Teil 1
Allgemeine Vorschriften

§ 1 Anwendungsbereich

(1) Diese Rechtsverordnung regelt

1. den Anwendungsbereich und die Begriffsbestimmungen ( Teil 1),
2. die Anforderungen, die ein Dienst zur Einwilligungsverwaltung erfüllen muss, um anerkannt zu werden ( Teil 2),
3. das Verfahren der Anerkennung von Diensten zur Einwilligungsverwaltung durch eine unabhängige Stelle ( Teil 3) und
4. die technischen und organisatorischen Maßnahmen, die von Anbietern von digitalen Diensten sowie Herstellern und Anbietern von Software zum Abrufen und Darstellen von Informationen aus dem Internet getroffen werden sollen, damit die Einstellungen der Endnutzer befolgt werden können und die Einbindung anerkannter Dienste zur Einwilligungsverwaltung berücksichtigt werden kann ( Teil 4).

(2) Der Anbieter von digitalen Diensten bleibt verantwortlich für die Erfüllung der Informationspflichten und für die Beachtung der Anforderungen an die Wirksamkeit der Einwilligung nach der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG ( Datenschutz-Grundverordnung) (ABl. L 119 vom 04.05.2016 S. 1; L 314 vom 22.11.2016 S. 72; L 127 vom 23.05.2018 S. 2; L 74 vom 04.03.2021 S. 35) in der jeweils geltenden Fassung.

§ 2 Begriffsbestimmungen

(1) Im Sinne dieser Rechtsverordnung ist oder sind

1. "Dienst zur Einwilligungsverwaltung" eine informationstechnische Anwendung oder ein digitaler Dienst, die oder der es Endnutzern ermöglicht, die Einstellungen der Endnutzer zu verwalten; die Verwaltung umfasst das Speichern, Übermitteln und Widerrufen der Einstellungen der Endnutzer,
2. "anerkannter Dienst zur Einwilligungsverwaltung" ein Dienst zur Einwilligungsverwaltung, der von der zuständigen Stelle anerkannt ist,
3. "Abruf- und Darstellungssoftware" eine Software zum Abrufen und Darstellen von Informationen aus dem Internet; dies umfasst alle Programme und Anwendungen, über die Inhalte aus dem Internet abgerufen und dargestellt werden und die keine digitalen Dienste im Sinne des § 1 Absatz 4 Nummer 1 des Digitale-Dienste-Gesetzes sind,
4. "Einstellungen der Endnutzer" die Entscheidung des Endnutzers zur Erteilung oder Nichterteilung einer Einwilligung nach § 25 Absatz 1 des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes gegenüber Anbietern von digitalen Diensten oder Dritten, die Informationen in seiner Endeinrichtung speichern oder auf dort bereits gespeicherte Informationen zugreifen wollen.

(2) Im Übrigen gelten die Begriffsbestimmungen des § 2 des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes.

Teil 2
Anforderungen an anerkannte Dienste zur Einwilligungsverwaltung

§ 3 Allgemeine Anforderungen

(1) Der anerkannte Dienst zur Einwilligungsverwaltung speichert bei der erstmaligen Inanspruchnahme eines digitalen Dienstes durch den Endnutzer die hierzu getroffenen Einstellungen der Endnutzer. Das Gleiche gilt, wenn der Anbieter von digitalen Diensten eine Einwilligung nach § 25 Absatz 1 des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes nachfragt, die bisher nicht vom anerkannten Dienst zur Einwilligungsverwaltung verwaltet wird. Er übermittelt dem jeweiligen Anbieter von digitalen Diensten diese Einstellungen der Endnutzer bei jeder weiteren Inanspruchnahme des digitalen Dienstes.

(2) Der anerkannte Dienst zur Einwilligungsverwaltung verwaltet nur solche Einwilligungen, bei denen der Anbieter von digitalen Diensten den Endnutzer vor Erteilung der Einwilligung mindestens in Kenntnis gesetzt hat über

1. den oder die Anbieter von digitalen Diensten oder Dritte, die Informationen in der Endeinrichtung des Endnutzers speichern oder auf dort bereits gespeicherte Informationen zugreifen können,
2. die konkreten Informationen, die in der Endeinrichtung des Endnutzers gespeichert werden sollen und die bereits in der Endeinrichtung des Endnutzers gespeichert sind und auf die zugegriffen werden soll,
3. die Zwecke, zu denen die Informationen in der Endeinrichtung des Endnutzers gespeichert werden sollen und zu denen auf Informationen, die bereits in der Endeinrichtung des Endnutzers gespeichert sind, zugegriffen werden soll,
4. die Zeiträume, in denen die Informationen in der Endeinrichtung des Endnutzers gespeichert werden sollen und in denen auf Informationen, die bereits in der Endeinrichtung des Endnutzers gespeichert sind, zugegriffen werden soll,
5. die jederzeitige Widerruflichkeit der Einwilligung sowie darüber, dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Zugriffe und Speicherungen im Sinne des § 25 Absatz 1 des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes von dem Widerruf nicht berührt wird.

