Einwilligungsverwaltungs­verordnung und technische Alternativen

Consent-Banner haben den Nachteil, dass sie auf nahezu allen Websites eingebunden werden müssen: Um dieses für Websitebesuchende wie -betreibende gleichermaßen unpraktische System zu verbessern, sieht § 26 TDDDG die Einführung zentraler Einwilligungsverwaltungsdienste vor. Im folgenden Beitrag werden die aktuelle Entwicklung zu § 26 TDDDG skizziert und alternative technische Ansätze vorgestellt.

§ 26 TDDDG: Anerkannte Dienste zur Einwilligungsverwaltung

Bereits in früheren Beiträgen haben wir über das Thema anerkannte Dienste zur Einwilligungsverwaltung i. S. v. § 26 TDDDG berichtet. Seit dem 01. April 2025 ist nun die im Beitrag erwähnte Einwilligungsverwaltungsverordnung (EinwV) in Kraft getreten. Damit wurde, kurz gesagt, ein rechtlicher Rahmen geschaffen, der eben solche Dienste ermöglichen soll.

EinwV in Kraft, doch (noch) keine anerkannten Dienste

Obwohl die EinwV inzwischen in Kraft getreten ist, existieren derzeit noch keine offiziell anerkannten Dienste zur zentralen Einwilligungsverwaltung. Und dies liegt nicht nur daran, dass sie erst seit Kurzem gilt. Denn die auf den ersten Blick vielversprechenden Erleichterungen für Websitebesuchende gehen mit hohen Anforderungen an die Anbieter solcher Dienste einher. So müssen sie ein umfangreiches Anerkennungsverfahren durchlaufen, das u. a. die Vorlage eines Sicherheitskonzepts und die Erfüllung bestimmter technischer und organisatorischer Anforderungen umfasst, s. § 10 EinwV, der seinerseits auf die §§ 3 – 7 und 12 EinwV verweist.

Zusätzlich ist die Teilnahme am System für Website-Betreibende freiwillig. Eine spürbare Erleichterung wird sich daher für diese erst einstellen, wenn sich die breite Bevölkerung für den Einsatz eines solchen zentralen Verwaltungstools entscheidet. Anderenfalls müssen die Internetseitenanbieter dauerhaft zweigleisig fahren und damit weiterhin einen herkömmlichen Consent-Banner für all diejenigen bereitstellen, die keinen anerkannten Dienst zur Einwilligungsverwaltung nutzen. Eine solche Doppelimplementierung bedeutet dann nicht nur einen erhöhten Verwaltungsaufwand, sondern verursacht auch zusätzliche Kosten.

Alternativen zu anerkannten Diensten und ihre Grenzen

Auch wenn derzeit noch keine Dienste im Sinne von § 26 TDDDG anerkannt sind, existieren bereits einige Plattformen und technische Lösungen, die Websitebesuchenden mehr Kontrolle über ihre Datenschutzeinstellungen bieten sollen. Einige von Ihnen suggerieren sogar eine Art von zentralisierten Einwilligungseinstellungen. Allerdings ist vorweg klarzustellen, dass diese bislang noch kein offizielles Anerkennungsverfahren durchlaufen haben und damit nicht die gesetzlichen Anforderungen des § 26 TDDDG i. V. m. EinwV erfüllen. Sie sind kein Allheilmittel, sondern eher ein digitales Pflaster für ein strukturelles Problem, da sie nicht tief genug greifen, um das eigentliche Einwilligungschaos dauerhaft zu ordnen. Im Folgenden werden zwei von ihnen sowie sonstige Handlungsmöglichkeiten vorgestellt.

YourOnlineChoices.eu

Die European Interactive Digital Advertising Alliance (EDAA) ist eine europäische Brancheninitiative zur Selbstregulierung der Online-Werbung, die mit dem Portal YourOnlineChoices.eu eine zentrale Anlaufstelle für Nutzer:innen zur kostenlosen Verwaltung ihrer Werbepräferenzen bietet.

