Die zentrale Einwilligungsverwaltung zur „Cookie Flut“ im Detail: Vorteile, Herausforderungen und warum sie ihr Ziel verfehlen könnte

Im Dezember 2024 wurde „Zentrale Einwilligungsverwaltung“ (EinwV) gegen die Cookie-Flut vom Bundesrat gebilligt. Sie soll ein zentrales Mittel sein, dass Nutzer*innen weniger genervt sind und Unternehmen eine bessere Expierence für die Besucher*innen bieten können.

Wir möchten uns an dieser Stelle einmal genauer mit der neuen Regelung auseinandersetzen. Wie genau funktioniert das neue Verfahren? Was sind die Vorteile? Wo liegt die Kritik? Wie sieht es in der Praxis aus? Wird die Flut an Cookies wirklich reduziert? Ist das alles praktikabel für Website-Owner?

Grundlagen:
Was ist die zentrale Einwilligungsverwaltung?

"Die zentrale Einwilligungsverwaltung dient dazu, die Zahl der Einwilligungsabfragen zu reduzieren und eine einfachere Handhabung für Endnutzer:innen zu ermöglichen." (Quelle)

Die zentrale Einwilligungsverwaltung erlaubt es Nutzer*innen, ihre Cookie-Präferenzen bei einem zentralen Dienst zu hinterlegen. Webseiten, die diesen Dienst unterstützen, können diese Einstellungen auslesen und entsprechend handeln, ohne dass jedes Mal ein individuelles Cookie-Banner angezeigt werden muss. Also eigentlich ein „WinWin“ für beide Seiten. Für Nutzer*innen weniger Banner und für Unternehmen einfachere Einhaltung der DSGVO.

Rechtliche Grundlage für die Regelung ist: Gemäß § 25 des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) dürfen Cookies und ähnliche Technologien nur mit Einwilligung der Nutzer*innen gesetzt werden, es sei denn, sie sind technisch notwendig. Die zentrale Einwilligungsverwaltung soll diesen Prozess standardisieren und vereinfachen.

Unsere Expertise und Blickwinkel auf das Thema

Wir betrachten das Thema Einwilligungsverwaltung und Datenschutz aus einem anderen Blickwinkel. Während viele darauf setzen, bestehende Systeme immer weiter zu verkomplizieren – etwa durch zentrale Consent-Dienste – haben wir uns gefragt: Geht es nicht auch einfacher?

Unsere Antwort darauf war, eine Lösung zu entwickeln, die ganz ohne Cookies und komplizierte Consent-Banner auskommt. Statt die Nutzererfahrung durch immer neue Ebenen zu belasten, haben wir den Ansatz gewählt, die Datenverarbeitung komplett zu vermeiden. Deshalb haben wir auch Zweifel daran, dass zentrale Einwilligungsdienste das eigentliche Problem löst. Unsere Erfahrung zeigt: Komplexe Datenschutzsysteme führen oft zu mehr Frust bei den Nutzern und höherem Aufwand für Unternehmen.

Anstatt eure Videos bei YouTube, Vimeo oder Wistia zu hosten, könnt ihr bei uns eure Videos hosten, ganz ohne Consent Management. Das ist nicht nur unkomplizierter, sondern gibt euch auch viel mehr Optionen in der Gestaltung eurer Webseite, weil Themen wie Autoplay-Videos absolut kein Problem mehr sind. Schaut euch gerne mal die Features an.

Welche Vorteile hat die zentrale Verwaltung für Unternehmen?

1. Reduzierter technischer Aufwand:
   Durch die Nutzung eines zentralen Einwilligungsdienstes können Unternehmen den Aufwand für die Implementierung und Wartung individueller Cookie-Banner minimieren. Dies ist besonders für kleine und mittelständische Unternehmen von Vorteil, die möglicherweise nicht über die Ressourcen für komplexe Datenschutzlösungen verfügen.
2. Verbesserte UX:
   Weniger störende Cookie-Banner können zu einer positiveren Nutzererfahrung führen, was sich wiederum positiv auf die Verweildauer und die Konversionsraten auswirken kann.
3. Einheitliche Standards:
   Die zentrale Verwaltung bietet einen standardisierten Ansatz für die Einholung von Einwilligungen, was die Einhaltung der DSGVO erleichtert und potenzielle rechtliche Risiken reduziert.

Wie funktioniert es in der Praxis?