Weitergehende Informationspflichten der Anbieter von digitalen Diensten bleiben unberührt.

(3) Erteilt der Endnutzer die nach § 25 Absatz 1 des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes erforderliche Einwilligung, müssen die Informationen, die der Einwilligungserklärung zugrunde lagen, mit der Einwilligungserklärung in einer für den Endnutzer leicht zugänglichen Weise dokumentiert werden.

§ 4 Anforderungen an ein nutzerfreundliches Verfahren

(1) Ein Verfahren zur Einwilligungsverwaltung ist nutzerfreundlich, wenn

1. die Benutzeroberfläche des Dienstes zur Einwilligungsverwaltung so transparent und verständlich gestaltet ist, dass der Endnutzer eine freie und informierte Entscheidung treffen kann, und
2. die Einstellungen der Endnutzer, einschließlich des Datums und der Uhrzeit, zu dem die Einstellungen getätigt wurden, mit den zu diesem Zeitpunkt zur Verfügung gestellten Informationen jederzeit vom Endnutzer eingesehen und die Einstellungen der Endnutzer von diesem jederzeit geändert und gegebenenfalls widerrufen werden können.

(2) Eine Aufforderung zur Überprüfung der Einstellungen der Endnutzer durch den anerkannten Dienst zur Einwilligungsverwaltung darf frühestens nach einem Jahr erfolgen, wenn der Endnutzer nicht eine andere Einstellung hierzu vorgesehen hat.

(3) Der Dienst zur Einwilligungsverwaltung soll es dem Endnutzer ermöglichen, die nach Absatz 1 Nummer 2 gespeicherten Einstellungen der Endnutzer mit den zu diesem Zeitpunkt zur Verfügung gestellten Informationen in gängige Dateiformate zu exportieren.

§ 5 Wechsel zu einem anderen anerkannten Dienst zur Einwilligungsverwaltung

(1) Der Endnutzer hat das Recht, jederzeit einfach

1. zu einem anderen anerkannten Dienst zur Einwilligungsverwaltung zu wechseln und
2. die von ihm getätigten Einstellungen der Endnutzer auf den anderen anerkannten Dienst zur Einwilligungsverwaltung zu übertragen.

(2) Der anerkannte Dienst zur Einwilligungsverwaltung hält die Einstellungen des Endnutzers in einem gängigen und maschinenlesbaren Format vor und stellt sie für einen anderen anerkannten Dienst zur Einwilligungsverwaltung kostenlos zum Abruf bereit, wenn der Endnutzer nach Absatz 1 Nummer 2 eine Übertragung auf den anderen anerkannten Dienst zur Einwilligungsverwaltung verlangt.

§ 6 Anforderungen an ein wettbewerbskonformes Verfahren Ein Verfahren zur Einwilligungsverwaltung ist wettbewerbskonform, wenn

1. jeder Anbieter von digitalen Diensten, der den anerkannten Dienst zur Einwilligungsverwaltung einbindet, die erforderlichen Einwilligungen nach § 25 Absatz 1 des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes über den anerkannten Dienst zur Einwilligungsverwaltung in Echtzeit beim Endnutzer unter den gleichen Bedingungen nachfragen kann,
2. keinem Anbieter von digitalen Diensten, der den anerkannten Dienst zur Einwilligungsverwaltung einbindet, die Übermittlung der hierzu getroffenen Einstellungen der Endnutzer verweigert wird und
3. in den Voreinstellungen der Benutzerschnittstelle des anerkannten Dienstes zur Einwilligungsverwaltung
   1. die Anbieter von digitalen Diensten in einer Liste einheitlich dargestellt werden, entweder alphabetisch geordnet nach den von dem Anbieter von digitalen Diensten gemäß § 5 Absatz 1 Nummer 1 des Digitale-Dienste-Gesetzes verfügbar gehaltenen Namen oder chronologisch geordnet nach der Reihenfolge der vom anerkannten Dienst zur Einwilligungsverwaltung gespeicherten Einstellungen zu den Anfragen von Anbietern von digitalen Diensten, und
   2. die Einstellungen der Endnutzer und die dafür erforderlichen Informationen einheitlich dargestellt werden.

