PIMS: Welche Zukunft haben Dienste zur Einwilligungsverwaltung?

- Es gilt das gesprochene Wort -

Kernbotschaften:

1. Die Abgabe einer informierten Einwilligung im Internet in eine komplexe Datenverarbeitung ist eine Herausforderung.
2. Das „Cookie-Fatigue“ ist ein allgegenwärtiges Problem.
3. PIMS und Einwilligungsverwaltungsdienste können zur Bewältigung dieses Problems helfen.
4. Zum 1. April 2025 ist die Einwilligungsverwaltungsverordnung in Kraft getreten.
5. Der rechtliche Rahmen für informierte Einwilligungen in PIMS ist innerhalb der Prüfungskompetenz der BfDI § 25 Abs. 1 S. 2 TDDDG.
6. Sektorspezifische Standardisierung und Bündelung ist eine Lösung, die mit PIMS erreicht werden kann und sowohl für Betroffene als auch Verantwortliche mit Vorteilen verbunden ist.
7. Professionelle rechtliche Vertretung für Einwilligung durch PIMS ist möglich und sinnvoll.
8. PIMS sind einen Versuch wert; die BfDI unterstützt die Idee.

 

Sehr geehrte Damen und Herren, 

Ich danke Ihnen ganz herzlich für die Einladung zum 23. @kit-Kongress und freue mich, heute mit Ihnen über PIMS sprechen zu dürfen. Ein Thema, das mich aktuell viel beschäftigt.

Lassen Sie mich mit einer kurzen Einführung starten: Was sind PIMS und welche Zukunft haben sie? Danach möchte ich Ihnen den Anerkennungsprozess von PIMS bei meiner Behörde erläutern und aufzeigen, wie aus meiner Sicht eine Einwilligungsverwaltung durch PIMS datenschutzkonform gelingen kann.

Also, los geht’s: Was sind PIMS? Die Abkürzung PIMS steht für Privacy Information Management Systeme. Sie sind auch unter „Einwilligungsverwaltungsdiensten“ bekannt.

I. Was sind PIMS?

Doch was genau sind PIMS? PIMS sind nichts Anderes als softwarebasierte Datenschutztools.

Sie bieten Endnutzern die Möglichkeit, ihre Cookie- und Datenschutzeinstellungen zentral und einfach einzusehen und zu verwalten.

PIMS können Datentreuhänder sein, wenn sie Daten selbst speichern und weitergeben oder bloße Datenmakler. Sie ermöglichen betroffenen Endnutzern eine stärkere und nutzerfreundlichere Kontrolle über die sie betreffenden Daten.

Der Fokus meines heutigen Vortrags soll auf PIMS in Form von Diensten zur Einwilligungsverwaltung liegen. Hier sehe ich aufgrund aktueller Gesetzgebung und Debatte das größte Potenzial.

PIMS sind daneben auch für andere Zwecke denkbar, z. B. für das Ausüben von DSGVO-Betroffenenrechten durch Endnutzer.

II. Warum PIMS?

PIMS in Form von Einwilligungsverwaltungsdiensten dienen dem Zweck, dem sog. „Cookie-Fatigue“ entgegenzuwirken.

Oftmals finden Einwilligungen im Internet in Cookies statt. Diese Einwilligungen werden über sog. „Cookie-Banner“ eingeholt.

Studien belegen, dass Endnutzer nur 2% der Informationen denen wir täglich begegnen tatsächlich aufnehmen. Dies ist darin begründet, dass Datenschutzerklärungen, AGB und andere Informationsquellen häufig einen sog. „Information overload“ auslösen.

Endnutzer werden mit so vielen Informationen überschüttet, dass sie die Informationsaufnahme in Gänze abbrechen, um schnell in den Genuss des gewünschten Produkts bzw. der gewünschten Dienstleistung zu kommen. Es kommt zur sog. „clicking without reading“ Problematik.

Wollen wir dieses Problem rechtlich verorten, so finden wir in TDDDG und DSGVO die Vorgabe einer „informierten Einwilligung“. Allerdings sehen beide Gesetze nur eine Informationshandlung vor, nicht einen faktischen Informationserfolg.

Hier können PIMS unterstützen: Sie können bei der Bündelung und dem Verständnis von Informationen helfen.

