Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
sofort das Ergebnis sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Einwilligungsverwaltungs-Verordnung: Darum funktioniert die Totschlag-Einwilligung auf Basis von Kategorien nicht

0

Der § 26 TTDSG öffnet den Irrweg für eine zentrale Einwilligungsverwaltung (PIMS). Alle wollen weniger Popups, aber PIMS ist keine Lösung. Falsch ist auch, dass eine Generaleinwilligung auf Basis von Kategorien oder einer White-List möglich ist. Diese Idee mit der Totschlag-Abfrage kam wohl auf, weil bemerkt wurde, dass Einzeleinwilligungen aus praktischen Gründen nicht zentral abgefragt werden können.

Einleitung

Dieser Beitrag beleuchtet ein paar der 66 Gründe, die gegen eine Lösung per Einwilligungsverwaltungs-Verordnung aus § 26 TTDSG sprechen.

Die Gründe veröffentliche ich nach und nach.

Zuletzt hielt ich am 16.09.2022 in Hannover anlässlich der Herbstakademie der Deutschen Stiftung für Recht und Informatik (DSRI) einen Vortrag zum § 26 TTDSG, der zentralen Einwilligungsverwaltung. Damit soll eine Plattform (zentrale Webseite oder Browser-Plugin) geschaffen werden, mit der Sie am besten einmalig Ihre Datenschutzvorlieben hinterlegen können. Später fragen Webseiten und Apps, die Sie aufrufen, diese Vorlieben zentral ab und nerven Sie nicht mehr mit Cookie Popups. So die Idee, die gut klingt, aber leider nicht zu Ende gedacht wurde. Sie wird nicht funktionieren, wie ich in mehreren weiteren Beiträgen belegen werde.

Mein Beitrag auf der DSRI Herbstakademie, die vom 15. bis 17.09.2022 in Hannover stattfand.

Aktuell diskutieren manche die Abfrage einer Generaleinwilligung als Lösung für eine zentrale Einwilligungsverwaltung. Diese Totschlag-Einwilligung soll, so schlagen es manche vor, in Form von Kategorien gestaltet sein. Welche Kategorien das sind und welche Inhalte diese haben sollen, wird nicht verkündet. Ungeachtet dessen, funktioniert das Konstrukt einer Totschlag-Einwilligung aus rein praktischen Gründen bereits nicht. Die rechtlichen Mängel lasse ich hier mal beiseite, obwohl sie bereits ausreichen würden, die Einwilligungsverwaltungs-Verordnung zunichte zu machen, sofern diese nur mit Kategorien statt mit Einzeleinwilligungen arbeitet. Immerhin hatte ein Forschungsgutachten so getan, als würde die Kategorien-basierte Totschlag-Einwilligung funktionieren, was zahlreich bestritten wird. Auch die angedachte Änderung der Gesetzeslage durch eine ePrivacy-Verordnung wird an der Problemlage wenig ändern. Zudem gibt es diese Verordnung nicht (wo ist sie?).

Bereits mehrfach hatte ich darüber geschrieben, warum es keine zentrale Einwilligungsverwaltung geben wird. Jedenfalls wird es keine Einwilligungsverwaltungs-Verordnung geben, die eine funktionierende Lösung hervorbringen könnte. Dafür gibt es sowohl rechtliche als auch technische Gründe. Zum Rechtlichen: Wir leben bekanntlich in Europa, was manche aus Deutschland noch nicht zur Kenntnis genommen haben.

Die zentrale Abfrage einer Generaleinwilligung ist sowohl rechtswidrig als auch praktisch nicht realisierbar.

Meine Erkenntnisse, siehe diesen Beitrag und andere Beiträge von mir.

Wer sich einlesen möchte, findet hier einige Beiträge, die zeigen, warum eine Einwilligungsverwaltungs-Verordnung kläglich scheitern wird:

Die zentrale Einwilligungsverwaltung soll so funktionieren, kann aber so nicht funktionieren:

