gekennzeichnet.
Das deutsche Gesetz namens TDDDG regelt alles Mögliche. Auch eine Idee, wie die oft als lästig empfundenen Cookie Popups entschärft werden können, findet sich dort. Dies wird oft als PIMS genannt und stellt eine Zentrale dar, in der Personen ihre Datenschutzvorlieben definieren können sollen. Was bedeutet das für Betreiber von Webseiten und Apps?
Einleitung
Das Bundesministerium für Digitales und Verkehr wünscht sich Rückmeldungen zur Zentralen Einwilligungsverwaltung für Telemedien. Schließlich hat der (damalige) Gesetzgeber diese Aufgabe in den § 26 TDDDG hineingeschrieben. Bereits jetzt möchte ich die erneute Gelegenheit nutzen, um klarzustellen, warum PIMS, wie die zentrale Einwilligungsverwaltung auch genannt wird, scheitern wird. Am 14. Mai 2024 ging das TTDSG in das TDDDG über.
Manche meinen, PIMS wäre eine gute Idee. Sie alle haben eines gemeinsam: Sie können keine belastbare Lösungsskizze liefern, die auch nur ansatzweise als konkret bezeichnet werden könnte.
Daran erkennt man, wer nur Inhalte generieren will oder wer womöglich einer Lobby angehört, der das Wort ‚Wertschöpfung‘ nur aus subjektiver Sicht bekannt ist.
Der § 25 TDDDG besagt, dass Endgerätezugriffe dann einwilligungsfrei sind, wenn sie erforderlich sind. Der Begriff „Cookie“ taucht dort nicht auf. In der Praxis sind Cookies nur ein Mechanismus, um auf das Endgerät des Nutzers zuzugreifen. Der Nutzer ist der Besucher einer Webseite oder Aufrufer einer App.
Wenn ein Cookie nicht einwilligungsfrei ist, muss eine Einwilligung abgefragt werden, bevor es gespeichert oder ausgelesen werden darf. Dies geschieht oft über einen Mechanismus, der als Cookie Popup oder Consent Abfrage bezeichnet wird. Die Regeln für Einwilligungen sind insbesondere in Art. 7 DS-GVO definiert.
Die zentrale Einwilligungsverwaltung für Cookies soll Cookie Popups reduzieren, begegnet aber zahlreichen Widersprüchen.
Die sogenannten Cookie Popups stören jeden bis auf die Anbieter dieser auch als Cookie Tools bezeichneten Plugins. So kam es, dass im Zuge des Gesetzgebungsverfahrens zum TDDDG eine Regelung aufgenommen wurde, um Cookie Popups zu entschärfen. Dies soll über eine zentrale Einwilligungsverwaltung geschehen.
Die Grundidee der zentralen Einwilligungsverwaltung ist folgende:
- Ein Nutzer besucht eine noch zu schaffende Möglichkeit (zentrale Einwilligungsverwaltung genannt). Dies könnte eine Webseite oder ein Browser-Plugin sein.
- Dort hinterlegt der Nutzer seine Datenschutzvorlieben.
- Nun besucht der Nutzer eine Webseite oder App oder auch mehrere.
- Jede besuchte Webseite oder App fragt nun die Zentrale (siehe Punkt 1), was die Datenschutzeinstellungen des Nutzers sind.
- Theoretisch kennt die besuchte Webseite oder App nun die vom Nutzer erteilten Einwilligungen und muss kein Cookie Popup mehr anzeigen.
Niemand weiß genau, wie das funktionieren soll. Auf meine Rückfragen bei diversen Stellen und unter Nennung der Problematik erhielt ich gar keine oder keine konkreten Antworten. Selbst ein vorliegendes Forschungsgutachten[1] bleibt Antworten schuldig. Daher verwundert es auch nicht, dass der Gesetzgeber im TDDDG nicht festgelegt hat, wie eine zentrale Einwilligungsverwaltung in der Praxis realisiert werden soll.
