrolle : aus der RDV 5/2025, Seite 246 bis 253

Dieser Beitrag erläutert die Hintergründe und die Zielsetzung der EinwV, beschreibt die Funktionsweise der zentralen Einwilligungsverwaltung, zeigt praxisnahe Implementierungsschritte für Unternehmen, beleuchtet die Auswirkungen für Nutzer und Unternehmen und geht auf die bestehenden Herausforderungen in diesem Bereich ein.

I. Hintergrund und Zielsetzung der EinwV

Cookies sind eine häufig genutzte Technologie, um Daten während der Kommunikation zwischen dem Client (dem Browser des Nutzers) und dem Server (der Webseite eines digitalen Dienstes) über mehrere Anfragen hinweg zu speichern und abzurufen.^[8] Sie sind technisch unverzichtbar für Funktionen wie Logins oder Warenkörbe.^[9] In der Werbewirtschaft dienen Cookies vor allem der Verfolgung von Nutzeraktivitäten über verschiedene Webseiten hinweg („Tracking“) sowie der Erstellung von Profilen für zielgerichtete Werbung („Targeting“).^[10] Um Nutzer über den Einsatz dieser Technologien zu informieren und deren rechtskonforme Einwilligung einzuholen, nutzen Webseitenbetreiber in der Regel spezielle „consent management platforms“, die nach dem Transparency und Consent Framework (TCF)^[11]aufgestellt sind.^[12]

Die EinwV wird auch als „Cookie-Verordnung“ bezeichnet, da sie darauf abzielt, klassische – und für den Nutzer teilweise undurchsichtige und überfordernde^[13] – Cookie-Banner und Consent-Management-Plattformen („CMPs“) durch zentral verwaltete Einwilligungen zu ersetzen. Damit wäre es möglich, Datenschutzpräferenzen einmalig und abstraktgenerell festzulegen, anstatt sie auf jeder Webseite und bei jedem Besuch einzeln angeben zu müssen.

Dabei ist die EinwV kein isoliertes Gesetz, sondern Teil einer umfassenderen Entwicklung hin zu mehr Datenschutz und digitaler Selbstbestimmung. Die ePrivacy-Richtlinie^[14] regelt insbesondere den Einsatz von Cookies und anderen Tracking-Technologien. In Deutschland wurde die ePrivacy-Richtlinie durch das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG)^[15] umgesetzt.^[16] § 25 TDDDG sieht in Umsetzung des Art. 5 Abs. 3 ePrivacy-RL vor, dass für das Speichern von Informationen und deren Auslesen vom Endgerät der Nutzer eine Einwilligung erforderlich ist.

Die Einwilligungsverwaltungsverordnung basiert konkret auf der gesetzlichen Vorgabe in § 26 Abs. 2 TDDDG, wonach „nutzerfreundliche und wettbewerbskonforme Verfahren“ über sog. „anerkannte Dienste“ zur Einholung der nach § 25 Abs. 1 TDDDG erforderlichen Einwilligung geschaffen werden sollen. Gemäß § 25 Abs. 1 TDDDG dürfen Informationen in der Endeinrichtung des Endnutzers nur gespeichert bzw. auf bereits vorhandene Informationen nur zugegriffen werden (also auch das Setzen von Cookies), wenn Nutzer vorher ausdrücklich eingewilligt haben – mit wenigen Ausnahmen, etwa für technisch notwendige Cookies (§ 25 Abs. 2 Nr. 2 TDDDG).^[17]

§25 TDDDG ist immer dann anwendbar, sofern Informationen in der Endeinrichtung des Endnutzers gespeichert werden oder ein Zugriff auf Informationen erfolgt, die bereits in der Endeinrichtung gespeichert sind.^[18] Der Tatbestand des §  25 TDDDG setzt nicht bereits bei jeder Verarbeitung von Informationen aus dem Endgerät des Nutzers ein, sondern erfordert vielmehr einen aktiven „Zugriff“ auf diese Informationen.^[19]Dies ergibt sich sowohl aus dem Wortlaut der Norm als auch ihrem spezifischen Schutzzweck, der nicht primär datenschutzrechtlicher Natur ist, sondern auf den Schutz der Privatsphäre im Kontext digitaler Endeinrichtungen abzielt.^[20]Eingriffe in die Privatsphäre der Endnutzer erfolgen jedoch nicht ausschließlich durch Cookies, sondern potenziell beispielsweise auch durch sogenanntes Browser- oder Device-Fingerprinting, bei dem Nutzer anhand spezifischer Einstellungen ihres Endgeräts wiedererkannt werden können.^[21] Beim Fingerprinting wird zwischen passivem und aktivem Fingerprinting unterschieden. Während beim passiven Fingerprinting lediglich solche Geräteinformationen verarbeitet werden, die der Browser von sich aus an den Webseitenbetreiber übermittelt (IP-Adresse, Browserinformationen (Hersteller und Version, i.d.R. auch Betriebssystem), sprachliche Präferenzen sowie technische Netzwerkparameter), erfolgt beim aktiven Fingerprinting ein gezielter Zugriff auf Informationen, die im Endgerät des Nutzers gespeichert sind.^[22] Nur das aktive Fingerprinting stellt somit einen „Zugriff“ im Sinne des § 25 TDDDG dar und unterliegt daher dem Einwilligungserfordernis dieser Norm. Passive Verfahren, die ohne Zugriff auf das Endgerät auskommen, erfordern hingegen keine Einwilligung nach § 25 Abs. 1 TDDDG.^[23]

Die Konsequenz dieser Regelungen war eine explosionsartige Zunahme von Cookie-Bannern und Content-Management-Plattformen (CMPs) auf Webseiten, die in der Praxis jedoch nicht die gewünschte Wirkung erzielten. Eine Studie des Branchenverbandes Bitkom aus dem Jahr 2024 zeigt, dass 76  % der Internetnutzer Cookie-Banner als störend empfinden, während 21  % angaben, Einwilligungsanfragen routinemäßig zu akzeptieren, ohne sie zu lesen.^[24] Dadurch wurde rasch deutlich, dass die bestehende Lösung nicht zu mehr Datenschutz, sondern lediglich zu einer formalen Erfüllung gesetzlicher Anforderungen führte, ohne dass sich die tatsächliche Entscheidungsfreiheit der Nutzer verbesserte.

