Die EinwV: was PIMS fürs Tracking ändern
Die Einwilligungsverwaltungsverordnung, kurz EinwV, soll die Grundlage für eine zentrale Einwilligungsverwaltung schaffen. Die Idee: Du triffst deine Cookie-Entscheidung einmal an zentraler Stelle, und Websites berücksichtigen sie, statt dir jedes Mal ein eigenes Banner vorzulegen. Das Thema ist neu und vieles noch in Bewegung. Dieser Artikel erklärt nüchtern, was PIMS sind, was sich fürs Tracking ändern könnte und was du heute schon richtig machst, ohne auf Verdacht umzubauen. Eine Vorbemerkung gleich vorweg: Das hier ist keine Rechtsberatung.
Worum es geht, und warum die EinwV neu ist
Cookie-Banner sind der sichtbarste Teil des datenschutzkonformen Trackings, und für viele Nutzer der lästigste. Auf jeder neuen Seite die gleiche Frage, auf jedem Gerät erneut. Genau an diesem Punkt setzt die Einwilligungsverwaltungsverordnung an. Sie knüpft an § 26 TDDDG an und zielt auf anerkannte Dienste, die eine zentrale Einwilligungsverwaltung übernehmen. Diese Dienste werden meist PIMS genannt, kurz für Personal Information Management Services. Der Gedanke: Du hinterlegst deine Einwilligungs-Entscheidungen einmal zentral, statt sie an jeder Stelle neu zu klicken.
Neu ist daran nicht die Einwilligung selbst. Die Pflicht, vor dem Zugriff aufs Endgerät eine Einwilligung einzuholen, steht in § 25 TDDDG und bleibt unberührt. Neu ist die Idee einer Verwaltung dieser Einwilligungen an einer zentralen Stelle, der Websites vertrauen können. Das TDDDG hat dafür mit § 26 die Tür geöffnet, die EinwV soll den Raum dahinter mit konkreten Anforderungen füllen. Wie genau diese Anforderungen aussehen, ist Teil dessen, was sich gerade noch entwickelt.
Wichtig ist die Einordnung: Die EinwV ist ein First-Mover-Thema. Es gibt dazu wenig belastbare Praxis, und seriös lässt sich heute mehr über die Richtung als über das Ergebnis sagen. Dieser Artikel bleibt deshalb bewusst vorsichtig. Wo etwas offen ist, steht es als offen da, und nicht als Gewissheit verkleidet. Und noch einmal deutlich: Das ist keine Rechtsberatung, sondern eine praktische Einordnung aus Tracking-Sicht.
Zurück zum Überblick: DSGVO-konformes Tracking, der vollständige Leitfaden. Im Glossar: DSGVO.
Was PIMS sind
Ein PIMS, ein Personal Information Management Service, ist im Kern ein Vermittler. Er hält die Einwilligungs-Präferenzen eines Nutzers und vertritt sie gegenüber Websites. Statt dass jede Seite ihr eigenes Banner stellt und ihre eigene Entscheidung speichert, fragt sie den Dienst: Liegt für mich eine Einwilligung vor, und für welche Zwecke? Die Antwort kommt aus einer Quelle, die der Nutzer einmal eingerichtet hat.
In einfachen Worten: Du legst deine Präferenzen einmal fest. Etwa, dass du Analyse-Cookies grundsätzlich erlaubst, Marketing-Cookies aber nur bei bestimmten Anbietern. Dieser Dienst merkt sich die Entscheidung und gibt sie gegenüber Websites ab, die ihn nutzen. Du musst nicht mehr auf jeder Seite dasselbe Banner durchklicken, und die Website muss nicht für jeden Erstbesuch raten, was du willst.
Der Nutzen liegt auf beiden Seiten. Für Nutzer bedeutet es weniger Banner-Müdigkeit und eine Entscheidung, die sie an einer Stelle überblicken und ändern können. Für Betreiber bedeutet es eine dokumentierte, nachvollziehbare Einwilligung, ohne dass jeder Erstkontakt von einem Banner abhängt. Das ist die Idee in nüchterner Form. Wie weit sie in der Praxis trägt, ist eine andere Frage, und genau die ist noch nicht entschieden.
Was sich für Cookie-Banner ändern könnte
Hier ist Vorsicht beim Wortlaut wichtig: Es geht um könnte, nicht um wird. Wenn anerkannte PIMS verfügbar sind und sich am Markt durchsetzen, könnte eine Website eine zentral hinterlegte Entscheidung berücksichtigen, statt jedem Erstbesucher ein vollständiges Banner zu zeigen. Das per-Seite-Banner würde dann an Gewicht verlieren, weil ein Teil der Entscheidung schon woanders getroffen wurde.