Beispielsweise funktioniert eine zentrale Einwilligungsverwaltung in Form einer Webseite nicht so gut in Auto-Assistenzsystemen, die eine Einwilligung abfragen. Smartphone Apps hingegen funktionieren nicht auf Desktop PCs. Browser-Plugins müssten für jeden halbwegs verbreiteten Browser speziell programmiert und permanent gewartet werden.
Der § 26 TDDDG enthält somit "nur" eine Vorschrift, wonach innerhalb von zwei Jahren eine Verordnung zu erlassen ist, die einer zentrale Einwilligungsverwaltung den Weg ebnen soll.
Oft wird die zentrale Einwilligungsverwaltung auch mit PIMS abgekürzt. PIMS ist eine neu eingeführte Abkürzung, die verschiedene Ausprägungen annehmen kann. Mal steht PIMS für Personal Information Management System, mal steht das "P" für "Privacy".
PIMS kann nach meiner Ansicht sowohl aus rechtlichen als auch als technischen als auch aus rein praktischen Gründen nicht funktionieren. Weiter oben wurden bereits fundamentale Probleme mit PIMS benannt. Einige weitere Gründe nenne ich nachfolgend.
Darnach folgen Empfehlungen, wie Webseiten in Position gebracht werden können, um möglichst wenig Probleme mit Cookie Popups oder Einwilligungsabfragen gleich welcher Art zu verursachen. Somit wird auch die Notwendigkeit entschärft, sich als Website- oder App-Anbieter mit PIMS tiefer befassen zu müssen.
Mein Beitrag schließt mit einem Fazit und einem Ausblick.
PIMS: Die zentrale Einwilligungsverwaltung, das Sorgenkind
PIMS ist und bleibt ein unlösbares Problem. Erstens geht es nicht nur um Cookies. Zweitens müssen Einwilligungen für konkrete Zwecke und informiert erfolgen. Ersteres ist ein Grund für das Versagen von PIMS. Letzteres geht aktuell für die meisten populären Plugins nicht, weil die Anbieter Datenkraken sind und es bleiben wollen.
Die eben genannten zwei Gründe sind nicht die einzigen, warum es mit PIMS nichts werden wird. Mehr erfahren Sie in den folgenden Abschnitten.
Cookies sind nur ein Teil der Wahrheit
Ein ungelöstes Problem, welches PIMS aufwirft, begegnet dem Leser in § 25 TDDDG. Der § 26 TDDDG, der PIMS den Weg ebnen soll, verweist nämlich auf § 25 TDDDG. Und dort ist nur von Endgerätzugriffen die Rede. Vielmehr thematisiert das TDDDG Endeinrichtungen.
Endeinrichtungen sind nicht nur Endgeräte, sondern auch alle Arten von netzwerkfähigen Geräten, wie etwa Multi Room-Lautsprecher oder vernetzte Sensoren.
Entscheidend ist aber etwas anderes:
In Art. 6 Nr. 1 DS-GVO sind die Rechtsgrundlagen für die Verarbeitung personenbezogener Daten geregelt. Das TDDDGals lex specialis greift vor der DS-GVO, wenn es um Cookies und andere Endgerätzugriffe geht, die beim Aufruf von Webseiten und Apps auftreten können.
Für § 25 TDDDG ist es irrelevant, ob die Cookie-Daten personenbezogen sind oder nicht.[2]
Die DS-GVO als lex generalis ist im § 26 TDDDG bezüglich der Rechtsgrundlagen der Datenverarbeitung gar nicht berücksichtigt. Das ist fatal, denn jede Art von Cookie kann auch bezüglich der DS-GVO relevant sein.
Das TDDDG reglementiert also die Speicherung von Cookies und das Auslesen dieser. Die DS-GVO kommt danach und regelt die Verarbeitung von aus Cookies ausgelesenen Werten. Diese Werte sind oft personenbeziehbar und somit personenbezogen[3]. Sind sie es nicht, dann sind nach meiner Ansicht Cookies aus folgendem Grund dennoch personenbeziehbar und somit personenbezogen.