Um dieser Entwicklung entgegenzuwirken, wurde die Einwilligungsverwaltungsverordnung (EinwV) als Ergänzung zum TDDDG ins Leben gerufen. Sie beruht auf der Verordnungsermächtigung gemäß § 26 Abs. 2 TDDDG. Die EinwV ermöglicht es einer unabhängigen Stelle (vorliegend der BfDI), zentrale Einwilligungsverwaltungsdienste zu zertifizieren und anzuerkennen.^[25] Diese Dienste speichern die entsprechenden Datenschutzpräferenzen der Nutzer und geben sie automatisch an teilnehmende Webseiten weiter.

Die EinwV enthält Regelungen in drei zentralen Bereichen: Sie legt zum einen Anforderungen fest, die Dienste zur Einwilligungsverwaltung erfüllen müssen und regelt das Anerkennungsverfahren solcher Dienste. Zudem definiert sie technische und organisatorische Maßnahmen, die Anbieter digitaler Dienste sowie Hersteller und Anbieter von Software zur Darstellung digitaler Inhalte umsetzen müssen. Außerdem werden inhaltlich zwei Ebenen geregelt: Zum einen das Verhältnis zwischen Nutzern und dem Einwilligungsverwaltungsdienst, zum anderen die Beziehung zwischen dem Einwilligungsverwaltungsdienst und den Anbietern digitaler Dienste.^[26]

Allerdings ist es wichtig zu erwähnen, dass die Einbindung eines anerkannten Dienstes zur Einwilligungsverwaltung für die Anbieter von digitalen Diensten gemäß § 18 Abs. 1 EinwV freiwillig ist. Zudem kann die EinwV und somit auch die Anerkennung der Einwilligungsverwaltungsdienste inhaltlich nur die im TDDDG verankerten Anforderungen nach §  25 Abs.  1 TDDDG regeln, während die Datenverarbeitungen nach der DS‑GVO davon unberührt bleiben. Werden durch einen Endgerätezugriff zugleich personenbezogene Daten verarbeitet, müssen neben § 25 TDDDG auch die datenschutzrechtlichen Vorgaben der DS‑GVO berücksichtigt werden. Liegen die Voraussetzungen für einen Zugriff nach §  25 Abs.  2 TDDDG vor, so besteht typischerweise gleichzeitig ein Erlaubnistatbestand nach Art.  6 Abs.  1 DS‑GVO, insbesondere aufgrund vertraglicher Verpflichtung oder berechtigter Interessen.^[27]Ist hingegen nach § 25 Abs. 1 TDDDG eine Einwilligung erforderlich, erstreckt sich diese Einwilligung regelmäßig sowohl auf den Zugriff als auch auf die personenbezogene Datenverarbeitung, wobei sich die Anforderungen an die Einwilligung aufgrund der Verweisung in § 25 Abs. 1 S. 2 TDDDG nach den Vorgaben der DS‑GVO richten.^[28]

II. Personal Information Management Systeme (PIMS) als Einwilligungsverwaltungsdienste

Der Gesetzgeber hat mit §  26 TDDDG eine Regelung eingeführt, die sogenannte Personal Information Management Systems (PIMS) betrifft. PIMS stellen in der Regel einen Unterfall von Datenvermittlungsdiensten dar.^[29] Die EinwV adressiert konkret Einwilligungsverwaltungsdienste, die als spezielle Ausprägung von PIMS gelten. Das Verhältnis zwischen Einwilligungsverwaltungsdiensten und PIMS ist vielschichtig und weist sowohl Gemeinsamkeiten als auch wesentliche Unterschiede auf. Beide Konzepte verfolgen das Ziel, die Kontrolle von Nutzern über ihre personenbezogenen Daten zu stärken, unterscheiden sich jedoch in ihrem regulatorischen Rahmen, ihrem Funktionsumfang und ihrem Anwendungskontext.

Einwilligungsverwaltungsdienste sind ein spezifisches Konzept, das im Rahmen der EinwV geregelt wird. Die EinwV regelt explizit die Voraussetzungen, unter denen Dienste als Einwilligungsverwaltungsdienste anerkannt werden können. Sie müssen unabhängig und ohne kommerzielles Eigeninteresse an der Verarbeitung von Nutzerdaten agieren, um Vertrauen und Transparenz zu gewährleisten.^[30]

PIMS hingegen sind ein umfassenderes Konzept zur Verwaltung personenbezogener Daten und existieren in sehr unterschiedlichen Ausprägungen.^[31] Sie ermöglichen nicht nur die Steuerung von Einwilligungen, sondern können auch Funktionen wie Identitätsmanagement, Datenportabilität und umfassende Kontrollmöglichkeiten für personenbezogene Daten abdecken.^[32] In der Praxis können PIMS als technische Grundlage für Einwilligungsverwaltungsdienste dienen. Da beide Konzepte darauf ausgerichtet sind, Nutzern mehr Kontrolle über ihre Daten zu geben, könnten PIMS sich als Einwilligungsverwaltungsdienste qualifizieren, sofern sie die Anforderungen der EinwV erfüllen.

Insgesamt ist festzuhalten, dass Einwilligungsverwaltungsdienste eine spezifische, gesetzlich geregelte Form von PIMS darstellen, die sich auf die Verwaltung von Online-Einwilligungen konzentrieren. PIMS hingegen bieten darüber hinaus erweiterte Möglichkeiten zur umfassenden Kontrolle personenbezogener Daten.^[33] Beide Konzepte verfolgen das gemeinsame Ziel der Stärkung der Nutzerautonomie, wobei die Umsetzung und Wirksamkeit der Einwilligungsverwaltungsverordnung im praktischen Einsatz noch zu beobachten bleibt.

III. Anforderungen an Einwilligungsverwaltungsdienste

Die Anforderungen an anerkannte Einwilligungsverwaltungsdienste sind in der EinwV detailliert geregelt. Ein Dienst, der offiziell als „anerkannter Einwilligungsverwaltungsdienst“ zugelassen ist, muss den Nutzerinnen und Nutzern ermöglichen, klar und eindeutig festzulegen, ob sie einer Speicherung von Informationen (z.B. Cookies) oder dem Zugriff auf bereits gespeicherte Informationen auf ihren Geräten zustimmen oder dies ablehnen möchten. Diese Einwilligung muss den Anforderungen der DS‑GVO entsprechen – sie muss also freiwillig, informiert, ausdrücklich und widerruflich erfolgen (§ 3 Abs. 1 EinwV).