Das heißt nicht, dass das Banner verschwindet. Der Einwilligungs-Maßstab bleibt: Ohne eine gültige, informierte Einwilligung darf weiterhin nicht aufs Endgerät zugegriffen werden. Ein PIMS ändert nicht, ob Einwilligung nötig ist, sondern womöglich, wo und wie oft sie eingeholt wird. Für Seiten, deren Nutzer ein anerkanntes PIMS verwenden, könnte der Banner-Kontakt seltener oder schlanker werden. Für alle anderen bliebe zunächst alles beim Alten.
Realistisch ist deshalb eher ein Nebeneinander als ein Bruch. Ein Teil der Besucher käme mit einer zentral hinterlegten Entscheidung, ein anderer Teil ohne. Dein Consent-Layout müsste beide Fälle bedienen können. Das ist kein Grund, schon heute etwas umzustellen, aber ein guter Grund, ein CMP zu wählen, das sich später an solche Mechanismen anpassen lässt, statt sich auf eine starre Banner-Logik festzulegen.
Wie Consent technisch sauber signalisiert wird, zeigt der Artikel zur Consent-Mode-v2-Implementierung. Im Glossar: Consent Mode v2.
Was noch offen ist
An diesem Thema ist mehr unentschieden als entschieden, und das ehrlich zu benennen gehört dazu. Vier Punkte sind besonders offen, und an jedem hängt, ob und wie schnell die EinwV in der Tracking-Praxis ankommt.
Anerkennungs-Kriterien
Welche Anforderungen ein Dienst erfüllen muss, um als anerkanntes PIMS zu gelten, ist der Kern der ganzen Sache. Davon hängt ab, wer solche Dienste anbietet, wie vertrauenswürdig sie sind und ob Aufsichtsbehörden und Betreiber sie akzeptieren. Solange diese Kriterien nicht praktisch erprobt sind, lässt sich schwer abschätzen, wie das Ökosystem aussehen wird.
Akzeptanz bei Nutzern und Betreibern
Eine zentrale Einwilligungsverwaltung wirkt nur, wenn genug Nutzer sie einrichten und genug Websites sie berücksichtigen. Das ist ein klassisches Henne-Ei-Problem. Bleibt die Verbreitung gering, bleibt auch der Effekt auf das einzelne Banner gering. Wie sich das entwickelt, lässt sich heute nicht vorhersagen.
Browser- und CMP-Unterstützung
Damit ein PIMS funktioniert, braucht es technische Schnittstellen: im Browser, in den Consent-Management-Plattformen, womöglich in den Werbe- und Analyse-Systemen dahinter. Solche Standards entstehen nicht über Nacht, und es ist offen, wer sie wie schnell unterstützt. Ohne breite Unterstützung bleibt die schönste Verordnung in der Praxis zahnlos.
Zeitplan
Wann all das zusammenkommt, ist der unsicherste Punkt überhaupt. Ein belastbares Datum, ab dem die EinwV das Tracking spürbar verändert, lässt sich seriös nicht nennen. Genau deshalb der klare Rat: Bau dein Setup nicht auf Spekulation um. Wer jetzt eine Speziallösung auf eine noch unfertige Regulierung zimmert, riskiert, am Ende das Falsche gebaut zu haben.
Was du heute schon richtig machst
Die gute Nachricht: Du musst auf die EinwV nicht warten, um das Richtige zu tun. Wer Consent heute sauber umsetzt, ist für die Verordnung in jedem Fall gut aufgestellt, egal welche Detailregeln am Ende greifen. Die Bausteine sind dieselben, die schon ohne EinwV gelten.
Sauberer Consent über ein anpassbares CMP
Eine klare, informierte Einwilligung über ein Consent-Management, das den Consent Mode v2 korrekt signalisiert, ist die Basis. Wichtig ist, ein CMP zu wählen, das sich weiterentwickeln kann. Wenn anerkannte PIMS kommen, willst du eine Plattform, die solche Mechanismen nachrüstet, ohne dass du dein ganzes Setup neu aufsetzen musst. Anpassbarkeit ist hier mehr wert als jede Spezialfunktion.
Server-Side-Verarbeitung
Wer Tracking-Daten serverseitig verarbeitet, hat die Kontrolle darüber, was wann an wen geht, und kann auf Consent-Signale sauber reagieren. Das macht ein Setup robust gegenüber Veränderungen, ob sie nun aus Browser-Restriktionen oder aus neuer Regulierung kommen.
Dokumentation
Eine nachvollziehbare Dokumentation der Einwilligungen ist heute Pflicht und bleibt es. Wer belegen kann, auf welcher Grundlage welche Daten verarbeitet wurden, steht bei jeder Entwicklung besser da. Eine zentrale Einwilligungsverwaltung würde diese Anforderung nicht ersetzen, sondern ergänzen.
