Einwilligungsverordnung 2025: Was mittelständische Unternehmen wissen müssen

 

Die Verordnung, basierend auf § 26 Abs. 2 des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG), zielt darauf ab, die Flut von Cookie-Bannern zu reduzieren und ein angenehmeres Nutzererlebnis zu ermöglichen. 

Hintergrund und Ziele der Einwilligungsverordnung

Die EinwV wurde eingeführt, um die Verwaltung von Einwilligungen im digitalen Bereich zu vereinfachen und zu verbessern. Cookie-Banner, die Nutzer:innen bei jedem Besuch einer Website zur Einwilligung auffordern, werden von Nutzer:innen oft als störend empfunden und beeinträchtigen das Surferlebnis. Wer die Verwaltung von Cookies ernsthaft betreiben will, hatte dafür bislang keine zentrale Einstellungsmöglichkeit, sondern musste die Einstellung für jede Website gesondert vornehmen. Zudem sind auch sieben Jahre nach Inkrafttreten der DSGVO viele Cookie-Banner insbesondere von kleinen und mittelständischen Unternehmen nicht DSGVO-konform umgesetzt.

Die Hauptziele der Einwilligungsverordnung sind deshalb:

  • Reduzierung der Cookie-Flut: Durch die Einführung standardisierter Einwilligungsverfahren vom Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI) sollen die Anzahl der notwendigen Klicks und die Häufigkeit der Einwilligungsaufforderungen verringert werden.
  • Verbesserung des Nutzererlebnisses: Nutzer:innen sollen eine bessere Kontrolle und Übersicht über ihre Einwilligungen erhalten.
  • Stärkung des Datenschutzes: Klare und verständliche Regeln sollen den Datenschutz und die digitale Selbstbestimmung der Nutzer:innen fördern.

Die wichtigsten Regelungen

Die Förderung der vorgenannten Ziele soll hauptsächlich durch die flächendeckende Einführung von sogenannten Diensten zur Datenverwaltung bzw. Personal Information Management Systems (PIMS) erreicht werden. PIMS erlauben es den Nutzer:innen, globale Einstellungen für die Speicherung von Informationen auf ihrem Endgerät (z.B. Cookies) oder den Zugriff auf bereits auf ihrem Endgerät gespeicherte Daten zu hinterlegen. Damit die Voreinstellungen der Nutzer:innen beim Besuch einer Website abgefragt werden können, muss der Websitebetreiber den jeweiligen Dienst allerdings vorab auf seiner Website einbauen.

Der Verordnungsgeber hat Voraussetzungen aufgestellt, die Anbieter von PIMS erfüllen müssen, um vom BfDI anerkannt zu werden. Der BfDI wird ein öffentliches Register mit den zertifizierten Dienstleistern führen. Für die Anerkennung müssen die Anbieter ihr PIMS insbesondere nutzerfreundlich und wettbewerbskonform gestalten. Nutzerfreundlich sind Dienste, deren Nutzeroberfläche transparent und verständlich aufgebaut ist und den Nutzer:innen die jederzeitige Änderung ihrer Einstellungen ermöglichen. Ein wettbewerbskonformes Verfahren setzt voraus, dass 

  • der PIMS-Anbieter bei jedem Anbieter von digitalen Diensten unter den gleichen Bedingungen die Nutzereinstellungen abfragen kann, 
  • die Nutzereinstellungen einheitlich dargestellt werden und 
  • die Darstellung der Anbieter von digitalen Diensten im PIMS für die Nutzer:innen nach objektiven Kriterien erfolgt (beispielsweise chronologisch oder alphabetisch). 

Außerdem müssen die PIMS-Anbieter ein Sicherheitskonzept zum angemessenen Schutz personenbezogener Daten der Nutzer:innen entwickeln.

Kritik an der Verordnung

Kritiker:innen halten die Verordnung hingegen nicht für zielführend. So wird bemängelt, dass die Einbindung von PIMS für Websitebetreiber nicht verpflichtend geregelt ist. So ist zu befürchten, dass das Henne-Ei-Problem entsteht. Solange es keine anerkannten PIMS-Anbieter gibt, haben Websitebetreiber keinen Anreiz, diese neue Technologie zu berücksichtigen. Wenn PIMS jedoch nicht flächendeckend Berücksichtigung finden, gibt es keine Anreize für potenzielle Anbieter, technische Lösungen zu entwickeln. 

Zudem gibt es Bedenken dagegen, dass die Verordnung den Datenschutzbelangen der Nutzer:innen von PIMS ausreichend Rechnung trägt. Wenn die Nutzer:innen ihre datenschutzrechtlichen Einwilligungen in einem zentralen System verwalten, birgt dies auch ein gewisses Sicherheitsrisiko.

Letztlich sei die Umsetzung gerade für kleine und mittelständische Unternehmen zu komplex. Da vorübergehend nicht damit zu rechnen ist, dass die weit überwiegende Mehrheit der Websitebesucher PIMS nutzen werden, müssten Websitebetreiber auch weiterhin ein „klassisches“ Cookie-Banner vorhalten. Die Implementierung der technischen Voraussetzungen für PIMS würde daher einer zusätzlichen Belastung gleichkommen.