Der Dienst zur Einwilligungsverwaltung muss die getroffenen Entscheidungen („Willensbekundungen“) der Nutzerinnen und Nutzer (also Zustimmung oder Ablehnung) speichern und verwalten. Wenn die Nutzerinnen und Nutzer später erneut denselben digitalen Dienst aufrufen (z.B. dieselbe Webseite oder App), übermittelt der Einwilligungsverwaltungsdienst automatisch ihre bereits gespeicherten Einstellungen an diesen Anbieter. So muss der Anbieter nicht bei jedem Besuch erneut fragen, ob Cookies oder andere Daten gespeichert werden dürfen (§ 3 Abs. 2 EinwV).

Gemäß §  3 Abs.  3 EinwV muss ein anerkannter Einwilligungsverwaltungsdienst es Endnutzern ermöglichen, Einwilligungen nach § 25 Abs. 1 TDDDG zu erteilen, abzulehnen und zu verwalten. Dabei muss der Dienst sicherstellen, dass Endnutzer umfassend über die folgenden Punkte informiert werden:

• den verantwortlichen Anbieter von digitalen Diensten,
• die Art der gespeicherten oder abgerufenen Informationen,
• der Zweck der Speicherung oder des Zugriffs,
• die Speicherdauer sowie die Dauer des Zugriffs auf die Informationen,
• die Widerruflichkeit der Einwilligung.

§ 3 Abs. 4 EinwV schreibt vor, dass die Einwilligung und alle dazugehörigen Details (z.B. Zweck, Umfang, Dauer der Datennutzung) transparent und für die Nutzer dauerhaft zugänglich dokumentiert werden müssen. So können Nutzer ihre Entscheidungen jederzeit nachvollziehen und überprüfen.

§ 4 EinwV stellt sicher, dass Dienste zur Einwilligungsverwaltung nutzerfreundlich gestaltet sind. Konkret heißt das: Die Benutzeroberfläche muss transparent sein, um freie und informierte Entscheidungen zu ermöglichen. Nutzerinnen und Nutzer müssen jederzeit Einblick in ihre Entscheidungen zur Einwilligung (inklusive Zeitstempel und relevanter Informationen) erhalten und diese Einstellungen jederzeit ändern können. Ändert sich die Art der Datennutzung, sollen Nutzerinnen und Nutzer aktiv erinnert werden, ihre früheren Einstellungen zu überprüfen – allerdings frühestens nach Ablauf eines Jahres, außer sie haben eine kürzere Frist selbst gewählt. Zudem muss der Dienst den Export der gespeicherten Informationen in gängige Formate ermöglichen und kann optional weitere Hilfestellungen anbieten, etwa Nutzerinnen und Nutzer auf unerlaubte Datenspeicherungen hinzuweisen oder sie bei der Wahrnehmung ihrer Datenschutzrechte (gemäß DS‑GVO) zu unterstützen.

§ 5 EinwV bestimmt, dass Nutzerinnen und Nutzer jederzeit problemlos zu einem anderen anerkannten Einwilligungsverwaltungsdienst wechseln können müssen. Hierfür müssen die gespeicherten Einwilligungseinstellungen in einem standardisierten, maschinenlesbaren Format bereitgestellt werden, um einen unkomplizierten Transfer zwischen verschiedenen Diensten sicherzustellen.

§ 6 EinwV verlangt von Einwilligungsverwaltungsdiensten, dass sie wettbewerbsneutral agieren. Jeder Anbieter digitaler Dienste muss unter gleichen Bedingungen Einwilligungen der Nutzerinnen und Nutzer erfragen und deren Entscheidungen erhalten können. Außerdem müssen Anbieter digitaler Dienste einheitlich und alphabetisch geordnet dargestellt werden, und auch die Einwilligungseinstellungen müssen auf der Benutzeroberfläche klar und einheitlich präsentiert werden.

Zusätzlich verpflichtet §  7 EinwV anerkannte Einwilligungsverwaltungsdienste dazu, technische Lösungen bereitzustellen, die eine reibungslose Kommunikation mit digitalen Dienstleistern ermöglichen. Anbieter digitaler Dienste und Software müssen in der Lage sein, die Nutzung eines Dienstes zu erkennen, Einwilligungsanfragen ohne Aufwand weiterzuleiten und den Stand der Einwilligungen – ob erteilt oder abgelehnt – jederzeit nachvollziehen zu können. Die Einwilligungsentscheidungen werden gespeichert und bei jedem weiteren Aufruf des digitalen Dienstes automatisch übermittelt. Falls erforderlich, kann die zuständige Behörde durch technische Richtlinien detaillierte Anforderungen festlegen, um eine sichere Datenübertragung und eine ordnungsgemäße Dokumentation im Sinne der DS‑GVO zu gewährleisten

Schließlich muss der Dienst gemäß § 10 EinwV ein Sicherheitskonzept vorlegen, das den Schutz personenbezogener Daten und der Einwilligungsentscheidungen gewährleistet. Dieses Konzept muss Maßnahmen zur Vertraulichkeit, Integrität und Verfügbarkeit der Daten enthalten (§ 10 Abs. 2 Nr. 1-6 EinwV).

Die Anerkennung eines Einwilligungsverwaltungsdienstes erfolgt nach den Vorgaben von §  8 EinwV, wobei der Anbieter einen entsprechenden Antrag stellen und die Einhaltung der genannten Anforderungen nachweisen muss. Der Antrag auf Anerkennung gemäß §  9 EinwV kann auf elektronischem Wege erfolgen.^[34] Zuständig für die Anerkennung ist gemäß §  12 EinwV die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI). Es werden entsprechende Gebühren für die Bearbeitung des Antrags erhoben.^[35] Anerkannte Dienste werden gemäß §  13 EinwV zukünftig in einem öffentlichen Register der BfDI geführt.^[36]

1. Kein wirtschaftliches Eigeninteresse (§ 26 Abs. 1 Nr. 2 TDDDG): Aktuelle Diskussion

Die Voraussetzung des fehlenden wirtschaftlichen Eigeninteresses (§ 9 Abs. 1 S. 1 Nr. 7 EinwV, § 26 Abs. 1 Nr. 2 TDDDG) besagt, dass anerkannte Dienste zur Einwilligungsverwaltung neutral und unabhängig von wirtschaftlichen Interessen an der Datenerhebung und Nutzung sein müssen.^[37] Dies bedeutet konkret, dass die Anbieter solcher Dienste kein eigenes finanzielles Interesse daran haben dürfen, möglichst viele Einwilligungen zu sammeln oder die Daten für eigene Zwecke zu nutzen. Ziel dieser Regelung ist es, Interessenkonflikte zu vermeiden und die Neutralität der Einwilligungsverwaltungsdienste zu gewährleisten.