Aus technischen Gründen wird beim Auslesen eines Cookies immer die Netzwerkadresse (IP-Adresse) des Nutzers mit an den Server übertragen, der den Cookie-Wert erhält. Die IP-Adresse ist selbst in dynamischer Ausprägung personenbezogen.[4]
Weil Cookies immer mit der personenbeziehbaren IP-Adresse übertragen werden, sind sie selbst auch personenbeziehbar und somit personenbezogen. Die zentrale Einwilligungsverwaltung nach § 26 TDDDG lässt diesen Umstand unberücksichtigt und widmet sich nur der Speicherung und dem Auslesen von Cookies, nicht aber dem Verarbeiten der ausgelesenen Cookie-Daten.
Selbst ohne Vorliegen eines Cookies können Datenverarbeitungen einwilligungspflichtig sein. Siehe hierzu beispielsweise das Urteil zu Google Fonts[5]. Das Urteil berücksichtigt Art. 44ff DS-GVO, den Datentransfer in unsichere Drittländer, zu denen auch die USA als Geheimdienststaat zählen.
Die in Art. 5 DS-GVO genannten Grundsätze der Datenverarbeitung legen nahe, dass eine überschwängliche Datenverarbeitung ebenfalls einer Einwilligung bedarf. Als Beispiel sei die Nutzerprofilbildung genannt.
Laut Erwägungsgrund 111 [6] zur DS-GVO sind bestimmte Einwilligungen zudem nur für gelegentliche Datenübermittlungen statthaft. Dieser Gelegenheitscharakter ist aber gerade bei Webseiten und Apps, die beliebig oft von beliebig vielen Personen aufgerufen werden (sollen) können, nicht gegeben.
In was willigt der Nutzer eigentlich ein?
Damit eine zentrale Einwilligungsabfrage sinnvoll ist, muss sie für möglichst viele Datenverarbeitungen eine Einwilligung abfragen. Genauer gesagt, werden Einwilligungen für Zwecke abgefragt. Auf Webseiten und Apps ergeben sich die Zwecke durch die eingesetzten Dienste. Ein Beispiel für einen Dienst ist Google Analytics.
Es erscheint schwierig und in der Praxis nahezu unmöglich, sämtliche möglichen Zwecke zu kennen und zu benennen, zu denen Google Analytics und auch alle anderen Webseiten-Dienste weltweit eingesetzt werden kann.
Dazu muss man wissen, dass beispielsweise Google Analytics nicht nur eine Reihe von Optionen und Funktionen anbietet (Remarketing, Conversion Tracking, Marketing Attribution…), sondern auch mit oder ohne Google Optimize zur Optimierung der Benutzeroberfläche verwendet werden kann und eine Reihe weiterer Variationspunkte und Konfigurationsmöglichkeiten bietet.
Eine Liste aller Dienste, die für Webseiten und Apps relevant sind, gibt es nicht. Somit sind auch die Zwecke dieser Dienste nicht bekannt. Laut Art. 6 Nr. 1 lit. a DS-GVO muss aber gerade der konkrete Zweck bekannt sein, für den eine Einwilligung erfragt wird. Auch Erwägungsgrund 32 zur DS-GVO liest sich so.
Diesen Umstand der Unkenntnis haben wohl auch diejenigen erkannt, die eine Verordnung für § 26 TDDDG auf den Weg bringen wollen (Lobbyisten) oder sollen (Gesetzgeber). Zudem stellt sich die Frage, was passiert, wenn ein Dienst derart vom Anbieter aktualisiert wird, dass sich seine Zwecke ändern oder erweitern. Auch könnte der Anbieter wechseln, etwa durch einen Aufkauf. Aus dem Land Irland als Firmensitz des bisherigen Anbieters könnten dann die USA als Firmensitz des neuen Anbieters werden.
Aufgrund der Unkenntnis dessen, für was eigentlich eine Einwilligung abgefragt werden soll, entstand der aus meiner Sicht verzweifelte Vorschlag, mit einer Generaleinwilligung zu arbeiten. Statt in Dienste und Zwecke soll nun pauschal in Totschlagzwecke oder für alle Dienste großer Anbieter (wie beispielsweise Google) eingewilligt werden.