Die zentrale Einwilligungsverwaltung basiert wie zuvor erwähnt darauf, dass Nutzer*innen ihre Cookie-Präferenzen bei einem zentralen Dienst hinterlegen, der diese Daten Webseiten zur Verfügung stellt.

In der Praxis dürfte dies ähnlich ablaufen wie aktuell schon beim Cookie-Banner. Hier wählt ihr ein Tool oder ein Consent-Management-Anbieter aus und integriert diesen dann auf eurer Webseite.

Noch gibt es keine Anbieter aber die Schritte sehen in etwa so aus

1. Integration eines zertifizierten „zentralen Einwilligungsdienstes“

• Du wählst einen zentralen Einwilligungsdienst aus, der nach der Verordnung zertifiziert ist.
• Der Dienst wird über ein Software Development Kit (SDK) oder ein Plugin in die Webseite integriert.
• Technisch läuft dies ähnlich wie bei gängigen Consent-Management-Plattformen (CMPs): Der Dienst wird im Header-Script eingebunden, um alle Cookies und Skripte auf der Seite zu steuern.

2. Abfrage von Nutzerdaten durch den Dienst

• Wenn ein*e Besucher*in die Webseite besucht, überprüft der zentrale Einwilligungsdienst anhand der Browser-ID oder eines anderen eindeutigen Identifikators, ob bereits Präferenzen gespeichert wurden.

• Falls ja:

  • Der Dienst teilt eurer Webseite mit, welche Cookies und Skripte erlaubt sind.
  • Eure Webseite aktiviert nur die Skripte, die mit den Präferenzen übereinstimmen (z. B. Google Analytics oder YouTube).

• Falls nein:

  • Eure Webseite fordert den Nutzer auf, seine Präferenzen über den zentralen Dienst festzulegen.
  • Diese Entscheidung wird gespeichert und bei zukünftigen Besuchen automatisch berücksichtigt.

3. Anpassung der Inhalte auf der Webseite

• Basierend auf den zentral gespeicherten Präferenzen:

  • Erlaubte Inhalte: Inhalte wie Videos oder Tracking-Skripte werden automatisch aktiviert oder deaktiviert.
  • Blockierte Inhalte: Stattdessen zeigt die Webseite alternative Hinweise, z. B. „Dieses Video ist blockiert, da keine Cookies erlaubt wurden.“
• Nutzer*innen können die Präferenzen direkt über den zentralen Dienst oder ein integriertes Interface auf der Webseite ändern.

4. Dokumentation und Nachvollziehbarkeit

• Der zentrale Dienst protokolliert die erteilten Einwilligungen:

  • Zeitpunkt der Zustimmung.
  • Herkunft der Einwilligung (z. B. andere Webseite, auf der die Präferenzen ursprünglich festgelegt wurden).
  • Gültigkeitsdauer der Präferenzen.
• Unternehmen können über ein Dashboard im zentralen Dienst auf die Daten zugreifen, um ihre Compliance nachzuweisen. Dabei erhalten sie jedoch vermutlich keine Details über andere Webseiten, auf denen Nutzer Präferenzen festgelegt haben, um Datenschutz der Besucher*innen zu gewährleisten.

Was muss ein zentraler Einwilligungsdienst erfüllen?

Damit ein Dienst zertifiziert wird muss dieser u.a. Vorgaben in diesen drei Bereichen erfüllen:

1. Rechtliche Anforderungen

„Die zentralen Einwilligungsverwaltungsdienste [...] sind verpflichtet, die Rechte der Endnutzer*innen auf transparente Weise zu wahren und ihnen eine freie Entscheidung zu ermöglichen.“ (BT-Drs. 20/12718, S. 4)

• Freiwillige und informierte Einwilligung: Der Dienst muss sicherstellen, dass Einwilligungen frei, spezifisch und informativ erfolgen. Nutzer*innen dürfen weder durch Design (Nudging) noch durch Zwang beeinflusst werden.
• Widerruf und Transparenz: Nutzer*innen müssen ihre Entscheidungen jederzeit widerrufen oder ändern können. Ein Dienst ist nur zulässig, wenn er diese Möglichkeit klar und einfach anbietet.

2. Technische Anforderungen

„Zertifizierte Dienste müssen sicherstellen, dass Daten vor unbefugtem Zugriff geschützt werden und die Einhaltung der Datenschutzvorgaben dauerhaft gewährleistet ist.“ (BT-Drs. 20/12718, S. 6)

Webseiten greifen bei jedem Seitenaufruf auf den Dienst zu. Eine hohe Verfügbarkeit und kurze Antwortzeiten sind daher unerlässlich, genauso wie hohe Datensicherheit und Sicherheitsstandards. Funktionell ist außerdem noch wichtig, dass alle gängigen Plattformen und Drittanbieter integriert sind.