Der Verbraucherzentrale Bundesverband (vzbv) gab kürzlich ein Gutachten zum Thema Tracking und Profilbildung zu Werbezwecken in Auftrag.^[38] Ein zentraler Aspekt, der im Gutachten diskutiert wird, ist, dass wirtschaftliche Interessen im Bereich personalisierter Werbung sehr ausgeprägt sind und erhebliche Risiken für Nutzer und Gesellschaft darstellen. So bestehe ein grundlegender Konflikt zwischen dem wirtschaftlichen Interesse der Anbieter, möglichst umfassend Daten zu sammeln und zu monetarisieren, und dem datenschutzrechtlichen Schutzinteresse der Betroffenen.^[39]

2. IAB TCF 2.2 als Dienst zur Einwilligungsverwaltung

Im Kontext der Einwilligungsverwaltungsverordnung (EinwV) wird das Transparency & Consent Framework (TCF 2.2) des Interactive Advertising Bureau (IAB Europe) bislang kaum als potenziell anerkannter Dienst gemäß § 26 Abs. 2 TDDDG bzw. EinwV diskutiert. Zwar bietet das TCF 2.2 einen weit verbreiteten technischen Standard zur Einholung und Weiterleitung von Einwilligungen im Bereich personalisierter Online-Werbung. Seine Ausgestaltung orientiert sich jedoch primär an den wirtschaftlichen Interessen der Werbewirtschaft und weist erhebliche Flexibilität bei der Implementierung auf, was zu Inkonsistenzen führen kann. Zudem stehen strukturelle Defizite hinsichtlich Transparenz und Datenschutzkonformität im Mittelpunkt intensiver Kritik durch Datenschutzbehörden, insbesondere seitens der belgischen Aufsichtsbehörde, die Untersuchungen und Verfahren im Zusammenhang mit dem TCF führt. Angesichts dieser Umstände erscheint es derzeit unwahrscheinlich, dass das TCF 2.2 als neutraler, anerkannter Dienst zur Einwilligungsverwaltung im Sinne der EinwV anerkannt werden könnte, da es nicht auf spezifische nationale Anforderungen, sondern vorrangig auf die globale Werbebranche ausgerichtet ist.^[40]

IV. Praktische Schritte zur Implementierung der EinwV in Unternehmen

Die Einführung der EinwV und damit verbundene Implementierung eines anerkannten Einwilligungsverwaltungsdienstes bringt erhebliche Veränderungen für Unternehmen mit sich, insbesondere für diejenigen, die digitale Geschäftsmodelle betreiben oder auf Online-Werbung angewiesen sind. Die Umstellung auf eine zentrale Einwilligungsverwaltung erfordert eine strategische Planung, technologische Anpassungen und ein Bewusstsein für die rechtlichen Implikationen. Unternehmen, die sich frühzeitig mit der Umsetzung der EinwV auseinandersetzen, können nicht nur die gesetzlichen Vorgaben leichter einhalten, sondern auch ihr Ansehen als vertrauenswürdiger Anbieter digitaler Dienstleistungen stärken.

1. Bestandsaufnahme der aktuellen Cookie- und Tracking-Technologien

Der erste Schritt besteht darin, eine genaue Bestandsaufnahme der aktuell eingesetzten Cookie- und Tracking-Technologien durchzuführen. Unternehmen müssen hierzu zunächst herausfinden, welche Cookies und Tracking-Tools momentan auf ihren Webseiten und in mobilen Anwendungen genutzt werden. Wichtig ist dabei, zu klären, welche Cookies genau eingesetzt werden, wo auf der Webseite sie verwendet werden und für welche Zwecke die gesammelten Daten genutzt werden. Außerdem sollten die Unternehmen untersuchen, in welche Kategorien (essenzielle, funktionale, analytische oder marketingbezogene Cookies) sich die vorhandenen Technologien einteilen lassen. Ebenfalls wichtig ist es, externe Dienstleister und Werbenetzwerke zu identifizieren und zu prüfen, ob und wie Daten an Dritte übermittelt werden.

2. Auswahl eines geeigneten Einwilligungsverwaltungsdienstes

Nach Abschluss der Bestandsaufnahme folgt die Auswahl eines geeigneten, anerkannten Einwilligungsverwaltungsdienstes. Unternehmen sollten hierbei mehrere Kriterien sorgfältig berücksichtigen, um eine Lösung zu finden, die sowohl den technischen als auch rechtlichen Anforderungen gerecht wird. Zu den wesentlichen Auswahlkriterien zählen insbesondere Datenschutz und Sicherheit, wobei der Dienst alle Vorgaben der DS‑GVO, des TDDDG sowie der EinwV erfüllen und zertifizierte Sicherheitsstandards nachweisen muss. Auch Interoperabilität ist entscheidend, sodass die Lösung reibungslos in bestehende Systeme und digitale Infrastrukturen integriert werden kann.^[41] Darüber hinaus sind Benutzerfreundlichkeit und intuitive Bedienbarkeit sowohl für Endnutzer als auch Administratoren unverzichtbar, um Akzeptanz und effiziente Nutzung sicherzustellen. Ebenfalls wichtig sind umfassende Reporting- und Audit-Funktionalitäten, die eine vollständige Dokumentation aller Einwilligungsentscheidungen ermöglichen und im Falle behördlicher Prüfungen schnelle Berichtserstellung gewährleisten. Schließlich sollte die ausgewählte Lösung flexibel und anpassbar sein, um die Einwilligungsoptionen spezifischen geschäftlichen Bedürfnissen anzupassen und gegebenenfalls weitere Kategorien einzubeziehen.

V. Auswirkungen auf Unternehmen und Nutzer

Die Einführung der EinwV hat weitreichende Folgen für Unternehmen und Endnutzer. Während Nutzer von erhöhter Transparenz und Benutzerfreundlichkeit profitieren, können Unternehmen Kosten einsparen und ihre Compliance verbessern. Dennoch gibt es Herausforderungen, insbesondere im Bereich der technischen Umsetzung und der Abhängigkeit von Drittanbietern.

