Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
sofort das Ergebnis sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Die verkürzte Einwilligung nur in Cookies: Zentrale Einwilligungsverwaltung (PIMS) für Cookies (§ 26 TTDSG) ist nicht zu Ende gedacht

0

Im § 26 TTDSG ist festgeschrieben, dass der Gesetzgeber innerhalb von zwei Jahren, also bis Ende 2023, eine Verordnung erlässt. Diese Verordnung soll erklären, wie Nutzer in einer Zentrale namens PIMS ihre Datenschutzvorlieben ex ante hinterlegen können, die auf später besuchten Webseiten dann berücksichtigt werden sollen. Das soll zu weniger sogenannten Cookie Popups führen. Richtig ist das Gegenteil. Ein Grund von 66.

Einleitung

In den nächsten Wochen und Monaten werde ich 66 Gründe benennen, warum eine zentrale Einwilligungsverwaltung scheitern wird. Dabei führe ich vor allem rein logische und praktische Gründe auf. Rechtliche Problemchen müssen nicht einmal herangezogen werden, um PIMS oder ADPC, wie der zentrale Verwaltungsdienst auch genannt wird, ad absurdum zu führen. Eine andere lateinische Formulierung ist im Einleitungstext genannt: ex ante. Das bedeutet „in die Zukunft gerichtet“ oder „im Voraus“. Was mit der Zukunft zu tun hat, ist in der Regel mit großen Unsicherheiten behaftet. So auch hier.

PIMS steht übrigens für Personal Information Management System. Ab und an steht das P auch für Private und das S für Service. ADPC steht für Advanced Data Protection Control und ist als Browser-Plugin gedacht. PIMS kann als zentrale Webseite oder als Browser-Plugin ausgestaltet sein. Wie auch immer, es wird nicht funktionieren.

Zentrale Verwaltung von Cookie-Einwilligungen

Grund 1 für das Scheitern von PIMS thematisiert den § 26 TTDSG. Dieser Paragraph soll eine Einwilligungsverwaltung einführen, und zwar genau für Einwilligungen, die nach § 25 Absatz 1 TTDSG eingeholt werden müssen. Der § 25 TTDSG wiederum thematisiert ausschließlich Zugriffe auf Endgeräte und Endeinrichtungen, insbesondere das Speichern von Daten in diesen Geräten.

Ein solcher Zugriff liegt insbesondere bei Verwendung von Cookies vor. Dass auch Javascript-Routinen auf das Endgerät zugreifen können, soll hier nicht näher thematisiert werden. Als Stichwort sei hier die Größe des Viewport genannt (=Größe des Browser-Fensters).

Arten einwilligungspflichtiger Vorgänge

Wie sicher vielen bekannt ist, geht es nicht nur um Cookies. das Wort Cookie taucht im Gesetzestext von DSGVO und TTDSG nicht einmal auf.

Ich sehe mindestens folgende einwilligungspflichtige Vorgänge:

  1. Zugriff auf das Endgerät (Cookies, JavaScript oder Updates bei Smart Home Geräten): § 25 TTDSG.
  2. Verarbeiten von personenbezogenen Cookie-Daten: Art. 6 Abs. 1 DSGVO.
  3. Datentransfer in unsichere Drittländer: Art. 44ff DSGVO + EuGH-Urteil Schrems II.
  4. Nutzerprofilbildung: Vgl. § 15 Abs. 3 TMG als Anhaltspunkt sowie Art. 5 Abs. 1 DSGVO (Grundsätze der Datenverarbeitung).
  5. Milderes Mittel vorhanden: Vgl. Art. 5 Abs. 1 DSGVO.

Ei wo sind denn die Cookies? Entweder im Backofen oder in der obigen Auflistung unter den Punkten eins und zwei, aber nicht unter den Punkten drei bis fünf.

Zentrale Einwilligungsverwaltung greift viel zu kurz

Somit kann eine Einwilligungsverwaltung aus § 26 TTDSG lediglich für ein oder zwei von mindestens fünf verschiedenen Arten von einwilligungspflichtigen Vorgängen eine Einwilligung einholen.

Noch schlimmer: Der § 25 TTDSG bezieht sich nur auf Speicherung und Zugriff von Cookies. Somit ist lediglich Punkt eins meiner obigen Liste berücksichtigt. Das TTDSG ist ein Sondergesetz (lex specialis) zur DSGVO. Es sperrt die DSGVO also genau dann, wenn es speziellere (und strengere) Regeln als die DSGVO enthält.

Der § 26 TTDSG thematisiert lediglich Einwilligungen für die Speicherung von und den Zugriff auf Cookies, nicht aber die Verarbeitung von deren Werten und auch nicht weitere (ganz andere) Arten von einwilligungspflichtigen Vorgängen, die rein gar nichts mit Cookies zu tun haben.