  1. Sie besuchen eine zentrale Webseite. Dort geben Sie Ihre Datenschutzvorlieben an.
  2. Dann besuchen Sie beliebige Webseiten, so wie bisher.
  3. Jede von Ihnen besuchte Webseite soll nun die Zentrale nach Ihren Datenschutzvorlieben fragen und diese berücksichtigen.
  4. Die Webseiten sollen dann kein böses Cookie Popup mehr anzeigen.
  5. Wahlweise wurde ein Browser-Plugin oder ein Browser-Signal diskutiert:
    1. Das Plugin soll die Rolle der Zentrale übernehmen.
    2. Das Signal soll aus dem „Off“ rufen: „Nein, nein, nein! Der Besucher der Webseite will jetzt keine Gemeinheiten mit seinen Daten veranstaltet wissen“. Die besuchten Webseiten sollen sich dann daran halten (weil auch niemand vor einer Feuerwehrzufahrt parkt, wenn dort ein Verbotsschild aufgestellt ist, das ein negatives Signal sendet). Wir alle wissen, wie gut das Do not Track-Signal funktioniert hat (nur vorsichtshalber für alle, die dieses Signal nicht kennen: Do Not Track ist vollständig gescheitert).

Das Thema mit der zentralen Abfrage einer Einwilligung gewann wieder an Schwung, weil kürzlich vom zuständigen Bundesministerium ein Entwurf einer Einwilligungsverwaltungs-Verordnung erstellt wurde. Dieser Entwurf lag mir beim Schreiben dieses Beitrags nicht vor. Ich konnte nur Drittquellen dazu lesen.

Die Totschlag-Einwilligung

Diskussionen auf Social Media zeigten mir, dass ein zentrales Konzept der Einwilligungsverwaltungs-Verordnung die Totschlag-Einwilligung zu sein scheint. Dies ist eine Einwilligung in „Alles“ (Das Leben, das Universum und der ganze Rest) aus einer Kategorie. Im Gegensatz dazu wäre allerdings ein völliges Ablehnen aller nicht notwendigen Cookies und weiterer Verarbeitungsvorgänge praktisch machbar!

Das Gesamtkonstrukt eines Consent Hub (anderer Name für Privacy Hub, PIMS oder zentrale Einwilligungsverwaltung) kann nicht funktionieren. Es enthält unheilbare Mängel, wie ich an den beiden Möglichkeiten zeige, die einer Zentrale theoretisch jedenfalls generell zur Verfügung stehen: Abfragen von Einwilligungen für einzelne Vorgänge sowie Abfragen einer einzigen Einwilligung für alles. Ob „alles“ als Gesamtentität verstanden wird oder aufgeschlüsselt wird in eine handvoll Kategorien, spielt keine wesentliche Rolle.

Nun gibt es zwei Gruppen von Personen. Die eine hält sich an den Erwägungsgrund 32 zur DSGVO. Ebenda steht:

Die Einwilligung sollte durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist […].

Die Einwilligung sollte sich auf alle zu demselben Zweck oder denselben Zwecken vorgenommenen Verarbeitungsvorgänge beziehen. Wenn die Verarbeitung mehreren Zwecken dient, sollte für alle diese Verarbeitungszwecke eine Einwilligung gegeben werden.[…]

Erwägungsgrund 32 zur DSGVO (Auszug). Fettdruck und Unterstreichung von mir.

Eine Einwilligung sollte also (bzw. muss, sobald der EuGH es festgestellt hat, was in diesen komischen Sätzen von eben steht) für den konkreten Fall erteilt werden. Zum einen muss eine Einwilligung pro Zweck erfolgen können. Dient eine Verarbeitung mehreren Zwecken, muss eine Einwilligung für jeden dieser Zwecke erteilt werden (können), bevor die Verarbeitung dadurch legitimiert ist. Leider hat das Gutachten, welches das Wirtschaftsministerium in Auftrag gab, diesen Umstand nicht ausreichend berücksichtigt. Auch fehlen konkrete Beispiele im Gutachten.

Gehen wir spaßeshalber einmal davon aus, dass eine Generaleinwilligung erteilt werden darf bzw. genauer: Wir gehen davon aus, dass eine Frage nach einer Generaleinwilligung erlaubt ist, um die daraus resultierende Einwilligung als Rechtsgrundlage nutzen zu können. Diesen Fall betrachte ich nun folgend, auch wenn die ePrivacy-Verordnung dann scheitern wird, wenn eine Einwilligung in pauschale Kategorien angedacht ist. Hingegen ist ein Ablehnen aller nicht notwendigen Cookies praktisch möglich. Übrigens thematisiert die ePrivacy-Verordnung (irgendwann mal) doch Zugriffe auf Cookies, oder? Es geht dann doch wohl nicht um die Verarbeitung der Cookie-Daten, oder? Wissen Sie mehr als ich, dann bitte ich um eine Nachricht. Cookies setzen und erhalten, ohne deren Werte verarbeiten zu dürfen, ist nahezu sinnlos.

