Bereits veröffentlicht sind Teil 1, Einleitung sowie Teil 2, Zeitpunkt der Einwilligung.
Informiertheit der Einwilligung
Anforderungen: Eine Einwilligung kann nur rechtswirksam abgegeben werden, wenn Einwilligende, diese auf Grundlage hinreichender Informationen erteilt und sich daher der Tragweite seiner Einwilligung bewusst ist. Ein bloßer Hinweis darauf, dass Cookies verwendet werden, um das Surferlebnis zu verbessern (oder ähnliche Formulierungen) reicht dabei nicht aus. Vielmehr wird von der Datenschutzkonferenz (DSK) solch ein allgemeiner Hinweis als irreführend anzusehen.
Empfehlung: Um die Anforderung der Informiertheit zu erfüllen, müssen folgende Mindestangaben in einer klaren und einfachen Sprache erteilt werden.
- Die Identität des Verantwortlichen ist zu benennen.
- Benennen Sie die genauen verarbeiteten Daten.
- Besonderes Augenmerk liegt auch auf den Verarbeitungszwecken. Dabei ist nicht lediglich das Ergebnis, (z.B. Anzeige von Werbung) sondern auch die Datenverarbeitung selbst zu erläutern (z.B. Erstellung eines Nutzerprofils über die Interessen und Vorlieben durch Nachverfolgung der Internetnutzung).
- Bei Weitergabe personenbezogener Daten an Dritte sind die Empfänger sowie die entsprechenden Zwecke der Datenverarbeitung durch diese aufzulisten.
Im Zusammenhang mit diesem Punkt wurden Zweifel daran geäußert, dass es bei Teilnehmern am Real Time Bidding möglich ist, die Websitebesucher über die tatsächlichen Empfänger personenbezogener Daten aufzuklären (audatis Artikel: „Belgische Datenschutzaufsicht“).
Nach aktuellem Kenntnisstand kann der genaue Empfängerkreis, der für das Real Time Bidding erstellten Profile, nicht genau eingegrenzt werden. Ferner besteht keine Möglichkeit für den Nutzer einzelne Bidder (Werbetreibende) davon auszuschließen einen entsprechenden Werbeplatz auf der besuchten Website zu kaufen. Damit ist zum jetzigen Zeitpunkt die Teilnahme am Real Time Bidding mit einem datenschutzrechtlichen Risiko verbunden, gleichwohl (Stand April 2022) noch keine Sanktionen gegen die benannten Websitebetreiber bekannt sind. - Die Absicht einer ausschließlich automatisierten Entscheidung (Art. 22 Abs. 2 lit c) DS-GVO) muss dem Nutzer mitgeteilt werden.
- Über die Absicht einer Datenübermittlung in Drittländer (Art. 49 Abs. 1 S.1 lit. a) DS-GVO) und damit möglicherweise verbundene Risiken ist der Nutzer aufzuklären.
- Ferner ist ein Hinweis auf eine Widerrufsmöglichkeit (im ersten Consent Layer) erforderlich.
Durch diese Angaben sollen die Fragen klar beantwortet werden:
- Welche personenbezogenen Daten sind betroffen?
- Was passiert mit den Daten?
- Wer erhält Zugriff auf die Daten?
- Werden die personenbezogenen Daten verknüpft?
- Welchen Zwecken dient es?
Darüber hinaus sei darauf hingewiesen, dass insbesondere kreative Überschriften und Einleitungen in den Einwilligungsbanner Risiken mit sich bringen und die Informiertheit einer Einwilligung gefährden.
Unzulässig sind z.B. Überschriften wie:
- „Wir lieben Cookies“
- „Wir respektieren Ihre Privatsphäre“
- „Wir benötigen Ihre Zustimmung“
- „Helfen Sie uns mit Ihrer Einwilligung“
Diese Überschriften täuschen nach Ansicht der baden-württembergischen Aufsichtsbehörde über das tatsächliche Maß der Verarbeitungen hinweg und sind demnach irreführend.
Als geeignet angesehen werden kann die schlichte und sachliche Überschrift „Datenschutzeinstellungen“.
Quellen: Die für die Ausführungen herangezogenen Quellen sind neben dem Gesetz und den Erwägungsgründen zur DS-GVO die folgenden:
Datenschutzkonferrenz, Kurzpapier Nummer 20 i.d.F. v. 21.02.2019;
European data Protection Board, Guidelines 05/2020 (en) ;
LfD Niedersachsen: Handreichung, Datenschutzkonforme Einwilligungen auf Webseiten ;
LfDI Baden-Württemberg: FAQ zu Cookies und Tracking, Stand März 2022,
sowie weitere, im Text unmittelbar verlinkte Quellen)