Technisch funktioniert YourOnlineChoices so, dass beim Setzen von Werbepräferenzen sog. Opt-out-Cookies im Browser gespeichert werden. Diese werden nicht von der Website selbst, sondern von den eingebundenen Werbenetzwerken ausgelesen, um personalisierte Werbung zu unterbinden. Die Entscheidung gilt nur im aktuellen Browser und muss bei Cookie-Löschung oder Gerätewechsel neu gesetzt werden.

Die Einstellungen gelten allerdings nur für teilnehmende Unternehmen und die eigentlichen Websitebetreiber erkennen die Einstellungen nicht automatisch, weshalb weiterhin der Consent-Banner angezeigt wird. Wird dort nun auf „Alle akzeptieren“ geklickt, hebt diese Einwilligung die zuvor über YourOnlineChoices gesetzten Einschränkungen effektiv wieder auf.

Global Privacy Control (GPC)

GPC ist ein technischer Standard, also eine festgelegte und standardisierte Methode, mit der Webbrowser automatisch eine Datenschutzpräferenz an Websites übermitteln können. Websitebesuchende können dadurch browserseitig signalisieren, dass sie der Weitergabe ihrer personenbezogenen Daten widersprechen.

Dies setzt den Download eines spezifischen Browsers, bspw. Firefox oder DuckDuckGo, oder einer Erweiterung voraus. Beim Aufruf einer Website sendet der Browser bzw. die Erweiterung dann ein spezielles HTTP-Signal mit. Dieses teilt dem Webserver mit, dass der Nutzende keine Verarbeitung zu Werbezwecken wünscht.

In Teilen der USA entfaltet sie sogar möglicherweise eine rechtlich bindende Wirkung, insb. im Rahmen des California Consumer Privacy Acts bzw. California Privacy Rights Acts.

In allen anderen Regionen ist die Berücksichtigung auf Seiten der Websitebetreibenden freiwillig. Zudem besteht das Signal selbst lediglich aus einem HTTP-Header mit dem Inhalt „Sec-GPC: 1“ und bedeutet so viel wie „Ich will kein Tracking“. Dies ist sehr undifferenziert und muss nicht zwingend bedeuten, dass dies mit einem Klick auf „Alles Ablehnen“ gleichzusetzen ist. Entsprechend könnte dies auch als Bevormundung des Besuchenden verstanden werden, weshalb entsprechend auf Websites weiterhin ein Consent-Banner angezeigt werden könnte, womit ebenfalls beim Klick auf „Alles akzeptieren“, das vorher gesendete Signal faktisch aufgehoben wird.

Browsereinstellungen, AdBlocker und Co.

Neben den obigen Möglichkeiten existieren noch viele weitere Handlungsmöglichkeiten. So bieten viele Browser wie Firefox oder Safari selbst schon eingebaute Anti-Tracking-Optionen, z. B. in ihren Einstellungen. Zudem gibt es eine Reihe von Add-Ons und Diensten, die Abhilfe verschaffen können. Eine Übersicht und Einstellungsmöglichkeiten finden Sie im Blogbeitrag: Anti-Tracking-Tools und Tracking-Blocker.

Hilfreich, aber nicht ausreichend

Ob und wann mit offiziell anerkannten Einwilligungsverwaltungsdiensten gerechnet werden kann, bleibt derzeit, auch aufgrund der beschriebenen Hürden, ungewiss. Mit anderen Tools lässt sich zumindest der Versuch unternehmen, der allgegenwärtigen Flut an datenverarbeitenden Techniken etwas entgegenzusetzen. Ob dies allerdings tatsächlich viel bewirkt, sei, je nach gewählter Methode, dahinstellt. Bei Optionen wie YourOnlineChoices oder GPC hängt die Wirksamkeit davon ab, ob Werbe- und Websitebetreibenden aktiv mitwirken. Im Prinzip verspricht derzeit nur der Einsatz von Adblockern im privaten Modus eines Browsers etwas Abhilfe. Für technikversiertere Menschen kann ein lokal betriebener DNS-Filter, z. B. mittels Pi-Hole eine wirksame Ergänzung zu browserbasierten Adblockern sein. Dieser Weg wird vermutlich rechtlich keinen anerkannten Widerspruch darstellen, weil er lediglich technisch blockiert, schützt aber so effektiv vor ungewolltem Datenabfluss.