Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
sofort das Ergebnis sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Cookie Popups für Toaster: Will das TTDSG das wirklich und wenn nein, warum doch?

2

Im TTDSG ist aus zweifelhaften Gründen eine zentrale Einwilligungsverwaltung aufgenommen worden. Nun kursieren Berichte, wonach ein Toaster nur dank der zentralen Einwilligungsverwaltung rechtskonform betrieben werden könne, auch wenn der Toaster kein Display zur Anzeige eines sogenannten Cookie Popups hat.

Einleitung

Der § 26 TTDSG führt eine zentrale Einwilligungsverwaltung ein. Diese wurde vermehrt als PIMS bezeichnet. PIMS ist eine Abkürzung, die mir jedenfalls bislang unbekannt war. Seitdem gibt es mehrere Varianten der Abkürzung, nämlich unter anderem Personal Information Management System, Privacy Information Management Service oder Kombinationen der Variationen.

Kürzlich las ich in einer juristischen Fachzeitschrift von dem Fall, dass mit PIMS nun endlich auch eine Einwilligung für einen Toaster abgefragt werden könne. Gemeint ist das, was landläufig als Cookie Popup bezeichnet wird. Ansonsten, so wurde es dargestellt, könnten vernetzte Toaster oder andere Smart Home Geräte, ab dem 1. Dezember 2021, dem Inkrafttreten des TTDSG, nicht mehr rechtskonform betrieben werden, vor allem, wenn sie kein Display haben. Das ist Bullshit.

Die Idee hinter PIMS ist, dass jede Person an einer zentralen Stelle im Internet ihre Datenschutzvorgaben hinterlegen kann. Beispielsweise soll so eine Einwilligung pauschal für alle möglichen Dienste (Webseiten, Apps, Smart Home Geräte etc.) erteilt werden können. Wenn nun ein Dienst gestartet wird, also der Toaster angeschaltet wird, fragt der Dienst die Zentrale nach den Voreinstellungen des Nutzers. So kann, angeblich, eine lästige Einwilligungsabfrage vermieden werden. Außerdem kann so, angeblich, verhindert werden, dass Endeinrichtungen ohne Monitor oder Display an ihrer Arbeit gehindert werden.

Dazu muss man wissen, dass das TTDSG die ePrivacy-Richtlinie in nationales Recht umsetzt, die auch als Cookie-Richtlinie bezeichnet wird, obwohl das Wort Cookie an entscheidender Stelle gar nicht auftaucht.

Das TTDSG macht aber noch mehr: Es weitet die Cookie-Richtlinie aus, nämlich von Endgeräten auf Endeinrichtungen. Endgeräte sind Smartphones, Tablets, Notebook, Desktop PCs und dergleichen. Endeinrichtungen hingehen sind bereits vernetzte Toaster, Smart Home Geräte oder Multi Room Lautsprecher.

PIMS ist gescheitert

Die zentrale Einwilligungsverwaltung, also PIMS, ist eine Idee, die in der Praxis für Webseiten und Apps nicht funktionieren kann. Das habe ich bereits gezeigt. Nun könnte es sein, dass PIMS zwar nicht für Webseiten und Apps funktioniert, die populäre Dienste wie die von Google nutzen, aber doch für Toaster oder Waschmaschinen.

Kann ein zentrales Cookie Popup für Toaster funktionieren bzw. ergibt es Sinn?

Leitfrage dieses Beitrags.

Diese Frage untersuche ich nachfolgend. Kann ein zentral verwaltetes Cookie Popup also für einen Toaster funktionieren?

Cookie Popups für Toaster

Wenn ich von Cookie Popups spreche, meine ich Einwilligungsabfragen. Diese sprachliche Unschärfe ist dem Umstand geschuldet, dass der Begriff des Cookie Popups leichter verständlich erscheint als der korrektere Begriff der Einwilligungsabfrage. Der Begriff wird auch häufiger verwendet, was ihn allerdings nicht richtiger macht. Denn Einwilligungen sind für alle möglichen Datenverarbeitungen erforderlich, etwa für externe Google Schriften, die keine Cookies nutzen.

Eine Einwilligung muss laut § 25 TTDSG dann abgefragt werden, wenn auf Informationen im Toaster zugegriffen wird oder diese im Toaster gespeichert werden. Dies gilt aber nur, wenn der Zugriff oder die Speicherung technisch nicht notwendig sind.

Mein Toaster speichert keine Informationen. Niemand greift von außen auf meinen Toaster zu, auch nicht über ein Netzwerk. Wieso der Toaster als Beispiel für eine Rechtfertigung des § 26 TTDSG verwendet wird, ist mir unklar.

Mit dem „Gesetz zur Regelung des Verkaufs von Sachen mit digitalen Elementen und anderer Aspekte des Kaufvertrags“ hat der Gesetzgeber eine Update-Pflicht für vernetzte Geräte auf den Weg gebracht. Demnach sind Updates, die der Sicherheit oder dem Aufrechterhalten der Funktionsfähigkeit dienen, gesetzlich vorgeschrieben, so denn das Gesetz kommt. Der Art. 6 Abs 1. c DSGVO legitimiert damit Updates aufgrund einer rechtlichen Verpflichtung. Eine Einwilligung ist hierfür nicht erforderlich.

Was ist mit Funktions-Updates?

Wie sieht es mit Funktions-Updates für den Toaster aus? Hierfür ist wohl eine Einwilligung erforderlich. Sind wir ehrlich: Ein Toaster kann nicht besonders viel und ist normalerweise nicht sehr teuer. Ein Hersteller wird für gewöhnlich nicht viel Geld investieren, um neue Funktionen via Software aufzuspielen. Bzw. wenn neue Funktionen aufgespielt werden können, dann müssen diese doch irgendwie nutzbar sein. Dies geschieht üblicherweise über ein Display. Dort könnte auch eine Einwilligung abgefragt werden.

Aber es gibt noch eine andere Möglichkeit, eine Einwilligung vom Nutzer zu erfragen. Komisch, dass diese offensichtlichste Möglichkeit kaum bis gar nicht diskutiert wird. Vielleicht liegt es daran, dass manche gerne eine bestimmte Organisation, die dieselbe Adresse wie die United Internet AG hat, als Datentreuhänder nach vorne bringen wollen.

Wie wäre es, wenn auf der Webseite des Herstellers des Toasters eine Einwilligung abgefragt wird, und zwar am besten dort, wo über das Update informiert wird? Wenn ein Toaster kein Display hat, wie kann dann eigentlich ein Update gestartet werden? Es gibt neuerdings ja Stromzähler, die über Signale mit einer Taschenlampe gesteuert werden können. So kann durch Lichtsignale jeweils ein anderer Wert abgefragt werden. Soll das beim Toaster auch stattfinden, damit ein Update gestartet wird? Oder gibt es einen neuen Knopf am Toaster, mit dem ein Update gestartet werden kann, wenn links neben dem Kopf eine rote Lampe leuchtet? Alternativ könnte der Toaster das Toastbrot höher auswerfen als üblich, um ein neu verfügbares Update anzuzeigen. Die Möglichkeiten erscheinen schier unendlich.

Geräte mit Display können (und müssen) selber Einwilligungen abfragen.

Siehe DSGVO.

Realistischer ist doch entweder ein Display am Toaster oder ein Update über das Internet, indem eine Webseite, etwa des Herstellers, besucht wird, die durch den Prozess leitet. Fertig. Hier sehe ich keine weiteren Probleme. Wozu eine zentrale Einwilligungsverwaltung? Und woher weiß der Toaster-Anbieter aus Australien überhaupt, dass er sich bei der Zentrale in Deutschland registrieren muss, damit sein Toaster bei der zentralen Einwilligungsabfrage erfasst wird? Wenn sich nämlich der Hersteller nicht bei der Zentrale meldet, wie soll die Zentrale dann vom Toaster wissen? Und wie soll die Zentrale wissen, welche Informationen bei der Einwilligungsabfrage gemäß Art. 13 DSGVO überhaupt zu geben sind? Wer ist eigentlich verantwortlich für die zentrale Einwilligungsabfrage? Fragen über Fragen, aber lassen wir das.