§ 7 Anforderungen an Technologien und Konfigurationen für das Zusammenwirken mit Anbietern von digitalen Diensten und mit Abruf- und Darstellungssoftware

Der anerkannte Dienst zur Einwilligungsverwaltung verwendet Technologien und Konfigurationen, die es ermöglichen, dass

1. Anbieter von digitalen Diensten und Abruf- und Darstellungssoftware erkennen können, dass der Endnutzer den Dienst zur Einwilligungsverwaltung nutzt und dass dieser nach Teil 3 anerkannt ist,
2. Anbieter von digitalen Diensten ihre Nachfragen einer Einwilligung nach § 25 Absatz 1 des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes über ihn senden können und
3. Anbieter von digitalen Diensten, die eine Einwilligung nach § 25 Absatz 1 des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes über ihn nachgefragt haben, prüfen können, ob Einstellungen der Endnutzer verwaltet werden.

Teil 3
Anerkennung von Diensten zur Einwilligungsverwaltung

§ 8 Zuständige Stelle

Die oder der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit ist die unabhängige Stelle, die für die Anerkennung von Diensten zur Einwilligungsverwaltung zuständig ist.

§ 9 Informationsaustausch mit zuständigen Aufsichtsbehörden der Länder

(1) Die zuständige Stelle informiert die zuständigen Aufsichtsbehörden der Länder nach § 40 Absatz 1 des Bundesdatenschutzgesetzes elektronisch über die Anerkennung eines Dienstes zur Einwilligungsverwaltung.

(2) Befindet die zuständige Aufsichtsbehörde eines Landes im Rahmen ihrer Zuständigkeit, dass ein Anbieter von digitalen Diensten das Vorliegen einer wirksamen Einwilligung nach § 25 Absatz 1 des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes aufgrund von Mängeln des eingebundenen anerkannten Dienstes zur Einwilligungsverwaltung nicht nachweisen kann, so teilt sie dies der zuständigen Stelle elektronisch mit. Zu diesem Zweck tauschen die Aufsichtsbehörde des Landes und die zuständige Stelle untereinander alle zweckdienlichen Informationen aus.

§ 10 Anerkennungsvoraussetzungen

Ein Dienst zur Einwilligungsverwaltung wird auf Antrag anerkannt, wenn er

1. die Anforderungen des Teils 2 erfüllt und
2. ein Sicherheitskonzept nach § 12 vorgelegt hat.

§ 11 Antragstellung

(1) Der Antrag auf Anerkennung eines Dienstes zur Einwilligungsverwaltung ist elektronisch bei der zuständigen Stelle zu stellen.

(2) Der Antrag muss eine dokumentierte Beschreibung des Dienstes zur Einwilligungsverwaltung enthalten, die der zuständigen Stelle eine Prüfung des Vorliegens der in Teil 2 geregelten Anforderungen ermöglicht.

(3) Der Antrag muss folgende Angaben zum Anbieter des Dienstes zur Einwilligungsverwaltung enthalten:

1. seinen Namen,
2. seinen Rechtsstatus, bei juristischen Personen zusätzlich die Rechtsform und den Vertretungsberechtigten, sowie Angaben über das Register, sofern der Antragssteller im Handelsregister oder in einem dem Handelsregister vergleichbaren Register eingetragen ist, und die dazugehörige Registernummer,
3. seine Anschrift oder die Anschrift seiner Niederlassung oder der Hauptniederlassung nach Artikel 4 Nummer 16 der Verordnung (EU) 2016/679 innerhalb der Europäischen Union,
4. Angaben zur elektronischen Abrufbarkeit von Informationen über ihn und seine Tätigkeiten,
5. seine Telefonnummer und seine E-Mail-Adresse oder andere vorhandene von ihm zur Verfügung gestellte Online-Kommunikationsmittel, sofern diese gewährleisten, dass der Endnutzer seine Korrespondenz mit ihm, einschließlich Datum und Uhrzeit der Korrespondenz, auf einem dauerhaften Datenträger speichern kann,
6. Angaben zu seiner wirtschaftlichen und organisatorischen Struktur einschließlich Angaben zu seiner Finanzierung sowie Angaben, aus denen sich ergibt, dass er
   1. kein wirtschaftliches Eigeninteresse an der Einwilligung der Endnutzer und an den verwalteten Daten hat und
   2. rechtlich und organisatorisch unabhängig von Unternehmen ist, die ein solches Interesse haben können.

