Die neue Einwilligungsverwaltungsverordnung (EinwV) schafft nicht nur einen missglückten und unattraktiven Rechtsrahmen für den Einsatz von Systemen zur geräteübergreifenden Verwaltung von Einwilligungen, wenn es um die Speicherung von Informationen auf den Geräten von Endnutzern geht, sondern bürdet allen Anbietern von Browsern, die auf dem deutschen Markt agieren (siehe § 1 Abs. 3 S. 1 TDDDG), auch noch eine Reihe von denkbar unklar formulierten Pflichten auf. Es handelt es sich letztlich um Scheinregelungen, die keine praktischen Auswirkungen haben werden.
Anbieter von Browsern sind in der Terminologie der Verordnung „Anbieter von Software zum Abrufen und Darstellen von Informationen aus dem Internet“. Der Begriff der „Abruf- und Darstellungssoftware“ wird in § 2 Abs. 1 Nr. 3 EinwV wie folgt definiert:
Software zum Abrufen und Darstellen von Informationen aus dem Internet; dies umfasst alle Programme und Anwendungen, über die Inhalte aus dem Internet abgerufen und dargestellt werden und die keine digitalen Dienste [..] sind
„Digitale Dienste“ sind gemäß § 1 Abs. 4 Nr. 1 DDG Dienste im Sinne von Art. 1 Abs. 1 Buchst. b der Richtlinie (EU) 2015/1535 des Europäischen Parlaments und des Rates vom 9. September 2015 über ein Informationsverfahren auf dem Gebiet der technischen Vorschriften und der Vorschriften für die Dienste der Informationsgesellschaft, nämlich alle „in der Regel gegen Entgelt elektronisch im Fernabsatz und auf individuellen Abruf eines Empfängers erbrachte Dienstleistung[en]“.
Die Formulierung der Ausnahme für „Programme und Anwendungen, [..] die keine digitalen Dienste sind“ ist sprachlich missglückt, weil Programme und Anwendungen, d.h. Apps, höchstens (sichtbare) Bestandteile von digitalen Diensten sein können, nicht aber selbst Dienste darstellen.
Gemäß § 17 Nr. 1 EinwV sollen Browser-Anbieter „im Rahmen der technischen Möglichkeiten [..] dafür Sorge tragen“, dass Browser-Software „die Einbindung von anerkannten Diensten zur Einwilligungsverwaltung durch Endnutzer berücksichtigt“. Es ist allerdings unklar, wie die „Berücksichtigung“ technisch funktionieren soll. Der Entwurf der Verordnung (BT-Drs. 20/12718, S. 29) führt dazu aus, dass die Verpflichtung aus § 17 Nr. 1 EinwV
insbesondere für Anbieter von Browsern [gilt], wenn der anerkannte Dienst zur Einwilligungsverwaltung die Informationen über seine Einbindung und über bereits getroffene Entscheidungen der Endnutzer zu den Einwilligungseinstellungen durch ein Signal in der Kopfzeile der HTTP/HTTPS Anfrage hinterlegen möchte (vgl. Stiemerling/Weiß/Wendehorst, Forschungsgutachten zum Einwilligungsmanagement nach § 26 TDDDG, 2021, Rn. 208 ff.).
Das zitierte „Forschungsgutachten“ erläutert in seiner Randnummer 208 den Einsatz von Browser-Plugins oder Browser-Extensions, die Anfragen um spezifische Header-Informationen modifizieren können. Wenn für einen Dienst zur Einwilligungsverwaltung ein solches Plugin oder eine solche Extension existiert und wenn der Endnutzer das Plugin oder die Extension installiert hat, dann wird der Browser einer Modifikation von Anfragen schon heute nicht im Wege stehen.
In der Praxis dürften Dienste zur Einwilligungsverwaltung aber schon aus Kostengründen anders implementiert werden, nämlich in der direkten Kommunikation zwischen dem Dienst und der jeweiligen Website. Das o.g. Gutachten sieht diese unterschiedlichen konzeptionellen Ansätze durchaus, wenn es etwa in Rn. 211 zwischen zwei Arten von Diensten zur Einwilligungsverwaltung differenziert: Diensten, die „direkt im Browser“ laufen (vor diesem Hintergrund ist die Aussage in Rn. 208 zu verstehen), und Diensten, die stattdessen „durch einen Dritten“ (also nicht „im Browser“, aber immer noch im Browser) betrieben werden.
Diese Differenzierung hat der Verordnungsgeber offensichtlich übersehen, wenn er für die Pflichten von Browser-Anbietern pauschal auf Rn. 208 des Gutachtens verweist, während das Forschungsgutachten offenbar auf eine generelle Verpflichtung von Browser-Anbietern hinaus wollte, überhaupt eine Plugin- oder Extension-Architektur anzubieten (siehe Rn. 245 des Gutachtens).
Problematischer ist dagegen wohl § 17 Nr. 2 EinwV, wonach die von einem Dienst zur Einwilligungsverwaltung hinterlegten Daten vom Browser „weder unterdrückt, verzögert oder entschlüsselt noch in anderer Weise verändert werden“ dürfen. Zwar gilt diese Verpflichtung wiederum nur im Rahmen der technischen Möglichkeiten und handelt es sich erneut um eine Soll-Bestimmung, gleichwohl dürfen Browser Endnutzern danach wohl keine Einstellungsoptionen anbieten, die eine Umgehung der vom Endnutzer zuvor über eine Einwilligungsverwaltung getroffenen Einstellungen anbieten.
So etwas wie „Privates Browsen“ oder einen „Inkognito-Modus“ dürfte es streng genommen nicht mehr geben, weil es die vom Endnutzer zu einem früheren Zeitpunkt erteilten Einwilligungen unterdrücken würde. Hier wird man wohl mit dem Argument arbeiten können, dass eine spätere Entscheidung eines Endnutzers Vorrang vor seiner früheren Entscheidung haben muss und dass der Endnutzer insbesondere das Recht hat, auch stillschweigend von der weiteren Verwendung eines Dienstes zur Einwilligungsverwaltung Abstand zu nehmen.
§ 20 EinwV verpflichtet Browser-Anbieter schließlich zur Neutralität, weil sie „nicht ohne sachlichen Grund“ darauf hinwirken sollen, dass Endnutzer bestimmte anerkannte Dienste zur Einwilligungsverwaltung anwenden oder ausschließen. Stellt es einen sachlichen Grund zur Bevorzugung eines bestimmten Dienstes dar, wenn der Anbieter eines Browsers gleichzeitig auch einen Dienst zur Einwilligungsverwaltung anbietet? Niemand weiß es (das o.g. Gutachten in Rn. 245 übrigens auch nicht), aber es ist wohl auch egal, weil ohnehin niemand solche Dienste anbieten, unterstützen oder nutzen wird.