Thomas Schwenke zur Cookie-Verordnung: „gut gemeint, aber schlecht gemacht“

ABER wir hatten noch ein paar Fragezeichen im Kopf. Sind wir zu kritisch, weil wir das Thema ohnehin ganz anders angehen? Wenn es nach uns geht, sollten wir keine deutsche Insellösung suchen, sondern uns lieber um Lösungen kümmern, bei denen das Problem erst gar nicht existiert. In unserem Fall eben Video-Hosting ganz ohne Consent und Cookies für Europa gemacht. 

Um unsere Fragezeichen zu klären, haben wir Dr. jur. Thomas Schwenke, LL.M. (UoA) gesprochen. Thomas ist Rechtsanwalt und Experte im Datenschutz, er berät Unternehmen beim Marketing und KI-Einsatz, podcastet unter Rechtsbelehrung.com und bietet mit der Plattform Datenschutz-Generator.de ein beliebtes Werkzeug zur Erstellung von Datenschutzerklärungen oder KI-Richtlinien.

Teaser: Leider hat sich die Meinung zur zentralen Einwilligungsverwaltung nicht verbessert, denn Thomas sagt am Ende:

„[...] Die Cookie-Verordnung ist ein gutes Beispiel für den Ansatz „gut gemeint, aber schlecht gemacht“. Es scheint, dass die Verfasser übersehen haben, dass die Regeln zur Einwilligung von der EU vorgegeben werden. Eine effiziente Vereinfachung der Cookie-Einwilligung kann daher nur auf EU-Ebene gelingen. [...] "  

Fragen hatten wir primär … 

• zum Anwendungsbereich der Einwilligungsverwaltung
• der internationalen Anwendung, weil nur wenige Webseiten „nur“ in Deutschland existieren.
• zur Haftung in der Praxis, wenn bis heute ein großer Teil an Webseiten schon nicht DSGVO-konform ist. 

Wir haben versucht, jedes der Probleme mit einem Praxisbeispiel zu erklären. Antworten auf diese Fragen findet ihr in unserem Interview mit Thomas. 

Interview: mit Thomas Schwenke zur zentralen Einwilligungsverwaltung

Hi Thomas, lass uns direkt mit der ersten Frage loslegen. 

Topic #1:
Begrenzter Anwendungsbereich der Einwilligungsverwaltung

Kritiker bemängeln, dass die zentrale Einwilligungsverwaltung nur den Anwendungsbereich von § 25 TDDDG abdeckt. Viele Einwilligungen, wie sie für die Verarbeitung personenbezogener Daten nach der DSGVO erforderlich sind, werden nicht erfasst. (Details)

Beispiel:

• Ich nutze Google Analytics auf meiner Webseite. Das § 25 TDDDG (technologiebezogen) regelt, dass ich einen Tracking-Cookie auf dem Endgerät der Nutzer speichern darf – dafür benötige ich eine Einwilligung.
• Was § 25 TDDDG jedoch nicht regelt, ist die Verarbeitung der Daten, die durch dieses Cookie erhoben werden. Dazu gehören etwa die IP-Adresse und das Nutzungsverhalten. Diese Daten dürfen nur nach den Anforderungen der DSGVO (datenbezogen) verarbeitet werden, was eine separate Einwilligung erfordert.

Für Unternehmen bedeutet das, dass sie weiterhin parallele Systeme betreiben müssen? Wie lassen sich die Regelungen des TDDDG und der DSGVO in der Praxis sinnvoll miteinander kombinieren?

"Es ist möglich, mehrere Einwilligungen mit einer Einwilligungshandlung, z. B. Klick auf die Schaltfläche „Alle Cookies akzeptieren“, einzuholen. Das passiert auch heutzutage bereits in jedem Cookie-Banner. Das heißt, ein System, das zentrale Einwilligungen nach dem TDDDG einholt, kann zugleich auch Einwilligungen nach der DSGVO einholen. Wichtig ist jedoch, dass die Nutzer darüber aufgeklärt werden, welche Reichweite ihre Einwilligung hat und dass sie auch zugunsten anderer Websitebetreiber dient.

Eine andere Frage ist aber, ob es zulässig ist, eine Einwilligung mit Wirkung gegenüber allen Betreibern von Webseiten zu erklären, wie die Einwilligungsverwaltungsverordnung (EinwV) vorsieht. Das grenzt an eine Pauschaleinwilligung, die wiederum von der DSGVO nicht erlaubt ist. Das heißt, es ist nicht sicher, dass die EinwV EU-rechtlich zulässig ist."

Topic #2: Haftungsfragen bei Fehlern im zentralen Dienst

Laut Studien sind bis zu 54% der Webseiten nicht DSGVO-konform umgesetzt und haben mindestens einen Fehler in der Umsetzung (Quelle). Wenn ein Webseitenbetreiber einen zentralen Einwilligungsdienst nutzt und dieser auf einer anderen Webseite fehlerhaft arbeitet, bleibt unklar, wer haftet.

Beispiel:

• Die andere Webseite speichert eine falsche Einwilligung, weil ein Dienst fälschlicherweise als „essenziell“-kategorisiert wurde, ich als Webseitenbetreiber kann dies weder nachvollziehen noch sehen.

Wer trägt in solchen Fällen die rechtliche Verantwortung? Wie können sich Unternehmen absichern, wenn sie zentrale Einwilligungsdienste nutzen?

"Die datenschutzrechtliche Verantwortung für die auf der Webseite eingebundenen Dienste trägt der Anbieter der Webseite. Die Verordnung enthält keine Erleichterung, die den Webseitenbetreiber aus der Haftung nimmt.

