LegalizeVerordnung über Dienste zur Einwilligungsverwaltung nach dem Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz
Inhaltsübersicht
Teil 1Allgemeine Vorschriften§ 1Anwendungsbereich§ 2BegriffsbestimmungenTeil 2Anforderungen an anerkannte Dienste zur Einwilligungsverwaltung§ 3Allgemeine Anforderungen§ 4Anforderungen an ein nutzerfreundliches Verfahren§ 5Wechsel zu einem anderen anerkannten Dienst zur Einwilligungsverwaltung§ 6Anforderungen an ein wettbewerbskonformes Verfahren§ 7Anforderungen an Technologien und Konfigurationen für das Zusammenwirken mit Anbietern von digitalen Diensten und mit Abruf- und DarstellungssoftwareTeil 3Anerkennung von Diensten zur Einwilligungsverwaltung§ 8Zuständige Stelle§ 9Informationsaustausch mit zuständigen Aufsichtsbehörden der Länder§ 10Anerkennungsvoraussetzungen§ 11Antragstellung§ 12Sicherheitskonzept§ 13Register der anerkannten Dienste zur Einwilligungsverwaltung§ 14Anzeige von Änderungen§ 15Meldung von Beschwerden§ 16Widerruf der AnerkennungTeil 4Technische und organisatorische Maßnahmen durch Anbieter von digitalen Diensten und Hersteller und Anbieter von Abruf- und Darstellungssoftware§ 17Maßnahmen durch Hersteller und Anbieter von Abruf- und Darstellungssoftware§ 18Maßnahmen durch Anbieter von digitalen Diensten zur Einbindung von anerkannten Diensten zur Einwilligungsverwaltung§ 19Maßnahmen durch Anbieter von digitalen Diensten zur Berücksichtigung der Einstellungen der Endnutzer§ 20Maßnahmen zur Neutralität
Teil 1 Allgemeine Vorschriften
§ 1 Anwendungsbereich
(1) Diese Rechtsverordnung regelt
den Anwendungsbereich und die Begriffsbestimmungen (Teil 1),
die Anforderungen, die ein Dienst zur Einwilligungsverwaltung erfüllen muss, um anerkannt zu werden (Teil 2),
das Verfahren der Anerkennung von Diensten zur Einwilligungsverwaltung durch eine unabhängige Stelle (Teil 3) und
die technischen und organisatorischen Maßnahmen, die von Anbietern von digitalen Diensten sowie Herstellern und Anbietern von Software zum Abrufen und Darstellen von Informationen aus dem Internet getroffen werden sollen, damit die Einstellungen der Endnutzer befolgt werden können und die Einbindung anerkannter Dienste zur Einwilligungsverwaltung berücksichtigt werden kann (Teil 4).
(2) Der Anbieter von digitalen Diensten bleibt verantwortlich für die Erfüllung der Informationspflichten und für die Beachtung der Anforderungen an die Wirksamkeit der Einwilligung nach der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2; L 74 vom 4.3.2021, S. 35) in der jeweils geltenden Fassung.
§ 2 Begriffsbestimmungen
(1) Im Sinne dieser Rechtsverordnung ist oder sind
„Dienst zur Einwilligungsverwaltung“ eine informationstechnische Anwendung oder ein digitaler Dienst, die oder der es Endnutzern ermöglicht, die Einstellungen der Endnutzer zu verwalten; die Verwaltung umfasst das Speichern, Übermitteln und Widerrufen der Einstellungen der Endnutzer,
„anerkannter Dienst zur Einwilligungsverwaltung“ ein Dienst zur Einwilligungsverwaltung, der von der zuständigen Stelle anerkannt ist,
„Abruf- und Darstellungssoftware“ eine Software zum Abrufen und Darstellen von Informationen aus dem Internet; dies umfasst alle Programme und Anwendungen, über die Inhalte aus dem Internet abgerufen und dargestellt werden und die keine digitalen Dienste im Sinne des § 1 Absatz 4 Nummer 1 des Digitale-Dienste-Gesetzes sind,
„Einstellungen der Endnutzer“ die Entscheidung des Endnutzers zur Erteilung oder Nichterteilung einer Einwilligung nach § 25 Absatz 1 des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes gegenüber Anbietern von digitalen Diensten oder Dritten, die Informationen in seiner Endeinrichtung speichern oder auf dort bereits gespeicherte Informationen zugreifen wollen.
