Personal Information Management Systems nach TTDSG

Die Nutzung digitaler Medien nimmt mittlerweile in vielen Lebensbereichen einen wachsenden Stellenwert ein. Der damit verbundene Austausch digitaler Informationen findet meist über das Internet mit Hilfe eines Browsers oder einer entsprechenden App statt. Allerdings findet neben der direkten, für die Nutzer sichtbaren Kommunikation oftmals auch ein kaum sichtbarer Informationsaustausch statt mit dem Ziel, das Verhalten der Nutzer aufzuzeichnen („Tracking“) und Profile für Marketing- und ähnliche Zwecke zu bilden

Sowohl die Bereitstellung vieler Komfortfunktionen als auch das Tracking erfolgen meist mittels Cookies über Zugriffe auf die Endgeräte der Nutzer, die zur Wahrung des Datenschutzes und der Systemintegrität in der EU zumeist eine Einwilligung erfordern (Art. 5 Abs. 3 RL (EU) 2002/58/EG in der Fassung 2009/136/EG sowie Art. 6 Abs. 1 lit. a DSGVO). Daher begegnen den Internetnutzern beim Aufruf von Webseiten regelmäßig Einwilligungsabfragen, die allerdings oft als „nervend“ empfunden werden und daher auch oft ohne genaues Lesen einfach akzeptiert werden („consent fatigue“), ihren Schutzzweck also verfehlen. Hierfür gibt es viele anekdotische Belege, aber auch systematische Studien wie beispielsweise von Web.de und GMX (Friemel 2020). Wünschenswert wäre daher eine nutzerfreundliche und gleichzeitig rechtskonforme Alternative zu Cookie-Bannern, beispielsweise als zentraler Dienst zur Einwilligungsverwaltung.

Um hier Abhilfe zu schaffen, wurde das Konzept der „Personal Information Management Services“ (PIMS) vorgeschlagen, beispielsweise von der Stiftung Datenschutz (2017), sowie die eng verwandten „Personal Information Management Systems“ (EDPS 2020) oder, mit einem etwas anderen Ansatz, die in ISO/IEC 27701:2019 standardisierten Privacy Information Management Systems. Auf dieser Basis hat der deutsche Gesetzgeber in § 26 des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) das Konzept unter dem Namen der „anerkannten Dienste zur Einwilligungsverwaltung“ auch juristisch eingeführt. Eine bislang nicht vorliegende Rechtsverordnung der Bundesregierung soll die Anforderungen an PIMS und ihre Anerkennung näher definieren (§ 26 Abs. 2 TTDSG). Mit (Stiemerling et al. 2021) wurde allerdings eine Analyse der juristischen und technischen Rahmenbedingungen für PIMS veröffentlicht.

Als Basis der weiteren Diskussion sollen kurz die wichtigsten an der Nutzung von PIMS beteiligten Rollen erläutert werden:

Das Ziel dieses Beitrags ist es zunächst, die existierenden Ansätze zur Einholung von Einwilligungen darzustellen, dabei auf die rechtlichen Anforderungen einzugehen und die Nutzbarkeit (Usability) zu bewerten. Anschließend soll analysiert werden, inwieweit das neue Konzept von PIMS realisierbar ist und einen Beitrag zur Verbesserung der aktuellen Situation liefern kann.

Wichtigster Tracking-Mechanismus sind Cookies, also kurze Texte, die im Browser auf Anforderung einer besuchten Webpräsenz gespeichert und dieser bzw. der Internet-Domäne zugeordnet sind. Wenn der Browser Daten von dieser Domäne abruft, dann sendet er jeweils die zugehörigen Cookies mit und stellt damit die Verbindung zwischen verschiedenen Anfragen des Browsers her. Dadurch kann beispielsweise erkannt werden, dass ein Nutzer bereits angemeldet ist, einen Warenkorb gefüllt hat, oder die zu verwendende Sprache ausgewählt hat.

Eine spezielle Variante der Cookies sind die Drittanbieter-Cookies (Third-Party-Cookies), bei denen neben Nutzern und den Betreibern der Webpräsenzen eine dritte Partei involviert ist, die diese Cookies setzt und damit typischerweise Informationen über das Verhalten der Besucher über verschiedene Webpräsenzen hinweg sammeln kann. Durch die Kombination dieser Informationen können Drittanbieter sehr viel umfangreichere und konkretere Aussagen über die Nutzer machen (Mayer und Mitchell 2012).