Es gibt Toaster, die toasten ein Motiv auf das Weißbrot. Solche Motive können möglicherweise vom Besitzer selber hochgeladen werden. Dies erscheint technisch notwendig, wenn der Nutzer das Motiv auf dem Toast sehen möchte. Hierfür ist keine Einwilligung erforderlich. Vielmehr ist es sogar ein aktiver Vorgang, bei dem der Nutzer etwa einen USB-Stick in den Toaster steckt oder diesem über das Netzwerk und möglicherweise über eine App ansteuert. Auch in einer App kann eine Einwilligung abgefragt werden, wie jeder sich leicht vorstellen kann.

Die Installation eines vernetzten Toasters

Hat sich eigentlich schon einmal irgendjemand außer mir im Kontext des TTDSG gefragt, wie ein vernetztes Gerät überhaupt am Einsatzort, also etwa in der Küche, installiert wird? Jeder weiß wohl, welche Umstände es bereitet, ein Gerät an ein Netzwerk wie das Internet anzuschließen. Das geht nicht von selber, wie mindestens jeder Besitzer eines WLAN-fähigen Geräts berichten kann.

Gerät einschalten, Netzwerkkabel anschließen, fertig. So jedenfalls geht es meist nicht. Vor allem im WLAN muss ein Netzwerk ausgewählt und ein Passwort eingegeben werden. Wie soll das bei einem Toaster ohne Display eigentlich möglich sein? Die Antwort: Entweder gar nicht, weil der Toaster kein Netzwerk benötigt. Oder über eine mitgelieferte App oder eine Webseite des Toasters, die im lokalen Netzwerk in einem Browser aufgerufen werden kann.

Netzwerkfähige Geräte haben üblicherweise eine mitgelieferte Konfigurationsmöglichkeit.

Logik plus Lebenserfahrung.

Tataa, nun haben wir wieder gleich mehrere sich zwangsläufig ergebende Möglichkeiten, eine Einwilligung für den vernetzten Toaster abzufragen, sofern diese überhaupt nötig ist.

Was ist mit wechselnden Besitzern?

Bekanntlich muss eine Einwilligung bei der betroffenen Person eingeholt werden. Ein Toaster, der verkauft, verschenkt oder vermietet wird, wurde vom neuen Besitzer jedenfalls noch nicht legitimiert, technisch nicht notwendige Updates zu fahren.

Bisher habe ich nirgends gelesen, dass die zentrale Einwilligungsverwaltung auf einer festen Netzwerkadresse basiert. Dann nämlich wäre zumindest ein Gros der Fälle abgehandelt, in denen ein Toaster den Besitzer zeitweilig oder dauerhaft wechselt. Wahrscheinlich hat sich bisher niemand hierzu nähere Gedanken gemacht bzw. gemerkt, dass es hier keine gute Lösung geben wird.

Geräte ohne Display sind oft zu wenig leistungsfähig, als dass ein Funktions-Update über ein Netzwerk Sinn ergeben würde.

Meine logische Ableitung aus der Lebenserfahrung.

Verschiedene Besitzer eines Toasters können auch innerhalb eines Hauses mit derselben Netzwerkadresse existieren. Dies führt dazu, dass eine Einwilligung am Toaster widerrufen können werden muss. Denn nur so kann der Toaster rechtskonform für einen neuen Besitzer bereitgestellt werden. Auch zu diesem Problemchen habe ich bisher noch nichts gelesen. Bitte informieren Sie mich, wenn irgendwo etwas dazu geschrieben steht. Ich baue es gerne in diesen Beitrag ein.

Sobald also ein Besitzerwechsel stattfindet, darf die ursprüngliche Einwilligung (einer anderen Person) nicht mehr als Rechtsgrundlage verwendet werden.

Fazit

Ob ein Toaster vernetzt sein muss, wage ich zu bezweifeln. Damals hörte ich von einer Smart Home Spülmaschine, die mit dem Handy gestartet werden kann. Ob vorher das Geschirr auch mit dem Handy eingeräumt werden kann, wurde nicht geklärt. Wenn das Handy als Tablett genutzt wird, kann damit sogar Geschirr in die Maschine eingeräumt werden, vermute ich.

