In einer an Datenschutznachrichten nicht gerade armen Woche wäre die Meldung fast untergegangen: Deutschland hat seinen ersten offiziellen Einwilligungs-Manager! Das teilte die Bundesdatenschutzbeauftragte Louisa Specht-Riemenschneider am Dienstag mit. Ihre Behörde hat den Dienst zertifiziert.
Mit Consenter sollen Menschen einfach und übersichtlich darüber entscheiden können, wem sie im Internet eine Erlaubnis zur Nutzung ihrer Daten erteilen und wem nicht. Das gilt insbesondere für Cookies, die auf Computern und Telefonen gespeichert werden und dafür verwendet werden können, das Online-Verhalten von Menschen zu verfolgen.
Menschen wollen selber bestimmen
Cookies bleiben ein leidiges, aber wichtiges Thema. Eine repräsentative Umfrage im Auftrag der Bundesdatenschutzbeauftragten zeigt: 83 Prozent der Menschen in Deutschland wollen selbst festlegen können, ob und wofür ihre Daten im Internet verwendet werden. Doch nur 43 Prozent der Internetnutzer:innen wissen überhaupt, was genau Cookies sind und wofür sie eingesetzt werden.
Dabei kann es weitreichende Folgen haben, ob wir zustimmen oder nicht. Firmen sehen die Einwilligung oft als Freifahrtschein für sie und ihre 845 Partner, die behaupten, den Datenschutz sehr ernst zu nehmen, aber uns komplett durchleuchten wollen. Wir können aufgrund unseres Online-Verhaltens in eine von hunderttausenden Kategorien gesteckt werden, zum Beispiel in „Moms who shop like crazy“, „Spielsüchtig“ oder „LGBTQ“. Unsere Standortdaten können bei Datenhändlern landen und Fremden unsere Bewegungsmuster offenbaren. Der Umgang mit unseren Daten ist vollkommen außer Kontrolle geraten.
Gegen Kontrollverlust und Einwilligungsmüdigkeit
Einwilligungsmanager sollen nicht nur diesem Kontrollverlust ein Ende bereiten, sondern auch der sogenannten Einwilligungsmüdigkeit. Die hat sich im Laufe all der Jahre bei vielen einstellt, die tagein tagaus scheinbar sinnlose Cookie-Banner wegklicken mussten, die einerseits das Wegklicken mit manipulativen Design erschweren und andererseits nicht gut informieren, was mit den Daten passiert. Es nervt einfach: Ich möchte nicht jeden Tag auf jeder Webseite immer wieder aufs Neue klicken müssen, wenn doch klar ist, dass ich immer die für mich datenschutzfreundlichste Variante haben will. Wieviele Stunden meines Lebens habe ich mit sinnlosem Klicken verbracht?
Alles netzpolitisch Relevante
Drei Mal pro Woche als Newsletter in deiner Inbox.
Hier könnten Einwilligungsmanager eigentlich helfen. Deutschland ist auf dem Feld Pionier, denn es ist das erste Land in der EU, das dem schon lange bestehenden Konzept einen rechtlichen Rahmen gegeben hat. Es gibt gesetzliche Anforderungen an die Consent-Manager und eine Prüfung durch die BfDI, an deren Ende eine offizielle Zertifizierung stehen kann. Geregelt wird das vom Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) und von der Einwilligungsverwaltungsverordnung. Innovation made in Germany halt.
Spaß beiseite: Es ist natürlich richtig, dass die Dienste klaren Regeln folgen, schließlich sollen die Menschen ihnen vertrauen. So schreibt das TDDDG zum Beispiel vor, dass Einwilligungsmanager „kein wirtschaftliches Eigeninteresse an der Erteilung der Einwilligung und an den verwalteten Daten haben und unabhängig von Unternehmen sind, die ein solches Interesse haben können“.
Ausgerechnet vom guten Willen der Tracking-Industrie abhängig
Die Sache hat nur einen Haken, und zwar einen ziemlich großen, der das ganze Konzept zum Scheitern verurteilt: Die Einwilligungsverwaltungsverordnung regelt auch, dass die „Einbindung von anerkannten Diensten zur Einwilligungsverwaltung durch Anbieter von digitalen Diensten“ freiwillig erfolgen soll.