1. Vorteile für Nutzer

Die zentrale Verwaltung der Einwilligungsentscheidungen bietet für Endnutzer zahlreiche Vorteile. Ein zentrales Dashboard erlaubt es, alle Datenschutzentscheidungen an einem Ort einzusehen, zu verwalten und zu ändern. Nutzer müssen gerade nicht mehr bei jedem Webseitenbesuch erneut auf Cookie-Banner reagieren, sondern können eine einmal getroffene Entscheidung für verschiedene Plattformen anwenden.^[42] Dies führt zu einer verbesserten Nutzererfahrung und einer Reduktion von „Consent Fatigue“, also der Ermüdung durch ständige Einwilligungsabfragen. Zusätzlich stärkt die erhöhte Transparenz das Vertrauen der Nutzer in digitale Dienste. Sie erhalten einen klaren Überblick darüber, welche Daten gesammelt und zu welchem Zweck verwendet werden. Insbesondere in sensiblen Bereichen wie Online-Banking oder Gesundheits-Apps ist diese Kontrolle entscheidend, da hier personenbezogene Daten höchst sensibel behandelt werden müssen.^[43]

2. Vorteile für Unternehmen

Auch für Unternehmen bringt die Implementierung der EinwV Vorteile. Die zentrale Erfassung und Verwaltung von Einwilligungen kann den administrativen Aufwand reduzieren und zugleich die Betriebskosten senken. Mit der EinwV kann nun eine einheitliche Schnittstelle genutzt werden, die automatisch sicherstellt, dass alle Datenschutzvorgaben eingehalten werden. Dies minimiert Compliance-Risiken und erleichtert den Nachweis der rechtmäßigen Datennutzung gegenüber Aufsichtsbehörden. Für Unternehmen kann der Einsatz von Einwilligungsverwaltungsdiensten auch besonders sinnvoll für die Erfüllung von Rechenschaftspflichten sein, da diese Dienste unter Berücksichtigung von technischen und organisatorischen Maßnahmen anerkannt werden.^[44]

Ein weiterer Vorteil ist die verbesserte Nutzererfahrung: Weniger Einwilligungsanfragen können eine höhere Verweildauer auf Webseiten bedeuten, was sich positiv auf Conversion-Raten und die allgemeine Kundenbindung auswirkt. Zudem verbessert sich das Markenimage von Unternehmen, die als Vorreiter bei der Umsetzung datenschutzkonformer Lösungen auftreten. Firmen, die Transparenz und Datenschutz als Wettbewerbsvorteil nutzen, können so neue Kundengruppen ansprechen und langfristig das Vertrauen in ihre digitalen Angebote erhöhen.

3. Herausforderungen und Risiken

Die Einführung eines zentralen Einwilligungsverwaltungsdienstes bietet zwar viele Vorteile, ist jedoch zugleich mit einer Reihe von Herausforderungen und Risiken verbunden. Zunächst stellt die technische Umsetzung eine wesentliche Hürde dar: Die Integration eines EV-Dienstes in bestehende IT-Systeme kann sich als komplex, zeitaufwendig und kostenintensiv erweisen, insbesondere für kleinere Unternehmen oder solche, die ältere IT-Systeme einsetzen. Häufig sind dabei zusätzliche Investitionen in Softwarelösungen sowie Beratung erforderlich, um die Systeme an die neuen Anforderungen anzupassen.

Ein weiteres Risiko besteht darin, dass die Nutzung der zentralen Einwilligungsverwaltung für Webseitenbetreiber freiwillig bleibt.^[45] Wenn nur ein Teil der Anbieter einen solchen Dienst verwendet, entsteht für Nutzer ein fragmentiertes Umfeld, das weiterhin durch uneinheitliche Einwilligungsbanner und unterschiedliche Datenschutzpraktiken geprägt ist. Dies könnte zu Verwirrung oder Unsicherheit führen, da Nutzer nicht immer einheitlich auf die zentrale Verwaltung ihrer Datenschutzpräferenzen vertrauen können. Auch die Frage der Neutralität anerkannter Dienste ist zentral: Sie dürfen kein eigenes wirtschaftliches Interesse an den verwalteten Daten haben. Dies könnte die Attraktivität für potenzielle Anbieter mindern, da deren Geschäftsmodelle möglicherweise durch diese Vorgabe erheblich eingeschränkt werden. Derzeit gibt es daher Bedenken, ob überhaupt genügend Anbieter von Einwilligungsdiensten die strengen Voraussetzungen erfüllen und eine Anerkennung durch die BfDI anstreben werden.

Darüber hinaus bestehen Bedenken hinsichtlich der Datensicherheit und des Datenschutzes. Da Einwilligungsentscheidungen zentral gespeichert werden, könnten diese Daten zum Ziel für Cyberangriffe werden, wodurch erhebliche Risiken für Nutzer und Unternehmen entstehen. Hinzu kommt die Befürchtung, dass marktbeherrschende Unternehmen – beispielsweise große Anbieter wie Google oder Meta – ihre Marktmacht nutzen könnten, um eigene EVDienste durchzusetzen und somit indirekt Einfluss auf die Datenschutzentscheidungen der Nutzer auszuüben. Unternehmen müssen daher sehr genau prüfen, welchen Dienstleister sie auswählen und klare vertragliche Regelungen zur Datensicherheit und Haftung treffen.

Zusätzlich können rechtliche Unsicherheiten auftreten, besonders für Unternehmen, die international tätig sind, da die Einwilligungsverwaltung nach wie vor in verschiedenen Ländern unterschiedlich geregelt ist. Solange keine internationalen Standards existieren, müssen Unternehmen weiterhin unterschiedliche Datenschutzregelungen berücksichtigen, was die Umsetzung zusätzlich erschwert.

VI. Kritik

Die Einwilligungsverwaltungsverordnung steht in der Kritik, da sie nach Ansicht vieler Datenschützer und Verbraucherschutzorganisationen ihr erklärtes Ziel – eine spürbare Vereinfachung der Einwilligungsverwaltung und die Reduktion lästiger Consent-Banner – nur unzureichend erfüllt.^[46]

Ein zentraler Kritikpunkt betrifft die begrenzte Reichweite der Verordnung. Sie regelt lediglich Einwilligungen nach § 25 Abs. 1 TDDDG, nicht jedoch solche nach der DS‑GVO. Dies bedeutet, dass viele datenschutzrechtliche Zustimmungen weiterhin individuell verwaltet werden müssen. Sowohl die Datenschutzkonferenz (DSK)^[47], einzelne Datenschutzbehörden als auch der Verbraucherzentrale Bundesverband (vzbv)^[48] bemängeln, dass dieses eingeschränkte Anwendungsfeld die angestrebte Vereinfachung erheblich einschränkt.

Ein weiteres Problem stellt die fortgesetzte Nutzung von Consent-Bannern dar. Kritiker wie der Landesbeauftragte für Datenschutz Niedersachsen, Denis Lehmkemper^[49], heben hervor, dass die Verordnung keinen sofort spürbaren Effekt gegen die Vielzahl an Einwilligungsbannern bringt. Da die Einwilligungen zunächst weiterhin über klassische Banner eingeholt werden müssen und der Einwilligungsstatus erst beim zweiten Besuch^[50] der Webseite automatisch übermittelt wird, bleibt der gewünschte Effekt – weniger störende Banner – aus.

