[datensicherheit.de, 06.12.2022] Vor 50 Jahren seien „Cookies“ noch mit einem liebenswerten blauen Monster verbunden gewesen – heute seien diese negativ konnotiert durch Websites vorgeschaltete Cookie-Banner. Nahezu jede setze auf diese Technik, um deren Nutzung unter anderem sicherer zu machen, beispielsweise beim Online-Banking. „Manche Website aber will einfach nur mehr erfahren als notwendig“, warnt die TÜV NORD GROUP in ihrer aktuellen Stellungnahme.

Mit PIMS könnten Nutzer ihre Cookie-Einstellungen zentral im eigenen Rechner oder in Online-Speichersystemen verwalten

Auf jeder Website den Cookie-Hinweis zu bearbeiten sei mühsam, insbesondere dann, „wenn man jeder Website die gleichen Dinge erlaubt – oder eben untersagt“. Da stelle sich die Frage nach einer Lösung, „beispielsweise ein Add-On im Browser, der die eigenen Präferenzen speichert und jeder besuchten Website mitteilt“. Tobias Mielke, Datenschutz-Experte bei TÜVIT, kommentiert: „Das soll kommen.“ Das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) sehe einen solchen „Dienst zur Einwilligungsverwaltung“ ausdrücklich vor – PIMS sei die Fachabkürzung: „Personal Information Management Services“.

Mit PIMS könnten Nutzer ihre Cookie-Einstellungen z.B. zentral im eigenen Rechner oder in Online-Speichersystemen verwalten. Ein Problem jedoch sei: „Was, wenn derartige PIMS selbst Cookies nutzen, Nutzerverhalten ausspionieren und diese Daten weitergeben?“ Mielke führt aus: „Aus unserer Sicht sollten PIMS bestenfalls in einem Treuhandmodell von unabhängigen Dritten wie den TÜV-Verbänden erstellt werden.“

Website-Betreiber haben kein ausgeprägtes Interesse daran, dass Cookies per se blockiert werden

Eine weitere Frage sei: „Werden Websites derartige Einstellungen eines Add-ons wirklich übernehmen also akzeptieren?“ Ein solches PIMS würde den meisten besuchten Webseiten die eigenen Präferenzen übermitteln, und diese Präferenzen müssten beachtet werden. Eine Ausnahme gelte für Telemedienanbieter, welche sich ganz oder teilweise durch Werbung finanzieren, also etwa für Newsportale. Diese sollten Nutzer auf kostenpflichtige, aber werbe- und cookiefreie Alternativen verweisen dürfen.

Betreiber von Internetseiten hätten natürlich kein besonders ausgeprägtes Interesse daran, dass Cookies per se blockiert werden. Diese erlaubten es, das Nutzerverhalten zu analysieren. „Also festzustellen, welche Inhalte wie häufig angeklickt wurden und wie lange Nutzende auf dieser Seite verharren, von welchen Seiten man kommt, wohin man entschwindet, welche Werbung man sich angesehen und nach welchen Begriffen man gesucht hat.“ Zu wissen, wie gut die eigene Website funktioniert, sei für Marketing- und Vertriebs-Abteilungen sehr wichtig.
Auf der anderen Seite stehe der Nutzer, „der beim Surfen im Internet persönliche Daten preisgibt“. Wer das nicht will, müsse Cookies ablehnen: „Mit meiner Ablehnung will ich unerwünschte Werbung vermeiden, mein Surfverhalten nicht ausspionieren lassen und auch nicht mit meinen Konten der Sozialen Netzwerke verbinden lassen“, erläutert Mielke.

Betreiber von Webseiten dürfen nicht ohne Einwilligung Cookies ausspielen und personenbezogenen Daten speichern

Auf die Frage, ob man sicher sein kann, dass die Einstellungen auf den Websites dann übernommen werden, erwidert Mielke: „Betreiber von Webseiten dürfen keine Cookies ausspielen und keine personenbezogenen Daten speichern, wenn dies explizit nicht gewünscht ist.“ Dies gelte sowohl für jedes einzelne Cookie-Banner als auch für ein PIMS. „Wer der Website hingegen alles erlaubt, gibt ihr einen Freibrief dafür, das eigene Surfverhalten auszuspionieren und personalisierte Werbung auszuspielen.“ Es gebe außerdem keine Sicherheit dafür, „dass nicht vielleicht irgendwo auf der Welt Daten gesammelt, zusammengeführt, ausgewertet und weiterverkauft werden“.

Mielke erläutert: „Eine PIMS-Lösung ist technisch jedenfalls umsetzbar, sowohl was die Speicherung eigener Präferenzen angeht als auch das Speichern und Verarbeiten von Daten.“ Jedoch müsse klar sein, „dass eine derartige Anwendung wirklich datenschutzrechtlich sauber und sicher arbeitet“. Die Anbieter eines entsprechenden Dienstes müssten sich laut Entwurf der Einwilligungsverwaltungs-Verordnung (EinwVO) vom Bundesdatenschutzbeauftragten anerkennen lassen und dabei unter anderem ihre Unabhängigkeit belegen. Außerdem sollten sie demnach ein Sicherheitskonzept sowie geeignete technische und organisatorische Maßnahmen des Dienstes vorweisen können.

