TTDSG: Forschungsgutachten zum Einwilligungsmanagement (PIMS) veröffentlicht
Ein multidisziplinäres Konsortium, bestehend aus dem IT-Sachverständigen Dr. Oliver Stiemerling und den Juristen Prof. Dr. Christiane Wendehorst (Institut für Zivilrecht an der Universität Wien) und Rechtsanwalt Steffen Weiß (Mitglied der Geschäftsführung der GDD), hat im Auftrag des seinerzeitigen Bundesministeriums für Wirtschaft und Energie am 16.12.2021 eine Studie zum Einwilligungsmanagement vorgelegt (zum Gutachten), die nunmehr veröffentlicht wurde. Thema der Studie sind mögliche Vorgaben zu technischen und organisatorischen Maßnahmen, um das in § 26 TTDSG vorgesehene Einwilligungsmanagement umzusetzen (die dafür genutzten Dienste werden häufig auch Privacy Information Management Systeme – kurz: „PIMS“ genannt).
Das Gutachten leistet einen wichtigen Schritt für die weitere technische und rechtliche Ausgestaltung von PIMS. Es dürfte die wissenschaftliche Diskussion zu §§ 25 und 26 TTDSG befruchten, zumal das (zumindest derzeit noch bestehende) enge europarechtliche Korsett des ePrivacy-Rechts die Praxis dazu zwingt, neue Lösungswege insbesondere im Spannungsverhältnis zwischen TTDSG und DSGVO zu suchen. Es sind aber Zweifel angebracht, ob die auf Basis des Gutachtens zu erwartende Rechtsverordnung dazu schon den „großen Wurf“ wird liefern können. Im Einzelnen:
Das Gutachten zeigt auf 88 Seiten in eindrucksvoller Weise die gesamte Spannbreite des Problemfelds auf. Richtigerweise wird darauf hingewiesen, dass sich das Problem des „consent fatigue“ nur zufriedenstellend lösen lassen wird, wenn ein PIMS den Betroffenen ermöglicht, schon vor Besuch der Webseite bestimmte Arten von Einwilligungen „gattungsmäßig“ voreinzustellen. Das Gutachten nennt dabei insbesondere die Varianten einer zweckbezogenen Einwilligung ohne ausdrückliche Bezeichnung des Verantwortlichen (beispielsweise die generelle Einwilligung in personalisierte Werbung), die Einwilligung zugunsten einer Kategorie von Verantwortlichen (z. B. Blogs) und die Nutzung delegierter Einwilligungen, worunter das Gutachten die Einbindung einer von Dritten kuratierten Liste versteht.
Solche ex-ante definierte Einwilligungstypen werden in der Studie zunächst rechtlich beleuchtet. Im Anschluss leitet die Studie technische Elemente eines PIMS ab, woraus sich für das auftraggebende Ministerium wertvolle Anhaltspunkte für die Ausgestaltung der nach § 26 Abs. 2 TTDSG vorgesehenen Rechtsverordnung ergeben sollten.
Das Gutachten behandelt ausführlich die rechtlichen Rahmenbedingungen von PIMS. Es bezieht auch die jüngere Rechtsentwicklung auf europäischer Ebene ein, namentlich die geplanten Regelungen der ePrivacy-Verordnung, des Data Governance Act und des Data Act. Richtigerweise kann diese Rechtseinwicklung erheblichen Einfluss auf §§ 25, 26 TTDSG haben und diesem womöglich lediglich eine kurze Lebensdauer bescheren.
Zu der praxisrelevanten und dogmatisch umstrittenen (Vor-)Frage nach dem Rangverhältnis zwischen den §§ 25 und 26 TTDSG und der DSGVO befürworten die Autoren einen generellen Anwendungsvorrang des TTDSG. Dieser gelte dann nicht nur „an der Quelle“, sondern darüber hinaus auch für weitere Verarbeitungsvorgänge betreffend solche Daten.
Nach dieser klaren Positionierung spricht das Gutachten sodann allerdings (richtigerweise) auch die Frage an, wie weit diese Ausstrahlungswirkung reiche, d.h. ob beispielsweise auf Basis von Endgerätedaten erstellte umfassende Profile und daraus getroffene Ableitungen ebenfalls vorrangig nach dem TTDSG und nicht nach der DSGVO zu beurteilen seien. Leider bleibt die Studie hierzu eine Antwort schuldig.
Meinungsstand: In der bisher veröffentlichten Literatur scheint weitgehend Einigkeit zu bestehen, dass das TTDSG jedenfalls nicht vor- oder nachgelagerte Verarbeitungen personenbezogener Daten erfasst. Umstritten ist lediglich, ob § 25 TTDSG für das Speichern und Auslesen von Informationen auf Endgeräten die Anwendung der DSGVO verdrängt, oder ob TTDSG und DSGVO (die Betroffenheit personenbezogener Daten einmal unterstellt) parallel Anwendung finden (vgl. dazu den Beitrag von Grages, „TTDSG und DSGVO: Die schwierige Koordination der Datenschutzebenen“ CRonline Blog v. 15.12.2021 sowie Grages, „Rechtfertigung und Zweckänderung im Spannungsverhältnis von TTDSG und DSGVO“, CR 2021, 834 und Nebel, Werbe-Tracking nach Inkrafttreten des TTDSG, CR 2021, 666). Die DSK geht in ihrer jüngsten Orientierungshilfe mit der wohl herrschenden Meinung von einem Anwendungsvorrang für die Phasen des Speicherns und Auslesens aus, sieht die nachfolgenden Verarbeitungen jedoch als allein der DSGVO unterworfen an.