Auf die weiteren zum Tracking eingesetzten Techniken, die funktional dem gleichen Zweck dienen und oft fälschlich ebenfalls als Cookies bezeichnet werden, beispielsweise Web Storage (eingeführt mit HTML5), das Auslesen von Werbe- und Geräte-IDs oder Seriennummern sowie Fingerprinting soll im Folgenden nicht separat eingegangen werden, auch wenn die Aussagen weitgehend übertragbar sind. Entsprechendes gilt für Tracking-Techniken bei Diensten, auf die nicht mit einem Browser, sondern auf anderem Weg zugegriffen wird, beispielsweise über Apps oder IoT-Geräte.

Gesetzliche Regelungen zu Cookies und anderen Tracking-Mechanismen gibt es sowohl auf europäischer Ebene als auch auf nationaler Ebene. Mit Art. 5 Abs. 3 der EU-Richtlinie 2002/58/EG (ePrivacy-Richtlinie) wurde eine Einwilligungspflicht für alle Cookies, die nicht unbedingt für einen vom Nutzer explizit gewünschten Dienst erforderlich sind, eingeführt. Als EU-Richtlinie galt diese Regelung nicht direkt (anders als eine EU-Verordnung wie die unten angesprochene DSGVO), sondern musste von den Mitgliedsstaaten in nationales Recht übernommen werden, und es war lange umstritten, ob dies in Deutschland korrekt umgesetzt wurde. Mit dem sogenannten Planet49-Urteil von 2019 des BGH wurde eindeutig geklärt, dass eine solche Einwilligung aktiv erteilt werden muss (Opt-In) und eine vorbelegte Auswahl, die man abwählen kann (Opt-Out), als Einwilligung nicht genügt. Diese Regelung wurde 2021 mit dem TTDSG explizit in das deutsche Recht übernommen, dem gleichen Gesetz, in dem auch die PIMS eingeführt wurden.

Neben dem TTDSG ist für den Umgang mit Cookies noch die Datenschutz-Grundverordnung (DSGVO) der EU zu berücksichtigen, die u. a. die Anforderungen an Einwilligungen genauer definiert. Die genaue Abgrenzung zwischen den Anwendungsbereichen von ePrivacy-Richtlinie bzw. TTDSG einerseits und DSGVO andererseits ist für die hier beschriebenen PIMS von geringer Bedeutung und wird nicht weiter diskutiert.

Zu berücksichtigen ist in diesem Zusammenhang, dass derzeit an einer ePrivacy-Verordnung der EU gearbeitet wird, die die ePrivacy-Richtlinie in naher Zukunft ablösen soll und bei der PIMS-ähnliche Lösungen zumindest diskutiert werden.

Aus §§ 25, 26 Abs. 1 TTDSG in Verbindung mit den allgemeinen Anforderungen der DSGVO an Einwilligungen lassen sich für PIMS folgende Anforderungen zur ordnungsgemäßen Umsetzung ableiten.

Abb. 1 gibt einen Überblick, wie ein PIMS in den Ablauf der Einwilligungsanfragen eingebunden werden. Variante 1 beschreibt den bislang üblichen Ablauf ohne Nutzung eines PIMS. Varianten 2 und 3 beschreiben jeweils den Ablauf mit Nutzung eines PIMS, wobei zwei technische Möglichkeiten unterschieden werden (vgl. Abschn. 5): Das PIMS kann lokal im Browser implementiert werden (Variante 2; vgl. Abschn. 5.2), oder es kann als Serverdienst implementiert werden (Variante 3; vgl. Abschn. 5.3).

In Anlehnung an (Stiemerling et al. 2021, Rn. 140) sollte ein PIMS die folgenden Anwendungsfälle abdecken:

Damit das Konzept der PIMS ein Erfolg werden kann und auch einen Mehrwert für Nutzer und TMD bietet, ist eine gute Nutzbarkeit notwendig. Der aktuell verbreitete Ansatz der Cookie-Banner erfüllt durchaus die rechtlichen Anforderungen zur Einholung und Dokumentation der Einwilligungen, aber mit schlechter Nutzbarkeit. Dementsprechend gibt es die Herausforderung, aber auch die Chance für PIMS, sich über eine gute Nutzbarkeit durchzusetzen.