Konsequenzen einer Totschlag-Einwilligung

Bevor harte Argumente kommen, folgt eine generelle, eher moralische Einordnung. Die Moral spielt tatsächlich des Öfteren eine Rolle, wie das gleich genannte Beispiel zeigt. Ob der Begriff „Moral“ heißt oder „Verbraucherschutz“, sei dahingestellt. TLDR: Nächste Überschrift suchen.

Zunächst einmal halte ich eine Generaleinwilligung für menschenverachtend. Regelmäßig werden gesetzliche Regeln aufgestellt, um Verbraucher besser zu schützen. Oft muss der Verbraucher vor vorschnellen oder unüberlegten oder spontanen Entscheidungen bewahrt werden, deren Konsequenzen er zum Zeitpunkt der Entscheidungsfindung nicht absehen konnte. Ein Beispiel aus der Vergangenheit: Banken dürfen nicht mehr einfach so Allgemeine Geschäftsbedingungen ändern und ein Stillschweigen des Kunden als Zustimmung werten. Vielmehr müssen sie um eine Einwilligung bitten. Soweit ich weiß, dürfen Banken (auch) nicht eine Einwilligung von Ihnen erfragen, die es der Bank erlaubt, alles mit Ihrem (!) Geld zu machen, was die Bank will. Daten sind kein Geld, aber Daten sind der Rohstoff der heutigen Zeit, wie viele Beispiele zeigen.

Die Totschlag-Einwilligung, wie ich die Einwilligung in „alles“ hier auch nenne, ist jedenfalls verbraucherfeindlich. Sie ist zwar auch rechtswidrig, aber das wollen wir hier ja spaßeshalber mal ignorieren.

Möchten Sie gerne folgendes im normalen Leben gefragt werden?

Sind Sie damit einverstanden, dass ich mit Ihnen alles mache, was ich will?

Fiktive Analogfrage zur Frage nach einer Generaleinwilligung.

Sicher will das niemand ernsthaft gefragt werden. Diejenigen, die sich an einer solchen Frage nicht stören, werden aber hoffentlich keine Generalvollmacht erteilen. Das Beispiel ist natürlich keine vollständige Analogie. Denn ausgeraubt zu werden (und dem hätten Sie ja womöglich zugestimmt) ist oft schlimmer als die Nutzung personenbezogener Daten zum Nachteil der betroffenen Person.

Wenn Sie eine Totschlag-Einwilligung für Ihre Daten erteilen, darf ich dann folgendes mit Ihren Daten machen?

  • Weitergabe an beliebige Dritte;
  • Weiterverarbeitung zu jedem beliebigen Zweck;
  • Kombination mit beliebigen anderen Daten;
  • Beliebig lange Speicherung;
  • Weitergabe an Geheimdienste;
  • Falschaussagen zu Ihren Daten machen (ich behaupte dann einfach, die Aussagen wären richtig)
  • Ihre Daten löschen, obwohl die in einem fiktiven Fall zu Ihrem Nachteil ist. Wie wäre es damit: Sie buchen ein Hotelzimmer und wundern sich bei der Anreise, dass das Zimmer für Sie nicht bereitsteht. Das Hotel hat aufgrund Ihrer Generalvollmacht über Ihre Daten einfach Ihre Daten gelöscht (die rechtlichen Feinheiten, nämlich, dass ein Vertrag vorliegt, lassen wir hier mal für das überspitzte Beispiel beiseite).

Ihre Daten wären Ihr Name, Ihre Adresse, Ihre Bankdaten, Ihre Kreditkartendaten, Ihre gesundheitlichen Merkmale und Krankheiten, ebenso Ihre sexuellen Vorlieben (oft möchte man nicht alles dazu wissen).

Angenommen, Sie sind mit jedweder Nutzung Ihrer Daten einverstanden oder es gibt rechtliche Regeln, die dies trotz Generalvollmacht über Ihre Daten verhindern. Ich glaube das zwar nicht für alle eben genannten und weitere fehlende Fälle, aber nehmen wir es mal an.

Kommen wir zum nächsten spannenden Punkt, der mit der Einwilligung zusammenhängt.