Hier sehen Sie einen handelsüblichen Cookie-Banner, der mit dark patterns versucht möglichst verarbeitungsfreundliche Lösung anzubieten. Im Interesse des Nutzers ist das nicht und Berichte entscheiden zunehmend, dass solche Banner unzulässig.

III. Wie kommt BfDI ins Spiel?

Sicherlich fragen Sie sich, welche Rolle ich als BfDI bei der Einwilligungsverwaltung im Internet spiele. Cookie-Banner liegen insoweit derzeit überwiegend in der Aufsichtskompetenz der LfDs, die die Aufsicht über die Wirtschaft haben, wo Cookie-Banner überwiegend eingesetzt werden.

Ich als BfDI bin nur in begrenzten Fällen für Cookies und Online-Einwilligungen zuständig: Konkret betrifft dies den Einsatz durch Bundesbehörden und Telekommunikations- wie Postunternehmen.

Doch seit dem 1. April 2025 liegt eine weitere wichtige Kompetenz im Kontext von PIMS bei der BfDI: Gemäß § 8 EinwV bin ich nun zuständig für die Anerkennung von Einwilligungsverwaltungsdiensten.

Diese Anerkennung erfolgt ausdrücklich – das möchte ich hier betonen – für den Anwendungsbereich des TDDDG.

Sie hat keine rechtlichen Auswirkungen auf PIMS im Anwendungsbereich der DSGVO, wenngleich die Anforderungen an eine Einwilligung dort im Wesentlichen gleich sind.

IV. Anerkennungsvoraussetzungen

Lassen Sie uns zunächst einen Blick auf die Anerkennungsvoraussetzungen von PIMS wagen. Im Wesentlichen ist die Vorlage eines Sicherheitskonzepts (§ 12 EinwV) und die Einhaltung der Anforderungen des Teil 2 der EinwV notwendig. Dies betrifft die §§ 3 ff. der EinwV:

• Erstens müssen PIMS umfassende Informationspflichten gegenüber Endnutzern erfüllen, um die Informiertheit der Einwilligung sicherzustellen. Dies betrifft insbesondere Informationen über Zwecke und Dauer der Speicherung der Informationen in einem PIMS (§ 3 EinwV).
• Zweitens müssen PIMS eine nutzerfreundliche Oberfläche bereitstellen und aus Gründen der Transparenz eine Einwilligungsdokumentation (§ 4 EinwV) gewährleisten.
• Drittens müssen PIMS Interoperabilität gewährleisten (§ 5 EinwV). Das bedeutet, dass Endnutzer mit ihren Einwilligungen jederzeit zu einem anderen anerkannten PIMS wechseln können müssen.
• Viertens gilt ein Diskriminierungsverbot gegenüber Anbietern digitaler Dienste (§ 6 EinwV). Das heißt, anerkannte PIMS dürfen keine Anbieter digitaler Dienste von ihrem Einwilligungsverwaltungsdienst ausschließen.
• Fünftens müssen anerkannte PIMS bestimmte offene Schnittstellen nach technischen Standards anbieten, die die Signalübermittlung an Anbieter digitaler Dienste ermöglichen (§ 7 EinwV).
• Die letzte Anforderung an einen anerkannten PIMS findet sich an einer etwas versteckten Stelle, ist aber von überragender Bedeutung: Anerkannte PIMS dürfen kein wirtschaftliches Interesse an einer verwalteten Einwilligung haben. Das bedeutet, dass sie zwar kommerziell handeln dürfen, ihre Vergütung jedoch nicht davon abhängen darf, ob eine Einwilligung erteilt oder verweigert wird (§ 11 Abs. 3 Nr. 6).
• Das ist konsequent, um einer Beeinflussung von Endnutzern durch PIMS von Anfang an vorzubeugen.

V. Wie läuft das Antragsverfahren bei der BfDI?

Nachdem ich Ihnen die Anerkennungsvoraussetzungen dargelegt habe, möchte ich kurz erläutern, wie die Antragstellung bei der BfDI erfolgt.

Geht ein entsprechender Antrag bei uns ein, prüfen wir diesen so schnell wie möglich. Wir gehen aktuell davon aus, dass eine Prüfung ca. 3-6 Monate dauert. Das ist natürlich abhängig vom Umfang der eingereichten Unterlagen, der Komplexität des anzuerkennenden PIMS und entsprechendem Rücksprachebedarf.