Mit Hilfe geeigneter Berichte müssen Nutzer nachvollziehen können, welche Entscheidungen sie getroffen und ob diese Entscheidungen wie erwünscht umgesetzt wurden, insbesondere auch welche Cookies mit welcher Bedeutung gesetzt wurden („Recht auf Auskunft“). Daher ist eine Kooperation des PIMS mit den TMD erforderlich: Die TMD könnten dem PIMS ausreichend Informationen zu dem jeweiligen Cookie und Zweck übermitteln, die dann vom PIMS für die Nutzer angemessen aufbereitet werden.

Eine weitere Schwierigkeit ist, dass das Konzept der Cookies technisch keinen Zugriff Dritter auf die von einem TMD gesetzten Cookies erlaubt. Diese Einschränkung, die dem Schutz der Nutzer und ihrer Privatheit dient, macht im Fall eines PIMS die Umsetzung deutlich schwieriger. Ein solcher Zugriff erfordert ein Plug-in beziehungsweise geeignete Software direkt auf dem Endgerät, was aber nicht bei allen Endgeräten und Browsern möglich ist.

Als Alternative zu einer solchen Plug-in-Schnittstelle ist es möglich, eine Auskunft oder einen Widerruf über eine abgespeicherte URL beim TMD zu realisieren. Diese URL muss der TMD beim Senden der Anfrage übermitteln und das PIMS speichert diese zusammen mit der Einwilligung ab. Mit Hilfe dieser URL soll der Nutzer dann seine Einwilligungen überprüfen und Modifikationen oder einen Widerruf vornehmen (Stiemerling et al. 2021, Rn. 222–223). Voraussetzung ist, dass die URL zumindest immer dann verfügbar ist, wenn auch der TMD verfügbar ist.

Aus den beschriebenen Anwendungsfällen ergeben sich folgende Anforderungen an ein PIMS-Datenmodell:

Im Gutachten (Stiemerling et al. 2021, Kap. 5.2.1) wird daher eine Verwendung des Standard ISO/IEC 29184 „Information technology—Online privacy notices and consent“ mit einer Erweiterung um PIMS-spezifische Felder empfohlen.

Ein mögliches Architekturmodell für PIMS ist die Implementierung als Erweiterung im Endgerät beziehungsweise Browser etwa durch ein Plug-in. Die Installation auf dem Endgerät ist für den Nutzer ausreichend, um das PIMS vollumfänglich zu nutzen, und das PIMS unterliegt der Kontrolle des Nutzers.

Ergänzend könnte der PIMS-Anbieter nach entsprechender Registrierung eine Synchronisation der Einwilligungen über Gerätegrenzen hinweg anbieten.

Dieser lokale Ansatz bietet den Vorteil der Datenminimierung, da der PIMS-Anbieter keine Daten über Nutzer sammeln muss und somit auf eine Authentifizierung verzichten kann (soweit auf die Synchronisation verzichtet wird), da seine Einwilligungen primär an das jeweilige Endgerät gekoppelt sind. Des Weiteren hat eine solche browserbasierte Lösung sowohl technische Vorteile aufgrund der höheren Verfügbarkeit, geringeren Abhängigkeit und einfacheren Implementierung (Stiemerling et al. 2021, Rn. 234) wie auch rechtliche Vorteile aufgrund der besseren Annäherung an Artikel 5 DSGVO (Stiemerling et al. 2021, Rn. 238).

Da eine Plug-in-Lösung auf die auf dem Endgerät gespeicherten Daten zugreifen kann, bietet sie auch den Vorteil, den Nutzer bei der Kontrolle und Modifikation dieser Daten zu unterstützen, etwa im Fall eines Widerrufs einer Einwilligung oder wenn dieses PIMS nicht mehr genutzt werden soll und somit der Widerruf aller Einwilligungen erfolgt.