Zu den Anbietern sei nur gesagt, dass auch hier unbekannt ist, welche Anbieter von Diensten für Webseiten und Apps es weltweit gibt.
Die Totschlagzwecke könnten "Marketing" oder "Statistik" lauten. Selbst wenn man diesem Vorgehen, dass eine wohl rechtswidrige "Lösung" produzieren würde, folgen möchte: Auch hiermit gibt es rein logische Umsetzungsprobleme. Ein Nutzer könnte in einer Zentrale (PIMS) in alle Dienste einwilligen, die unter dem Begriff "Marketing" zusammenzufassen wären. Dann verschiebt sich das Problem der unbekannten Liste aller relevanten Dienste allerdings nur nach hinten.
Denn beim Besuch einer Webseite müsste die Webseite doch wissen, ob der Dienst "Google Tag Manager" der Kategorie "Marketing" zuzuordnen ist, der ein Nutzer vielleicht in PIMS zugestimmt hatte. Diese Festlegung gibt es aber nicht. Es ist unklar, wie eine solche Festlegung zustandekommen kann und wer sie vornehmen soll, sofern überhaupt möglich.
Widerruf einer zuvor erteilten Einwilligung
Noch deutlicher wird das Dilemma sichtbar, wenn es um den Widerruf einer zuvor erteilten Einwilligung geht. Jede betroffene Person hat nämlich laut Art. 7 Abs. 3 DS-GVO das Recht, "ihre Einwilligung jederzeit zu widerrufen".
Zuerst stellt sich die Frage, wo der Widerruf abzusetzen ist. Auf der gerade besuchten Webseite oder auf einer Zentralseite (PIMS genannt)?
Mit § 26 TDDDG sollten die Rechte betroffener Personen jedenfalls nicht schlechter gestellt sein als ohne diesen deutschen Sonderweg. Ansonsten wäre das Vorhaben wohl europarechtswidrig. Also muss der Widerruf einer zuvor erteilten Einwilligung mindestens auf der gerade besuchten Webseite möglich sein.
Doch was ist, wenn die Webseite Ihren Widerruf nicht oder falsch an die Zentrale weitergibt oder wenn es auf dem Weg zur Zentrale eine Kommunikationsstörung gibt? Dann könnte man darüber nachdenken, dass der Betreiber der Webseite, auf der ein Nutzer einen Widerruf abgesetzt habt, der in der Verantwortlichkeit des Website-Betreibers nicht korrekt zur Zentrale gelangte, für alle Folgeverstöße aufgrund des unberücksichtigten Widerrufs verantwortlich ist.
Schließlich könnte der Nutzer nach seinem nicht berücksichtigen Widerruf viele andere Webseiten besuchen. Diese Webseiten fragen dann die Zentrale ab und meinen, der Nutzer hätte eine Einwilligung erteilt. Jedoch hatte der Nutzer diese bereits widerrufen. Nur wurde der Widerruf des Nutzers in der Verantwortlichkeit der Webseite, auf der der Widerruf abgesetzt wurde, nicht berücksichtigt.
Wer sind Sie eigentlich?
Noch einmal: Die zentrale Stelle (PIMS), in der Nutzer Einwilligungen hinterlegen können sollen, gibt es noch nicht. Woher weiß PIMS eigentlich, wer Sie und ich sind bzw. wie kann PIMS Sie von mir unterschieden?
Soweit mir bekannt ist, hat bei weitem nicht jeder Deutsche einen digitalen Personalausweis samt Lesegerät, und zwar für jedes Endgerät: Smartphone, Tablet, Notebook, Desktop PC. Unabhängig davon wäre die Einführung eines deutschlandweiten elektronischen Identifikationsverfahrens ein Mammutprojekt, dessen Ausgang höchst zweifelhaft wäre.