Der Widerruf einer zuvor erteilten Einwilligung

Sicher sind sich alle einig, dass der Art. 7 Abs. 3 DSGVO besagt, dass jede Totschlageinwilligung widerrufen werden können muss.

Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. […] Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.

Erster Satz aus Art. 7 Abs. 3 DSGVO.

Die Totschlageinwilligung wird von Ihnen als Person und Inhaber Ihrer Daten in der Zentrale, dem Content Hub, erteilt. Der Widerruf kann ebenfalls dort erfolgen. Dann allerdings könnte der Widerruf nur für „Alles“ erfolgen. Das will doch niemand. Es wäre sogar zum Nachteil von Datenschützern, wenn sie jedes Mal in „Alles“ einwilligen müssen, damit sie irgendwo ein Video sehen können, nur um danach „Alles“ widerrufen zu müssen. Dadurch sehen sie nach der Alles-Einwilligung nicht nur das Video, sondern werden auch noch von Google Analytics getrackt. Außerdem sehen sie nach dem Alles-Widerruf dann später gar nix mehr und müssen jedes Mal wieder einen Zirkus veranstalten.

Es ergibt also keinerlei Sinn, eine Generaleinwilligung nur vollständig widerrufen zu können. Die Nachteile für verantwortliche Betreiber von Webseiten und Apps, aber auch für Verbraucher wären wirklich immens. Diese Nachteile würden außerdem wieder Erwägungsgrund 42 zur DSGVO widersprechen („Es sollte nur dann davon ausgegangen werden, dass sie [die betroffene Person] ihre Einwilligung freiwillig gegeben hat, wenn sie eine echte oder freie Wahl hat und somit in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden.“). Im Erwägungsgrund 43 steht noch einmal (!), dass es einfach Bullshit ist, eine Generaleinwilligung für das gesamte Universum einzuholen:

Die Einwilligung gilt nicht als freiwillig erteilt, wenn zu verschiedenen Verarbeitungsvorgängen von personenbezogenen Daten nicht gesondert eine Einwilligung erteilt werden kann, obwohl dies im Einzelfall angebracht ist […].

Auszug aus Erwägungsgrund 43 zur DSGVO (Unterstreichungen von mir).

Kommen wir also zur nächstbesseren Möglichkeit des Widerrufs. Der Widerruf muss also auf einer besuchten Webseite möglich sein. So ist das bisher auch bzw. sollte es sein.

Nur nebenbei weise ich auf Satz drei des Art. 7 Abs. 3 DSGVO hin:

Die betroffene Person wird vor Abgabe der Einwilligung hiervon [von der Widerrufsmöglichkeit] in Kenntnis gesetzt.

Auszug aus Art. 7 Abs. 3 DSGVO (Fettdruck von mir).

Die Widerrufsmöglichkeit sollte nicht nur an sich benannt werden. Es sollte im Consent Hub (PIMS) auch noch konkret geschrieben stehen, wie genau die Einwilligung widerrufen werden kann. Das leite ich aus dem vorhin genannten Satz des Erwägungsgrundes 42 ab. Der Widerruf einer Einwilligung muss genauso einfach wie die Erteilung der Einwilligung sein. Außerdem muss die Widerrufsmöglichkeit so gestaltet sein, dass die betroffene Person keine Nachteile erleidet. Man könnte das so regeln, indem auf jeder Webseite, die die Einwilligung als Rechtsgrundlage nutzt, an immer derselben Stelle (oder einer von beispielsweise zwei möglichen Stellen) mit derselben Beschriftung eine Widerrufsmöglichkeit angeboten wird. Nur so könnte eine zentrale Einwilligungsverwaltung diese Stelle auf ad hoc völlig unbekannten Webseiten kennen und benennen. Viel Spaß!

Zurück zum Kernthema, dem Widerruf einer erteilten Universaleinwilligung.

Teilwiderruf einer Totschlag-Einwilligung

Wie eben dargelegt, muss wenigstens der Widerruf spezifisch erfolgen können. Das bedeutet, eine betroffene Person möchte nicht mehr, dass Google Analytics gegen sie verwendet wird, möchte aber eine Videoeinbindung (nicht über Google/YouTube) weiterhin gestatten.

