Schon am 1. Dezember 2021 trat das Telekommunikation-Telemedien-Datenschutz-Gesetz, kurz TTDSG, in Kraft. Der Gesetzgeber wollte mit der Einführung von Einwilligungsverwaltungssystemen ("Personal Information Management System", kurz "PIMS") eine Alternative zu Cookie-Bannern schaffen. Mehr dazu und warum der praktische Nutzen tatsächlich zweifelhaft erscheint, haben wir bereits im Blog „Einwilligungsmanagement „PIMS“: Ein Rohrkrepierer?“ zusammengefasst. Nun gibt es neue Entwicklungen:
Konkretisierung: Entwurf einer Verordnung über Dienste zur Einwilligungsverwaltung.
Das Bundesministerium für Digitales und Verkehr hat am 1. Juni 2023 einen ersten Entwurf einer Verordnung über Dienste zur Einwilligungsverwaltung vorgelegt. In dem Verordnungsentwurf werden Kriterien aufgestellt, die für die Anerkennung entsprechender Dienste zur Einwilligungsverwaltung gemäß § 26 TTDSG relevant sein sollen. Neben konkreten Regelungen zur Anforderungen an nutzerfreundliche und wettbewerbskonforme Verfahren und technische Anwendungen (etwa eine transparent gestaltete Benutzeroberfläche) ist insbesondere ein Verfahren beschrieben, mittels dem Anbieter eines „PIMS“ zum Markt zugelassen werden können.
Kriterien für das Anerkennungsverfahren.
Besonders interessant sind die Regelungen zum Anerkennungsverfahren, die für potenzielle Anbieter eine hohe Relevanz haben. Der Entwurf enthält insbesondere die folgenden Konkretisierungen:
Zuständig für die Anerkennung ist der Bundesbeauftragte für Datenschutz und Informationsfreiheit („BfDI“).
Neben einer Antragstellung muss ein Sicherheitskonzept vorgelegt werden. Dieses Konzept soll Rückschlüsse auf die Qualität und die Zuverlässigkeit des Dienstes ermöglichen. Außerdem muss sich feststellen lassen, dass technisch und organisatorisch die Anforderungen der DSGVO an Datenschutz und Sicherheit erfüllt werden.
Praxis.
Der Entwurf kann mit Neugier zur Kenntnis genommen werden. Es bleibt aber abzuwarten, inwiefern sich der Inhalt im Rahmen des nun beginnenden Konsultationsprozesses noch ändern wird.
Inhaltlich zu begrüßen ist sicherlich, dass das Ministerium versucht, klare Vorgaben zu geben. Interessant ist insbesondere auch, dass durch die Bestimmung, dass die Benutzeroberfläche transparent gestaltet werden soll, ein Versuch unternommen wird, sogenannten „dark patterns“ entgegenzuwirken. Derzeit ist es durchaus verbreitet, durch manipulative Gestaltung von Designs eine wirklich freie und informierte Entscheidung des Nutzers über eine Einwilligung mindestens einzuschränken.
Es bleibt aber auch nach dem ersten Entwurf der Verordnung fraglich, ob es sich wirtschaftlich für Unternehmen lohnen wird, eine Zulassung als Dienst zur Einwilligungsverwaltung zu beantragen.
Markus Söding ist im Arbeitsrechtsressort unserer Sozietät tätig. Er berät national sowie international tätige Unternehmen in allen Fragestellung des individuellen und kollektiven Arbeitsrechts, inklusive angrenzender Rechtsgebiete, wie denen des Sozialrechts.