Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
Ergebnis in wenigen Sekunden sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Das neue TTDSG: Dienste zur Einwilligungsverwaltung und zu Endnutzereinstellungen helfen dem Datenschutz nicht

0

Das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) soll den Datenschutz in der digitalen Welt besser regeln. Dazu wird ein neues Konzept zur globalen Verwaltung von Nutzereinstellungen eingeführt. Somit sollen sogenannte Cookie Popups eliminiert werden. Das Vorhaben kann aus objektiven Gründen nicht gelingen.

Einleitung

Das Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien wird auch TTDSG genannt. Es dient der Umsetzung der Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation, und Ihrer Neufassung, der Richtlinie 2009/136/EG.

Das TTDSG in seiner Fassung vom 21.05.2021 enthält einige bemerkenswerte Ausführungen. Die ursprünglich mal angedachte Erlaubnis zur Reichweitenmessung findet sich im Gesetz nicht wieder.

Ich konzentriere mich hier auf den § 26 TTDSG, der betitelt ist mit „Anerkannte Dienste zur Einwilligungsverwaltung, Endnutzereinstellungen“. Weitere Untersuchungen zu anderen Gesetzesregelungen folgen. Immerhin hat das TTDSG auch einiges Positives zu bieten, wenn auch nicht dort, wo man es sich am meisten gewünscht hätte.

Der aktuelle Gesetzesbeschluss sowie der § 26 TTDSG sind hier einsehbar:

Die Grundidee einer Einwilligungsverwaltung zum Festlegen von Endnutzereinstellungen ist folgende:

Jede Person soll an einer möglichst zentralen Stelle seine Datenschutzvorgaben hinterlegen können. Beispielsweise soll eine Person so festlegen können, ob sie der Datenverarbeitung zu Marketing-Zwecken generell zustimmt oder generell nicht zustimmt. Diese zentrale Stelle soll Einwilligungsverwaltung heißen und Endnutzereinstellungen verwalten. Dafür wurde auch das Kürzel PIMS eingeführt. PIMS steht für Personal Information Management System.

Ruft eine Person eine Webseite auf, soll die Webseite in der zentralen Einwilligungsverwaltung nachsehen oder von dieser informiert werden, ob die Person Vorgaben hinterlegt hat. Wurden von der Webseite Vorgaben gefunden, sollen diese berücksichtigt werden. Das bedeutet im Idealfall, dass eine ansonsten erscheinende Einwilligungsabfrage nun nicht mehr erscheint, sondern mit den Vorgaben der Person bestätigt wird.

Damit die Webseite die in der zentralen Einwilligungsverwaltung hinterlegten Informationen erhalten kann, sollen idealerweise Browser nachgerüstet werden. Dazu könnten beispielsweise Browser-Hersteller entsprechende Vorgaben erhalten. Auch die Nutzung von Plugins wäre möglich. Andererseits könnten Webseiten-Tools auch selber die zentrale Einwilligungsverwaltung abfragen. Letztendlich müssten die Consent Tools auf den Webseiten sowieso aufgerüstet werden, um Voreinstellungen automatisch zu berücksichtigen.

Diese in der Theorie gute Idee hat leider erhebliche unheilbare Mängel, die zu einem Versagen dieses Konzepts führen werden. Ich werde im Folgenden beweisen, wieso ich das behaupte. Ebenso werde ich einige positive Effekte des Konzepts erwähnen.

Eine kurze Übersicht objektiver Gründe, die zeigen, dass eine zentrale Einwilligungsverwaltung in der Praxis niemand funktionieren wird, ist in meinem neueren Beitrag zu finden:

Kritik am Ansatz der zentralen Einwilligungsverwaltung

Der Gesetzesbeschluss zielt nicht auf die Durchsetzung von Datenschutzregeln ab, sondern auf personenbezogene Datenschutzvoreinstellungen. Es bringt wenig bis gar nichts, wenn auch jetzt schon die Datenschutzvorgaben von Personen nicht berücksichtigt werden.

Ganz einfach gesagt:

Das Verwaltung von Einstellungen ist ungleich dem Berücksichtigen von Einstellungen.

Meine Kritik am § 26 TTDSG

Heutzutage ist ein massives Versagen von sogenannten Einwilligungslösungen festzustellen. Diese Lösungen verdienen den Namen Lösung einfach nicht, weil sie in der Praxis großflächig Versager sind. Consent Tools führen nach meiner Untersuchung und meiner täglichen Erfahrung fast immer zu Webseiten mit erheblichen Datenschutzmängeln und mehrfach siginifikant rechtswidriger Ausgestaltung.