Der Widerruf für den Google Analytics-Teil der zuvor über die Zentrale erteilte Totschlag-Einwilligung kann also nur auf der gerade besuchten Webseite stattfinden. Warum das so ist, habe ich mehrfach beschrieben. Kurzfassung: Die Zentrale kann unmöglich alle einwilligungspflichtigen Dienste (Tools, Plugins, Scripte, Dateiabrufe, Datenverarbeitungen) kennen, die auf jeder Webseite, die für Deutschland relevant ist oder sein wird, schon eingesetzt werden oder noch eingesetzt werden werden (Ist das die Zukunftsform?).

Somit wird also eine Einwilligung in „Alles“ um genau ein Element verringert. Ich schreibe das mal pseudo-mathematisch:

E \ W1 = E(∞-1)

Eine kurze Erklärung zur Formel, die ausdrückt, dass durch einen Einzel-Widerruf die Gesamteinwilligung um ein Element verringert wird:

  • E: Totschlag-Einwilligung in „Alles“, also in faktisch beliebig viele Elemente. beliebig viele = unendlich.
  • \: Symbol für den Ausschluss eines Elements aus einer Menge (die Menge ist die Liste der nur abstrakt bekannten Elemente aus der Einwilligung). Quasi das Minuszeichen für Mengen.
  • W1: Widerruf der für Google Analytics erteilten Einwilligung.
  • E(∞-1): Die Einwilligung gilt nach Widerruf nun für alles abzüglich Google Analytics.

Ich bin kein Mathematiker, sondern Informatiker und sehe somit folgende Aussage als halbwegs gewagt an:

Unendlich minus eins ist und bleibt unendlich.

Mathematisches Faktum (sofern ich nicht irre).

Mit Unendlichkeiten lässt es sich so schlecht rechnen. Rechnen ist bereits gegeben, wenn Einwilligungen verwaltet werden. Ungeachtet der Probleme mit dem Rechnen im Unendlichen haben wir bzw. hat der Consent Hub (= PIMS = Zentrale Einwilligungsverwaltung = § 26 TTDSG Konstrukt) noch ein Problemchen:

Nun müsste die an sich dumme Zentrale spätestens jetzt wissen, dass es Google Analytics gibt. Damit kommen wir wieder zum Grundproblem von vorhin:

Woher weiß eine zentrale Instanz (PIMS = Zentrale Einwilligungsverwaltung) eigentlich, welche einwilligungspflichtigen Vorgänge es jetzt schon und zukünftig auf allen deutschen Webseiten gibt und geben wird?

Antwort: Eine zentrale Instanz weiß es nicht. PIMS ist somit bereits aus rein theoretischen Gründen gescheitert. OK, Google-Dienste sind weit verbreitet. Aber kennen Sie den Dienst der australischen Firma QuantiHupf, mit der Kängurus und Koalas auf Webseiten abhängig von Ihrem Verhalten als Internetnutzer dargestellt werden?

Was ist mit Einwilligungskategorien?

Angenommen, ein Consent Hub fragt verbotenerweise für Kategorien nach Ihrer Einwilligung. Ignorieren wir mal, dass das europarechtswidrig ist. Sie stimmen also zu, dass alle Tools der Kategorie „Analyse“ gegen Sie verwendet werden dürfen.

Kategorien sind übrigens weder vorgeschrieben noch festgelegt. Sie sind eine willkürliche Festlegung, die durch Consent Tool Anbieter zustande kam.

Jetzt haben Sie in die Kategorie „Analyse“ eingewilligt. Damit werden YouTube Videos geladen, denn diese Videos sind im Beispiel dieser Kategorie zugeordnet worden, weil der YouTube Player das Verhalten von Website-Besuchern nachverfolgt.

In einer Zentrale eine Nutzer-Einwilligung pro Kategorie einzuholen, ist in der Praxis, über den Gesamtprozess gedacht, nicht realisierbar.

Dass dieses Vorhaben an mehreren Stellen auch noch europarechtswidrig ist, muss als Argument gar nicht erst bemüht werden.

Siehe diesen Beitrag für Begründungen.

Dann merken Sie, dass zur Kategorie „Analyse“ auch Google Analytics gehört. Nun wollen Sie dem widersprechen. Dumm nur, dass Sie entweder nur die gesamte Kategorie „Analyse“ zulassen oder die ganze Kategorie ablehnen können. Wäre es anders, dann gäbe es wieder das oben und in meinen anderen Beiträgen beschriebene Problem, dass eine zentrale Consent Plattform leider nicht weiß, welche Tools und Plugins es da draußen so gibt.