Mit anderen Worten: Nutzer:innen können so viel managen wie sie wollen – keine Website und keine Tracking-Firma muss die Einwilligungsdienste anerkennen.
Webseiten und Medien leben aber vom Cookie-Werbezirkus, sie setzen auf dieses invasive Erlösmodell auf Kosten unserer Privatsphäre. Hunderte Datenunternehmen profitieren von der Ausleuchtung der Internetnutzer:innen per Cookie und Tracking, sie existieren nur, weil es dieses Modell gibt. Und sie handeln völlig schamlos mit den Daten, wie unsere Recherchen immer wieder zeigen.
Ausgerechnet diesen Firmen wollen wir mit Freiwilligkeit beikommen? Das ist lächerlich: Es gibt keinen Grund dafür, warum sie sich freiwillig dem Regime eines Einwilligungsmanagers unterwerfen sollten, der letztlich ihr Geschäftsmodell angreifen würde. Ohne Verpflichtung bleibt das Modell ein Papiertiger.
Bundesregierung könnte es einfach ändern
Man kann darüber streiten, ob Einwilligungsmanager wirklich ein gutes Werkzeug sind. Ich habe das mit einem der Köpfe hinter Consenter, Maximilian von Grafenstein, neulich in unserem Podcast Off/On getan. Was man nicht tun kann: Einwilligungsmanager als Lösung für ein Problem darstellen und dann darauf hoffen, dass die Tracking-Industrie schon freiwillig den Willen der Nutzer:innen akzeptieren wird.
Wenn die Bundesregierung wollen würde, dass Einwilligungsmanager überhaupt eine Chance haben und nicht zu noch mehr Pseudo-Selbstbestimmung führen, dann müsste sie ihre Anerkennung schnellstmöglich verpflichtend machen. Sie kann das jederzeit und einfach tun, wenn sie wollte – denn die Verordnung muss nicht einmal vom Bundestag beschlossen werden.
Tut sie es nicht, verurteilt sie die Dienste zum Scheitern, bevor diese überhaupt ihre Arbeit aufnehmen können.
Korrekturhinweis, 10.11.2025, 10:40 Uhr: Wir hatten das TDDDG ursprünglich bei seinem alten Namen als Telekommunikations-Telemedien-Datenschutz-Gesetz benannt. Es heißt inzwischen Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz. Wir haben das korrigiert.
Die Bundesregierung hat, wie alle nationalen Gesetzgeber, keine Regelungskompetenz für die Frage, wann (datenschutzrechtliche) Einwilligungen wirksam sind und wann nicht. Das ist abschließend in der DSGVO geregelt und nur die dortigen Maßstäbe (individuelle, konkrete, ausdrückliche Einwilligung) sind verbindlich. Hätte Deutschland Webseitenbetreibenden vorgeschrieben, die Einstellungen in Einwilligungsverwaltungsdiensten berücksichtigen zu müssen, wäre das europarechtswidrig gewesen, weil die DSGVO keine Ausnahmen von den Wirksamkeitsanforderungen vorsieht. Hätte etwa eine Nutzerin per Einwilligungsdienst eine Einwilligung erteilt und später außerhalb des Dienstes widerrufen, wäre ausschließlich maßgeblich, was – gemäß der DSGVO-Anforderungen – konkret zwischen Betreiber und Nutzerin erklärt wurde. Diese Ebene durch andere technische Vermittlungswege zu ersetzen, wäre eine Umgehung der Anforderungen der DSGVO gewesen. Wer den Irrweg der individuellen Einwilligungsverwaltung wirklich gehen will, müsste deshalb an die DSGVO ran und muss dann entscheiden, was das bedeutet: a) Die individuelle, konkrete Einwilligung (samt der Erzwingbarkeit via Bezahlalternative) kann in einem zentralen Dienst für zukünftige Seitenaufrufe gespeichert werden oder b) es wird eine generelle Pauschaleinwilligung ohne Kenntnis der konkreten Zwecke legalisiert. Wer a) macht, muss sich fragen lassen, wo der Mehrwert gegenüber dem Ist-Zustand liegt. Wer b) macht, muss plausibel erklären, wie verhindert wird, dass Nutzende mit den üblichen Mitteln zu Pauschaleinwilligungen gezwungen werden und die Einwilligungsdienste zu Einwilligungsgenerierungsdiensten werden.