Ob einem Consent Tool durch einen manuellen Klick oder durch eine automatisierte Hintergrundschnittstelle eine Entscheidung mitgeteilt wird, ändert rein gar nichts am Versagen der Consent Tools. Beispiele für das Versagen von Consent Tools sind:

  • Nur für Tools, die Cookies nutzen, wird ein Einwilligungserfordernis als möglicherweise gegeben angesehen. Das ist grundsätzlich falsch. Wichtig sind u. a. auch die Vorgaben der Art. 5 Abs. 1 c DSGVO (Datenminimierung), Art. 6 Abs. 1 f DSGVO (berechtigtes Interesse ja oder nein, meist nein!) und Art. 44 DSGVO (Datentransfer in unsichere Drittländer wie die USA).
  • Tools, für die eine datenschutzfreundliche Variante existiert, werden nicht weiter betrachtet. Beispiele: Google Tag Manager, externe Google Fonts.
  • Die Angaben auf Einwilligungsabfragen, die in Teilen auch in der Datenschutzerklärung zu finden sind, werden oft automatisiert ermittelt. Sie sind oft schlichtweg Bullshit. Selbstverständlich müssen diese Angaben auch dann stimmen, wenn man nicht in irgendwas einwilligt.
  • Cookie Scanner können nie zuverlässig funktionieren. Siehe Begründung, wo auch weitere objektive Gründe für das Versagen von Cookie Tools genannt sind.

Wie man sieht, sind all diese Probleme nicht durch das neue TTDSG erledigt, sondern existieren genauso wie zuvor weiter.

Die ganz erheblichen Grundprobleme von sogenannten Consent Tools werden durch das TTDSG nicht aufgegriffen.

Meine Schlussfolgerung

Indem das TTDSG neue Vorgaben macht, steigt die Gefahr, dass bisher schon untaugliche „Lösungen“ sich ein weiteres Etikett anhaften. Sie werden dann behaupten, auch TTDSG-konform zu sein, was natürlich Bullshit sein wird.

Zusätzlich kann eine zentrale Einwilligungsverwaltung nicht funktionieren. Siehe hierzu meinen oben genannten, neuen Beitrag. Kurz gesagt:

  • Für viele Tools kann keine rechtskonforme Einwilligung abgefragt werden (Beispiele: Google Maps, Google Analytics, Google reCAPTCHA, YouTube Videos, Facebook Pixel)
  • Wer übernimmt die Verantwortung für die Einwilligungsabfrage? Der Betreiber der gerade besuchten Webseite oder der Betreiber der zentralen Einwilligungsverwaltung?
  • Wie genau wird eine Einwilligung etwa für Google Maps abgefragt? Auf jeder Webseite sieht diese Abfrage anders aus. Wie soll daraus ein gemeinsamer Nenner, der rechtskonform ist, werden und wer liefert diesen?
  • Was ist mit den hunderten unbekannteren Diensten kleinerer Anbieter? Werden dafür auch zentral Einwilligungen abgefragt? Schließlich muss für jeden Dienst separat eine Einwilligung abgefragt werden (siehe etwa Art. 5 Abs. 1 b DSGVO) und sicher möchte niemand kleinere Anbieter, die oft datenschutzfreundlich sind, benachteiligen …

Weitere Hinderungsgründe

Wie eine zentrale Einwilligungsverwaltung aussehen soll und wer diese betreibt, ist aktuell unklar. Hierfür kann es sicher rein technisch gute Lösungen geben. Eine gute technische Lösung bedingt für mich ein komplettes Abtrennen von irgend welchen wirtschaftlichen Interessen. Fachlich wird es allerdings keine Lösung geben, die in der Praxis funktionieren kann.

Als möglicher Anbieter wird netID genannt, und zwar oft (immer?) von Organisationen oder Personen, die mit der netID in Verbindung stehen. Ein Blick ins Impressum der Webseite von netID zeigt, dass der Betreiber die European netID Foundation ist. Dies scheint eine Gesellschaft (mit Phantasienamen, ohne spezifische Rechtsform) mit vorgeblich gemeinnützigem Anschein zu sein, die in Montabaur sitzt, wo auch die United Internet AG (1&1, Strato, GMX, Web.de) ihren Sitz hat. Siehe auch https://enid.foundation/stiftung-2/ für die genannten Gründungsmitglieder „Mediengruppe RTL Deutschland, ProSiebenSat.1 und United Internet.“ Somit scheidet für mich die netID als unabhängiger Dritter aus.