Multiple Endgeräte
Wo wir gerade über Endgeräte sprechen: Ich nutze aktiv fünf Endgeräte. Da PIMS mich ja nicht näher kennt und es kein Endgeräte-übergreifendes Super-Cookie gibt, müsste ich für jedes meiner fünf Endgeräte die Zentrale aufrufen und jedesmal meine Datenschutzeinstellungen definieren. Sofern für PIMS ein Browser-Plugin verwendet werden würde, würde sich das Problem in meinem Fall auf ca. 15 einzelne Browser ausdehnen, die auf meinen fünf Endgeräten genutzt werden.
Die technische Meisterleistung
Eine zentrale Stelle, die Einwilligungen vieler Millionen deutscher Bürger verwaltet, muss technisch hochleistungsfähig sein. Jeder Bürger kann potentiell jeden Tag mehrmals auf die Zentrale zugreifen. Die PIMS-Plattform müsste also viele Millionen Zugriffe pro Tag verkraften.
Jede besuchte Webseite wiederum müsste bei jedem Seitenaufruf die Zentrale abfragen. Nur so kann erkannt werden, ob eine erteile Einwilligung immer noch vorliegt oder schon widerrufen wurde. Dadurch kommen sicher einige Milliarden Zugriffe pro Tag auf die PIMS-Plattform zustande.
Wie dies technisch stabil und wirtschaftlich realisiert werden soll, ist ungewiss.
Die Verfügbarkeitsfrage
Eine so wichtige Plattform wie PIMS wird zudem zahlreichen Angriffen ausgesetzt werden, darunter DDoS-Attacken (Distributed Denial of Service). Sollte die PIMS-Zentrale wegen einer solchen Attacke oder aufgrund technischer Fehler einmal nicht erreichbar sein, wären somit sämtliche erteilten Einwilligungen deutscher Bürger nicht mehr sichtbar. Jede Webseite und App müsste also davon ausgehen, dass keine einzige Einwilligung erteilt wurde.
Aktuell arbeiten viele kommerzielle Webseiten mit sogenannten Paywalls. Bezahlen mit Geld oder bezahlen mit Daten, ist hier das Motto. PIMS konterkariert diese Paywalls. Die Anbieter dieser über Bezahlfunktionen monetarisierten Webseiten sind also auch nicht für PIMS.
Neben diesen bereits erheblichen Gründen habe ich zahlreiche weitere Gründe zusammengetragen, die den § 26 TDDDG als praktisch nicht umsetzbar erscheinen lassen.
Empfehlungen für Webseiten und Apps
Viele Webseiten und Apps könnten schon jetzt ganz ohne Einwilligungsabfrage auskommen. Dass dennoch die oft als nervig empfundenen "Cookie Popups" eingesetzt werden, hat nach meinem Dafürhalten vor allem folgenden Gründe:
- Komplexes Spannungsfeld Technik und Datenschutzrecht
- Unwissenheit
- Falsche Beratung
- Gegenläufige Interessen von Marketing-Mitarbeitern und -Agenturen
Zu den genannten Punkten ein paar Beispiele:
Wenn keine einwilligungspflichtigen Datenverarbeitungen stattfinden, wird keine Einwilligungsabfrage benötigt. Statt Google Analytics kann Matomo als sehr guter Besucherzähler mit vielen Extras verwendet werden. Richtig konfiguriert, benötigt Matomo keine Einwilligung und liefert 100% der Daten, anstatt nur einen Bruchteil eingewilligter Datenerhebungen (wie bei Google Analytics). Allerdings scheint es für manche Internetagentur einfacher zu sein, dem Kunden Google Analytice vorzuschlagen anstatt sich technische Expertise anzueignen.
Selbst Conversion Tracking und Marketing Attribution-Funktionen können ohne Google Analytics realisiert werden. Bei einem Werbe-Budget von mehreren Tausend Euro sollte auch etwas Geld für einen Programmierer vorhanden sein, der beim datenschutzfreundlichen Ausgestalten der Webseite hilft.