Meine Erkenntnis nach dem Lesen von § 25 und § 26 TTDSG und auch die Erkenntnis anderer.

Vom 15. bis zum 17. September 2022 fand die Herbstakademie der Deutschen Stiftung für Recht und Informatik (DSRI) in Hannover statt. Dort trug nicht nur ich zum § 26 TTDSG vor (aus technischer und etwas rechtlicher Sicht), sondern auch – ganz unabhängig von mir – Bernhard Harle (als Jurist). Auch Herr Harle hatte bemerkt, dass der § 26 TTDSG sich nur auf den § 25 TTDSG bezieht und nicht auf Einwilligungen, die sich aus anderen Rechtsvorschriften ergeben.

Somit ist PIMS als zentrale Einwilligungsverwaltung beschränkt auf den Zugriff auf Cookies.

Dumm nur, dass ein Cookie, welches m. E. immer einen Personenbezug darstellt, sinnlos ist, wenn man zwar dessen Wert erhält, mit diesem Wert aber nicht arbeiten darf (siehe § 25 TTDSG). Die Verarbeitung des Cookie-Wertes ist in der DSGVO, nicht aber im TTDSG geregelt. Wer negiert, dass Cookies an sich einen Personenbezug über die personenbezogene IP-Adresse hat, die mit einem Cookie immer zusammen übertragen wird, der sollte sich folgende Beispiele ansehen. Die Beispiele zeigen Cookie-Werte, die bereits aufgrund ihrer Wertausprägung einen Personenbezug zulassen.

  • Identifizierer: nfdmsnd3457sl. Siehe beispielsweise Google Analytics (somit auch ohne Cookies alleine deswegen problematisch, siehe Client Id). Der Wert muss nicht sehr lange sein. Für 8 Milliarden Menschen reichen bei einem Alphabet von 36 Zeichen (26 Kleinbuchstaben + 10 Ziffern) bereits sieben Stellen (36^7 = 78.364.164.096 Kombinationsmöglichkeiten = 78 Milliarden)! Eine Stelle mehr würde dann ganz sicher für alle Endgeräte der Welt reichen (36^8 = 2,8 Billionen)
  • Mailadresse: newsletter-abonnent@ichbins.nit. Siehe beispielsweise Formulare für Newsletter auf Webseiten.
  • IP-Adresse im Cookie als Wert: Auch das kommt gelegentlich vor (damals bei Google Analytics, heutzutage in manch anderem Tool. Beispiel gerade nicht zur Hand).
  • Cookie-ID: Haben CMP-Anbieter als Konstrukt erfunden. Damit soll eine Einwilligung nachgewiesen werden können, was Unsinn ist, weil ein vom Nutzer gelöschtes Cookie, das die Cookie-ID enthielt, das Verfahren zunichtemacht.
  • Geo-Koordinate: OneTrust führt diese nach meiner Beobachtung mit. Ist sie genau genug und/oder sind weitere Angaben vorhanden, kann daraus eine Person ermittelt werden. Es soll Menschen geben, die in dünn besiedelten Gebieten leben.
  • Kundennummer: Online-Shop o. ä., kein Problem, wenn als Kunde angemeldet. Was aber, wenn nicht angemeldet?
  • Fingerprint: Siehe zahlreiche alle Analyse-Tools und Tracker, die ohne Cookies auskommen wollen oder müssen.

Noch dümmer, dass die anderen drei oben von mir genannten Arten nicht einwilligungsfreier Vorgänge ganz und gar nicht vom PIMS aus § 26 TTDSG erfasst sind. Zu diesen Vorgängen gehören beispielsweise auf Webseiten:

  • Google Fonts
  • Adobe Fonts (typekit.net), Monotype Fonts, Fast Fonts (verwenden oft auch Zählpixel, angeblich zu Abrechnungszwecken)
  • Google Tag Manager (ohne Cookies)
  • Google Maps (ohne Cookies)
  • Google Analytics (ohne Cookies)
  • YouTube Video Player (ohne Cookies, dafür aber mit DoubleClick-Werbetracker Script)
  • Google irgendwas-Plugins ohne Cookies
  • Facebook irgendwas-Plugins ohne Cookies
  • Abruf von JavaScript-Bibliotheken wie jQuery von einem CDN, mit dessen Anbieter kein AVV abgeschlossen wurde, vor allem, wenn der Anbieter aus den USA stammt

Der § 26 TTDSG und PIMS wurden ja ins Leben gerufen, um Cookie Popups möglichst weitgehend zu eliminieren. Wenn man Cookie Popups als Cookie-Einwilligungsabfragen ansieht, stimmt das immerhin zur Hälfte. Wenn man unter Cookie Popup eine Einwilligungsabfrage versteht, stimmt es nur zu einem Fünftel.

