Drücke „Enter”, um zum Inhalt zu springen.
Hinweis zu diesem Datenschutz-Blog:
Anscheinend verwenden Sie einen Werbeblocker wie uBlock Origin oder Ghostery, oder einen Browser, der bestimmte Dienste blockiert.
Leider wird dadurch auch der Dienst von VG Wort blockiert. Online-Autoren haben einen gesetzlichen Anspruch auf eine Vergütung, wenn ihre Beiträge oft genug aufgerufen wurden. Um dies zu messen, muss vom Autor ein Dienst der VG Wort eingebunden werden. Ohne diesen Dienst geht der gesetzliche Anspruch für den Autor verloren.

Ich wäre Ihnen sehr verbunden, wenn Sie sich bei der VG Wort darüber beschweren, dass deren Dienst anscheinend so ausgeprägt ist, dass er von manchen als blockierungswürdig eingestuft wird. Dies führt ggf. dazu, dass ich Beiträge kostenpflichtig gestalten muss.

Durch Klick auf folgenden Button wird eine Mailvorlage geladen, die Sie inhaltlich gerne anpassen und an die VG Wort abschicken können.

Nachricht an VG WortMailtext anzeigen

Betreff: Datenschutzprobleme mit dem VG Wort Dienst(METIS)
Guten Tag,

als Besucher des Datenschutz-Blogs Dr. DSGVO ist mir aufgefallen, dass der VG Wort Dienst durch datenschutzfreundliche Browser (Brave, Mullvad...) sowie Werbeblocker (uBlock, Ghostery...) blockiert wird.
Damit gehen dem Autor der Online-Texte Einnahmen verloren, die ihm aber gesetzlich zustehen.

Bitte beheben Sie dieses Problem!

Diese Nachricht wurde von mir persönlich abgeschickt und lediglich aus einer Vorlage generiert.
Wenn der Klick auf den Button keine Mail öffnet, schreiben Sie bitte eine Mail an info@vgwort.de und weisen darauf hin, dass der VG Wort Dienst von datenschutzfreundlichen Browser blockiert wird und dass Online Autoren daher die gesetzlich garantierten Einnahmen verloren gehen.
Vielen Dank,

Ihr Klaus Meffert - Dr. DSGVO Datenschutz-Blog.

PS: Wenn Sie meine Beiträge oder meinen Online Website-Check gut finden, freue ich mich auch über Ihre Spende.
✓ Ausprobieren DSGVO Website-Check sofort DSGVO-Probleme finden
Externe Links sind mit dem Symbol Externer Link Symbol gekennzeichnet. Datenschutzinfo

Die verkürzte Einwilligung nur in Cookies: Zentrale Einwilligungsverwaltung (PIMS) für Cookies (§ 26 TDDDG) ist nicht zu Ende gedacht

Veröffentlicht von Dr. DSGVO · Zuletzt aktualisiert am 15. Oktober 2025 · Lesezeit: 8 Minuten
0
Dr. DSGVO Newsletter erkannt: Erweiterte Funktionen verfügbar
Artikel als PDF · Mehr Inhalte & kompakte Kernaussagen · Webseiten-Checks · Offline-KI Live
Standardansicht: Dr. DSGVO Newsletter nicht erkannt. Erweiterte Funktionen nur für Abonnenten:
Artikel als PDF · Mehr Inhalte & kompakte Kernaussagen · Webseiten-Checks · Offline-KI Live
📄 Artikel als PDF
📄 Artikel als PDF (nur für Newsletter-Abonnenten)
🔒 Premium-Funktion
Der aktuelle Beitrag kann in PDF-Form angesehen und heruntergeladen werden

📊 Download freischalten
Der Download ist nur für Abonnenten des Dr. DSGVO-Newsletters möglich

Kategorien: Consent Tools, Cookies und Datenschutz

Im § 26 TDDDG ist festgeschrieben, dass der Gesetzgeber eine Einwilligungsverordnung erlässt. Diese Verordnung soll erklären, wie Nutzer in einer Zentrale namens PIMS ihre Datenschutzvorlieben ex ante hinterlegen können, die auf später besuchten Webseiten dann berücksichtigt werden sollen. Das soll zu weniger sogenannten Cookie Popups führen. Richtig ist das Gegenteil. Ein Grund von 66.