Statt dem Google Maps-Plugin tut es oft ein Button mit der Beschriftung "Anfahrt planen". Wer unbedingt eine interaktive Karte braucht, der findet hier meine einwilligungsfreie Lösung auf Basis von OpenStreetMap (OSM): Die Karte gibt im Gegensatz zum OSM-Standard nutzerbezogenen Daten nicht weiter.
Videos-Plugin von YouTube oder Vimeo können durch ein Vorschaubild mit Link auf die Videoplattform ersetzt werden. Kleine Videos mit eigener Urheberschaft können lokal eingebunden werden. Alternativ kann dort, wo das Video erscheinen soll, eine Einwilligung abgefragt werden. Eine globale Abfrage muss hierfür nicht sein.
Fazit
Eine zentrale Einwilligungsverwaltung, wie sie der § 26 TDDDG vorsieht, ist aus zahlreichen Gründen unterschiedlicher Art zum Scheitern verurteilt.
Selbst wenn die rechtlichen Probleme beseitigt werden sollten, würde dies nicht vor Ende 2023 stattfinden. Auch mögliche entschärfte Rahmenbedingungen sind noch unklar. Bis Ende 2023 aber soll die PIMS-Verordnung vorliegen.
Zudem heilen rechtliche Winkelzüge, die aus meiner Sicht einer Verschlimmbesserung der DS-GVO gleichkämen, die anderen technischen und praktischen Probleme nicht, die PIMS als völlig unrealistisch erscheinen lassen.
Eine zentrale Einwilligungsverwaltung löst zudem die Datenschutzprobleme nicht, die jetzt auf Webseiten und Apps vorhanden sind.
Für Betreiber von Webseiten und Apps kann die Empfehlung also nur lauten, ein so gutes Datenschutzniveau wie möglich herzustellen und sich mit PIMS bis auf Weiteres nicht zu beschäftigen.
Weniger Cookie-Popups lassen sich vor allem dadurch erreichen, dass Webseiten und Apps weniger Cookie-Popups verwenden. Hierfür stehen zahlreiche Funktionen in Form datenschutzfreundlicher Dienste zur Verfügung.
Lesen Sie meine 66 Gründe, die gegen die Realisierbarkeit von PIMS sprechen:
PIMS nach § 26 TDDDG kann nur einer wollen, und das ist jemand, der gerne einen Dienst verkaufen möchte, der ohne wesentlichen Nutzen ist. Oder es ist jemand, der maximale Verwirrung stiften möchte, um Datenschutz noch mehr zur Randerscheinung werden zu lassen.
Wenn Sie etwas gegen Datenschutzsünder haben, dann fangen Sie doch mal mit einem Auskunftsgesuch gegen Webseitenbetreiber an, die Ihre Daten ungefragt weitergeben.
[1] Stiemerling, Oliver/Weiß, Steffen/Wendehorst, Christiane: Forschungsgutachten zum Einwilligungsmanagement nach § 26 TTDSG. Studie im Auftrag des Bundesministeriums für Wirtschaft und Energie, 16.12.2021
[2] Vgl. § 25 TDDDG sowie EuGH-Urteil vom 01.10.2019 – C-673/17 – „Planet49“, siehe Urteilsdatenbank
[3] Vgl. Art. 4 Nr. 1 DS-GVO.