Neben den oben genannten Vorteilen hat die lokale Lösung aber auch deutliche Nachteile. So ist es erforderlich, auf jedem Endgerät ein entsprechendes Plug-in zu installieren, was aber nicht auf jeder Plattform (Browser) möglich ist. Ferner muss der Anbieter für jede entsprechende Schnittstelle ein Plug-in entwickeln und pflegen. Zudem kann der Nutzer ohne eine implementierte Synchronisationsmöglichkeit seine Einwilligungen nur auf einem Endgerät nutzen und müsste zur Nutzung auf neuen oder geteilten Endgeräten immer zunächst sein Plug-in installieren und alle Einwilligungen erneut entscheiden.

Die wesentlichen Schritte bei Nutzung einer lokalen PIMS-Implementierung sind:

Ein Beispiel für ein derartiges lokales PIMS auf Basis eines Plug-ins ist Advanced Data Protection Control (ADPC), welches u. a. von der österreichischen Datenschutz-Initiative NOYB propagiert wird und bisher als Prototyp vorliegt (siehe https://​www.​dataprotectionco​ntrol.​org/​). ADPC ist relativ flexibel und erlaubt beispielsweise den TMD, die Einwilligungsabfragen frei zu formulieren, was natürlich wie angesprochen die Standardisierung erschwert.

Alternativ kann ein PIMS auch als eigener serverseitiger TMD realisiert werden, bei dem Nutzer sich über das Internet anmelden. Die Kommunikation mit den TMD erfolgt über übliche Webstandards.

Ein Vorteil eines serverseitigen Ansatzes ist, dass die im PIMS erfassten Einwilligungen für alle Geräte des Nutzers gelten können. Zudem bietet die Nutzung von Webstandards den Vorteil, dass der Anpassungsaufwand für verschiedene Endgeräte sehr gering ist, da die Endgeräte die verwendeten Standards zumeist bereits unterstützen.

Nachteilig sind die geringere Verfügbarkeit eines zentralen Dienstes, das aufwendigere Kommunikationsmodell mit drei beteiligten Parteien (Endgerät, PIMS, TMD), sowie das höhere Sicherheitsrisiko, wenn die Daten von allen Nutzern gesammelt auf einem Server gespeichert sind.

Da eine rein webbasierte Lösung nicht direkt auf das Endgerät zugreifen kann, ist es für ein PIMS schwierig, zwischen verschiedenen Endgeräten eines Nutzers zu unterscheiden. Zwar kann ein PIMS nach der Anmeldung selbst mit Cookies oder ähnlichen Technologien zur Identifizierung arbeiten, aber falls dieses Identifizierungsmerkmal verloren gehen sollte (zum Beispiel durch gelöschte Cookies), ist auch die Gerätezuordnung verloren. Auch kann das PIMS nicht auf die auf dem Endgerät gespeicherten Cookies zugreifen, um Nutzer bei der Kontrolle der Einwilligungen zu unterstützen.

Bei einem serverbasierten PIMS muss der TMD zunächst das vom Nutzer verwendete PIMS erkennen. Beim serverbasierten Ansatz ist dies ein nicht triviales Problem mit folgenden Lösungsansätzen:

Der Ablauf unterscheidet sich gegenüber einer lokalen Implementierung über ein Plug-in im Wesentlichen in folgenden Punkten:

Eine alternative Realisierungsmöglichkeit eines serverbasierten PIMS ist eine Beschränkung darauf, die Einwilligungen zu speichern und dem TMD über eine API (Programmierschnittstelle) Lese- und Schreibzugriff auf diese gespeicherten Einwilligungen zu geben. Die Interaktionen zum Einholen dieser Einwilligungen werden in diesem Fall vom TMD geführt, und das PIMS übernimmt nur deren Speicherung. Die Gestaltung des Einwilligungsprozesses muss nicht angepasst werden, sondern es wird lediglich eine zusätzliche Abfrage über die API beim PIMS notwendig, ob und welche Einwilligungen des Nutzers bereits vorliegen, bzw. eine getroffene Entscheidung muss dort abgelegt werden.

Dieser Ansatz wird beispielsweise von netID verfolgt, das von einer von den deutschen Unternehmen Mediengruppe RTL Deutschland, ProSiebenSat.1 und United Internet gegründeten Stiftung bereitgestellt wird (siehe https://​developerzone.​netid.​dev/​).