Wie auch immer, PIMS ist ein zum Scheitern verurteilter Ansatz. Selbst wenn dieses Problemchen der mangelnden Abdeckung des § 26 TTDSG gelöst werden sollte, sprechen immer noch 65 andere Gründe gegen PIMS. Sie werden alle davon erfahren, sofern der Gesetzgeber nicht vorzeitig einsieht, dass es sinnvoll ist, die Einwilligungsverwaltungs-Verordnung zu stornieren.

Fazit

Eine Einwilligungsverwaltungs-Verordnung wird nicht kommen. Sofern sie doch das Licht der Welt erblicken wird, wird das Desaster riesengroß und an Peinlichkeit kaum zu überbieten sein.

PIMS als Idee einer zentralen Einwilligungsverwaltung deckt nur eine von fünf Kategorien ab, die für eine umfassende Einwilligungsabfrage erforderlich wären.

Siehe Aufzählung im Beitrag.

Es ist egal, ob Browser-Plugins oder eine zentrale Webseite zur Verwaltung von Einwilligungen kommen sollen. Beide Ansätze können nicht funktionieren. Zu Browser-Plugins werde ich in Kürze rein logische Gründe für deren Scheitern nennen. Übrigens hat auch der oben genannte Herr Harle einiger dieser Gründe in seinem Beitrag für den Tagungsband der DSRI-Herbstakademie 2022 benannt.

Wer weniger Popups will, hat zwei Möglichkeiten: Selber dafür sorgen, dass die eigenen Webseiten keine einwilligungspflichtigen Vorgänge enthalten. Wenn Sie wissen wollen, wie das geht, fragen Sie nach. Für visuelle Elemente wie Videos kann eine Einwilligung zudem In-Place, also am Platze des Elements, abgefragt werden. Das nervige und seitenweit erscheinende Popup entfällt dann für das visuelle Element. Die zweite Möglichkeit ist, daran mitzuwirken, dass Website-Betreiber für Datenschutzverstöße verantwortlich gemacht werden. Dafür gibt es mehrere Eskalationsstufen, die Sie als Privatperson nutzen können:

  • Deutliches Anschreiben per Mail mit Androhung weiterer Konsequenzen
  • Nicht anonyme Beschwerde bei einer Aufsichtsbehörde (anonym bringt quasi nix, nicht anonym quasi fast nix)
  • Berichterstattung
  • Abmahnung als Privatperson
  • Klage als Privatperson
  • Verbandsklage (Verbraucherzentrale o. ä.)

PIMS deckt nicht einmal die Verarbeitung von Cookie-Werten ab.

Siehe Beitrag.

Für viele Zwecke gibt es datenschutzfreundliche Lösungen. Hier eine Auswahl:

  • Google Maps: Mein Karten-Plugin
  • Google Analytics: Matomo
  • Google Fonts: Schriften lokal einbinden
  • Google Tag Manager: Kein Tag Manager oder Untagmanager
  • Facebook Pixel: Besseren Marketing-Ansatz wählen
  • Shopify: Anderes Shop-System (leider nicht anders möglich)
  • Homepagebaukästen von Wix usw.: Deutschen Anbieter oder noch besser: Selber hosten auf deutschem Server
  • Consent Tools von UserCentrics (Google Cloud), Cookiebot (Akamai) oder OneTrust (US-Mutter): Kein Consent-Tool oder eines von rein europäischem Anbieter+Speicher oder mein Consent-Tool, das nur das Nötigste kann (nämlich das, was eigentlich nur möglich ist).
  • VG Wort Pixel: Hierfür gibt es eine gesetzliche Grundlage. Wer anderer Meinung ist, sollte die VG Wort anschreiben: datenschutz@vgwort.de und Metis.Support@vgwort.de
  • Berater der bisherigen Bundesregierung: Neue Berater (vielleicht gibt es diese schon?). Fragen Sie doch mal nach: Ref-DP25@bmdv.bund.de (Bundesministerium für Digitales und Verkehr – Referat DP 25 – Datenschutz in der digitalen Welt, Cybersicherheit, Vertrauensdienste)
Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. In IT und Datenschutz bin ich auch als Sachverständiger tätig. Mir sind juristische Gegebenheiten nicht fremd. Meine Ergebnisse gewinne ich durch Betrachtung von Technik und Recht. Das scheint mir absolut notwendig, wenn es um digitalen Datenschutz geht. Über neue Beiträge werden Sie informiert, wenn Sie meinen Newsletter abonnieren. Über Ihre Unterstützung für meine Arbeit würde ich mich besonders freuen.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

Einwilligungsverwaltungs-Verordnung: Darum funktioniert die Totschlag-Einwilligung auf Basis von Kategorien nicht