Auch die Freiwilligkeit der Nutzung von anerkannten Einwilligungsverwaltungsdiensten wird kritisch gesehen. Hier sehen sowohl Lehmkemper als auch der vzbv die Gefahr, dass Webseitenbetreiber aus wirtschaftlichen Interessen heraus weiterhin herkömmliche Consent-Banner einsetzen und die neuen Dienste somit kaum Anwendung finden.

Darüber hinaus kritisiert der vzbv die Verordnung als technikzentriert und praxisfern.  Die vorgegebenen technischen Anforderungen seien teils unklar und schwer umzusetzen, was die Bereitschaft der Anbieter zusätzlich verringern könnte. Zudem konzentriere sich die Verordnung primär auf browserbasierte Anwendungen und vernachlässige damit andere Technologien wie IoT-Geräte^[51], was den Anspruch der Technikneutralität untergrabe.

Ein weiterer gravierender Kritikpunkt ist die fehlende Verbindlichkeit für Webseitenbetreiber. Es bleibt ihnen vollständig freigestellt, ob und wie sie mit Einwilligungsverwaltungsdiensten zusammenarbeiten. Dies widerspricht aus Sicht des vzbv dem eigentlichen Ziel der Verordnung, da Anbieter trotz der Einbindung eines Einwilligungsverwaltungsdienstes parallel eigene Consent-Banner einsetzen könnten. Dadurch könnte sich die Bannerflut kaum verringern und die angestrebte Verbesserung für Verbraucherinnen und Verbraucher ausbleiben.^[52]

Besonders kritisch bewertet der vzbv zudem die Möglichkeit wiederholter Abfragen. Selbst wenn Nutzerinnen und Nutzer eine Einwilligung abgelehnt haben, dürfen Anbieter digitaler Dienste laut der EinwV diese dennoch beliebig oft erneut abfragen. Dies führe dazu, dass Verbraucherinnen und Verbraucher sich unter Druck gesetzt fühlen könnten, schließlich doch einzuwilligen, was die Freiwilligkeit der Entscheidung im Sinne der DS‑GVO gefährdet.^[53] Hinzu kommt die Gefahr eines „Rosinenpickens“ durch Webseitenbetreiber. Der vzbv warnt davor, dass Anbieter gezielt bestimmte Einwilligungsverwaltungsdienste bevorzugen könnten, die möglicherweise weniger strenge Standards an Transparenz und Datenschutz anlegen. Um dies zu verhindern, fordert der vzbv klare Vorgaben zur verpflichtenden und einheitlichen Integration von Einwilligungsverwaltungsdiensten.^[54]

VII. Fazit

Der neue Rechtsrahmen für die Anerkennung von neuen Diensten zur Einwilligungsverwaltung durch die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) soll nutzerfreundliche und wettbewerbskonforme Verfahren bereitstellen, um die nach dem TDDDG erforderlichen Einwilligungen von Endnutzern zu verwalten. Die Wirksamkeit der neuen Regelungen der EinwV soll innerhalb von zwei Jahren überprüft werden. Dabei wird untersucht, ob die Vorgaben und die damit verbundenen Schutzmaßnahmen ausreichend sind, um tatsächlich positive Effekte für Nutzerinnen und Nutzer zu erzielen. Darüber hinaus wird angestrebt, langfristig eine europaweit einheitliche Lösung für Dienste zur Einwilligungsverwaltung zu erreichen.^[55] Sollte sich im Rahmen der geplanten Evaluation zeigen, dass die freiwillige Nutzung anerkannter Einwilligungsdienste nicht zu der gewünschten Datenschutzverbesserung führt, könnte dies laut Aussage der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), Prof. Dr. Louisa Specht-Riemenschneider, dazu führen, dass die Einbindung solcher Dienste künftig verpflichtend wird.^[56]

Zusammenfassend lässt sich feststellen, dass die Einwilligungsverwaltungsverordnung zwar auf dem Papier eine deutliche Verbesserung für Nutzerinnen und Nutzer darstellen könnte, die Praxisnähe und die tatsächliche Wirksamkeit jedoch derzeit fraglich erscheinen. Solange Anbieter digitaler Dienste nicht verbindlich verpflichtet werden, anerkannte Dienste zur Einwilligungsverwaltung einzusetzen, besteht das Risiko, dass die Regelung ihr eigentliches Ziel – die nachhaltige Verbesserung von Datenschutz und Nutzerfreundlichkeit – nicht erreichen wird. Die EinwV könnte somit zu einem gut gemeinten, aber letztlich zahnlosen Instrument verkommen, dessen praktische Auswirkungen durch die Freiwilligkeit seiner Anwendung deutlich geschwächt werden. Langfristig wäre daher eine verbindliche, europaweit einheitliche Lösung wünschenswert, um tatsächliche Fortschritte beim Einwilligungsmanagement und im Datenschutz erzielen zu können.

_{[1] Hanloser/Burkhardt/Pottkämper, in: Schwartmann/Benedikt/Reif Datenschutz im Internet, Kapitel 10 Teil B, Rn. 50.}

_{[2] Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG.}

_{[3] Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei digitalen Diensten (Telekommunikation-DigitaleDienste-Datenschutz-Gesetz – TDDDG).}

_{[4] Assion, Die Entwicklung des Datenschutzrechts, NJW 2025, 633}

_{[5] Hanloser, Einwilligungsverwaltungs-Verordnung – Droht jetzt die Consent Management Fatigue? ZD 2022, 529.}

_{[6] Gutachten der Datenethikkommission, S. 21, 133, abrufbar unter: https://www.bmi.bund.de/SharedDocs/downloads/DE/publikationen/themen/it-digitalpolitik/gutachten-datenethikkommission.pdf?__blob=publicationFile&v=6; vgl. auch Kühling/Sauerborn, Die Sinnhaftigkeit des § 26 TTDSG, ZD 2022, 531.}

_{[7] Verordnung über Dienste zur Einwilligungsverwaltung nach dem Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (Einwilligungsverwaltungsverordnung – EinwV) v. 06.02.2025 (BGBl. 2025 I Nr.  32) (Inkrafttreten gem. Art. 3 dieser VO am 01.04.2025).}

_{[8] Hunter/Ebert/Spiecker gen. Döhmann, Informationspflichten und Einwilligung bei der Nutzung von PIMS, ZD 2024, Rn. 603.}