Kategorien sind unbekannt

Kategorien, in die eingewilligt werden soll, sind sowohl namentlich als auch inhaltlich unbekannt. Niemand kennt diese Kategorien. Niemand. Kategorien sind eine Erfindung einzelner Marktteilnehmer.

Cookie Tool-Anbieter haben selbst völlig willkürlich irgendwelche Kategorien erdacht. Hier eine beispielhafte Aufzählung:

  • Unbedingt erforderlich
  • Statistik
  • Marketing
  • Leistung
  • Sonstige

Oft werden die Bezeichnungen mit dem Suffix „-Cookie“ versehen. Was ein Leistungs-Cookie ist, weiß nicht jeder, vermute ich mal.

Eine Kategorie kann nicht die Wirklichkeit abbilden. Genauso wenig kann die objektorientierte Programmierung die Wirklichkeit abbilden. Das Problem bei beiden: Welche Kategorie darf es denn sein, wenn ein Tool/Objekt in mehrere Kategorien reinpasst? Spoiler: Es gibt keine befriedigende Lösung (auch in der Objektorientierung nicht, worüber ich damals meine Doktorarbeit geschrieben habe).

Nun stelle ich mir folgende Fragen?

  • Woher weiß der Betreiber einer zentralen Einwilligungsverwaltungs-Plattform, welche Kategorien es gibt und welcher Dienst jeweils welcher Kategorie zuzuordnen ist?
  • Woher wissen Sie als Betreiber einer Webseite und Ihre Millionen Leidensgenossen eigentlich, welche Dienste welchen Kategorien zuzuordnen sind?

Webseitenbetreiber müssen wissen, welche Zwecke (bzw. praktisch: welche Dienste) von einer eingewilligten Kategorie konkret erfasst sind. Nur dann kann die Kategorie als Einwilligungsobjekt dienen. Dieses Wissen existiert aber nicht und ist nicht in Reichweite.

Wenn es um konkrete Lösungsskizzen geht, werden viele Berater und Gutachten so schweigsam wie ein Friedwald.

Stellen Sie doch einmal Kategorien auf und ordnen Sie alle 10000+ Dienste für Webseiten und Apps diesen Kategorien zu. Tun Sie dies bitte täglich für alle neu hinzukommenden oder sich ändernden Dienste.

Ein plastisches Beispiel hierzu:

Sie möchten den Google Tag Manager einsetzen. Gehen wir mal davon aus, dass er einwilligungspflichtig ist, was ich behaupte. Ein Besucher Ihrer Webseite hat zuvor in der Zentrale in die Kategorie „Marketing“ eingewilligt. Dürfen Sie nun den Google Tag Manager laden? Liegt also hierfür eine Einwilligung vor?

Immerhin ordnet Google den Google Tag Manager (GTM) der Google Marketing Platform zu. Ich habe schon einige Consent Banner gesehen, in denen der GTM stattdessen einer anderen Kategorie zugeordnet war, beispielsweise Sonstige.

Was verbirgt sich eigentlich genau hinter der Kategorie Sonstige? Könnten Sie mir das bitte rechtssicher erklären?

Anbieter sind oft unbekannt

Nun könnte man statt den eben genannten schwammigen und völlig undefinierten Kategorien die Anbieter von Diensten als eine Art Kategorien nehmen. Beispielsweise „Google Dienste“. Ein PIMS würde also um Erlaubnis bitten, dass alle Tools vom Anbieter „Google“ geladen werden dürfen.

Könnten Sie mir bitte etwas genauer erklären, was Sie unter „Google“ verstehen? Wenn ich in meinen Beiträgen von „Google“ spreche, meine ich den Google-Konzern. Ich muss allerdings keine Pflichtinformationen gemäß Art. 12 DSGVO bereitstellen, was Google angeht. Sie als Website-Betreiber müssen das sehr wohl. Fragt die Zentrale also jetzt nach einer Einwilligung für

a) Google Ireland Ltd., oder für

b) Alphabet Inc., oder für

c) Google LLC., oder für

d) alle vier zusammen?