(2) Im Übrigen gelten die Begriffsbestimmungen des § 2 des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes.
Teil 2 Anforderungen an anerkannte Dienste zur Einwilligungsverwaltung
§ 3 Allgemeine Anforderungen
(1) Der anerkannte Dienst zur Einwilligungsverwaltung speichert bei der erstmaligen Inanspruchnahme eines digitalen Dienstes durch den Endnutzer die hierzu getroffenen Einstellungen der Endnutzer. Das Gleiche gilt, wenn der Anbieter von digitalen Diensten eine Einwilligung nach § 25 Absatz 1 des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes nachfragt, die bisher nicht vom anerkannten Dienst zur Einwilligungsverwaltung verwaltet wird. Er übermittelt dem jeweiligen Anbieter von digitalen Diensten diese Einstellungen der Endnutzer bei jeder weiteren Inanspruchnahme des digitalen Dienstes.
(2) Der anerkannte Dienst zur Einwilligungsverwaltung verwaltet nur solche Einwilligungen, bei denen der Anbieter von digitalen Diensten den Endnutzer vor Erteilung der Einwilligung mindestens in Kenntnis gesetzt hat über
den oder die Anbieter von digitalen Diensten oder Dritte, die Informationen in der Endeinrichtung des Endnutzers speichern oder auf dort bereits gespeicherte Informationen zugreifen können,
die konkreten Informationen, die in der Endeinrichtung des Endnutzers gespeichert werden sollen und die bereits in der Endeinrichtung des Endnutzers gespeichert sind und auf die zugegriffen werden soll,
die Zwecke, zu denen die Informationen in der Endeinrichtung des Endnutzers gespeichert werden sollen und zu denen auf Informationen, die bereits in der Endeinrichtung des Endnutzers gespeichert sind, zugegriffen werden soll,
die Zeiträume, in denen die Informationen in der Endeinrichtung des Endnutzers gespeichert werden sollen und in denen auf Informationen, die bereits in der Endeinrichtung des Endnutzers gespeichert sind, zugegriffen werden soll,
die jederzeitige Widerruflichkeit der Einwilligung sowie darüber, dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Zugriffe und Speicherungen im Sinne des § 25 Absatz 1 des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes von dem Widerruf nicht berührt wird.
Weitergehende Informationspflichten der Anbieter von digitalen Diensten bleiben unberührt.
(3) Erteilt der Endnutzer die nach § 25 Absatz 1 des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes erforderliche Einwilligung, müssen die Informationen, die der Einwilligungserklärung zugrunde lagen, mit der Einwilligungserklärung in einer für den Endnutzer leicht zugänglichen Weise dokumentiert werden.
§ 4 Anforderungen an ein nutzerfreundliches Verfahren
(1) Ein Verfahren zur Einwilligungsverwaltung ist nutzerfreundlich, wenn
die Benutzeroberfläche des Dienstes zur Einwilligungsverwaltung so transparent und verständlich gestaltet ist, dass der Endnutzer eine freie und informierte Entscheidung treffen kann, und
die Einstellungen der Endnutzer, einschließlich des Datums und der Uhrzeit, zu dem die Einstellungen getätigt wurden, mit den zu diesem Zeitpunkt zur Verfügung gestellten Informationen jederzeit vom Endnutzer eingesehen und die Einstellungen der Endnutzer von diesem jederzeit geändert und gegebenenfalls widerrufen werden können.
(2) Eine Aufforderung zur Überprüfung der Einstellungen der Endnutzer durch den anerkannten Dienst zur Einwilligungsverwaltung darf frühestens nach einem Jahr erfolgen, wenn der Endnutzer nicht eine andere Einstellung hierzu vorgesehen hat.
(3) Der Dienst zur Einwilligungsverwaltung soll es dem Endnutzer ermöglichen, die nach Absatz 1 Nummer 2 gespeicherten Einstellungen der Endnutzer mit den zu diesem Zeitpunkt zur Verfügung gestellten Informationen in gängige Dateiformate zu exportieren.
§ 5 Wechsel zu einem anderen anerkannten Dienst zur Einwilligungsverwaltung
(1) Der Endnutzer hat das Recht, jederzeit einfach
zu einem anderen anerkannten Dienst zur Einwilligungsverwaltung zu wechseln und
die von ihm getätigten Einstellungen der Endnutzer auf den anderen anerkannten Dienst zur Einwilligungsverwaltung zu übertragen.