Realty Check:

Wie viel weniger Banner sind wirklich möglich?

Was die Politik eigentlich möchte, ist die „nervigen Banner“ zu reduzieren. Wenn man als Besucher*in die Chance hat, dann ignoriert man diese Banner ohnehin Chance, laut Analysen tun dies über 70 % (Quelle: Statista)

A. technisch notwendige Cookies sind bereits ausgenommen

Webseiten, die ausschließlich technisch notwendige Cookies einsetzen, benötigen heute schon keine Cookie-Banner. Beispiele sind:

• Unternehmenswebseiten ohne nutzerbasiertes Tracking oder Marketing-Dienste
• Shops, die nur Cookies für Warenkörbe und Sessions nutzen.

In solchen Fällen bringt die Einwilligungsverwaltung schon jetzt keinen Mehrwert, weil die Webseiten keinen Cookie-Banner brauchen. Schaut euch unsere Webseite hier an. Cookie-Banner gesehen beim Aufruf dieses Beitrags gesehen? Nein. Wer den Datenschutz seiner Besucher*innen ernst nimmt, braucht die neue Regelung nicht.

B. Teilnahme bleibt freiwillig

"Die Einbindung von Einwilligungsverwaltungsdiensten durch Webseitenbetreiber ist freiwillig (§ 18 Abs. 1 EinwV). Es besteht daher die Gefahr, dass viele Anbieter weiterhin auf herkömmliche Einwilligungsbanner setzen. Entsprechend gering werden die Vorteile der Einwilligungsverwaltungsdienste für die Nutzer sein.“ (Quelle: Landesbeauftragter für den Datenschutz Niedersachsen)

Ein zentrales Problem ist, dass die Teilnahme an der Einwilligungsverwaltung freiwillig bleibt. Viele Unternehmen könnten sich bewusst dagegen entscheiden, da:

1. Eigene Consent-Banner als strategische Kontrolle über Nutzerdaten dienen.
2. Die technische Integration eines zentralen Dienstes verursacht zusätzliche Kosten.
3. Internationale Anforderungen machen unterschiedliche Lösungen notwendig.

Ohne breite Marktdurchdringung bleibt die Wirkung der zentralen Verwaltung auf einen kleinen Kreis beschränkt.

C. Drittanbieter-Dienste erschweren die Umsetzung

Die meisten Webseiten nutzen Drittanbieter wie YouTube, Google Analytics oder HubSpot. Diese Dienste setzen Cookies, die oft erst nach einer individuellen Einwilligung aktiviert werden können. Auch wenn Nutzer einer zentralen Verwaltung zustimmen, müssen diese Cookies genau mit den Präferenzen des Nutzers übereinstimmen.

Beispiel: Ein Nutzer erlaubt Google Analytics, aber lehnt HubSpot ab. Die Kombination der Dienste ist je nach Webseite unterschiedlich.

Viele Webseite haben in ihrem Cookie-Banner nicht nur 4 - 5 Standarddienste, sondern teilweise eine individuelle Kombination aus 30-40-50 Dienstleistern, NUR wenn für alle eine Präferenz festgelegt wurde, kann man auf dem Banner verzichten.

D. Nutzerverhalten als kritischer Faktor

Damit die zentrale Verwaltung funktioniert, müssen Nutzer*innen ihre Präferenzen aktiv hinterlegen. Doch in der Praxis:

• Klicken viele Nutzer*innen auf „Alle akzeptieren“, ohne sich mit den Einstellungen auseinanderzusetzen. Für Unternehmen ist dies aktuell der beste Fall, für den Grundgedanken der DSGVO der „Worst-Case“. Die Nutzer*innen werden dann wieder über verschiedenste Dienste und Webseiten hinweg getrackt.
• Verändern Nutzer*innen ihre Präferenzen selten, wodurch gespeicherte Entscheidungen oft veraltet sind. Auch hier kommt dann wieder ein Cookie-Banner.