Kurzfassung

Der § 26 TDDDG soll eine Einwilligungsverwaltung einführen, die auf den Zugriff auf Endgeräte und Endeinrichtungen, insbesondere das Speichern von Daten in diesen Geräten, bezogen ist. Es gibt jedoch mindestens fünf verschiedene Arten von einwilligungspflichtigen Vorgängen, die nicht alle durch eine Einwilligungsverwaltung abgedeckt werden können. Dies wurde auch auf der Herbstakademie der Deutschen Stiftung für Recht und Informatik (DSRI) in Hannover im September 2022 festgestellt. Somit ist PIMS als zentrale Einwilligungsverwaltung beschränkt auf den Zugriff auf Cookies, nicht aber auf die Verarbeitung der Cookie-Werte. Weitere Gründe sprechen gegen PIMS. Am 14. Mai 2024 ging das TTDSG in das TDDSG über. Damals wurde noch vom TTDSG gesprochen, was den gleichen Inhalt hat.

Einleitung

In den nächsten Wochen und Monaten werde ich 66 Gründe benennen, warum eine zentrale Einwilligungsverwaltung scheitern wird. Dabei führe ich vor allem rein logische und praktische Gründe auf. Rechtliche Problemchen müssen nicht einmal herangezogen werden, um PIMS oder ADPC, wie der zentrale Verwaltungsdienst auch genannt wird, ad absurdum zu führen. Eine andere lateinische Formulierung ist im Einleitungstext genannt: ex ante. Das bedeutet „in die Zukunft gerichtet“ oder „im Voraus“. Was mit der Zukunft zu tun hat, ist in der Regel mit großen Unsicherheiten behaftet. So auch hier.

PIMS steht übrigens für Personal Information Management System. Ab und an steht das P auch für Private und das S für Service. ADPC steht für Advanced Data Protection Control und ist als Browser-Plugin gedacht. PIMS kann als zentrale Webseite oder als Browser-Plugin ausgestaltet sein. Wie auch immer, es wird nicht funktionieren.

Zentrale Verwaltung von Cookie-Einwilligungen

Grund 1 für das Scheitern von PIMS thematisiert den § 26 TDDDG. Dieser Paragraph soll eine Einwilligungsverwaltung einführen, und zwar genau für Einwilligungen, die nach § 25 Absatz 1 TDDDG eingeholt werden müssen. Der § 25 TDDDG wiederum thematisiert ausschließlich Zugriffe auf Endgeräte und Endeinrichtungen, insbesondere das Speichern von Daten in diesen Geräten.

Ein solcher Zugriff liegt insbesondere bei Verwendung von Cookies vor. Dass auch Javascript-Routinen auf das Endgerät zugreifen können, soll hier nicht näher thematisiert werden. Als Stichwort sei hier die Größe des Viewport genannt (=Größe des Browser-Fensters).

Arten einwilligungspflichtiger Vorgänge

Wie sicher vielen bekannt ist, geht es nicht nur um Cookies. das Wort Cookie taucht im Gesetzestext von DSGVO und TDDDG nicht einmal auf.

Ich sehe mindestens folgende einwilligungspflichtige Vorgänge:

  1. Zugriff auf das Endgerät (Cookies, JavaScript oder Updates bei Smart Home Geräten): § 25 TDDDG.
  2. Verarbeiten von personenbezogenen Cookie-Daten: Art. 6 Abs. 1 DSGVO.
  3. Datentransfer in unsichere Drittländer: Art. 44ff DSGVO + EuGH-Urteil Schrems II.
  4. Nutzerprofilbildung: Vgl. § 15 Abs. 3 DDG als Anhaltspunkt sowie Art. 5 Abs. 1 DSGVO (Grundsätze der Datenverarbeitung). Als übergeordneter Fall: Verarbeitung personenbezogener Daten ohne Rechtsgrundlage (insbesondere ohne berechtigtes Interesse).
  5. Milderes Mittel vorhanden: Vgl. Art. 5 Abs. 1 DSGVO.