(2) Der anerkannte Dienst zur Einwilligungsverwaltung hält die Einstellungen des Endnutzers in einem gängigen und maschinenlesbaren Format vor und stellt sie für einen anderen anerkannten Dienst zur Einwilligungsverwaltung kostenlos zum Abruf bereit, wenn der Endnutzer nach Absatz 1 Nummer 2 eine Übertragung auf den anderen anerkannten Dienst zur Einwilligungsverwaltung verlangt.
§ 6 Anforderungen an ein wettbewerbskonformes Verfahren
Ein Verfahren zur Einwilligungsverwaltung ist wettbewerbskonform, wenn
jeder Anbieter von digitalen Diensten, der den anerkannten Dienst zur Einwilligungsverwaltung einbindet, die erforderlichen Einwilligungen nach § 25 Absatz 1 des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes über den anerkannten Dienst zur Einwilligungsverwaltung in Echtzeit beim Endnutzer unter den gleichen Bedingungen nachfragen kann,
keinem Anbieter von digitalen Diensten, der den anerkannten Dienst zur Einwilligungsverwaltung einbindet, die Übermittlung der hierzu getroffenen Einstellungen der Endnutzer verweigert wird und
in den Voreinstellungen der Benutzerschnittstelle des anerkannten Dienstes zur Einwilligungsverwaltung
die Anbieter von digitalen Diensten in einer Liste einheitlich dargestellt werden, entweder alphabetisch geordnet nach den von dem Anbieter von digitalen Diensten gemäß § 5 Absatz 1 Nummer 1 des Digitale-Dienste-Gesetzes verfügbar gehaltenen Namen oder chronologisch geordnet nach der Reihenfolge der vom anerkannten Dienst zur Einwilligungsverwaltung gespeicherten Einstellungen zu den Anfragen von Anbietern von digitalen Diensten, und
die Einstellungen der Endnutzer und die dafür erforderlichen Informationen einheitlich dargestellt werden.
§ 7 Anforderungen an Technologien und Konfigurationen für das Zusammenwirken mit Anbietern von digitalen Diensten und mit Abruf- und Darstellungssoftware
Der anerkannte Dienst zur Einwilligungsverwaltung verwendet Technologien und Konfigurationen, die es ermöglichen, dass
Anbieter von digitalen Diensten und Abruf- und Darstellungssoftware erkennen können, dass der Endnutzer den Dienst zur Einwilligungsverwaltung nutzt und dass dieser nach Teil 3 anerkannt ist,
Anbieter von digitalen Diensten ihre Nachfragen einer Einwilligung nach § 25 Absatz 1 des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes über ihn senden können und
Anbieter von digitalen Diensten, die eine Einwilligung nach § 25 Absatz 1 des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes über ihn nachgefragt haben, prüfen können, ob Einstellungen der Endnutzer verwaltet werden.
Teil 3 Anerkennung von Diensten zur Einwilligungsverwaltung
§ 8 Zuständige Stelle
Die oder der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit ist die unabhängige Stelle, die für die Anerkennung von Diensten zur Einwilligungsverwaltung zuständig ist.
§ 9 Informationsaustausch mit zuständigen Aufsichtsbehörden der Länder
(1) Die zuständige Stelle informiert die zuständigen Aufsichtsbehörden der Länder nach § 40 Absatz 1 des Bundesdatenschutzgesetzes elektronisch über die Anerkennung eines Dienstes zur Einwilligungsverwaltung.
(2) Befindet die zuständige Aufsichtsbehörde eines Landes im Rahmen ihrer Zuständigkeit, dass ein Anbieter von digitalen Diensten das Vorliegen einer wirksamen Einwilligung nach § 25 Absatz 1 des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes aufgrund von Mängeln des eingebundenen anerkannten Dienstes zur Einwilligungsverwaltung nicht nachweisen kann, so teilt sie dies der zuständigen Stelle elektronisch mit. Zu diesem Zweck tauschen die Aufsichtsbehörde des Landes und die zuständige Stelle untereinander alle zweckdienlichen Informationen aus.
§ 10 Anerkennungsvoraussetzungen
Ein Dienst zur Einwilligungsverwaltung wird auf Antrag anerkannt, wenn er
die Anforderungen des Teils 2 erfüllt und
ein Sicherheitskonzept nach § 12 vorgelegt hat.
