Der neuen Einwilligungsverwaltungsverordnung gelassen entgegensehen

von Olaf Brandt

Am 20.12.2024 wurde die neue Einwilligungsverwaltungsverordnung (EinwV) verabschiedet und tritt voraussichtlich am 1. April 2025 in Kraft. In Fachkreisen wird sie jedoch bereits heute als „Rohrkrepierer“ bezeichnet und gilt schon vor Inkrafttreten als zum Scheitern verurteilt.

Lange Zeit wurde die Idee unter dem Stichwort „Personal Information Management System (PIMS)“ diskutiert. Die jetzige Verordnung beruht auf § 26 Abs. 2 TDDDG und soll die zentrale Verwaltung von Einwilligungen über Websites und Geräten hinweg ermöglichen.

Ursprünglich sollten mithilfe „anerkannter Dienste zur Einwilligungsverwaltung“ individuelle Cookie- bzw. Einwilligungsbanner überflüssig gemacht werden. Doch die EinwV wird das kaum leisten, denn

• Einwilligungsverwaltung durch die Website-Betreiber als freiwillig erklärt. Websites können diese Dienste unterstützen, müssen es jedoch nicht. Warum sollten sie also den Integrationsaufwand tätigen, wenn sie keinen Nutzwert daraus ziehen? Dies würde sich erst dann ändern, wenn derartige Dienste eine kritische Nutzermasse gewinnen, was jedoch mehr als fraglich ist.

• „pauschale Voreinstellungen zu möglichen Einwilligungsanfragen des Anbieters von digitalen Diensten“ (BT-Drs. 20/12718, S. 22) sind nicht vorgesehen. Also müssten Nutzer weiterhin für jede einzelne Website eine Einwilligungsentscheidung treffen. Nutzern würde lediglich erspart werden, unterschiedliche Dialoge mit unterschiedlichen Gestaltungen zu erleben. Natürlich wären auch Dark Patterns damit ausgeschlossen.

• die EinwV soll nur Einwilligungen gemäß § 25 Abs. 2 TDDDG regeln. In der Praxis sind fast immer auch Einwilligungen nach der DSGVO für die Verarbeitung personenbezogener Daten erforderlich. Eine Ausnahme bildet etracker analytics, wo im Standard nur der Einsatz von analytischen Cookies einwilligungspflichtig ist, die Datenverarbeitung aber auf dem überwiegenden berechtigten Interesse beruht. Für Marketing-Dienste wie Google, Meta, TikTok gilt hingegen, dass Einwilligungen sowohl Cookies als auch die Datenverarbeitung umfassen müssen. In diesen Fällen würden die Dienste zur Einwilligungsverwaltung also nur die halbe Miete leisten. Nutzer hätten eher den Nachteil, mit zwei getrennten Einwilligungs-Dialogen pro Website interagieren zu müssen.
• die strengen Zertifizierungsauflagen werden kaum Anbieter motivieren, die Entwicklung eines solchen Dienstes anzugehen. Gerade auch die geforderte Interoperabilität erschwert die Attraktivität eines Engagements. Es ist fraglich, ob ein First-Mover dauerhafte Vorteile genießen kann.

Aktuell können Website-Betreiber noch keine Vorbereitungen für die Einführung eines Dienstes zur Einwilligungsverwaltung treffen. Angesichts der oben genannten Punkte macht ein Abwarten aber ohnehin Sinn. Sinnvoll und empfehlenswert ist hingegen schon jetzt,

• sich beim Tracking unabhängig von der Einwilligung aufzustellen bzw. einwilligungsfreie Web-Analyse-Dienste wie etracker analytics einzusetzen und
• das Consent und Tag Management zu vereinheitlichen durch eine integrierte Lösung, die die Effizienz erhöht und Fehler durch Einstellungen in unterschiedlichen Tools vermeidet, wie dies der etracker tag und consent manager ermöglicht.