Ich stelle mir außerdem die Frage, wer eigentlich die zentrale Einwilligungsverwaltung auslesen darf? Entstehen dadurch möglicherweise nicht neue Datenschutzprobleme? Immerhin muss jede Webseite, die das TTDSG einhalten möchte, in der Lage sein, die Datenschutzvoreinstellungen des Nutzers zu kennen. Hier bin ich sehr gespannt auf die Lösung. Ich wage die Prognose, dass es keine zufriedenstellende Lösung geben wird, auch wenn ich mir selbst diese zutrauen würde. Immerhin gelang es auch 60 Millionen Euro später nicht, und zwar mit Hilfe der Super Software Entwickler SAP und Telekom, dem besten, was unser Digital-Standort nicht zu bieten hat, eine gute Corona Warn App zu bauen.

Ein Nutzer sollte jedenfalls gegenüber einer besuchten Webseite nicht anhand seiner E-Mail-Adresse o. ä. identifiziert werden. Wird eine zentral verwendete pseudonymisierte Identifikation verwendet, dann sollte die zentrale Verwahrstelle besser maximal vertrauenswürdig sein, was bei Standorten bei United Internet oder bei privatwirtschaftlichen Vereinigungen oder bei von Wirtschaftsunternehmen direkt oder indirekt geförderten Placebo-Stiftungen möglicherweise nicht gegeben ist. Immerhin könnte die zentrale Verwahrstelle zu allen registrierten Personen einsehen, welche Webseiten und Apps diese wann besucht haben.

Auch eine pseudonymisierte Identifikation kann übrigens nur Nachverfolgung von Nutzern verwendet werden. So lassen sich wiederkehrende Nutzer leicht wiedererkennen und können ggfs. sogar als Person erkannt werden. Sogar das Sitzungs-übergreifende und Webseiten-übergreifende und auch das Endgerät-übergreifende Wiedererkennen von Personen ist so möglich.

Der Vorstoß der Europäischen Union jedenfalls bringt das Thema in Schwung. Das European Digital Identity Framework erlaubt es europäischen Bürgern, digital einen Identitätsnachweis zu erbringen. Auch die im Rahmen dieses Vorhabens erarbeiteten Standards auf europäischer Ebene werden helfen, wirtschaftlich abhängige Identitätsverwalter zu vermeiden.

Browser-Voreinstellungen jedenfalls können aus objektiven Gründen kein geeigneter Mechanismus sein, um die Präferenzen einer Person kundzutun. Gleiches gilt für Browser-Plugins, denn wie soll sichergestellt sein, dass jeder Nutzer ein solches Plugin auch nutzen kann oder wird? Zusätzlich muss jede Webseite datenschutzkonform sein, auch wenn ein Nutzer kein Browser-Plugin verwendet. Einen Google Browser zu nutzen, der alle Einstellungen verwaltet, ist jedenfalls nicht Teil meines Wunschtraums.

Positive Effekte

Die Einführung einer Verwaltung von Nutzereinstellungen zum Datenschutz wird wahrscheinlich dazu führen, dass weniger nervige Popups auf Webseiten und in Apps erscheinen werden. Das bedeutet allerdings nicht, dass weniger gravierende Datenschutzverstöße anzutreffen sind.

Weiterhin wird das sogenanne Nudging damit ausgehebelt, also das Verführen zu einer für den Webseitenbetreiber genehmen, aber für den Nutzer eher nachteiligen Einwilligung.

Auch die rechtswidrige Praktik, Nutzer durch Verlagern der Abwahlmöglichkeit auf die zweite Ebene zur eigentlich ungewollten Einwilligung zu zwingen, wird dadurch entschärft.

Der Nutzer muss also weniger Klicken und wird weniger genervt, wenn dessen Daten dennoch weitergegeben werden.

Webseiten-Betreibern kann zukünftig noch besser vorgeworfen werden, dass sie gegen Datenschutzgesetze verstoßen, denn wenn sie jetzt schon die einfachsten Regeln nicht einhalten können, dann auch nicht kompliziertere Regeln. Immerhin ist der Bußgeldrahmen nun im TTDSG verankert und der Geltungsbereich des TTDSG, im Gegensatz zur ePrivacy-Richtlinie, weniger strittig.

Auch wenn ich nicht glaube, dass es irgend einen positiven Effekt für den Datenschutz haben wird, eine zentrale Einstellungsverwaltung einzuführen, glaube ich dennoch, dass diese Verwaltung an anderer Stelle sinnvoll sein kann. Die Digitalisierung in Deutschland wird durch eine sichere, vertrauenswürdige zentrale Verwaltung von welchen personenbezogenen Angaben auch immer einen Sprung nach vorne machen.