Insoweit sind auch die Kosten für eine Anerkennung flexibel: Diese richten sich nach der Allgemeinen Gebührenverordnung und betragen – je nach Sachbearbeiter – zwischen 50 und 90 € pro Stunde.

Hat ein Antrag Erfolg, wird der anerkannte PIMS in ein bei uns geführtes Register eingetragen (§ 13 EinwV).

Im Anschluss ist der Anbieter gehalten, jährlich eine Überprüfung der Anerkennungsvoraussetzungen (§ 14 EinwV) vorzunehmen. Änderungen sind uns mitzuteilen.

Stellen wir fest, dass die Voraussetzungen der Anerkennung nicht mehr vorliegen, müssen wir die Anerkennung leider widerrufen (§ 16 EinwV).

VI. Zusammenarbeit mit LfDs

Sie fragen sich sicher zurecht: Wie geht das zusammen? Die BfDI erkennt PIMS an und die LfDs sind für den Großteil ihres Anwendungsbereichs aufsichtsrechtlich zuständig?

Ja, so ist das. Zwar sind wir – wie gesagt – in begrenztem Umfang auch für die Aufsicht über Einwilligungen zuständig. Im Wesentlichen liegt diese Aufsicht jedoch bei den Ländern, vor allem für Einwilligungen im relevanten Bereich der Publisher im Zeitungs- oder Games-Markt. Es steht zu erwarten, dass anerkannte PIMS auch in diesem Bereich angewendet werden.

Der Gesetzgeber hat diese Konstellation erfreulicherweise mitgedacht: Er hat die Zusammenarbeit von Bund und Ländern in § 9 EinwV vorgesehen.

Demnach teilt die BfDI den LfDs mit, wenn sie ein PIMS anerkannt hat.

Die LfDs teilen wiederum der BfDI Bedenken bzgl. der wirksamen Einwilligungserteilung durch PIMS mit, damit die BfDI dies prüfen kann.

Diese skizzierte Zusammenarbeit von BfDI und LfDs kann meines Erachtens sehr gut innerhalb der DSK vorgenommen werden, z. B. in einer Zwischen- oder Hauptkonferenz

VII. Welche Vorteile bringt die Anerkennung eines PIMS?

Nachdem ich Ihnen nun den Anerkennungsprozess von PIMS geschildet habe, stellen Sie sich vielleicht die Frage, warum ein PIMS den komplizierten Weg einer Anerkennung gehen sollte? Ein PIMS könnte ja auch einfach so am Markt angeboten werden bzw. längst angeboten worden sein? Es gibt nämlichen keinen Genehmigungsvorbehalt.

Aus meiner Sicht gibt es hierfür mehrere Gründe: Eine Anerkennung ist zunächst ein starker Vertrauensgarant, da sie quasi ein Gütesiegel einer Behörde darstellt.

Zudem sind PIMS nun erstmals gesetzlich statuiert und PIMS-Anbieter haben gerade jetzt die Chance, First-Mover zu sein.

Dies manifestiert sich auch darin, dass anerkannte PIMS in einem bei der BfDI geführten Register auftauchen (§ 13 EinwV), was ihnen wiederum mehr Kredibilität verleiht.

Zugleich werden sich perspektivisch um PIMS „Magic Circle“ bilden, da sie Interoperabilität nur mit anderen anerkannten PIMS herstellen müssen (§ 5 EinwV). Lasse ich meinen PIMS nicht anerkennen, habe ich daher das Problem, dass andere PIMS-Anbieter keine Kompatibilität mit meinem eigenen PIMS herstellen müssen.

VIII. Möglichkeiten einer rechtmäßigen Einwilligung durch PIMS

Nun hoffe ich, Ihnen die Vorzüge von PIMS etwas schmackhaft gemacht haben zu können.

Abschließend möchte ich skizzieren, inwiefern PIMS datenschutzkonform Einwilligungen für betroffene Endnutzer verwalten können.

Datenschutzrechtlich unkritisch ist die reine Verwaltung von Einwilligungen iSe Darstellung der erteilten Einwilligungen, damit Endnutzer eine Übersicht haben und ihre Betroffenenrechte ausüben können.

PIMS können Einwilligungen für Betroffene insoweit strukturiert darstellen und z. B. dabei helfen, diese zu widerrufen.

Doch datenschutzrechtlich komplizierter wird es bei der Frage, ob PIMS auch Einwilligungen für Endnutzer erteilen können.