E. Nationale Unterschiede in der Regulierung

„Sobald Nutzer die virtuelle “Bundesgrenze” im Internet überschreiten, greifen die bisherigen Regelungen. Für international ausgerichtete Webseiten bedeutet dies, dass eine differenzierte Umstellung erforderlich wäre.“ (Quelle IITR)

Für uns aktuell das größte Problem: die zentrale Verwaltung gilt nur in Deutschland. In Ländern wie Frankreich, wo die CNIL strikte Anforderungen an Cookie-Einwilligungen stellt, bleiben individuelle Banner Pflicht. Internationale Webseiten müssen also weiterhin regionale Unterschiede berücksichtigen. Das heißt

• … wir haben entweder eine Webseite, die wirklich NUR für Deutschland gemacht ist
• … oder wir bauen uns eine Sonderlocke für die deutsche Webseite,
• … oder der Dienst macht dies für mich je nach Ort der Nutzer*innen
• … oder man verzichtet darauf, weil es freiwillig ist.

Die meisten Unternehmen dürften dann auf die letzten beiden Optionen zurückgreifen.

Fazit: Der Erfolg dürfte, gerade in der Anfangszeit, eher so mäßig sein. Was uns zu weiteren Problemen und Kritikpunkten bringt.

F. Begrenzter Anwendungsbereich: Telemediengesetz vs. DSGVO

"Begrenzter Anwendungsbereich: Die Einwilligungsverwaltungsdienste decken nur Einwilligungen nach § 25 TDDDG ab, nicht jedoch Einwilligungen gemäß der Datenschutz-Grundverordnung (DSGVO). Deshalb führen die Dienste nicht zu einer Vereinfachung im Umgang mit Einwilligungen." (Quelle: Landesbeauftragter für den Datenschutz Niedersachsen)

Kritiker bemängeln, dass die zentrale Einwilligungsverwaltung nur den Anwendungsbereich von § 25 TDDDG abdeckt. Viele Einwilligungen, wie sie für die Verarbeitung personenbezogener Daten nach der DSGVO erforderlich sind, werden nicht erfasst.

Beispiel: Ich nutze Google Analytics auf meiner Webseite. Das Telemediengesetz (technologiebezogen) regelt, dass ich einen Tracking-Cookie auf dem Endgerät der Nutzer speichern darf – dafür benötige ich eine Einwilligung.

Was das Telemediengesetz jedoch nicht regelt, ist die Verarbeitung der Daten, die durch dieses Cookie erhoben werden. Dazu gehören etwa die IP-Adresse und das Nutzungsverhalten. Diese Daten dürfen nur nach den Anforderungen der DSGVO (datenbezogen) verarbeitet werden, was eine separate Einwilligung erfordert.

G. Was kommt noch? Ach die DSGVO wird schon schlecht umgesetzt ...

Nehmen wir uns mal einen der wichtigsten Punkte aus der Regelung …

„Die zentralen Einwilligungsverwaltungsdienste [...] sind verpflichtet, die Rechte der Endnutzer*innen auf transparente Weise zu wahren und ihnen eine freie Entscheidung zu ermöglichen.“ (BT-Drs. 20/12718, S. 4)

Wenn man sich mehrere Jahre nach der Einführung der DSGVO den aktuellen Status-Quo anschaut, könnte man es durchaus als mehr oder weniger große Shitshow bezeichnen. Einerseits gibt es Webseiten, die alles richtig und korrekt machen, und andererseits sind laut Studien viele Webseiten nicht DSGVO-konform (Quelle).

„Problematisch ist insbesondere, dass Anbieter digitaler Dienste die über Einwilligungsverwaltungsdienste getroffene Entscheidungen der Nutzer:innen nicht akzeptieren müssen (§ 19 EinwV-E). Lehnen Nutzer:innen die Einwilligung ab, können die Anbieter erneut beliebig oft um Einwilligungen bitten. Nutzer:innen werden damit unter Druck gesetzt, Einwilligungen zu erteilen. Das ist inakzeptabel, widerspricht den Anforderungen der Datenschutz-Grundverordnung und nimmt Verbraucher:innen den Anreiz, Einwilligungsverwaltungsdienste zu nutzen. In der Verordnung muss daher geregelt werden, dass Anbieter digitaler Dienste den Entscheidungen der Nutzer:innen Folge leisten müssen.“ (Quelle: DATEV Magazin)

Die größten Probleme hier sind:

• Falsch zuordnete Dienste – immer wieder werden entweder aus Unwissenheit oder auch absichtlich Dienste in die Kategorie „notwendigen Cookies“ gesteckt und können nicht abgelehnt werden. Hier ist die Zustimmung ungültig. Google Analytics ist etwa ganz klar Consent-Pflichtig, ebenso Youtube, Vimeo oder andere Video-Hosting (auch in der „NoCookie“-Variente), genauso Google-Captcha, …
• „Dark-Patterns“ – Irreführende Cookie-Banner: Viele Webseiten gestalten ihre Cookie-Banner so, dass die Schaltfläche zur Zustimmung hervorgehoben wird, während die Ablehnungsoption versteckt oder kompliziert erreichbar ist. Solche "Dark Patterns" zielen darauf ab, Nutzer:innen zur Zustimmung zu drängen und wurden von Datenschutzbehörden als unzulässig eingestuft.

"Wir haben die 100 meistbesuchten Websites des Landes auf Dark Patterns untersucht und zeigen: Vier von fünf setzen auf manipulative Cookie-Banner." (Quelle: Netzpolitik.org)

• „Nudging“ – manche Unternehmen nerven ihre Besucher*innen so oft und so penetrant mit den Cookie-Banner bis diese zustimmen, zum Beispiel bei jedem neuen Besuch einer Webseite oder App erneut fragen und die Ablehnung nicht speichern.
• "Pay or OK"-Modelle – Einige Nachrichtenportale, wie beispielsweise der SPIEGEL, setzen auf Modelle, bei denen Nutzer:innen entweder der Datenverarbeitung zustimmen oder ein kostenpflichtiges Abonnement abschließen müssen. Dieses Vorgehen wurde von Datenschutzorganisationen wie noyb kritisiert und führt aktuell rechtlichen Auseinandersetzungen. (Quelle)
• Automatische Zustimmung bei Scrollen – Einige Webseiten interpretieren das bloße Scrollen oder Verweilen auf der Seite als Zustimmung zur Datenverarbeitung, ohne eine explizite Einwilligung einzuholen. Dieses Vorgehen widerspricht den Anforderungen der DSGVO an eine informierte und freiwillige Einwilligung. (Quelle: Usercentrics)

F. Okay, why should i care?

Weil der Dienst zur zentralen Erfassung der Einwilligungen vermutlich nicht haften wird. Das tun die aktuellen Consent-Management-Tools auch nicht. Ihr werdet dafür haften, es ist eure Webseite und ihr in der Verantwortung für die Einhaltung der DSGVO.

Fazit: Ähm ja, well ...

Der Ladenbeauftragte für Datenschutz in Niedersachsen beschreibt es sehr gut:

"Der LfD Niedersachsen geht davon aus, dass sich die bisherige Praxis im Umgang mit Einwilligungen auf Webseiten leider kaum ändern wird und Nutzer sich weiterhin an den eingeblendeten Aufforderungen zur Einwilligung stören." (Quelle: Landesbeauftragter für den Datenschutz Niedersachsen)

Die neue Regelung zur zentralen Einwilligungsverwaltung ist gut gemeint, lässt aber in Praxis erhebliche Bedenken hinsichtlich ihrer Wirksamkeit und praktischen Umsetzung.

"Lösen ließe sich das Problem umständlicher Einwilligungsbanner im Übrigen ganz leicht, auch ohne die Einführung von Einwilligungsverwaltungsdiensten. Dazu müssten Webseitenbetreiber ihre Webseiten konsequent datenschutzfreundlicher gestalten, zum Beispiel indem sie auf Drittdienste und Cookies, insbesondere für exzessives und für den Nutzer nicht vorhersehbares, digitales Marketing, verzichten. Außerdem stören viele Einwilligungsbanner nur deshalb so stark, weil sie von den Nutzern nicht einfach „weggeklickt“ werden können." (Quelle: Landesbeauftragter für den Datenschutz Niedersachsen)

Wir würden da noch ergänzen:

Wie wärs, wenn wir uns anstatt eine deutsche Insellösung zu suchen, die in der Praxis so viele Zweifel offen lässt, lieber um Lösungen kümmern, bei denen das Problem erst gar nicht existiert?

Unter anderem, deshalb haben wir Video-Hosting von Grund auf anders gedacht, mit „Privacy First“ im Kopf. State-Of-The-Art Video Hosting ganz ohne Consent und ohne Nutzertracking damit man die Videos wirklich an alle Besucher*innen ausspielen kann. Ohne Consent Management, ohne Overlays, ohne Daten in die USA zu schicken … das Problem lösen, anstatt eine noch kompliziertes Konstrukt darum zu bauen.