Fazit

Die bisher schon festzustellenden Datenschutzverstöße aufgrund nicht funktionierender Consent Tools bleiben bestehen. Die Datenschutzprobleme, die bisher aufgrund einer quasi erzwungenen Einwilligung eingeleitet wurden, werden reduziert. Allerdings glaube ich, dass eine Webseite eher auf die Abfrage einer Nutzervoreinstellung verzichtet, als diese zum eigenen Nachteil auszuwerten. Das Gesetz müsste den Webseiten-Betreiber schon dazu zwingen, Voreinstellungen zu berücksichtigen. Dies ist der Grund eines Gesetzes, das allerdings in diesem Punkt noch gar nicht greifen kann. Das TTDSG soll gemäß § 26 Abs. 3 TTDSG innerhalb von zwei Jahren nach Inkrafttreten konkretisiert werden. Wer die Langsamkeit der Bundesregierung kennt, darf schon einmal Zweifel an diesem Zeitplan anmelden. Immerhin hat die fristgerechte Umsetzung der ePrivacy-Richtlinie auch nicht funktioniert.

Das Problem, dass es keine geeignete und vor allem großflächig unterstützte Lösung zur Verwaltung von Datenschutzvoreinstellungen gibt, wird mittelfristig nur technisch, nicht aber fachlich gelöst sein werden. Vor einer rein technischen Lösung wird es keine gesetzliche Regelung diesbezüglich geben können. Eine fachliche Lösung wird es nie geben, also eine solche, die eminente Datenschutzfragen klären kann.

Ich fordere jede Privatperson auf, eigeninitiativ gegen Datensünder im Internet vorzugehen. Hier hilft nur eine Abmahnung. Versuchen Sie es vielleicht zunächst mit einer einmonatigen Karenzzeit, aber nur in den Fällen, wo Hoffnung besteht. Ich kann aus eigener Erfahrung berichten, dass es bei größeren Firmen nicht sinnvoll erscheint, es mit Höflichkeit zu versuchen. Sie werden durch Ihre Abmahnung belohnt werden, denn dem Rechtsgegner werden schnell die Ausreden ausgehen. Wenn Sie Unterstützung bei der Voruntersuchung für Ihre Abmahnung benötigen, melden Sie sich bei Bedarf gerne bei mir. Das Schöne bei Webseiten ist, dass niemand sich herausreden kann, etwas wäre nicht so, wie es ist. Im Browser nachsehen (und als Protokoll abspeichern) reicht oft als Beweis. Die meisten großen Firmen werden Ihre Webseiten auch nach Erhalt einer Abmahnung gar nicht anpassen wollen, sodass die Beweisführung durch einen Zeugen meist wegfällt.

Den Weg über eine Beschwerde zu gehen, halte ich zumindest in manchen Bundesländern für Zeitverschwendung. Hierzu zählt insbesondere Hessen. Vor allem sollte berücksichtigt werden, dass Behörden sogar oft kein Problem mit ungenehmigten Datentransfers in die USA haben, selbst wenn diese Datentransfers aufgrund eines heimlich durchgeführten Port-Scans stattfinden (Beispiel: ebay.de, Grüße nach Brandenburg).

Mein Ansatz für eine datenschutzkonforme Webseite ist nach wie vor folgender. Er funktioniert für nahezu jede deutsche Webseite (prozentual gesehen):

  1. Bestandsaufnahme durchführen (Ihre Agentur sollte diese parat haben).:Online Webseiten-Check
  2. Entfernen sämtlicher nicht wirklich benötigter Tools (Beispiel: Google Maps)
  3. Ersetzen von datenschutzfeindlichen Tools durch Alternativen (Beispiel: Google Maps, falls Sie immer noch glauben, eine interaktive Karte, womöglich mit Anzeige Ihres Standorts auf einer Weltkarte, wäre sinnvoll)
  4. Entfernen der nervigen Einwilligungsabfrage, nachdem Sie gemerkt haben, dass keine einwilligungspflichtigen Dienste mehr eingesetzt werden

Wer unglücklicherweise und angeblich darauf angewiesen ist, mit dem Google Universum Geld verdienen zu müssen, wird wohl leider die Checkliste für Einwilligungsabfragen vollständig durcharbeiten müssen oder hoffen, dass niemand Lust hat, abzumahnen.

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. Im Jahr 2017 bin ich zum Datenschutz gekommen. Mir sind juristische Gegebenheiten nicht fremd. Ich versuche, meine Ergebnisse durch Betrachtung von Technik und Recht zu gewinnen. Das scheint mir jedenfalls absolut notwendig, wenn es um digitalen Datenschutz geht. Ich würde mich freuen, wenn Sie meinen Newsletter abonnieren.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

etracker auf dem Prüfstand: Ist das Analyse-Werkzeug für Webseiten DSGVO-konform