Kurz vor Weihnachten, nämlich am 20. Dezember 2024, hat nun auch der Bundesrat dem Entwurf der von der Bundesregierung im Herbst vorgelegten Einwilligungsverwaltungsverordnung (EinwV) zugestimmt. Sie beruht auf § 26 Abs. 2 TDDDG und stellt einen Rechtsrahmen für den Einsatz von Systemen zur geräteübergreifenden Verwaltung von Einwilligungen bereit, wenn es um die Speicherung von Informationen auf den Geräten von Endnutzern geht. Die Regelung ist insgesamt mutlos und misslungen.
In der Theorie ist die mit der Einwilligungsverwaltungsverordnung verfolgte Idee durchaus reizvoll: Endnutzer sollen Cookie-Einwilligungen beim Besuch von Websites nur noch einmal erteilen müssen, ihre Einwilligungen werden dann zentral bei einem „anerkannten Dienst zur Einwilligungsverwaltung“ gespeichert. Damit können Einwilligungen geräteübergreifend synchronisiert werden und werden dem Endnutzer weniger Cookie-Banner präsentiert.
Die Einwilligungsverwaltungsverordnung leidet allerdings an einer gewissen Unausgewogenheit, auf die bereits während des Gesetzgebungsverfahrens hingewiesen wurde: Erteilt ein Endnutzer seine Einwilligung für eine bestimmte Website, so wird diese Einwilligung dauerhaft gespeichert, bis sie widerrufen wird. Erteilt ein Endnutzer seine Einwilligung für eine Website nicht, so wird er wie bislang bei jedem Besuch der Website erneut um seine Einwilligung gebeten. Einwilligungsverwaltungssysteme werden also selektiv ausgestaltet sein und eine Opt-Out-Präferenz ignorieren. Da die Anbieter von Websites außerdem nicht zur Integration von Diensten zur Einwilligungsverwaltung verpflichtet sind (siehe § 18 Abs. 1 EinwV), werden sie sich ohnehin fragen, warum sie den Integrationsaufwand tragen sollen.
Die Verordnung sieht eine website-übergreifende, pauschale Zustimmung des Endnutzers zur Informationsspeicherung oder eine ebenso website-übergreifende, pauschale Ablehnung nicht vor. Das beruht auf einer bewussten Entscheidung des Verordnungsgebers, der solche pauschale Erklärungen von Endnutzern für unzulässig hielt (BT-Drs. 20/12718, S. 22):
Pauschale Voreinstellungen zu möglichen Einwilligungsanfragen des Anbieters von digitalen Diensten, die vom Endnutzer ohne Bezug zur konkreten Inanspruchnahme eines digitalen Dienstes getroffen werden, erfüllen nicht die Anforderungen an die Verwaltung von Einwilligungen.
Das ist in der Sache sicherlich falsch, und zwar nicht nur wegen Erwägungsgrund 66 der EU-Richtlinie 2009/136/EG, wonach „die Einwilligung des Nutzers zur Verarbeitung [..] über die Handhabung der entsprechenden Einstellungen eines Browsers oder einer anderen Anwendung ausgedrückt werden“ kann.
Gegen den Entwurf der Einwilligungsverwaltungsverordnung wurde aus datenschutzrechtlichen Kreisen die erwartbare Kritik geäußert, dass eine Einwilligung des Nutzers auf Grundlage der Verordnung nur die Informationsspeicherung auf Endgeräten umfassen könne, nicht aber auch eine etwaige (und in der Praxis häufig notwendige) datenschutzrechtlich erforderliche Einwilligung, so dass Websites auch bei Nutzung eines Einwilligungsverwaltungssystems weiterhin separate datenschutzrechtliche Einwilligungen abfragen müssten.
Das Begründung dieser Kritik geäußerte Argument, dass dem nationalen Gesetzgeber die Regelungskompetenz zur Ausgestaltung von in der DSGVO vorausgesetzten datenschutzrechtlichen Einwilligungen fehle, ist vermutlich etwas kurz geraten. Es geht ja gerade nicht um eine Modifizierung der Anforderungen, die datenschutzrechtlich an die Wirksamkeit einer Einwilligung gestellt werden (so klarstellend auch § 1 Abs. 2 EinwV), sondern um eine bloße Erleichterung der Abgabe einer solchen Einwilligung.