_{[9] Vgl. zu den technischen Grundlagen von Cookies: Hunter/Ebert/Spiecker gen. Döhmann, Informationspflichten und Einwilligung bei der Nutzung von PIMS, ZD 2024, Rn. 604 f.}

_{[10] Hanloser/Burkhardt/Pottkämper in Schwartmann/Benedikt/Reif, Datenschutz im Internet, Kapitel 10 Teil B, Rn. 50 ff.; Klink-Straub/Straub, Und bist du nicht willig, so brauch‘ ich … PIMS – Entwurf der Einwilligungsverwaltungsverordnung nach § 26 TDDDG, ZD-Aktuell 2024, 01820.}

_{[11] IAB Europe, Transparency & Consent Framework , abrufbar unter: https://iabeurope.eu/transparency-consent-framework/.}

_{[12] Keppeler in Schwartmann/Benedikt/Reif, Datenschutz im Internet, Kapitel 9 Teil B Rn. 357 ff.; Klink-Straub/Straub, Und bist du nicht willig, so brauch‘ ich … PIMS – Entwurf der Einwilligungsverwaltungsverordnung nach § 26 TDDDG, ZD-Aktuell 2024, 01820}

_{[13] Vgl. Bouhoula et al., USENIX Security Symposium 2024: Eine Analyse populärer Webseiten in der EU zeigt, dass viele Seiten derzeit so eingestellt sind, dass Werbe- und Analyse-Cookies auch ohne ausdrückliche Einwilligung gesetzt werden und CookieBanner durch sogenannte „Dark Patterns“ gezielt irreführend gestaltet sind.}

_{[14] Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12.07.2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation).}

_{[15] Hanloser/Burkhardt/Pottkämper, in: Schwartmann/Benedikt/Reif, Datenschutz im Internet, Kapitel 10 Teil B, Rn. 2.}

_{[16] Am 12.02.2025 gab die Europäische Kommission bekannt, dass sie den Entwurf der ePrivacy-Verordnung zurückzieht. Somit wurden die Pläne zur Einführung der ePrivacy-Verordnung eingestellt.}

_{[17] Hanloser/Burkhardt/Pottkämper in Schwartmann/Benedikt/Reif, Datenschutz im Internet, Kapitel 10 Teil B, Rn. 8 ff.; Weiß/Schwartmann in Schwartmann/Benedikt/Reif, Datenschutz im Internet, Kapitel 9 Teil B, Rn. 322; DSK, Orientierungshilfe der Aufsichtsbehörden für Anbieter von digitalen Diensten (OH Digitale Dienste) Version 1.2; Artikel-29-Datenschutzgruppe, Stellungnahme 04/2021 zur Ausnahme von Cookies von der Einwilligungspflicht, WP 194, 7 ff.}

_{[18] Schwartmann/Reif/Burkhardt in Schwartmann/Benedikt/Reif, Datenschutz im Internet, Kapitel 9 Teil B, Rn. 49.}

_{[19] Schwartmann/Reif/Burkhardt in Schwartmann/Benedikt/Reif, Datenschutz im Internet, Kapitel 9 Teil B, Rn. 54}

_{[20] Schwartmann/Reif/Burkhardt in Schwartmann/Jaspers/Eckhardt TTDSG § 25 Rn. 12; aA Taeger/Gabel/Ettig TTDSG § 25 Rn. 16}

_{[21] Alich/Voigt, Mitteilsame Browser – Datenschutzrechtliche Bewertung des Trackings mittels Browser-Fingerprints, CR, Band 28, Heft 5, 2012, 344 f.}

_{[22] Zur Abgrenzung von passivem und aktivem Fingerprinting vgl. Karg/Kühn, ZD 2014, 285 f.}

_{[23] Schwartmann/Reif/Burkhardt in Schwartmann/Benedikt/Reif, Datenschutz im Internet, Kapitel 9 Teil B, Rn. 56.}

_{[24] Bitkom, Presseinformation v. 25.03.2024, „Drei Viertel sind von Cookie-Bannern genervt“, abrufbar unter: https://www.bitkom.org/Presse/Presseinformation/Drei-Viertel-von-Cookie-Bannern-genervt}

_{[25] Kühling/Sauerborn, Die Sinnhaftigkeit des § 26 TTDSG, ZD 2022, 531 f}

_{[26] Klink-Straub/Straub, Und bist du nicht willig, so brauch‘ ich … PIMS – Entwurf der Einwilligungsverwaltungsverordnung nach § 26 TDDDG, ZD-Aktuell 2024, 01820.}

_{[27] Vgl. hierzu die Stellungnahme des Sachverständigen Golland zum RegE für ein TTDSG, Golland Ausschuss-Drs- 19(9)1054,4.}

_{[28] Schwartmann/Reif/Burkhardt, in: Schwartmann/Benedikt/Reif, Datenschutz im Internet, Kapitel 9 Teil B, Rn. 98; Zippel/Benedikt in Schwartmann/Benedikt/Reif, Datenschutz im Internet, Kapitel 18 Teil B, Rn. 55.}

_{[29] Vgl. Schwartmann et al., Stellungnahme im Rahmen der öffentlichen Anhörung des Ausschusses für Digitales des Deutschen Bundestags zum Thema Entwurf eines Gesetzes zur Durchführung der EU-Verordnung über europäische Daten-Governance (Daten-Governance-Gesetz – DGG) v. 13.11.2024; Stiemerling/Weiß/Wendehorst, Forschungsgutachten zum Einwilligungsmanagement nach § 26. TTDSG, Studie im Auftrag des Bundesministeriums für Wirtschaft und Energie v. 16.12.2021, Rn. 44.}

_{[30] Vgl. §§ 26 Abs. 1 Nr. 2 TDDDG, 11 Abs. 3 Nr. 6 EinwV.}

_{[31] Vgl. EDSB, TechDispatch #3/2020, abrufbar unter edps.europa.eu/data-protection/our-work/subjects/sys.teme-de-gestion-des-informations-personnelles_de.}

_{[32] Schwartmann et al., Stellungnahme im Rahmen der öffentlichen Anhörung des Ausschusses für Digitales des Deutschen Bundestags zum Thema Entwurf eines Gesetzes zur Durchführung der EU-Verordnung. Über europäische Daten-Governance (Daten-Governance-Gesetz – DGG) v. 13.11.2024, S. 12; Schwartmann/Jaspers/Eckhardt/Benedikt/Weiß, HK-TTDSG, § 26 Rn. 2.}