Ei wo sind denn die Cookies? Entweder im Backofen oder in der obigen Auflistung unter den Punkten eins und zwei, aber nicht unter den Punkten drei bis fünf.

Zentrale Einwilligungsverwaltung greift viel zu kurz

Somit kann eine Einwilligungsverwaltung aus § 26 TDDDG lediglich für ein oder zwei von mindestens fünf verschiedenen Arten von einwilligungspflichtigen Vorgängen eine Einwilligung einholen.

Noch schlimmer: Der § 25 TDDDG bezieht sich nur auf Speicherung und Zugriff von Cookies. Somit ist lediglich Punkt eins meiner obigen Liste berücksichtigt. Das TDDDG ist ein Sondergesetz (lex specialis) zur DSGVO. Es sperrt die DSGVO also genau dann, wenn es speziellere (und strengere) Regeln als die DSGVO enthält.

Der § 26 TDDDG thematisiert lediglich Einwilligungen für die Speicherung von und den Zugriff auf Cookies, nicht aber die Verarbeitung von deren Werten und auch nicht weitere (ganz andere) Arten von einwilligungspflichtigen Vorgängen, die rein gar nichts mit Cookies zu tun haben.

Meine Erkenntnis nach dem Lesen von § 25 und § 26 TDDDG und auch die Erkenntnis anderer.

Vom 15. bis zum 17. September 2022 fand die Herbstakademie der Deutschen Stiftung für Recht und Informatik (DSRI) in Hannover statt. Dort trug nicht nur ich zum § 26 TDDDG vor (aus technischer und etwas rechtlicher Sicht), sondern auch – ganz unabhängig von mir – Bernhard Harle (als Jurist). Auch Herr Harle hatte bemerkt, dass der § 26 TDDDG sich nur auf den § 25 TDDDG bezieht und nicht auf Einwilligungen, die sich aus anderen Rechtsvorschriften ergeben.

Somit ist PIMS als zentrale Einwilligungsverwaltung beschränkt auf den Zugriff auf Cookies.

Dumm nur, dass ein Cookie, welches m. E. immer einen Personenbezug darstellt, sinnlos ist, wenn man zwar dessen Wert erhält, mit diesem Wert aber nicht arbeiten darf (siehe § 25 TDDDG). Die Verarbeitung des Cookie-Wertes ist in der DSGVO, nicht aber im TDDDG geregelt. Wer negiert, dass Cookies an sich einen Personenbezug über die personenbezogene IP-Adresse hat, die mit einem Cookie immer zusammen übertragen wird, der sollte sich folgende Beispiele ansehen. Die Beispiele zeigen Cookie-Werte, die bereits aufgrund ihrer Wertausprägung einen Personenbezug zulassen.

  • Identifizierer: nfdmsnd3457sl. Siehe beispielsweise Google Analytics (somit auch ohne Cookies alleine deswegen problematisch, siehe Client Id). Der Wert muss nicht sehr lange sein. Für 8 Milliarden Menschen reichen bei einem Alphabet von 36 Zeichen (26 Kleinbuchstaben + 10 Ziffern) bereits sieben Stellen (36^7 = 78.364.164.096 Kombinationsmöglichkeiten = 78 Milliarden)! Eine Stelle mehr würde dann ganz sicher für alle Endgeräte der Welt reichen (36^8 = 2,8 Billionen)
  • Mailadresse: newsletter-abonnent@ichbins.nit. Siehe beispielsweise Formulare für Newsletter auf Webseiten.
  • IP-Adresse im Cookie als Wert: Auch das kommt gelegentlich vor (damals bei Google Analytics, heutzutage in manch anderem Tool. Beispiel gerade nicht zur Hand).
  • Cookie-ID: Haben CMP-Anbieter als Konstrukt erfunden. Damit soll eine Einwilligung nachgewiesen werden können, was Unsinn ist, weil ein vom Nutzer gelöschtes Cookie, das die Cookie-ID enthielt, das Verfahren zunichtemacht.
  • Geo-Koordinate: OneTrust führt diese nach meiner Beobachtung mit. Ist sie genau genug und/oder sind weitere Angaben vorhanden, kann daraus eine Person ermittelt werden. Es soll Menschen geben, die in dünn besiedelten Gebieten leben.
  • Kundennummer: Online-Shop o. ä., kein Problem, wenn als Kunde angemeldet. Was aber, wenn nicht angemeldet?
  • Fingerprint: Siehe zahlreiche alle Analyse-Tools und Tracker, die ohne Cookies auskommen wollen oder müssen.

