Nutzer müssen von Dienstag an grundsätzlich nicht immer wieder neu der Verwendung von Cookies zustimmen. Stattdessen sollen sie ihre Entscheidungen rund um die etwa für gezielte Werbung genutzten Browser-Dateien dauerhaft hinterlegen können. Prinzipiell möglich macht das die neue Verordnung über Dienste zur Einwilligungsverwaltung. Sie setzt einen Rechtsrahmen für ein alternatives Verfahren, das die Einbindung unabhängiger Dienste ermöglicht. Bundestag und Bundesrat haben der Verordnung voriges Jahr zugestimmt. Sie gilt nun ab dem 1. April.

Anhand der in einem Cookie oder durch ähnliche Technologien gespeicherten Informationen kann ein Webserver etwa den Endnutzer wiedererkennen, benutzerspezifische Einstellungen wiederherstellen, Reichweitenmessungen vornehmen, Aktivitäten nachverfolgen (Tracking) oder individuelle Werbung einblenden. Anbieter von Telemedien müssen die User prinzipiell im Sinne der Datenschutz-Grundverordnung (DSGVO) bei jeder Inanspruchnahme ihres Dienstes nach einer Einwilligung fragen. Ist eine Zustimmung einmal erteilt und dokumentiert, sollen Nutzer künftig nicht mehr ständig durch die Vorschaltbanner behelligt werden.

Die Verordnung basiert auf Paragraf 26 des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG). Er sieht das Entwickeln anerkannter Dienste zur Einwilligungsverwaltung grundsätzlich vor, die etwa "nutzerfreundliche und wettbewerbskonforme Verfahren" und technische Anwendungen zur Einholung und Verwaltung von Cookie-Entscheidungen ermöglichen. Ein Knackpunkt der Verordnung: Die Einbindung einschlägiger Services erfolgt freiwillig. Pauschale Voreinstellungen zu Tracking-Cookies sind zudem nicht vorgesehen.

Verbraucher- und Datenschützer sind skeptisch

Mit dem neuen Ansatz "reduzieren wir die Anzahl der notwendigen Klicks und geben den Nutzerinnen und Nutzern einen besseren Überblick und mehr Kontrolle über ihre Einwilligungen", zeigt sich Bundesdigitalminister Volker Wissing (parteilos) überzeugt. Das stärke den Datenschutz und die digitale Selbstbestimmung. Getroffene Entscheidungen sind laut der Verordnung gültig "bis zum Widerruf, wenn sich aus dem Kontext oder den Erwartungen der Parteien nichts anderes ergibt". Der anerkannte Dienst zur Einwilligungsverwaltung darf User frühestens nach Ablauf eines Jahres an seine Einstellungen zu einschlägigen Anfragen erinnern.

Technisch als Verwaltungsdienste in Betracht kommen etwa "Personal Information Management Systems" (PIMS) oder Single-Sign-on-Lösungen. Doch mit konkreten Anbietern im Sinne der Vorschriften sieht es mau aus. Deren Anerkennung erfolgt nach Vorlage eines Sicherheitskonzepts durch die Bundesdatenschutzbeauftragte Louisa Specht-Riemenschneider. Diese erläuterte jüngst die Anforderungen und stellte ein Formular zur Antragstellung online. Darzulegen sind demnach etwa diverse technische und organisatorische Schutzmaßnahmen. Noch immer liegen Specht-Riemenschneider aber keine Anträge auf Anerkennung vor.

Verbraucherschützer monieren, dass Webseitenbetreiber abgegebene Entscheidungen gar nicht akzeptieren müssten. Erteilten Anwender keine Zustimmung zum Setzen von Cookies, könnten Online-Dienste erneut beliebig oft um Einwilligungen bitten. Nur ein Opt-in gelte dauerhaft. Nutzer, die genervt auf "akzeptieren" klicken, könnten sich auch nicht mehr darauf verlassen, durch die von ihnen getroffenen datenschutzfreundlichen Einstellungen ihres Browsers vor Tracking und Profilbildung geschützt zu sein. Die Browser müssten Cookies – entgegen dem Wunsch der User – speichern. Dies würde Hersteller benachteiligen, die ihre Nutzer etwa per "Do not Track"-Voreinstellung abschirmten. Auch der niedersächsische Datenschutzbeauftragte Denis Lehmkemper befürchtet, dass die Verordnung ihr Ziel verfehlt.