[4] Vgl. EuGH-Urteil vom 19.10.2016 – C-582/14 und BGH-Urteil vom 16.05.2017 – VI ZR 135/13 – „Breyer“, siehe Urteilsdatenbank
[5] LG München, Urteil vom 20.01.2022 – 3 O 17493/20, siehe Urteilsdatenbank
[6] Der Erwägungsgrund 111 lautet: "Datenübermittlungen sollten unter bestimmten Voraussetzungen zulässig sein, nämlich wenn die betroffene Person ihre ausdrückliche Einwilligung erteilt hat, wenn die Übermittlung gelegentlich erfolgt und im Rahmen eines Vertrags oder zur Geltendmachung von Rechtsansprüchen, sei es vor Gericht oder auf dem Verwaltungswege oder in außergerichtlichen Verfahren, wozu auch Verfahren vor Regulierungsbehörden zählen, erforderlich ist. Die Übermittlung sollte zudem möglich sein, wenn sie zur Wahrung eines im Unionsrecht oder im Recht eines Mitgliedstaats festgelegten wichtigen öffentlichen Interesses erforderlich ist oder wenn sie aus einem durch Rechtsvorschriften vorgesehenen Register erfolgt, das von der Öffentlichkeit oder Personen mit berechtigtem Interesse eingesehen werden kann. In letzterem Fall sollte sich eine solche Übermittlung nicht auf die Gesamtheit oder ganze Kategorien der im Register enthaltenen personenbezogenen Daten erstrecken dürfen. Ist das betreffende Register zur Einsichtnahme durch Personen mit berechtigtem Interesse bestimmt, sollte die Übermittlung nur auf Anfrage dieser Personen oder nur dann erfolgen, wenn diese Personen die Adressaten der Übermittlung sind, wobei den Interessen und Grundrechten der betroffenen Person in vollem Umfang Rechnung zu tragen ist."
Kernaussagen dieses Beitrags
Die vorgeschlagene "zentrale Einwilligungsverwaltung" (PIMS) ist ein unlösbares Problem, weil sie nicht alle Arten von Daten erfassen kann und Nutzer nicht ausreichend über die Verwendung ihrer Daten informiert werden.
Die aktuelle Cookie-Regel ist zu schwach, weil sie nicht berücksichtigt, wie mit den Daten umgegangen wird.
Cookies können persönliche Informationen enthalten, da sie immer mit der IP-Adresse verbunden sind.
Eine zentrale Einwilligungsverwaltung reicht nicht aus, da viele andere Daten auf Webseiten und Apps ebenfalls Zustimmung brauchen.
Die vorgeschlagene Lösung für die Einwilligungserklärungen bei Webseiten und Apps ist problematisch, weil es unklar ist, welche Dienste genau verwendet werden und wofür sie eingesetzt werden. Es gibt keine zentrale Liste und der Zweck kann sich auch ändern.
Die vorgeschlagene zentrale Einwilligungsverwaltung für Websites ist aufgrund von technischen, rechtlichen und praktischen Problemen unrealistisch und würde die Datenschutzprobleme nicht lösen.
Webseitenbetreiber sollten sich auf Datenschutz konzentrieren statt auf komplizierte PIMS-Lösungen, da diese wenig sinnvoll sind und mehr Verwirrung stiften.
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. In IT & Datenschutz bin ich auch als Sachverständiger tätig. Ich stehe für pragmatische Lösungen mit Mehrwert. Meine Firma, die 
Kleine Anmerkung: Die Abkürzung PIM für "Personal Information Manager" ist nicht wirklich neu. Sie stammt aus der Zeit als Adress- und Notizbuch mit Palm Pilot, Blackberry und anderen digital wurden. Sie wird allgemein für digitale Anwendungen zur persönlichen Organisation genutzt, also Termine, Adressen, Notizen, Aufgaben wie z.B. auch Outlook oder Thunderbird mit Lightning Plugin. Man sollte also die hier im Artikel beschriebenen Privacy Information Management Systeme nicht mit den Personal Information Management Systemen verwechseln.
Vielen Dank für Ihre Rückmeldung und Info zu PIM.
Ich selbst sehe PIMS, egal in welcher Abkürzung, als praxisfern und nicht realisierbar an.
Die wiedergegebenen Abkürzungsbedeutungen sind nur das, was manche verwenden, die über PIMS sprechen oder PIMS aus mir unerklärlichen Gründen gut finden.
Jeder, der PIMS für vielversprechend hält, ist aufgefordert, eine Lösungsskizze zu präsentieren, um die Machbarkeit aus der Vogelperspektive zu zeigen. Niemand hat dies bisher getan, auch nicht auf meine Rückfrage hin.