Der rote Faden: Consent jetzt richtig zu machen, positioniert dich für die EinwV in beide Richtungen. Kommt sie schnell, bist du anschlussfähig. Kommt sie spät oder anders als gedacht, hast du trotzdem ein sauberes, prüfbares Setup. Beides ist besser als ein Umbau auf Verdacht.
Die Grundlage im Gesetz: TDDDG und Tracking. Die technische Umsetzung: Consent Mode v2 implementieren. Die betreute Variante: DSGVO-konformes Tracking als Lösung.
Häufige Fragen zur EinwV
Was ist die Einwilligungsverwaltungsverordnung (EinwV)?
Die Einwilligungsverwaltungsverordnung ist eine deutsche Verordnung, die an § 26 TDDDG anknüpft und die Grundlage für eine zentrale Einwilligungsverwaltung schaffen soll. Die Idee dahinter: anerkannte Dienste, sogenannte PIMS, sollen die Einwilligungs-Entscheidungen der Nutzer zentral speichern und gegenüber Websites vertreten. Statt auf jeder Seite ein eigenes Banner zu beantworten, würde eine einmal getroffene Entscheidung mehrfach gelten. Der genaue Zuschnitt der Anforderungen und der Zeitplan sind in Bewegung, deshalb lohnt es sich, das Thema zu beobachten, statt das eigene Setup darauf umzubauen.
Was sind PIMS?
PIMS steht für Personal Information Management Services, auf Deutsch Dienste zur Verwaltung persönlicher Informationen. Vereinfacht gesagt ist ein PIMS ein Dienst, bei dem du deine Einwilligungs-Präferenzen einmal hinterlegst, und der diese Präferenzen dann gegenüber Websites geltend macht. Eine Website fragt den Dienst, ob für sie eine Einwilligung vorliegt, statt dir jedes Mal ein eigenes Banner zu zeigen. Das Ziel ist weniger Banner-Müdigkeit bei gleichzeitig nachvollziehbar dokumentierter Einwilligung.
Schafft die EinwV das Cookie-Banner ab?
So einfach ist es nicht. Die EinwV schafft keinen Freibrief, ohne Einwilligung zu tracken, denn der Einwilligungs-Maßstab aus § 25 TDDDG und der DSGVO bleibt bestehen. Was sich ändern könnte: Wenn anerkannte PIMS verfügbar sind und eine Seite eine zentral hinterlegte Entscheidung berücksichtigt, könnte das eigene Banner an Gewicht verlieren oder seltener auftauchen. Ob und wie schnell das in der Praxis ankommt, hängt von Anerkennung, Browser- und CMP-Unterstützung und der Akzeptanz bei den Nutzern ab. Vorerst bleibt das gut umgesetzte eigene Consent-Management der Standard.
Ab wann gilt die EinwV?
Ein verlässliches Datum, ab dem die EinwV in der Tracking-Praxis spürbar wirkt, lässt sich seriös nicht nennen. Die rechtliche Grundlage ist gelegt, aber die Umsetzung hängt von Detailfragen ab, etwa wie ein Dienst anerkannt wird und welche technischen Schnittstellen entstehen. Bis es anerkannte PIMS mit breiter Browser- und CMP-Unterstützung gibt, vergeht erfahrungsgemäß Zeit. Wer hier sauber bleiben will, verfolgt die Entwicklung und passt sein Setup an, wenn die Lage klarer ist, statt auf Ankündigungen hin umzubauen.
Was hat die EinwV mit dem TDDDG zu tun?
Das TDDDG, das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz, regelt in § 25 die Einwilligungspflicht für den Zugriff auf das Endgerät, also auf Cookies und vergleichbare Technologien. § 26 TDDDG sieht die Möglichkeit anerkannter Dienste für die Einwilligungsverwaltung vor, und die EinwV füllt genau diesen Rahmen mit konkreten Anforderungen aus. Sie ersetzt also nicht die Einwilligungspflicht, sondern legt fest, wie eine zentrale Verwaltung dieser Einwilligungen aussehen könnte. TDDDG und EinwV gehören damit zusammen: das Gesetz steckt den Rahmen, die Verordnung die Umsetzung.
Was sollte ich heute schon tun?
Das Beste, was du heute tun kannst, ist Consent sauber umzusetzen: eine klare Einwilligung über ein CMP, das den Consent Mode v2 korrekt signalisiert, dazu Server-Side-Verarbeitung und eine ordentliche Dokumentation deiner Einwilligungen. Wer Consent jetzt richtig macht, ist für die EinwV in jedem Fall gut aufgestellt, egal welche Detailregeln am Ende greifen. Es gibt keinen Grund, jetzt auf Verdacht umzubauen. Ein CMP, das sich später an neue Standards anpassen lässt, ist die ruhigere Wette als eine Speziallösung auf eine noch unfertige Regulierung.