Bedient sich der Anbieter eines Dienstes zur Einwilligungsverwaltung Auftragsverarbeitern nach Artikel 28 der Verordnung (EU) 2016/679, so muss der Antrag die Angaben nach Satz 1 Nummer 1 bis 6 entsprechend für diese Auftragsverarbeiter enthalten.

(4) Dem Antrag sind beizufügen:

1. die Erklärung des Anbieters des Dienstes zur Einwilligungsverwaltung, dass er personenbezogene Daten der den Dienst nutzenden Endnutzer und die Einstellungen der Endnutzer für keine anderen Zwecke als für die Einwilligungsverwaltung verarbeitet,
2. ein Sicherheitskonzept nach § 12 und
3. Informationen zu abgeschlossenen oder laufenden Beteiligungen, Stellungnahmen und Verfügungen der zuständigen Datenschutzaufsichtsbehörden, soweit diese erfolgt sind.

(5) Die zuständige Stelle kann eine Vorlage für die Antragstellung erstellen. Sie hat die Vorlage zu veröffentlichen oder allen Anbietern von Diensten zur Einwilligungsverwaltung in sonstiger geeigneter Weise zur Verfügung zu stellen.

§ 12 Sicherheitskonzept

Das nach § 26 Absatz 1 Nummer 4 des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes erforderliche Sicherheitskonzept muss Angaben enthalten

1. zur Sicherheit der personenbezogenen Daten und der Einstellungen der Endnutzer, die von dem Dienst zur Einwilligungsverwaltung verwaltet werden,
2. zum Speicherort der personenbezogenen Daten und der Einstellungen der Endnutzer,
3. zu den technischen und organisatorischen Maßnahmen, mit denen sichergestellt wird, dass personenbezogene Daten und die Einstellungen der Endnutzer ausschließlich für die Funktionen des Dienstes zur Einwilligungsverwaltung verarbeitet werden,
4. zu den erforderlichen technischen und organisatorischen Maßnahmen, die getroffen werden,
   1. um personenbezogene Daten vor unbefugten Zugriffen zu schützen und
   2. um die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen zu gewährleisten, und
5. zu den technischen und organisatorischen Maßnahmen, mit denen Risiken für die Integrität, Vertraulichkeit und Verfügbarkeit des angebotenen Dienstes erkannt und so weit wie möglich minimiert werden können.

§ 13 Register der anerkannten Dienste zur Einwilligungsverwaltung

Die zuständige Stelle führt ein öffentliches Register der anerkannten Dienste zur Einwilligungsverwaltung.

§ 14 Anzeige von Änderungen

(1) Der Anbieter eines anerkannten Dienstes zur Einwilligungsverwaltung hat jährlich zu prüfen, ob die Anforderungen nach Teil 2 weiterhin erfüllt sind und ob sich Tatsachen, die den Angaben bei Antragsstellung zugrunde lagen, geändert haben. Die zuständige Stelle kann den Anbieter auffordern, zusätzliche Prüfungen durchzuführen. Sie kann Fristen setzen, innerhalb derer die zusätzlichen Prüfungen jeweils durchzuführen sind.

(2) Änderungen, die sich auf die Anforderungen nach Teil 2 beziehen, sind der zuständigen Stelle unverzüglich elektronisch anzuzeigen. Aktualisierungen und Änderungen von Tatsachen, die den Angaben bei der Antragstellung zugrunde lagen, sind der zuständigen Stelle ebenfalls unverzüglich elektronisch anzuzeigen.

§ 15 Meldung von Beschwerden

(1) Dritte können der zuständigen Stelle Hinweise auf und Beschwerden über mögliche Verstöße des anerkannten Dienstes zur Einwilligungsverwaltung gegen die Anforderungen nach Teil 2 elektronisch melden.

(2) Die zuständige Stelle kann eine Stelle zum Empfang der Meldungen einrichten.

§ 16 Widerruf der Anerkennung

Die zuständige Stelle hat die Anerkennung eines anerkannten Dienstes zur Einwilligungsverwaltung zu widerrufen, wenn sie Kenntnis von Tatsachen erhält, denen zufolge die Voraussetzungen für die Anerkennung nicht mehr erfüllt sind. Vor der Entscheidung über den Widerruf ist der Anbieter des anerkannten Dienstes zur Einwilligungsverwaltung anzuhören.