Ich sehe auf Anhieb nicht, welchen Vorteil die zentrale Einwilligungsverwaltung gegenüber einer im Browser des Users gespeicherten Einwilligungsliste hat. Ich sehe nur Nachteile.
Wie im Artikel dargestellt, kann der Absatz nur pauschal für Kategorien von Webseiten gelten, nicht jedoch Einstellungen für jede einzelne Webseite. Eine Liste der Einwilligungen für die einzelnen Kategorien könnte genausogut vom User auf seinem Computer definiert werden und an die besuchte Webseite übermittelt werden. Das Datenformat könnte dem entsprechen, was auch PIMS verwenden würde. Dies hätte die Vorteile, daß
-die Einwilligungen nicht in einer zentralen Datenbank liegen, die ihrerseits ein Datenschutzrisiko birgt (Leaks).
-diverse technische Schwachstellen bei der Verfügbarkeit weg fallen.
Alle anderen Probleme von PIMS wären unverändert vorhanden, aber auch nicht verschlimmert gegenüber der zentralen Datenbank.
Danke für Ihre Rückmeldung.
Die "im Browser des Users gespeicherten Einwilligungsliste", die Sie erwähnen, gibt es schon: Sie wird in Form eines Cookies durch Consent Tools abgespeichert.
Anders geht es auch kaum, da ansonsten das genannte Problem besteht, welche Einwilligung (Liste?) Kategorien?) sich eigentlich auf was bezieht.
Es gibt nicht ein "Google Analytics", sondern viele. Es gibt nicht ein "Google Maps Plugin", sondern viele Ausprägungen und vor allem Zwecke.
Auch müsste diese Einwilligungsliste irgendwie auf dem Rechner jedes Users landen, was schlecht möglich ist, wenn es nicht ein Programm gibt, was dies leistet. Dieses Programm zu zentralisieren kann aber auch nicht funktionieren, weil es so viele verschiedene Endgeräte und "Apps" gibt: mit Apps meine ich Webseiten, Mobile Apps, Smart Home Geräte usw.
Kurzum: Alles muss so bleiben, wie es ist, nur dass endlich mal jemand die Datensünder sanktionieren muss. Schade, dass die Datenschutzbehörden ihre Aufgabe nicht wahrnehmen und dass es nicht mehr Kläger vor Gerichten gibt. Jeder kann sich für den letzten Punkt angesprochen fühlen. Immer nur auf andere zu warten, ist kein guter Charakterzug.
Die "im Browser des Users gespeicherten Einwilligungsliste" hätte ich gerne auf eine überschaubare Liste von Kategorien zusammengestutzt, ohne daß der Betreiber der Seite unbemerkt noch andere Daten ablegen kann.
Aktuell ist mir kein geeigneter Mechanismus zur Inhaltskontrolle von Cookies bekannt.
Ersatzweise habe ich meinen Browser so eingestellt, daß Cookies zum Ende der Sitzung gelöscht werden. Dies hat jedoch den Nachteil, daß ich die Einwilligungsabfrage jedesmal von neuem vorgesetzt bekomme, wenn ich eine Seite wieder besuche.
Diese Liste von Kategorien gibt es nicht. Man kann sie gerne erstellen. Dann gibt es aber das Problem, dass niemand weiß, welche Dienste/Plugins in welche Kategorie fallen. Weiß man das nicht, weiß man nicht, in welche Plugins jemand eingewilligt hat. Beim Widerruf einer erteilten Einwilligung gäbe es dasselbe Problem wieder.
Siehe hier, etwa Argument 4: https://dr-dsgvo.de/zentrale-einwilligungsverwaltung-pims-66-gruende-warum-diese-datenschutz-idee-scheitern-wird/
Es geht außerdem nicht nur um Cookies. Es heilt also das Problem nicht, wenn Sie Ihre Cookies im Browser löschen. Vorher wurden Ihre Daten bereits großflächig verstreut (etwa über Google Plugins, die in Webseiten eingebunden sind, die Sie besuchen – oder auch über Real-Time Bidding).