Ausführlich behandelt das Gutachten die bei PIMS besonders neuralgischen Fragen der Informiertheit und der Einwilligung für den bestimmten Fall.
Hinsichtlich der Informiertheit verweist es zunächst auf die Vorgaben des EuGH aus dem Planet-49-Urteil, wonach der Nutzer insbesondere Informationen über Zugriffsmöglichkeiten Dritter auf Cookies erhalten haben muss, was weithin und nachvollziehbar so verstanden wird, dass damit die besagten Dritten namentlich identifiziert werden müssen. Gleichwohl kommt das Gutachten dann zu der mutigen Aussage, dass es bei der Nutzung eines PIMS ausreichend sein könne, die von der Einwilligung begünstigten Anbieter bloß der Kategorie nach zu benennen. Die Autoren stützen sich dabei auf das Argument, auch im Rahmen der Informationspflichten nach Art. 13 Abs. 1 lit. e DSGVO und im Rahmen der Auskunft nach Art. 15 Abs. 1 lit. b DSGVO sei die lediglich kategoriemäßige Benennung von Empfängern ausreichend. Allerdings vermischt dies zum einen die Frage der für eine Einwilligung nach Art. 7 DSGVO notwendige Informiertheit mit den lediglich flankierenden Betroffenenrechten. Zum anderen ist es schon umstritten, ob eine Benennung von Kategorien von Empfängern z. B. im Rahmen einer Auskunft ausreicht (siehe z. B. hierzu den Vorlagebeschluss des österreichischen Obersten Gerichtshofes).
Einzelfallbezug: Wiederum folgerichtig mit der im Gutachten vertretenen Auffassung gehen die Autoren davon aus, dass es für die notwendige Informiertheit und den Bezug auf den bestimmten Fall ebenfalls ausreichend ist, wenn der Nutzer bestimmte (z. B. einer Verbraucherschutzorganisation kuratierte) White Lists mit Voreinstellungen abonniert und sich hierdurch zu eigen macht.
Im technischen Teil analysiert das Gutachten verschiedene Umsetzungsalternativen und diskutiert insbesondere die Vor- und Nachteile eines browserzentrierten versus eines serverzentrierten PIMS. Letztlich präferiert das Gutachten eine browserzentrierte Lösung, d.h. eine lokale Verwaltung der Einwilligungseinstellungen. Für die Ausgestaltung des PIMS empfiehlt es folgende Merkmale:
- Usability-geprüfte Benutzeroberfläche ohne „Nudging“ mit allen im Gutachten beschriebenen Funktionen (ggf. ohne delegierte Einwilligungen).
- Nur aufsichtsbehördlich als wirksam erachtete Einwilligungstypen werden zur automatisierten Erteilung von Einwilligungen verwendet.
- Verweigerung von Einwilligungsanfragen ohne direkte Einblicks-, Korrektur- und Widerrufsmöglichkeit (URL-Angaben).
- Benutzerschnittstelle zur direkten und effektiven Ausübung von Betroffenenrechten auf Basis der URLs.
- Nachweis der sicheren Verwaltung von erteilten Einwilligungen (sehr hoher Schutzbedarf). Ausschluss des Zugriffs Dritter auf die Einwilligungen.
- Sicherstellung der Portierbarkeit aller Daten zu definierten Einwilligungstypen und erteilten Einwilligungen und Widerrufe.
Das erscheint gut nachvollziehbar, wenngleich „aufsichtsbehördlich als wirksam erachtete Einwilligungstypen“ wohl eher Zukunftsmusik sein dürften und auch eine aufsichtsbehördliche Anerkennung eine abweichende gerichtliche Beurteilung keineswegs ausschließt.
Die Anforderungen an die Browser würden sich bei dem vom Gutachten bevorzugten Modell der browserzentrierten Lösung darauf reduzieren, entsprechende PIMS-Plugins/Extensions mit Zugriff auf den lokalen Browser-Speicher, die ResponseRequest-Operationen und die Benutzeroberfläche des Browsers zuzulassen.
Für Webseitenanbieter schlägt das Gutachten keine besonderen Anforderungen vor. Es geht davon aus, dass diese schon aus Eigeninteresse die durch anerkannte PIMS eröffnete Möglichkeit der rechtskonformen Weiterführung von werbefinanzierten Angeboten nutzen werden. Hieran kann man Zweifel anmelden, weil solche Angebote voraussichtlich lediglich zu „Mitnahmeeffekten“ der positiv per PIMS erteilten Einwilligungen führen, Webseitenanbieter aber wohl nicht davon abhalten werden, nicht voreingestellte Einwilligungen zusätzlich „klassisch“ per Cookie-Banner abzufragen (vgl. hierzu auch Nebel, Einwilligungsverwaltungsdienste nach dem TTDSG, CR 2022, 18).