Teil 4
Technische und organisatorische Maßnahmen durch Anbieter von digitalen Diensten und Hersteller und Anbieter von Abruf- und Darstellungssoftware

§ 17 Maßnahmen durch Hersteller und Anbieter von Abruf- und Darstellungssoftware

Im Rahmen der technischen Möglichkeiten sollen Hersteller und Anbieter von Abruf- und Darstellungssoftware durch technische und organisatorische Maßnahmen dafür Sorge tragen, dass

1. die Abruf- und Darstellungssoftware die Einbindung von anerkannten Diensten zur Einwilligungsverwaltung durch Endnutzer berücksichtigt und
2. ein über den anerkannten Dienst zur Einwilligungsverwaltung oder über den Anbieter von digitalen Diensten hinterlegtes Signal und die Einstellungen der Endnutzer weder unterdrückt, verzögert oder entschlüsselt noch in anderer Weise verändert werden.

§ 18 Maßnahmen durch Anbieter von digitalen Diensten zur Einbindung von anerkannten Diensten zur Einwilligungsverwaltung

(1) Die Einbindung von anerkannten Diensten zur Einwilligungsverwaltung durch Anbieter von digitalen Diensten erfolgt freiwillig.

(2) Anbieter von digitalen Diensten, die einen anerkannten Dienst zur Einwilligungsverwaltung einbinden und über diesen die Einstellungen der Endnutzer zu ihren Einwilligungen nach § 25 Absatz 1 des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes nachfragen, sollen durch technische und organisatorische Maßnahmen nach dem Stand der Technik dafür Sorge tragen, dass

1. die Einbindung eines anerkannten Dienstes zur Einwilligungsverwaltung durch den Endnutzer bei dem Aufruf ihres digitalen Dienstes berücksichtigt wird und
2. überprüft wird, ob Einstellungen der Endnutzer zu den nachgefragten Einwilligungen des Anbieters von digitalen Diensten beim anerkannten Dienst zur Einwilligungsverwaltung verwaltet werden.

(3) Anbieter von digitalen Diensten, die einen anerkannten Dienst zur Einwilligungsverwaltung einbinden, sollen

1. es ermöglichen, dass die von ihnen nachgefragten Einwilligungen nach § 25 Absatz 1 des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes und die hierzu getroffenen Einstellungen der Endnutzer durch den eingebundenen anerkannten Dienst zur Einwilligungsverwaltung gespeichert werden können,
2. die Endnutzer an sichtbarer und geeigneter Stelle darauf hinweisen, dass der angebotene digitale Dienst anerkannte Dienste zur Einwilligungsverwaltung einbindet und die dort verwalteten Einstelllungen der Endnutzer berücksichtigt,
3. mit dem anerkannten Dienst zur Einwilligungsverwaltung zur Umsetzung der Vorgaben des § 7 zusammenwirken und
4. dem anerkannten Dienst zur Einwilligungsverwaltung die nach den Artikeln 7 und 12 bis 14 der Verordnung (EU) 2016/679 erforderlichen Informationen in einem maschinenlesbaren Format zur Verfügung stellen.

§ 19 Maßnahmen durch Anbieter von digitalen Diensten zur Berücksichtigung der Einstellungen der Endnutzer

(1) Anbieter von digitalen Diensten, die einen anerkannten Dienst zur Einwilligungsverwaltung einbinden, berücksichtigen die Einstellungen der Endnutzer. Sie weisen die Endnutzer, von denen sie keine Einwilligung über die Einbindung des anerkannten Dienstes zur Einwilligungsverwaltung und die Einstellungen der Endnutzer erhalten haben, bei Aufforderung zur Erteilung einer Einwilligung zugleich auf die Einstellungen des Endnutzers beim anerkannten Dienst zur Einwilligungsverwaltung hin.

(2) Anbieter von digitalen Diensten können einem vom Endnutzer in Anspruch genommenen anerkannten Dienst zur Einwilligungsverwaltung Einwilligungen des Endnutzers, die ihnen bereits vorliegen, übermitteln. Dabei sind zugleich die Informationen nach § 3 Absatz 3 mit dem Datum und der Uhrzeit der getätigten Einwilligung der Endnutzer zu übermitteln.

§ 20 Maßnahmen zur Neutralität

Anbieter von digitalen Diensten sowie Hersteller und Anbieter von Abruf- und Darstellungssoftware, die einen anerkannten Dienst zur Einwilligungsverwaltung einbinden, sollen nicht ohne sachlichen Grund darauf hinwirken, dass Endnutzer bestimmte anerkannte Dienste zur Einwilligungsverwaltung anwenden oder ausschließen.

*) Notifiziert gemäß der Richtlinie (EU) 2015/1535 des Europäischen Parlaments und des Rates vom 9. September 2015 über ein Informationsverfahren auf dem Gebiet der technischen Vorschriften und der Vorschriften für die Dienste der Informationsgesellschaft (ABl. L 241 vom 17.09.2015 S. 1).

ENDE