[datensicherheit.de, 03.04.2017] Die Stiftung Datenschutz nach eigenen Angaben hat in Berlin eine umfassende Studie zu neuen technischen Hilfsmitteln vorgelegt, die ein zentrales Problem im Umgang mit personenbezogenen Daten im Internet lösen sollen. Hierzulande seien diese „Personal Information Management Services“ (PIMS) noch kaum bekannt. Diese Studie – entstanden unter Mitwirkung des Deutschen Instituts für Wirtschaftsförderung (DIW) – zeige die großen Potenziale dieser Systeme und rufe die Politik zu mehr Unterstützung auf. Sie sei ein „weiterer Beleg für den interdisziplinären Ansatz der Stiftung“ und unterstreiche ihre Rolle als Dialogplattform und „ThinkTank“ zum Privatsphärenschutz.

Aufruf an die Politik zu mehr Unterstützung!

Laut der Studie der Stiftung Datenschutz zu neuen technischen Hilfsmitteln, die ein zentrales Problem im Umgang mit personenbezogenen Daten im Internet lösen sollen, sind hierzulande „Personal Information Management Services“ (PIMS) noch kaum bekannt. Diese Studie – entstanden unter Mitwirkung des DIW – weise auf die großen Potenziale dieser Systeme hin und rufe die Politik zu mehr Unterstützung auf. In ihrem digitalen Alltag würden Verbraucher sehr häufig um Zustimmung zur Nutzung der sie betreffenden Daten gebeten. Ohne Einwilligung zur Datenverarbeitung kämen sie regelmäßig nicht in den Genuss digitaler Dienstleistungen. Die zugehörigen Datenschutzerklärungen seien wegen juristischer Anforderungen und technischer Komplexität meist lang und schwer verständlich. Die Stiftung Datenschutz habe in Jahr lang die Möglichkeiten untersucht, den oftmals unübersichtlichen Einwilligungsprozess einfacher und praxisnäher zu gestalten. Zusammen mit internationalen Experten sei nun von der Stiftung ihr Abschlussbericht in Berlin vorgelegt worden.

Ein größeres Maß an Transparenz und mehr Schutz persönlicher Daten

Nach einer eingehenden Analyse komme das Studienteam unter der Leitung von Dr. Nikolai Horn, Referent bei der Stiftung Datenschutz, zu dem Schluss, dass PIMS künftig bei der Einwilligung zur Nutzung personenbezogener Daten ein größeres Maß an Transparenz ermöglichen und Bürgern mehr Schutz ihrer persönlichen Daten gewährleisten könnten. Voraussetzung für den Erfolg von PIMS seien nach dieser Studie jedoch europaweit einheitliche technische Standards, damit im Sinne der EU-Datenschutz-Grundverordnung das Schutzniveau gleich hoch ist.
„Wir geben erstmalig einen Überblick über die Fülle an technischen Möglichkeiten und die Lösungstiefe sogenannter PIMS. Damit wollen wir auch Impulse für den politischen Dialog im Bereich des Privatsphärenschutzes geben“, erläutert Horn. Erneut fordere die Stiftung ein höheres Maß an Aufklärung, um die Gefahren für die Privatheit im Netz zu verdeutlichen sowie einfache technische Lösungen wie PIMS bekannter zu machen.

Überblick zur technischen Tiefe unterschiedlicher Softwarelösungen

Die vom Bundesministerium des Innern geförderte Studie mit dem Titel „Neue Wege bei der Einwilligung im Datenschutz – technische, rechtliche und ökonomische Herausforderungen“ schaffe einen Überblick zur technischen Tiefe der unterschiedlichen Softwarelösungen.
Im juristischen Teil gehe Prof. Dr. Anne Riechert von der Frankfurt University of Applied Science, die Bundesstiftung datenschutzrechtlich beratend, auf rechtliche Fragestellungen bei automatisierten Einwilligungen ein.
Die Betrachtung der recht neuen Technologie unter ökonomischen Gesichtspunkten nehme Dr. Nicola Jentzsch vom DIW vor.

PIMS: bedürfnisorientierte Datenverwaltung

Softwarelösungen wie PIMS speicherten und verwalteten persönliche Daten entsprechend der Bedürfnisse des Users und bezweckten einen abgestimmten Schutz der Privatsphäre. Diese plattformunabhängigen Dienste böten ein breites, hochdynamisches Anwendungsfeld – von Kalenderlösungen bis hin zur Vermarktung von nutzerabhängigen Daten. In der Regel stünden die Anwendungen als kostenlose Add-ons oder Apps zur Verfügung.
Die Idee hinter solchen Ansätzen sei, dass es dem Nutzer möglich sein sollte zu entscheiden, wann, an wen, zu welchem Zweck, in welchem Umfang und für wie lange er seine Daten übermittelt. Gleichzeitig solle damit die Nutzung der Daten nachverfolgt und ggf. widerrufen werden können.

Weitere Informationen zum Thema:

Stiftung  Datenschutz, 30.03.2017
UNSERE STUDIE: „NEUE WEGE BEI DER EINWILLIGUNG IM DATENSCHUTZ – TECHNISCHE, RECHTLICHE UND ÖKONOMISCHE HERAUSFORDERUNGEN“

datensicherheit.de, 03.04.2017
Neues Bundesdatenschutzgesetz: Nachbesserungen dringend empfohlen

datensicherheit.de, 16.05.2013
acatech setzt sich für eine Kultur der Privatheit im Internet ein