Wie Sie womöglich wissen, macht es schon einen Unterschied, wer der Anbieter ist. In jedem Land herrschen schließlich andere Gesetze, und manche Länder sind EU-Mitglieder, andere nicht. Auch gebietet es die DSGVO, dass der genaue Anbieter (Firmierung = Firmenname, Adresse, Land) bekannt ist.

Wer nimmt also die rechtliche Bewertung für jeden Anbieter eines Dienstes vor, wenn der Anbieter mehrere Standorte weltweit hat? Und wer findet die Anbieterdaten für jeden Dienst heraus? Ich freue mich schon auf das Chaos mit PIMS und die Ausreden derer, die PIMS befürwortet hatten.

Dienste sind in ihrer Gesamtheit unbekannt

Selbst die Einwilligungsabfrage nach einzelnen Diensten, die rechtskonform wäre, kann nicht funktionieren. Die Gründe habe ich in einigen weiter oben verlinkten Beiträgen genannt.

In Kürze, sei hier nur gesagt: Niemand weiß, welche Dienste für Webseiten, Apps und Smart Home Geräte es gibt. Ein Dienst ist ein Tool, Plugin, Script oder auch nur eine Datei, die von einem Dritt-Server geladen wird.

Angenommen, Sie wüssten, welche Dienste es weltweit gibt, die für deutsche Webseiten relevant sind. Wissen Sie dann auch, welche dieser Dienste einwilligungspflichtig sind? Können Sie jeden Dienst einer Kategorie zuordnen (sofern Sie mit Generaleinwilligungen arbeiten wollen)? Über Cookies brauchen wir hier noch gar nicht zu sprechen (aber später dann schon).

Angenommen, die Liste der Dienste wäre vollständig vorhanden. Wie sieht es morgen aus, wenn Hersteller Y aus Land Z ein neues Tool auf den Markt bringt?

Die Idee, dass sich Anbieter von Diensten bei der Zentrale registrieren sollen, verfängt nicht. Der australische Anbieter eines Dienstes wird die Details der Einwilligungsverwaltungs-Verordnung nicht kennen. Warum sollte ein Anbieter überhaupt die Zentrale über seinen Dienst informieren? Bekommt er dafür Geld? Darf der Dienst nicht mehr geladen werden, wenn die Zentrale ihn nicht kennt? Wer sanktioniert Verstöße eigentlich?

Weitere strukturelle Probleme

Der § 26 TTDSG bezieht sich nur auf § 25 TTDSG. Das bedeutet:

Ein Consent Hub nach § 26 TTDSG kann nur Einwilligungen abfragen, die das Setzen oder Auslesen von Cookies legitimieren.

Eine solche PIMS-Zentrale kann aber grundsätzlich NICHT legitimieren, dass die Werte aus Cookies verarbeitet werden dürfen. Dies fällt nämlich nicht in den Anwendungsbereich des Art. 6 DSGVO. Ebenso kann eine PIMS nicht über Einwilligungen aus Art. 49 DSGVO verfügen. Dort geht es um Datentransfers in die USA („Schrems II“) und andere Drittländer ohne ausreichendes Datenschutzniveau.

Ein Browser-Plugin wird die genannten Probleme auch nicht lösen (warum auch?). Zudem muss für JEDEN Browser auf JEDEM Endgerät ein Browser-Plugin bereitgestellt und von Ihnen installiert werden. Sie müssen dann jedes Mal Ihre Datenschutzeinstellungen im Plugin definieren. Ich habe ca. 15 Browser auf 5 verschiedenen Endgeräten. Wie viel Spaß würden Sie mit einem Browser-Plugin haben? Erklärt mir mal jemand, wie ein Browser-Plugin die Kontrolle über eine native Smartphone App übernehmen soll? Bullshit bleibt Bullshit.

Insgesamt 66 Argumente und kritische Punkte, die gegen eine PIMS sprechen, werde ich in Kürze veröffentlichen. Dafür suche ich einen Musiker, der ein (einfaches) Lied analog zu „666 is the number of the beast“ (Song von Iron Maiden) beisteuern möchte und der gerne namentlich in meinem erscheinenden Beitrag „66 is the number of the PIMS“ genannt werden wird.

Fazit

Wie man es auch dreht und wendet: Ob mit Einwilligungskategorien oder nur einer Superkategorie (“Alles“) oder mit einzelnen Diensten, für die nach einer Einwilligung gefragt wird: Es funktioniert schon aus rein logischen Gründen nicht. Man muss hierzu noch nicht einmal die Rechtswissenschaft bemühen.