Noch dümmer, dass die anderen drei oben von mir genannten Arten nicht einwilligungsfreier Vorgänge ganz und gar nicht vom PIMS aus § 26 TDDDG erfasst sind. Zu diesen Vorgängen gehören beispielsweise auf Webseiten:

  • Google Fonts
  • Adobe Fonts (typekit.net), Monotype Fonts, Fast Fonts (verwenden oft auch Zählpixel, angeblich zu Abrechnungszwecken)
  • Google Tag Manager (ohne Cookies)
  • Google Maps (ohne Cookies)
  • Google Analytics (ohne Cookies)
  • YouTube Video Player (ohne Cookies, dafür aber mit DoubleClick-Werbetracker Script)
  • Google irgendwas-Plugins ohne Cookies
  • Facebook irgendwas-Plugins ohne Cookies
  • Abruf von JavaScript-Bibliotheken wie jQuery von einem CDN, mit dessen Anbieter kein AVV abgeschlossen wurde, vor allem, wenn der Anbieter aus den USA stammt

Der § 26 TDDDG und PIMS wurden ja ins Leben gerufen, um Cookie Popups möglichst weitgehend zu eliminieren. Wenn man Cookie Popups als Cookie-Einwilligungsabfragen ansieht, stimmt das immerhin zur Hälfte. Wenn man unter Cookie Popup eine Einwilligungsabfrage versteht, stimmt es nur zu einem Fünftel.

Wie auch immer, PIMS ist ein zum Scheitern verurteilter Ansatz. Selbst wenn dieses Problemchen der mangelnden Abdeckung des § 26 TDDDG gelöst werden sollte, sprechen immer noch 65 andere Gründe gegen PIMS. Sie werden alle davon erfahren, sofern der Gesetzgeber nicht vorzeitig einsieht, dass es sinnvoll ist, die Einwilligungsverwaltungs-Verordnung zu stornieren.

Fazit

Eine Einwilligungsverwaltungs-Verordnung wird nicht kommen. Sofern sie doch das Licht der Welt erblicken wird, wird das Desaster riesengroß und an Peinlichkeit kaum zu überbieten sein.

PIMS als Idee einer zentralen Einwilligungsverwaltung deckt nur eine von fünf Kategorien ab, die für eine umfassende Einwilligungsabfrage erforderlich wären.

Siehe Aufzählung im Beitrag.

Es ist egal, ob Browser-Plugins oder eine zentrale Webseite zur Verwaltung von Einwilligungen kommen sollen. Beide Ansätze können nicht funktionieren. Zu Browser-Plugins werde ich in Kürze rein logische Gründe für deren Scheitern nennen. Übrigens hat auch der oben genannte Herr Harle einiger dieser Gründe in seinem Beitrag für den Tagungsband der DSRI-Herbstakademie 2022 benannt.