Fazit

Die Kritik an der Verordnung ist durchaus berechtigt. Sofern die Umsetzung nicht von den Marktführern vorangetrieben wird, werden die fehlenden Anreize vermutlich dazu führen, dass es nicht zu einer flächendeckenden Implementierung von PIMS kommen wird. Der Verordnungsgeber ist dazu verpflichtet, die Wirksamkeit der getroffenen Maßnahmen zwei Jahre nach Inkrafttreten der Verordnung zu prüfen und dem Bundestag und -rat zu berichten. Es wird bereits vermutet, dass die Verordnung dahingehend angepasst werden muss, dass die Implementierung von PIMS für Websitebetreiber verpflichtend ist. Auf europäischer Ebene gibt es zudem auch Bestrebungen, die Einwilligungsverwaltung europaweit einheitlich zu regeln. Die Verordnung ist ein erster Schritt auf dem Weg zu einem Cookie-Banner-freien Surferlebnis, auf den jedoch noch einige weitere Schritte folgen werden.

Unsere Empfehlung für Unternehmen ist, sich grundsätzlich mit dem Thema vertraut zu machen. Allerdings sehen wir vorerst keinen zwingenden Handlungsbedarf. Für Unternehmen ist es in der aktuellen Rechtslage wichtiger, das klassische Cookie-Banner DSGVO-konform zu gestalten, da wir gerade im vergangenen Jahr ein gesteigertes Interesse der Aufsichtsbehörden an der stichprobenartigen Prüfung von Websites feststellen mussten. 

Ähnliche Beiträge

14. September 2020

Die datenschutzrechtliche Einwilligung in den Einsatz von Cookies

Wer auf seiner Webseite Cookies oder Plugins einsetzen möchte, die für den Betrieb der Webseite technisch nicht erforderlich sind und eventuell sogar Daten an Dritte übertragen, benötigt die Einwilligung der Webseitenbesucher. Diese holen sich Unternehmen in der Regel über ein Cookie-Banner ein. Zudem werden auch Tools eingesetzt, die den Inhalt eines Plugins zunächst unterdrücken und es erst nach einem weiteren Klick auf die Einwilligung nachladen - die sogenannte „Zwei-Klick-Methode“. Wie Sie dies datenschutzkonform umsetzen, erklären wir Ihnen in unserem Praxistipp.
Datenschutz
EU-DSGVO
18. Februar 2020

Bundesgerichtshof kündigt Urteil zur Einwilligung in Cookies an

Bereits im Oktober 2019 hat die Entscheidung des Europäischen Gerichtshofs zu den Anforderungen an eine wirksame Einwilligung viel Gehör gefunden. Es ging insbesondere um die Frage, ob eine Checkbox für die Abgabe einer Einwilligung in das Setzen von Cookies bereits vorausgewählt sein darf oder nicht. Der Fall ging zurück an den Bundesgerichthof, dessen Urteil für Mai erwartet wird. Eine Tendenz lässt sich aber bereits erkennen.
Datenschutz
EU-DSGVO
03. Juni 2020

Bundesgerichtshof entscheidet über Cookie-Einwilligung

Im Rechtsstreit zwischen Planet49 und dem Bundesverband der Verbraucherzentralen und Verbraucherverbände (vzbv) entschied Ende Mai 2020 der Bundesgerichtshof und brachte damit den seit 2014 andauernden Rechtsstreit zu einem Abschluss. Der Bundesgerichtshof hat sich darin dem Europäischen Gerichtshof angeschlossen und erkannte die Einwilligung mittels eines vorausgewählten Kästchens nicht als ausreichend an.
EU-DSGVO
Datenschutz
24. Oktober 2022

Cookie-Walls: Nähern wir uns einer rechtssicheren Handhabung?

Die Frage, ob Cookie-Walls Grundlage einer wirksamen Einwilligung in die Verarbeitung von personenbezogenen Daten sein können, wird von europäischen Datenschutzbehörden stark hinterfragt – in der Regel sogar verneint. Eine höchstrichterliche Entscheidung zu dem Thema steht noch aus.
E-Commerce
EU-DSGVO
IT-Recht
IT-Sicherheit
Zurück

Dr. Christian Lenz

Rechtsanwalt / Fachanwalt für Steuerrecht / Fachanwalt für Informationstechnologierecht

Zum Profil von Dr. Christian Lenz

Kirsten Garling

Rechtsanwältin

Zum Profil von Kirsten Garling

Joshua Kniesburges

Rechtsanwalt

Zum Profil von Joshua Kniesburges

René Manz

IT-Prüfer und Berater

Zum Profil von René Manz

Datenschutz EU-DSGVO

Kontakt

Nehmen Sie mit uns Kontakt auf

Mail Kontaktformular Telefon +49 228 81000 0 Newsletter Newsletter
Durch das Laden des YouTube Videos erklären Sie sich damit einverstanden, dass Cookies durch YouTube und Google gesetzt werden, und dadurch Daten an diese Anbieter übermittelt werden. Wir verarbeiten die Daten um die Zugriffe auf unsere YouTube-Videos analysieren zu können oder die Wirksamkeit unserer Werbung und Anzeigen auszuwerten. YouTube und Google verarbeiten die Daten auch zu eigenen Zwecken. Zudem erklären Sie sich auch damit einverstanden, dass Ihre Daten in die USA übermittelt werden, obwohl in den USA das Risiko besteht, dass US-Behörden zu Überwachungszwecken Zugriff auf Ihre Daten erhalten und Ihnen dagegen möglicherweise keine ausreichenden Rechtsschutzmöglichkeiten zustehen. Weitere Informationen finden Sie in unserer Datenschutzerklärung.
YouTube Video laden