Die Cookie-Banner auf Webseiten sind sowohl für die Unternehmen als auch für die Besucher:innen ein ständiges Ärgernis. Die Unternehmen sind gesetzlich verpflichtet, die Nutzende über alle von ihnen im Rahmen der Webseite eingesetzten Dienste zu informieren und gegebenenfalls entsprechende Einwilligungen einzuholen. Dies hört sich aber einfacher an, als es ist!
Bisherige Rechtslage
Bei der technischen und auch optischen Gestaltung des Banners sind viele Anforderungen einzuhalten. Häufig stehen die Unternehmen vor so großen Hürden, dass eine datenschutzkonforme Umsetzung der gesetzlichen Regelung nicht möglich ist. Hierüber berichteten wir bereits in diesem Blogartikel.
Aber nicht nur für die Unternehmen sind die Cookie-Banner ein leidiges Thema, auch die Nutzenden sind genervt. Viele Cookie-Banner sind unübersichtlich gestaltet oder gar intransparent. Manches Mal muss man sich durch drei „Ebenen“ klicken, um nicht notwendige Cookies und Dienste abzulehnen, während eine Einwilligung mit einem Klick erteilt wäre. Dies führt häufig dazu, dass Nutzende eine Einwilligung erteilen, um den Aufwand zu sparen. Zudem müssen sie ihre Auswahl für jede Webseite, auf die sie gelangen, erneut treffen.
Einwilligungsverwaltungs-Verordnung
Diesem Chaos auf Seiten der Unternehmen und der Nutzenden soll ein Ende gesetzt und einheitliche Maßstäbe geschaffen werden. Zu diesem Zweck wurde in § 26 TTDSG ein Rechtsrahmen für die Anerkennung von Diensten geschaffen, die nutzerfreundliche und wettbewerbskonforme Verfahren zur Einholung und Verwaltung von Einwilligungen ermöglichen (PIMS). Die Bundesregierung hat nun von der Ermächtigung Gebrauch gemacht und einen Entwurf zur Einwilligungsverwaltungs-Verordnung vorgestellt. Mit dieser werden die tatsächlichen Anforderungen für diese Dienste nach § 26 TTDSG festgelegt. Hierdurch will man eine anwenderfreundliche Alternative schaffen und die Nutzenden von vielen Einzelentscheidungen entlasten.
Im Grunde sollen diese die Möglichkeit haben, entweder über eine cloudbasierte Plattform oder in einem lokal gespeicherten Programm ihre „Einwilligungen“ bzw. Präferenzen voreinzustellen und zu verwalten. Bei dem Besuch jeder Internetseite würden diese Einstellungen an die entsprechenden Webseitenbetreiber übermittelt, so dass diese die Einstellungen übernehmen müssen. Wenn Nutzende bspw. niemals Statistiken bzw. Analysen auf Webseiten zustimmen möchten, speichert das Tool diese Voreinstellung. Nach Übermittlung der dazugehörigen Vorlieben, können die Webseitenbetreiber dann keine entsprechenden Cookies setzen.
In diesen Fällen ist auch eine weitere Einwilligungsabfrage nicht erlaubt. Eine Ausnahme gibt es lediglich für werbefinanzierte Angebote, d. h. wenn man eine Webseite nur kostenfrei bei Cookiesetzung nutzen kann (Stichwort „Cookie Paywalls“), darf der Webseitenbeitreiber noch einmal nach der Einwilligung fragen. Machen die Nutzenden jedoch keinen Gebrauch von einem so genannten PIMS, dann muss der Webseitenbetreiber wie üblich einen Cookie-Banner vorhalten.
Schwierigkeiten mit PIMS und Cookie-Banner in der Praxis
Kritik an diesem Entwurf gibt es von vielen Seiten. Zunächst einmal beziehen sich die Dienste nach § 26 TTDSG nur auf die Einwilligungen nach § 25 TTDSG. Nach dem Willen der Regierung sollen jedoch auch die Anforderungen nach der DSGVO an die Einwilligung eingehalten werden. Hier wird es aber schon kompliziert, da die DSGVO eine transparente und informierte Einwilligung für den jeweiligen Einzelfall verlangt. Die kann man über ein PIMS schwerlich abdecken, da es sich ja nur um Voreinstellungen handelt. Man müsste dann über das Einwilligungsmanagement nicht nur die Kategorien, sondern alle Anbieter samt ihrer Verarbeitungszwecke und Datenschutzhinweise auflisten. Bei jeder Änderung eines dieser Dienste, müssten die Nutzenden hierüber informiert werden.
Das nächste Problem steckt zudem in der Einwilligung. Die Nutzenden könnten – so wie sie nur generell eine Einwilligung oder Ablehnung erteilen können – ihre Einwilligung für einen bestimmten Dienst entweder gar nicht oder nur für alle Webseiten widerrufen. Des Weiteren müssen die Nutzenden ja kein PIMS verwenden. Das führt also dazu, dass Unternehmen weiterhin einen Cookie-Banner auf Ihrer Webseite beibehalten müssen, auch wenn es in Zukunft anerkannte Dienste nach der Einwilligungsverordnung gibt.
Zudem gibt es auch für die Nutzenden noch weitere Schwierigkeiten. Wählen sie ein PIMS, welches auf ihren Endgeräten gespeichert ist und ausgeführt wird, müssen sie ihre Einwilligungseinstellungen auf jedem Endgerät neu hinterlegen und bei Änderungen anpassen. Hiervon werden sie nur befreit, wenn sie ein cloudbasiertes System nutzen. Insgesamt sind tatsächlich noch viele Fragen offen, die der Klärung bedürfen.
Bislang handelt es sich hierbei nur um einen Entwurf, dessen Verabschiedungszeitpunkt derzeit noch vollkommen unklar ist. Allerdings sieht dieser Entwurf keine „Übergangsfrist“ vor,. Daher empfehlen wir allen Unternehmen die weitere Entwicklung im Auge zu behalten, um vorbereitet zu sein. In der Zwischenzeit sollten Sie darauf achten, dass Sie die Vorgaben zur Gestaltung des Cookie-Banners und Einholung der Einwilligungen einhalten, um Bußgelder zu vermeiden.
Als erfahrene Datenschützer helfen wir Ihnen bei den notwendigen Schritten! Kontaktieren Sie uns unter: info@sidit.de