Wer weniger Popups will, hat zwei Möglichkeiten: Selber dafür sorgen, dass die eigenen Webseiten keine einwilligungspflichtigen Vorgänge enthalten. Wenn Sie wissen wollen, wie das geht, fragen Sie nach. Für visuelle Elemente wie Videos kann eine Einwilligung zudem In-Place, also am Platze des Elements, abgefragt werden. Das nervige und seitenweit erscheinende Popup entfällt dann für das visuelle Element. Die zweite Möglichkeit ist, daran mitzuwirken, dass Website-Betreiber für Datenschutzverstöße verantwortlich gemacht werden. Dafür gibt es mehrere Eskalationsstufen, die Sie als Privatperson nutzen können:

  • Deutliches Anschreiben per Mail mit Androhung weiterer Konsequenzen
  • Nicht anonyme Beschwerde bei einer Aufsichtsbehörde (anonym bringt quasi nix, nicht anonym quasi fast nix)
  • Berichterstattung
  • Abmahnung als Privatperson
  • Klage als Privatperson
  • Verbandsklage (Verbraucherzentrale o. ä.)

PIMS deckt nicht einmal die Verarbeitung von Cookie-Werten ab.

Siehe Beitrag.

Für viele Zwecke gibt es datenschutzfreundliche Lösungen. Hier eine Auswahl:

  • Google Maps: Mein Karten-Plugin
  • Google Analytics: Matomo
  • Google Fonts: Schriften lokal einbinden
  • Google Tag Manager: Kein Tag Manager oder Untagmanager
  • Facebook Pixel: Besseren Marketing-Ansatz wählen
  • Shopify: Anderes Shop-System (leider nicht anders möglich)
  • Homepagebaukästen von Wix usw.: Deutschen Anbieter oder noch besser: Selber hosten auf deutschem Server
  • Consent Tools von UserCentrics (Google Cloud), Cookiebot (Akamai) oder OneTrust (US-Mutter): Kein Consent-Tool oder eines von rein europäischem Anbieter+Speicher oder mein Consent-Tool, das nur das Nötigste kann (nämlich das, was eigentlich nur möglich ist).
  • VG Wort Pixel: Hierfür gibt es eine gesetzliche Grundlage. Wer anderer Meinung ist, sollte die VG Wort anschreiben: datenschutz@vgwort.de und Metis.Support@vgwort.de
  • Berater der bisherigen Bundesregierung: Neue Berater (vielleicht gibt es diese schon?). Fragen Sie doch mal nach: Ref-DP25@bmdv.bund.de (Bundesministerium für Digitales und Verkehr – Referat DP 25 – Datenschutz in der digitalen Welt, Cybersicherheit, Vertrauensdienste)

Kernaussagen dieses Beitrags

Das System PIMS zur zentralen Verwaltung von Cookie-Einwilligungen wird scheitern, weil es nicht alle Arten einwilligungspflichtiger Vorgänge abdeckt.

Das deutsche Datenschutzrecht behandelt Cookies nicht ausreichend umfassend. Es gibt zwar Regeln für das Speichern und Abrufen von Cookies, aber nicht für deren Verarbeitung und andere datenschutzrelevante Vorgänge im Zusammenhang mit Cookies.

Um weniger nervige Popups zu bekommen, sollten Webseiten-Betreiber auf datenschutzfreundliche Lösungen setzen und Nutzer können Website-Betreiber für Datenschutzverstöße verantwortlich machen.

Über diese Kernaussagen

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. In IT & Datenschutz bin ich auch als Sachverständiger tätig. Ich stehe für pragmatische Lösungen mit Mehrwert. Meine Firma, die IT Logic GmbH, berät Kunden und bietet Webseiten-Checks sowie optimierte & sichere KI-Lösungen an.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Quelle: Klaus Meffert, Dr. DSGVO Blog, Link: https://dr-dsgvo.de/die-verkuerzte-einwilligung-nur-in-cookies-zentrale-einwilligungsverwaltung-pims-fuer-cookies-%c2%a7-26-ttdsg-ist-nicht-zu-ende-gedacht
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.
Schlagworte zu diesem Artikel:

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Einwilligungsverwaltungs-Verordnung: Darum funktioniert die Totschlag-Einwilligung auf Basis von Kategorien nicht