Am oft herangezogenen Beispiel des vernetzten Toasters jedenfalls kann ich nicht erkennen, warum eine zentrale Einwilligungsverwaltung überhaupt erforderlich sein soll. Weiterhin löst diese Zentrale das Problem wechselnder Besitzer nicht.

Zusätzlich erscheint es in vielen Fällen unrealistisch, dass ein Toaster kein Display hat, aber Funktions-Updates fahren möchte.

Als wäre dies nicht genug, kann über eine Webseite oder App zum Toaster jederzeit eine Einwilligung für Funktions-Updates eingeholt werden. Niemand würde wohl erwarten, dass für den Toaster zentral eine Einwilligung erteilt werden können muss.

Je mächtiger ein Gerät erscheint, desto wahrscheinlicher ist, dass das Gerät ein Display hat. Ein Display wiederum bedeutet: Eine Einwilligungsabfrage ist direkt am Gerät möglich. Meinen Sie nicht auch, dass eine Einwilligung direkt am vernetzten Gerät am meisten Sinn ergibt, oder in einer App für die Steuerung des Smart Home, aber nicht in irgend einer von bestimmten Unternehmen und Lobbyisten hochgejubelten zentralen Plattform?

Vernetzte Toaster können ganz ohne zentrale Einwilligungsverwaltung rechtskonform betrieben werden.

Alles andere ist Bullshit und Lobbyismus.

Wenn es um Autos geht, kann eine Einwilligung für eine Kartensoftware sowieso kaum zentral abgefragt werden. Die Gründe in Kürze:

  1. Ein Fahrerwechsel macht Einwilligungen anderer Personen irrelevant. Das könnte das Auto erkennen durch Abfrage eines personengebundenen Schlüssels, den aber auch eine andere Person als die eigentliche haben könnte. In der Praxis muss im Auto die Einwilligung jedesmal erneut abgefragt werden, außer, die eindeutige Identifikation des aktuellen Fahrers gelingt dem Fahrzeug.
  2. Ein Autowechsel macht frühere Einwilligung wohl ungültig.
  3. Werden Kartendienste wie die von Google oder Microsoft verwendet, halte ich eine rechtskonforme Einwilligungsabfrage für nahezu unmöglich. Schließlich sind die stattfindenden Datenverarbeitungen samt Cookie-Zwecken oft Geheimwissen der Anbieter

Bleibt nur, auf dem Display des Automobils eine Einwilligung abzufragen. Aber es gibt eine noch bessere Lösung:

Die Lösung lautet keine Einwilligung abzufragen und keine Dienste von Google, Microsoft und anderen Internetkonzernen im Auto zu nutzen, die Nutzerverhalten ausspionieren. Ja, das geht. Ja, es funktioniert. Ja, so fahren viele Millionen Bundesbürger, inklusive mir, täglich mit dem Auto herum, ohne irgendetwas zu vermissen.

Warum eigentlich muss eine Kartensoftware den Nutzer ausspionieren? Wenn ein Nutzer bevorzugte Standorte in der Karte speichern will, bedarf dies keiner Einwilligung. So einfach ist es. Viele machen es nur kompliziert, um ihre angeblichen Lösungen, die keine sind, zu verkaufen. Siehe Cookie Popups.

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. Im Jahr 2017 bin ich zum Datenschutz gekommen. Mir sind juristische Gegebenheiten nicht fremd. Ich versuche, meine Ergebnisse durch Betrachtung von Technik und Recht zu gewinnen. Das scheint mir jedenfalls absolut notwendig, wenn es um digitalen Datenschutz geht. Ich würde mich freuen, wenn Sie meinen Newsletter abonnieren.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.
  1. Max Luber

    Danke für den Beitrag.
    Wie immer informativ und unterhaltsam rüber gebracht.

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

Google Analytics ohne Einwilligung rechtskonform nutzen: So geht’s