Als krönenden Abschluss des Jahres trat endlich ein lang angekündigtes Gesetz in Kraft, das die Welt zahlreicher Website-Betreiber komplett auf den Kopf stellte: das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz. Ein ganz schöner Zungenbrecher. Daher tut es auch oft die Kurzform TDDDG (früher TTDSG).
Sinn und Zweck des TDDDG ist es, seit dem 1.12.2021 im deutschen Datenschutz-Wirrwarr klar Schiff zu machen. Die bis dato geltende datenschutzrechtliche Situation bezüglich der Regelungen für die Telekommunikation und die Telemedien in Deutschland war nämlich alles andere als übersichtlich.
Eine Besonderheit des TDDDG sind sogenannte "PIMS". Sie sollen das Einwilligungsmanagement revolutionieren und der oft als störend empfundenen Flut von Cookie-Bannern ein für alle Mal ein Ende setzen. Damit ist das PIMS-Modell eine echte Bereicherung für den Datenschutz.
Doch wie wahrscheinlich ist das PIMS-Management? Oder handelt es sich um eine reine Wunschvorstellung? Und was genau sind PIMS eigentlich?
Wir erklären es dir!
PIMS – was ist das?
"PIMS" ist ein Akronym und steht für "Personal Information Management Services" oder auch "Privacy Information Management System". Beim PIMS-Management-System handelt sich um einen innovativen Ansatz der Gesetzgeber, das Einwilligungsmanagement auf Websites schmackhafter zu gestalten – allerdings eher in der Theorie. Warum das so ist, erklären wir dir im Laufe des Artikels.
Wofür sind PIMS gut?
Kurz gesagt: Das Konzept von PIMS sieht vor, Cookie Banner aus den Weiten des Internets zu verbannen.
PIMS heben den Datenschutz auf das nächste Level. Das PIMS-Modell ist dafür zuständig, Einwilligungen zentral zu verwalten. Anders als Cookie Banner, die dich beim Aufruf nahezu jeder Website anspringen. Internetnutzer erteilen ihre Zustimmung einmalig in den PIMS und werden somit nicht zig mal auf verschiedensten Websites gefragt.
Rechtsgrundlage für die Verwendung von PIMS ist § 26 TDDDG. PIMS fallen hierbei in die Sparte der "Anerkannten Dienste zur Einwilligungsverwaltung". Laut dieser theoretisch exzellent klingenden Regelung können unter anderem Voreinstellungen zum Datenschutz an einer zentralen Stelle vorgenommen und verwaltet werden. Ebenso sollen Browser die von dem Nutzer vorgenommenen Einstellungen berücksichtigen. PIMS sollen durch eine unabhängige Stelle überprüft werden. Somit soll sichergestellt werden, dass sie die Privatsphäre der Nutzer tatsächlich schützen.
Beim Besuch einer Website erhält diese von der zentralen Stelle (z.B. PIMS) die darin hinterlegten Datenschutzeinstellungen des Besuchers, indem sie die zentrale Stelle danach fragt.
Somit würde sich der Wunsch von so ziemlich jedem Internetnutzer erfüllen: unbeschwertes Surfen, ganz ohne nervige Bombardierung mit Cookie-Popups. Diese existieren zwar noch, werden dem Besucher allerdings nicht mehr angezeigt, da die Einwilligung stellvertretend bereits von den PIMS übernommen wird.
Die Bedeutung von PIMS für Website-Betreiber
Nachdem wir dir jetzt erläutert haben, dass PIMS eine hervorragende Lösung für Website-Besucher darstellen, sollten wir unbedingt auch klären, inwiefern sie eine Bereicherung für Website-Betreiber sind.
Denn für Website-Betreiber bringen PIMS nicht allzu viele Vorteile mit sich.
PIMS-Signal muss ausgelesen werden
Das Einsetzen von PIMS ist die eine Sache, das Auslesen die andere. Hierbei stellt sich dir Frage nach einer Pflicht zum Auslesen von PIMS-Signalen. Denn werfen wir einen Blick auf den ebenso in der Theorie super klingenden Do Not Track-Header, sehen wir, dass es sich hierbei eher um Wunschdenken als um einen für Website-Betreiber verpflichtenden Befehl handelt.
Du als Website-Betreiber solltest Stand 2021 das Signal also auslesen. Musst es aber nicht, wenn du nicht möchtest.