Die Einwilligung ist insoweit essentiell für eine selbstbestimmte Entscheidung der Endnutzer.

Die Anforderungen für eine Einwilligung durch PIMS stellt § 25 Abs. 1 S. 2 TDDDG auf. Demnach hat eine Einwilligung – wie auch in der DSGVO – im Wesentlichen informiert im bestimmten Einzelfall zu erfolgen.

IX. Lösung: Rechtsgeschäftliche Vertretung durch PIMS

Relevant ist in diesem Kontext für Betroffene insbesondere die Information über die Zwecke einer Verarbeitung sowie über den Verantwortlichen.

Die Verarbeitungszwecke lassen sich in einem PIMS sehr gut vorab kategorisieren. Denn die Zwecke einer Verarbeitung ähneln sich im Internet oft, z. B. bei Online-Marketing oder Performancekontrollen. Die DSGVO lässt eine Kategorisierung von Verarbeitungszwecken in gewissem Umfang zu.

Problematischer ist die vorab-Bestimmung vom jeweiligen Verantwortlichen. Ich weiß vorab vielleicht, zu welchen Zwecken ich mit Einwilligungen beim Surfen im Internet konfrontiert werde.

Nur in den seltensten Fällen werde ich aber schon vorher wissen, welcher Verantwortliche eine Verarbeitung kontrolliert, der ich begegne. Dies werde ich also vorab nicht in meinem PIMS einstellen können.

Über dieses Problem hilft eine Lösung hinweg, die ich Ihnen aus meiner Zeit als Zivilrechts-Professorin mitgebracht habe: Meines Erachtens lässt sich der Rechtsgedanke der Stellvertretung fruchtbar machen.

Zwar ist die Stellvertretung durch eine Applikation nicht gesetzlich vorgezeichnet - §§ 164 ff. BGB sehen einen Menschen als Stellvertreter vor. Der Rechtsgedanke ließe sich aber möglicherweise übertragen. Hierfür möchte ich mich aufgrund der damit verbundenen Vorteile klar aussprechen, insbesondere aufgrund der Tatsache, dass PIMS in diesem Kontext dazu dienen, den Willen des Betroffenen als primäres Schutzsubjekt des Datenschutzrechts zur Geltung zu verhelfen.

Ein Endnutzer kann insoweit seine Präferenzen für Verarbeitungszwecke im PIMS einstellen. Das PIMS willigt sodann automatisch nach den Präferenzen des Endnutzers im Internet in alle passenden Verarbeitungen im Internet ein, denen der Endnutzer mit seinem PIMS begegnet.

Aus meiner Sicht stellt dies auch keine unzulässige Blankovollmacht dar, da der Endnutzer dem PIMS klare Kriterien zur Einwilligungsverwaltung an die Hand gibt.

PIMS geben den ein Mal grundlegend geäußerten Willen des Nutzers dann in jedem Einzelfall weiter.

Wichtig ist dabei, dass stets ein Mindestmaß an Informiertheit bei der betroffenen Person vorhanden sein muss.

Die Schutzstandards der Einwilligung im Sinne einer echten Selbstbestimmung der betroffenen Person dürfen nicht unterlaufen werden.

Nutzer müssen daher vom Zweck einer Verarbeitung und deren grundlegenden Rahmenbedingungen Kenntnis haben. Die Auswahl der Verantwortliochen liegt dann in der Hand des PIMS, der im Innenverhältnis an die Vorgaben des Betroffenen gebunden ist.

X. Summa: PIMS als Lösung für Cookie-Fatigue

Ich möchte nun den Kreis schließen: PIMS können eine sinnvolle Lösung für die „Cookie-Fatigue“ sein und für den Verarbeiter Rechtssicherheit herstellen.

PIMS können eine aktive Bündelung und Verwaltung der Einwilligungen für Betroffene vornehmen.

Statt wiederkehrend in immer gleiche oder ähnlich gelagerte Sachverhalte einzuwilligen und immer wieder die selben Cookie-Banner wegzuklicken, bedarf es dann nur einer einmaligen Befassung mit der Materie für die Betroffenen.

Betroffene haben dadurch den Vorteil, dass sie sich mehr Zeit für ihre Entscheidung nehmen können und sind dadurch informierter. Zudem handeln sie effizienter und sparen insgesamt Zeit bei der Befassung mit immer gleichen Verarbeitungen.