_{[33] Schwartmann et al., Stellungnahme im Rahmen der öffentlichen Anhörung des Deutschen Bundestages am 26. Juni 2024, S. 25 (abrufbar unter https://www.bundestag.de/resource/blob/1010058/15b3c22909f8abd112260e5eaa1cfdc1/Stellungnahme-Schwartmann.pdf)}

_{[34] Vgl. Elektronischer Antrag nach § 10 EinwV, abrufbar unter: https://formulare.bfdi.bund.de/lip/form/display.do?%24context=E304D3D76546AE846EA7}

_{[35] Es fallen Gebühren gemäß §  1 Abs.  1 Nr.  7 Besondere Gebührenverordnung Telekommunikation (BMDVTKBGebV) an; Vgl. auch Schwartmann et al., Stellungnahme im Rahmen der öffentlichen Anhörung des Ausschusses für Digitales des Deutschen Bundestags zum Thema Entwurf eines Gesetzes zur Durchführung der EU-Verordnung über europäische Daten-Governance (Daten-Governance-Gesetz – DGG) v. 13.11.2024, S. 14; BT-Drs. 20/12718, S. 3 f.}

_{[36] Nähere Informationen auf der Webseite der BfDI, abrufbar unter: https://www.bfdi.bund.de/DE/Fachthemen/Themen-Positionen/Einwilligungsverwaltung/Einwilligungsverwaltung_node.html.}

_{[37] Weiß/Schwartmann in Schwartmann/Benedikt/Reif, Datenschutz im Internet, Kapitel 9 Teil B, Rn. 329 ff.}

_{[38] Vzbv-Gutachten, von Grafenstein/Herbort, Regulation of Online Advertising, Dezember 2024, abrufbar unter: https://www.vzbv.de/sites/default/files/2025-02/vzbv-Gutachten_Expert-Opinion_Grafenstein_Herbort_Online-Advertising.pdf.}

_{[39] Vzbv-Gutachten, von Grafenstein/Herbort, Regulation of Online Advertising, Dezember 2024, S. 65, abrufbar unter: https://www.vzbv.de/sites/default/files/2025-02/vzbv-Gutachten_Expert-Opinion_Grafenstein_Herbort_Online-Advertising.pdf.}

_{[40] Keppeler, in: Schwartmann/Benedikt/Reif, Datenschutz im Internet, Kapitel 9 Teil B, Rn. 397 ff.}

_{[41] Rudolph in HK-DS‑GVO/BDSG, Art. 20 Rn. 80 f.}

_{[42] Hunter/Ebert/Spiecker gen. Döhmann, Informationspflichten und Einwilligung bei der Nutzung von PIMS, ZD 2024, Rn. 603.}

_{[43] Jaspers/Schwartmann/Mühlenbeck in HK-DS‑GVO/BDSG, Art. 9, Rn. 1 ff}

_{[44] Zippel/Benedikt, in: Schwartmann/Benedikt/Reif, Datenschutz im Internet, Kapitel 18 Teil B, Rn. 55.}

_{[45] Hunter/Ebert/Spiecker gen. Döhmann, Informationspflichten und Einwilligung bei der Nutzung von PIMS, ZD 2024, Rn. 609.}

_{[46] Hunter/Ebert/Spiecker gen. Döhmann, Informationspflichten und Einwilligung bei der Nutzung von PIMS, ZD 2024, Rn. 608.}

_{[47] DSK, Stellungnahme v. 11.07.2023 zum Referentenentwurf des BMDV zur Rechtsverordnung nach §  26 Abs.  2 TTDSG (heute TDDDG), abrufbar unter: https://lfd.niedersachsen.de/download/213724/.}

_{[48] Verbraucherzentrale Bundesverband e.V., Stellungahme „Kein Rosinenpicken beim Einsatz von Einwilligungsverwaltungsdiensten“, v. 04.09.2024, abrufbar unter: https://www.vzbv.de/sites/default/files/2024-09/24-09-04_Stellungnahme_vzbv_RegE_EinwV.pdf.}

_{[49] Vgl. Pressemitteilung Nr.  20/2024, Landesbeauftragte für den Datenschutz Niedersachsen, Denis Lehmkemper, abrufbar unter: https://www.lfd.niedersachsen.de/startseite/infothek/presseinformationen/verabschiedete-einwilligungsverwaltungsverordnung-verfehlt-ihr-eigentliches-ziel-238383.html.}

_{[50] Hunter/Ebert/Spiecker gen. Döhmann, Informationspflichten und Einwilligung bei der Nutzung von PIMS, ZD 2024, Rn. 607.}

_{[51] Vgl. auch die EDSA Leitlinien 02/2023 zum technischen Anwendungsbereich von Art. 5 Abs. 3 e-Privacy-RL.}

_{[52] Verbraucherzentrale Bundesverband e.V., Stellungahme „Kein Rosinenpicken beim Einsatz von Einwilligungsverwaltungsdiensten“, v. 4.9.2024, S. 9, abrufbar unter: https://www.vzbv.de/sites/default/files/2024-09/24-09-04_Stellungnahme_vzbv_RegE_EinwV.pdf.}

_{[53] Verbraucherzentrale Bundesverband e.V., Stellungahme „Kein Rosinenpicken beim Einsatz von Einwilligungsverwaltungsdiensten“, v. 4.9.2024, S. 10, abrufbar unter: https://www.vzbv.de/sites/default/files/2024-09/24-09-04_Stellungnahme_vzbv_RegE_EinwV.pdf.}

_{[54] Verbraucherzentrale Bundesverband e.V., Stellungahme „Kein Rosinenpicken beim Einsatz von Einwilligungsverwaltungsdiensten“, v. 4.9.2024, S. 9, abrufbar unter: https://www.vzbv.de/sites/default/files/2024-09/24-09-04_Stellungnahme_vzbv_RegE_EinwV.pdf.}

_{[55] Vgl. Bundestag Drucksache 20/13418 und entspr. Entschließung des Bundesrats; https://www.bfdi.bund.de/SharedDocs/Kurzmeldungen/DE/2024/24_Einwilligungsverordnung.html.}

_{[56] Stiftung Datenschutz, Datenschutz 2025 – Schwerpunkte und Herausforderungen in der Datenschutzpolitik mit Prof. Dr. Louisa Specht-Riemenschneider v. 16.01.2025, abrufbar unter: https://stiftungdatenschutz.org/veranstaltungen/unsere-veranstaltungen-detailansicht/datenschutz2025-schwerpunkte-und-herausforderungen-541.}