Als Website-Betreiber kannst du nicht davon ausgehen, dass jeder deiner Besucher PIMS verwendet. Demnach ist es unabdingbar, ein vollumfängliches, rechtskonformes Cookie Banner auf deiner Website zu platzieren – am besten auch noch mit Real Cookie Banner schick gestaltet, da neben PIMS auch weiterhin Nutzer aus Fleisch und Blut Einwilligungen erteilen 😉
Consent-Management-System wird weiterhin benötigt
Auch wenn das PIMS-Modell Cookie Banner für Website-Besucher unsichtbar machen, müssen sie dennoch in datenschutzkonformer Art und Weise vorhanden sein.
Bereits seit 2009, dem Jahr, in dem EU-weit die ePrivacy-Richtlinie eingeführt wurde, gilt laut Art. 66, dass Website-Betreiber die aktive und informierte Einwilligung ihrer Besucher zum Setzen von Cookies und Verarbeiten personenbezogener Daten einholen müssen. Schwierig hierbei war bis dato jedoch die Umsetzung im deutschen Recht. Dies wird ab sofort im TDDDG geregelt.
Außerdem müssen Einwilligungen nach Art. 6 DSGVO zur Verarbeitung von personenbezogenen Daten wie der IP-Adresse eingeholt werden.
Auf deiner Website muss also das Signal des PIMS korrekt ausgewertet oder eine Einwilligung des Nutzers in einem Cookie Banner eingeholt werden – wenn dieser kein PIMS nutzt. Somit wird sichergestellt, dass z.B. Google Analytics wirklich erst nach der Einwilligung geladen wird. Das Laden zum richtigen Zeitpunkt ist nämlich noch immer dem Website-Betreiber überlassen.
Wie realistisch ist die Durchsetzung des PIMS-Modells?
Wie bereits mehrfach erwähnt, ist das PIMS-Management theoretisch eine geniale Idee. Endlich keine nervenden Cookie Banner mehr 🥳 Doch wie bei so vielen genialen Ideen wird es unserer Meinung und Erfahrung nach auch hier an der Durchführung scheitern – zumindest in naher Zukunft. Die Gründe hierfür erläutern wir im Folgenden.
Formale Anforderung an PIMS
Nach § 26 TDDDG müssen PIMS bestimmte Voraussetzungen erfüllen, wie kein wirtschaftliches Eigeninteresse der Anbieter oder ein Sicherheitskonzept des Anbieters. Diese Voraussetzungen müssen in einem sogenannten Anerkennungsverfahren von einer unabhängigen Stelle bescheinigt werden.
Das ist eine tolle Idee zur Qualitätssicherung. Aber, zum Zeitpunkt der Einführung des TDDDG muss die Bundesregierung noch die Form des Verfahrens zur Anerkennung der Dienste festlegen. Das wird vermutlich noch mehrere Jahre in Anspruch nehmen. Somit können erst dann PIMS im Sinne des Gesetzes an den Start gehen.
Finanzierung von PIMS
Anbieter von PIMS müssen sicherstellen, dass die Daten ausschließlich im Rahmen der von dem Nutzer voreingestellten Präferenzen verwendet werden. Auf der anderen Seite müssen aber auch PIMS-Anbieter selbst vertrauenswürdig sein und ein ausführliches Sicherheitskonzept vorlegen. Das ist in § 26 TDDDG geregelt. Demzufolge müssen die Anbieter geprüft und ein wirtschaftliches Interesse an den Einwilligungen ausgeschlossen werden.
Wie finanzieren sich PIMS also? Sie dürfen kein wirtschaftliches Interesse an den Einwilligungen haben, müssen zugleich aber als ihr Hauptprodukt ein System zur Einholung von Einwilligungen vertreiben. Hier sind kreative Geschäftsmodelle gefragt, wie sich PIMS refinanzieren könnten, denn viele Endnutzer werden für die Nutzung eines PIMS keine monatliche Gebühr zahlen wollen.
Deutschland gegen die Welt (und die EU) mit PIMS
Ein technischer Standard für PIMS müsste in allen Systemen, Websites, Apps etc. einheitlich umgesetzt werden. Für Websites müsste jeder Browser den Standard zum Einholen der Einwilligungen umsetzen bzw. ein PIMS-Plugin zur Verfügung stehen und jede Website muss das Signal verarbeiten können. Dass Deutschland hier einen Weltstandard entwickelt, während die EU als weit größere Institution es nicht schafft, einen solchen Standard auf den Weg bringt, klingt abwegig.
Gegen eine EU-weite verpflichtende Durchsetzung des PIMS-Modells spricht dabei das Gegenüberstehen von EU-Recht und deutschem Recht. Beispielsweise müssten auch nicht-deutsche Website-Betreiber in der EU (oder mit EU-Zielgruppe) das TDDDG und damit die Rechtsgrundlage von PIMS anwenden. Wird sich ein Shop-Betreiber aus Schweden wirklich darum bemühen, ausschließlich deutsche Gesetze einzuhalten, oder geht er das Risiko ein, theoretisch in Deutschland verklagt zu werden?