§ 11 Antragstellung
(1) Der Antrag auf Anerkennung eines Dienstes zur Einwilligungsverwaltung ist elektronisch bei der zuständigen Stelle zu stellen.
(2) Der Antrag muss eine dokumentierte Beschreibung des Dienstes zur Einwilligungsverwaltung enthalten, die der zuständigen Stelle eine Prüfung des Vorliegens der in Teil 2 geregelten Anforderungen ermöglicht.
(3) Der Antrag muss folgende Angaben zum Anbieter des Dienstes zur Einwilligungsverwaltung enthalten:
seinen Namen,
seinen Rechtsstatus, bei juristischen Personen zusätzlich die Rechtsform und den Vertretungsberechtigten, sowie Angaben über das Register, sofern der Antragssteller im Handelsregister oder in einem dem Handelsregister vergleichbaren Register eingetragen ist, und die dazugehörige Registernummer,
seine Anschrift oder die Anschrift seiner Niederlassung oder der Hauptniederlassung nach Artikel 4 Nummer 16 der Verordnung (EU) 2016/679 innerhalb der Europäischen Union,
Angaben zur elektronischen Abrufbarkeit von Informationen über ihn und seine Tätigkeiten,
seine Telefonnummer und seine E-Mail-Adresse oder andere vorhandene von ihm zur Verfügung gestellte Online-Kommunikationsmittel, sofern diese gewährleisten, dass der Endnutzer seine Korrespondenz mit ihm, einschließlich Datum und Uhrzeit der Korrespondenz, auf einem dauerhaften Datenträger speichern kann,
Angaben zu seiner wirtschaftlichen und organisatorischen Struktur einschließlich Angaben zu seiner Finanzierung sowie Angaben, aus denen sich ergibt, dass er
kein wirtschaftliches Eigeninteresse an der Einwilligung der Endnutzer und an den verwalteten Daten hat und
rechtlich und organisatorisch unabhängig von Unternehmen ist, die ein solches Interesse haben können.
Bedient sich der Anbieter eines Dienstes zur Einwilligungsverwaltung Auftragsverarbeitern nach Artikel 28 der Verordnung (EU) 2016/679, so muss der Antrag die Angaben nach Satz 1 Nummer 1 bis 6 entsprechend für diese Auftragsverarbeiter enthalten.
(4) Dem Antrag sind beizufügen:
die Erklärung des Anbieters des Dienstes zur Einwilligungsverwaltung, dass er personenbezogene Daten der den Dienst nutzenden Endnutzer und die Einstellungen der Endnutzer für keine anderen Zwecke als für die Einwilligungsverwaltung verarbeitet,
ein Sicherheitskonzept nach § 12 und
Informationen zu abgeschlossenen oder laufenden Beteiligungen, Stellungnahmen und Verfügungen der zuständigen Datenschutzaufsichtsbehörden, soweit diese erfolgt sind.
(5) Die zuständige Stelle kann eine Vorlage für die Antragstellung erstellen. Sie hat die Vorlage zu veröffentlichen oder allen Anbietern von Diensten zur Einwilligungsverwaltung in sonstiger geeigneter Weise zur Verfügung zu stellen.
§ 12 Sicherheitskonzept
Das nach § 26 Absatz 1 Nummer 4 des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes erforderliche Sicherheitskonzept muss Angaben enthalten
zur Sicherheit der personenbezogenen Daten und der Einstellungen der Endnutzer, die von dem Dienst zur Einwilligungsverwaltung verwaltet werden,
zum Speicherort der personenbezogenen Daten und der Einstellungen der Endnutzer,
zu den technischen und organisatorischen Maßnahmen, mit denen sichergestellt wird, dass personenbezogene Daten und die Einstellungen der Endnutzer ausschließlich für die Funktionen des Dienstes zur Einwilligungsverwaltung verarbeitet werden,
zu den erforderlichen technischen und organisatorischen Maßnahmen, die getroffen werden,
um personenbezogene Daten vor unbefugten Zugriffen zu schützen und
⋯
Dieses Dokument ersetzt nicht die offizielle Publikation im Bundesgesetzblatt. Für eventuelle Ungenauigkeiten bei der Übertragung in dieses Format wird keine Haftung übernommen.