8. September 2022
Wer online Nachrichten lesen, Hotels buchen oder Züge finden will, muss zunächst am Cookie-Banner vorbei. Ein Fortschritt für Datenschutz und die digitale Selbstbestimmung: Schließlich dürfen Anbieter unsere digitalen Bewegungen nicht mehr ungefragt verfolgen. Viele Nutzende empfinden die Banner aber vor allem als lästig – und klicken schnell auf „alles erlauben“. Datentreuhänder wie die sogenannten PIMS sollen das ändern. Datenschutzexperte Tobias Mielke von TÜViT erklärt, was es damit auf sich hat.
#explore: Was sind PIMS?
Tobias Mielke: PIMS ist die Abkürzung für „Personal Information Management Services“. Mit diesen Programmen oder Diensten soll man Cookie-Einstellungen zentral verwalten können. Dabei legt man in einer Software oder einem Browser-Plug-in einmalig seine Cookie-Präferenzen fest. Beim Aufrufen einer Webseite werden diese dann automatisch durch die PIMS übermittelt. Ein Cookie-Banner würde somit nicht mehr ausgespielt. Die Möglichkeit solcher „Dienste zur Einwilligungsverwaltung“ ist im TelekommunikationTelemedien-Datenschutz-Gesetz (TTDSG) verankert, das Ende letzten Jahres in Kraft getreten ist. Demnach müssen die Anbieter solcher Dienste unabhängig sein – sie dürfen also kein wirtschaftliches Interesse an der Erteilung der Einwilligung und an den verwalteten Daten haben. Und sie dürfen diese Daten ausschließlich zum Zweck der Einwilligungsverwaltung verarbeiten und nicht etwa ihrerseits Profile von den Nutzenden erstellen und verkaufen. Das Anerkennungsverfahren für solche Dienste zur Einwilligungsverwaltung muss die Bundesregierung gemäß dem TTDSG noch durch eine Rechtsverordnung mit Zustimmung des Bundestags und des Bundesrats festlegen.
#explore: Das Bundesministerium für Digitales und Verkehr (BMDV) hat nun einen ersten Entwurf für eine solche Verordnung vorgelegt. Was sieht sie für solche PIMSSysteme vor?
Tobias Mielke: Die Anbieter eines solchen Dienstes müssen sich laut dem Entwurf der Einwilligungsverwaltungs-Verordnung (EinwVO) vom Bundesdatenschutzbeauftragten anerkennen lassen, dabei unter anderem ihre Unabhängigkeit belegen und außerdem ein Sicherheitskonzept vorweisen können. Gefragt sind demzufolge neutrale und unabhängige Vermittler zur Verwaltung der Interessen der Nutzenden einer Website. Wie es das TTDSG auch für Cookie-Banner festlegt, dürfen diese Programme oder Dienste in Text und Design nicht mit sogenannten „Dark Patterns“ arbeiten – also etwa das Kästchen für die Einwilligung farblich hervorheben und das für die Ablehnung klein und grau in einem Untermenü verstecken.
Angedacht ist, dass die Anwendenden in diesen Diensten unterschiedliche Einwilligungen für Gruppen von „Telemedienanbietern“ geordnet nach Kategorien erteilen können, man dementsprechend Newsportalen, Onlineshops oder Buchungsportalen unterschiedliche Dinge erlauben oder verweigern könnte. Spätestens alle sechs Monate sollen die Dienste die Nutzenden an ihre Einstellungen erinnern und abfragen, ob diese noch aktuell sind.
Zur Person
Tobias Mielke ist Gutachter und Auditor für Datenschutz und Fachexperte für Managementsysteme für Informationssicherheit und Datenschutz bei TÜViT.
#explore: Wie könnte die Verwendung dieser PIMS dann in der Praxis aussehen?
Tobias Mielke: Die PIMS sollen über den Browser, etwa per Plug-in, der aufgerufenen Webseite die eigenen Voreinstellungen übermitteln. Diese Einstellungen sind für die Webseite verbindlich. Hat man seine Einwilligung für Analyse-Cookies verweigert, dürfen Webseiten Betreibende also nicht noch einmal einen Cookie-Banner einspielen – um doch noch an eine Einwilligung zu kommen. Ganz ohne Banner wird man aber auch in Zukunft nicht surfen können. Denn der Entwurf sieht Ausnahmen vor: und zwar für Telemedienanbieter, die sich ganz oder teilweise durch Werbung finanzieren, also etwa für Newsportale. Diese sollen die Userinnen und User auf kostenpflichtige, aber werbe- und cookiefreie Alternativen verweisen dürfen. Oder sie zu Änderungen der Voreinstellungen auffordern, um Zutritt zu der Webseite zu erhalten. Die sogenannten Cookie-Walls, wie man sie heute von vielen Onlinemedien kennt, dürften uns deshalb weiterhin im Netz begegnen. Bislang handelt es sich um einen ersten Entwurf zu einer Verordnung: Die Eckpunkte können sich daher noch ändern. Auch die konkrete technische Umsetzung dieser Angebote muss noch geklärt werden. Aus unserer Sicht sollten sie dann bestenfalls in einem Treuhandmodell von unabhängigen Dritten wie den TÜV-Verbänden erstellt werden. Werden sie von privaten Unternehmen entwickelt, müssten sie von unabhängigen Stellen geprüft und überwacht werden, damit Datenschutz und IT-Sicherheit tatsächlich gewährleistet sind.