Konzept ist in der Vergangenheit bereits gescheitert
In der Vergangenheit bereits gescheitert: Die ePrivacy-Richtline (Richtlinie 2009/136/EG) schlägt in Erwägungsgrund 66 bereits eine Art PIMS vor. Privatsphäre-Einstellungen sollen zentral in den Einstellungen des Browsers angegeben werden können. Seit der Verabschiedung 2009 gibt es hierfür aber keinen technischen Standard. Do Not Track als technischer Standard zum Ablehnen von Tracking-Tools ist gescheitert, da Website-Betreiber keine rechtliche Pflicht haben, das Signal auszuwerten.
Schaut man sich den Marktanteil von Browsern im Jahr 2021 weltweit an, so sieht man, dass Google Chrome mit über 65 % Marktanteil Spitzenreiter ist. Hat Google ein Interesse daran Datenschutz für Internetnutzer besonders einfach zu machen, wo ihr Hauptgeschäftsmodell es ist möglichst viele Daten zu sammeln und personalisierte Werbung auszuspielen? Wohl kaum! Daher werden sie sich bis zu einer gesetzlichen Pflicht bestimmt nicht dazu bewegen, ein PIMS direkt und für alle Nutzer in ihrem Browser einzubauen.
Mangelhafte Informationspflicht und falsche Auswertung einbinden
Die Einhaltung der Einwilligungs- und Informationspflicht zur Datenverarbeitung im Rahmen des PIMS-Modells erweist sich als schwierig – zumal dies auch aktuell nicht der Fall ist. Oftmals verwenden Website-Betreiber auf ihren Websites für die Verwendung des gleichen Services (z.B. Google Maps) unterschiedliche Datenschutzhinweistexte. Den Website-Betreibern fehlt es schlichtweg an den erforderlichen Kenntnissen. Infolgedessen werden Services nicht korrekt ausgewiesen – z.B. als essenziell, obwohl dies nicht der Fall ist.
Der Website-Betreiber müsste nun also nicht nur die von ihm verwendeten Services korrekt einschätzen, sondern auch die Signale der PIMS müssten durch den Website-Betreiber bewertet werden. Nur wenn beides richtig eingeschätzt wird, und auf das Signal der richtige Service aktiviert wird, könnte ein echter Mehrwert im Datenschutz hergestellt werden. Großunternehmen mit Rechtsanwaltsabteilungen können das hinbekommen. Wie das ein Blogger hinbekommen soll, bleibt offen.
EU-weite PIMS durch ePrivacy-Verordnung
Allerdings ist die Verbreitung von PIMS in Zukunft – abseits vom TDDDG – nicht komplett abwegig. Denn spätestens mit der Einführung der ePrivacy-Verordnung als Ablösung der aktuellen ePrivacy-Richtline könnte das PIMS-Konzept sogar Realität werden. Ob sie es in die finale Version der ePrivacy-Verordnung schaffen, ist Stand Dezember 2021 jedoch noch nicht sicher.
Die ePrivacy-Verordnung wird den Umgang mit Cookie Bannern, Cookies und ähnlichen Technologien noch einmal neu regeln. Daher könnte es auch sein, dass PIMS oder ähnliche Modelle in der ePrivacy-Verordnung festgelegt werden und EU-weit umgesetzt werden müssen.
Allerdings ist höchstwahrscheinlich erst gegen Ende 2023 (oder später) mit der Einführung einer ePrivacy-Verordnung zu rechnen. Anschließend müssen technische Standards, PIMS als reale Produkte und in der Realität verhängte Strafen bei nicht oder falscher Verwendung von PIMS in das Leben innerhalb der EU Einzug finden. Das kann noch mal ein paar Jahre in Anspruch nehmen.
Bis dahin heißt es: Abwarten, Tee trinken und die Cookie Banner-Lawine ertragen 😉
Um den Cookie-Wahnsinn sowohl für dich, als Website-Betreiber, als auch deine Besucher erträglicher zu machen, schafft das Cookie-Consent-Plugin Real Cookie Banner Abhilfe. Einwilligungen deiner Besucher in das Setzen von Cookies und Verarbeiten personenbezogener Daten kannst du unkompliziert & schnell datenschutzkonform managen. Mithilfe zahlreicher (Design-)Einstellungen und Support aus Deutschland erleichtern wir sowohl dir als auch deinen Besuchern den Alltag im Internet immens!