Und nun will auch noch die EU-Kommission im Digital Omnibus den gleichen Fehler machen: Zwar sollen Webseitenbetreiber verpflichtet werden, automatisierte und maschinenlesbare Signale über die Präferenzen der Nutzer:innen zu respektieren (was auch immer „respektieren“ bedeutet). Allerdings mit einer Ausnahme: Für Medienanbieter sollen dies nicht gelten.
Tja, das Intertialsystem scheint seit den … 90ern (?) bis hier voll durchgebrochen zu sein. Es war alles nur ein Traum gewesen…
Danke für diesen Beitrag
FYI
https://www.law-innovation.tech/#solutions
>> challenges.cloudflare.com
>> fonts.gstatic.com
>> platform.twitter.com >> Ohne Worte werter Herr Maximilian Leander von Grafenstein!
https://www.consenter.eu/
>> challenges.cloudflare.com
>> fonts.gstatic.com
https://www.consenter.eu/privacy-policy
>> challenges.cloudflare.com
>> fonts.gstatic.com
Consenter Universe
In today’s digital world, privacy and data protection are just as important as the innovations that are generated with data – and users’ consent plays a pivotal role in this conflict of interests. However, explaining this conflict of interest to users in such a way that they can make real decisions that meet their needs is challenging. Consenter bridges the gap between the expectations of users, data-driven services, technology providers and regulators. By providing seamless, user-friendly privacy solutions, Consenter helps users control their data, ensures legal compliance for businesses, and increases trust in the digital world in an empirically validated manner.
My Digital Self-Determination: Empirisch betrachtet ist nur ein toter Cookie, ein guter Cookie. Die digitalen Wegelagerer und Beutelschneider lauern heute hinter jeder achso harmlosen IP-Adresse. (löbliche Ausnahme netzpolitik.org <> :)
„We value your privacy“
Buchstäblich. Deine Privatsphäre ist 568 Anbietern etwas wert, von denen du 222 nicht abwenden darfst, weil diese „technische Cookies“ bereitstellen.
Kein Wunder, warum Browser Unmengen an MB Arbeisspeicher verbrauchen müssen, und der Seitenaufbau manchmal nur noch mit 5G funktioniert. Aber solche Webseiten sind generell grundsätzlich zu meiden.
at Ingo
Korrigiere „einfach zu tun“ > „einfach tun“
at Die Legalisierung des modernen digitalen Raubrittertums :
https://www.consenter.eu/ jagt noch fünf (sic!) Canvas-Elemente hinterher: domRect, screen, svg, audio, canvas!
Danke für den Hinweis. Ist jetzt korrigiert.
Müsste umgekehrt sein: Wer Werbung haben möchte und auf Tracking steht, kann sich bei einem zentralen Dienst registrieren, nur diese dürfen dann von der Werbeindustrie verwendet werden. Alle, die sich dort nicht registriert haben sind als „opt-out“ zu interpretieren und dürfen weder getrackt noch mit personalisierter Werbung bespielt werden.
Ist leider Wunschdenken.
Und die installieren dann eine „Follow Me“-App? Oder wieder werden alle getrackt, um die drei Affen mit der Zustimmung herauszufischen?
Kleine Korrektur im Text: „Telekommunikation-Telemedien-Datenschutz-Gesetz (TDDDG)“
Das sollte wohl „Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz“ heißen. Damit passt die Buchstabenkombinations in Klammern auch zu dem Gesetzesnamen davor. Diesen Text bekommt man unter dem Link, wenn man z.B. die PDF-Ausgabe wählt.
Ansolut richtig, ist korrigiert. Danke für den Hinweis!