Selbst wenn eine zentrale Einwilligungsverwaltung funktionieren würde, was ich bestreite, würde sie zu massenhaften Vollverweigerungen von Einwilligungen führen.

Gut für Nutzer, schlecht für alle anderen.

Ein Consent Hub ist Bullshit. Es gibt zwei grundsätzliche Ansätze, die beide rechtswidrig zu sein scheinen. Ignoriert man die Rechtswidrigkeit an manchen Stellen, entsteht oder bleibt Rechtswidrigkeit an anderen Stellen. Weiterhin entstehen somit praktisch unlösbare Probleme, wie ich vielleicht zusätzlich mithilfe der etwas überspitzten Unendlichkeitsrechnung zeigen konnte.

Entweder eine zentrale Einwilligungsverwaltung versucht, für jede Datenverarbeitung einzeln eine Einwilligung zu erfragen, so wie es vorgeschrieben ist. Dann stellt sich die Frage, woher die Zentrale dieses Wissen nehmen will. Wahrscheinlich weiß es nur die United Internet AG samt Lobbyisten.

Oder eine zentrale Einwilligungsverwaltung fragt noch rechtswidriger nach einer Generaleinwilligung. Dann klappt das aber mit dem Widerruf leider nicht so doll.

Die Einwilligungsverwaltungs-Verordnung sollte also am besten verordnen, dass § 26 TTDSG abgeändert wird oder wegfällt.

Ganz nebenbei erwähne ich, dass sich wohl niemand mehr Mühe geben wird, Gesetze einzuhalten, wenn die Sanktionen sich auf dem gleichen Niveau bewegen werden wie bisher. Es wäre schon fraglich, ob jemand den gleichen Aufwand wie bisher betreiben würde, um unter dem kastrierten Sanktionsregime in Deutschland zukünftig die rechtlichen Regeln einzuhalten. Warum dann plötzlich mehr Aufwand betreiben?

Nahezu jede deutsche Webseite ist meiner Ansicht nach rechtswidrig, weil Datenschutzregeln nicht eingehalten werden. Ganz bestimmt wird das besser, wenn eine Einwilligungsverwaltungs-Verordnung kommt. Die meisten bekommen schon vom Wort Angst.

Nur vorsichtshalber erwähne ich, dass das Einbinden von sogenannten Cookie-Tools keine Lösung für das Problem mit der Einwilligung ist. Siehe meine Cookie Tool-Praxistests.

Die einzige Lösung aus dem „Cookie Popup-Dilemma“ ist mehr oder weniger einfach: Webseiten sollten keine einwilligungspflichtigen Vorgänge verwenden. Für visuelle Elemente, wie Videos oder interaktive Karten, kann eine Einwilligung direkt vor Ort, am Platz der Anzeige, eingeholt werden. Ein Popup ist dafür also nicht nötig. Die interaktive Karte funktioniert allerdings auch ganz ohne Einwilligung, wenn das richtige Plugin verwendet wird.

PS: Wie mir von jemandem mitgeteilt wurde, der eine Anfrage an das Bundesministerium für Digitales und Verkehr – Referat DP 25 – Datenschutz in der digitalen Welt, Cybersicherheit, Vertrauensdienste geschickt hatte, kann es wohl aufgrund des Regelprozesses noch eine ganze Weile dauern, bis die Einwilligungsverwaltungs-Verordnung offiziell das Licht der Welt erblicken wird. Es besteht also noch Hoffnung, diesen Unsinn zu stoppen.

Bullshit Basics
Dies war ein Beitrag aus der Kategorie Bullshit Basics.
In dieser Kategorie werden weit verbreitete Unwahrheiten oder Falschwissen thematisiert und durch Fakten aufbereitet.
Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. In IT und Datenschutz bin ich auch als Sachverständiger tätig. Mir sind juristische Gegebenheiten nicht fremd. Meine Ergebnisse gewinne ich durch Betrachtung von Technik und Recht. Das scheint mir absolut notwendig, wenn es um digitalen Datenschutz geht. Über neue Beiträge werden Sie informiert, wenn Sie meinen Newsletter abonnieren. Über Ihre Unterstützung für meine Arbeit würde ich mich besonders freuen.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

Datenschutzfreundliche Cloud-Lösungen aus Deutschland: Speicher, Computing, Server