Das heißt, wenn er ein externes System betreibt, bleibt dem Anbieter der Webseite nur übrig, etwaige Gewährleistungsansprüche bei dem Anbieter des Dienstes geltend zu machen.

Da die EinwV vorsieht, dass Anbieter von „anerkannten Diensten zur Einwilligungsverwaltung“ kein wirtschaftliches Interesse an den Daten der Nutzer haben dürfen, müssten sie ein anderes Geschäftsmodell aufbauen, um eine solche Gewährleistung zu bieten. Alternativ müsste die Haftung ausgeschlossen werden, was rechtlich problematisch ist und das Vertrauen der Webseitenbetreiber in ein solches System nicht gerade steigern dürfte."

Topic #3
Komplexität der DSGVO-Konformität

Die DSGVO verlangt, dass Einwilligungen „freiwillig, spezifisch und informiert sind“. Dies muss auch bei der Nutzung eines zentralen Dienstes gewährleistet sein. In der Praxis finden wir eine große Vielfalt an Consent-Banner, die mal mehr oder weniger rechtlich umstritten sind. Aktuell gibt es nicht die Standardlösung.

Beispiel:

• Nehmen wir an die Einwilligung kommt z. B. durch ein rechtlich umstrittenes „Consent-or-Pay“-Banner, wie ihn viele Medien nutzen, zustande und liegt damit bei knapp 100%. Auf meiner B2B-Webseite nutze ich den gleichen Service, …

Was sind aus deiner Sicht die größten Herausforderungen bei der Diskrepanz zwischen den rechtlichen Anforderungen und der praktischen Umsetzung? Dürfte es noch verschiedene Versionen dieser Consent-Banner geben?

"Die größte Herausforderung ist die Verbreitung einer zentralen Einwilligung. Da es sich um ein lokales deutsches Gesetz handelt, ist nicht damit zu rechnen, dass Browser-Anbieter es von sich aus integrieren werden. Auch sind die oben in Frage 2. beschriebenen Einschränkungen für kommerzielle Anbieter abschreckend.

Eine weitere Schwierigkeit besteht darin, dass die Einwilligung für jeden einzelnen Dienst, dessen richtige Version und gewählte Einstellungen gelten muss. Dies macht die Umsetzung komplex und riskant für Webseitenbetreiber, da sie für ungültige Einwilligungen haftbar gemacht werden können. Zu dem Beispiel in der Frage ist allerdings anzumerken, dass ein „Consent-or-Pay“-Banner nicht per se unzulässig ist. Auch hier kommt es auf die Gestaltung an."

Topic #4
Internationale Herausforderungen

Die Verordnung gilt nur in Deutschland, während andere Länder der EU eigene, oft strengere Regeln für Cookie-Banner haben. Das macht es für international agierende Unternehmen schwierig, einheitliche Lösungen zu schaffen.

Beispiel:

• Ich habe eine Webseite auf Deutsch und Französisch. In Frankreich gibt es die zentrale Erfassung nicht.

Wie können Unternehmen mit solchen regionalen Unterschieden umgehen?

"Unternehmen haben entweder die Möglichkeit, sich an den strengeren Vorschriften innerhalb der EU zu orientieren oder maßgeschneiderte Cookie-Lösungen für die verschiedenen Länder zu entwickeln.

Dabei entscheiden sich die meisten Unternehmen für die erste Lösung. Denn obwohl die Einwilligung in die Cookie-Nutzung EU-weit einheitlich geregelt ist, gibt es wenig Spielraum für Mitgliedsländer, sich in Bezug auf die Erleichterung oder Erschwerung der Einholung dieser Einwilligung abweichend zu verhalten. Gerade die deutsche EinwV ist ein Paradebeispiel, das zeigt, wie schwierig es ist, von den EU-Regeln abzuweichen."

Topic #4
Wie realistisch ist die Verordnung?

Basierend auf deinen bisherigen Antworten und auf der allgemeinen Kritik dürfte dein Fazit ja nicht gerade positiv ausfallen. Was uns zur letzten Frage bringt:

Ist das Ziel der Verordnung aus deiner Sicht realistisch, oder führt sie eher zu mehr Komplexität für Unternehmen und Nutzer:innen?

"Die Cookie-Verordnung ist ein gutes Beispiel für den Ansatz „gut gemeint, aber schlecht gemacht“. Es scheint, dass die Verfasser übersehen haben, dass die Regeln zur Einwilligung von der EU vorgegeben werden. Eine effiziente Vereinfachung der Cookie-Einwilligung kann daher nur auf EU-Ebene gelingen.

Die deutsche Cookie-Verordnung könnte bestenfalls als Vorschlag dienen, wie eine solche Vereinfachung auf EU-Ebene aussehen könnte.

In der Praxis würde die Umsetzung der deutschen Cookie-Verordnung nur denjenigen Nutzern Erleichterung verschaffen, die generell bereit sind, großzügig Einwilligungen zu erteilen. Nutzer, die sich dagegen verweigern, könnten hingegen mit einem noch größeren Durcheinander durch unterschiedliche Cookie-Verfahren konfrontiert werden.

Aus Frustration könnte dies dazu führen, dass sie letztlich doch auf „Alles akzeptieren“ klicken. Dadurch besteht eine große Gefahr, dass die EinwV aus Sicht des Verbraucherschutzes am Ende mehr schadet als nützt."

Danke für deine Antworten zu unseren Fragen Thomas! Wer möchte kann sich an dieser Stelle gerne nochmals unsere allgemeine Vorstellung der EinwV ansehenansehen. Mehr zu Dr. jur. Thomas Schwenke findet ihr hier: