Um Cookies oder Dienste von Drittanbietern datenschutzkonform auf einer Website einzubinden, ist nach der DS-GVO die Einwilligung des Nutzenden erforderlich.
Vorsicht bei Consent Tools
Zunächst geht die LfD in der Handreichung auf sogenannte Consent-Management-Tools von Dienstleistern ein. Diese Versprechen meist DS-GVO-konforme Einwilligungen einzuholen. Die LfD betont aber, dass bei der Nutzung solcher Tools große Vorsicht geboten sein sollte. Zwar sei es durch den Einsatz eines Consent-Management Tools möglich datenschutzkonforme Einwilligungen einzuholen, allerdings hänge dies auch stark von dem konkreten Einsatz des Tools ab. Häufig müssen nämlich Konfigurationen an dem Tool vorgenommen werden, weshalb durch den bloßen Einsatz eines solchen Tools nicht automatisch datenschutzkonforme Einwilligungen eingeholt werden können.
Anforderungen an datenschutzkonforme Einwilligungen
Daraufhin thematisiert die LfD die gesetzlichen Anforderungen an eine Einwilligung, die sich aus Art. 4 Nr. 11, Art. 7 und Art. 8 DS-GVO ergeben.
Aus Art. 4 Nr. 11 DS-GVO geht hervor, dass eine Einwilligung der betroffenen Person freiwillig für den bestimmten Fall und in informierter Weise erfolgen muss. Außerdem muss sie in Form einer Erklärung oder einer sonstigen eindeutigen bestätigende Handlung abgegeben werden, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.
In Art. 7 DS-GVO werden weitere Bedingungen für eine wirksame Einwilligung aufgestellt. Art. 8 DS-GVO legt darüber hinaus weitere Anforderungen an die Einwilligung von Minderjährigen fest.
Zeitpunkt der Einwilligung
In der Handreichung geht die LfD schließlich auf den Zeitpunkt der Einwilligung ein. Eine Einwilligung muss in allen Fällen vor der Datenverarbeitung erteilt werden. Es dürfen somit keine Cookies gesetzt oder Daten an Drittdienstleister übermittelt werden, wenn eine Website von einer nutzenden Person das erste Mal aufgerufen wird. Dies geschieht in der Regel über ein Pop-Up des Consent-Banners, über das die Einwilligung abgefragt wird.
Weitere Informationen zum Zeitpunkt der Einwilligung können Sie im zweiten Teil unserer Reihe „Die Einwilligung – Cookie Consent Banner“ nachlesen.
Informiertheit der Einwilligung
Die Handreichung der LfD geht daraufhin auf das Thema der Informiertheit der Einwilligung ein. Wie eine Einwilligung in informierter Weise zu erfolgen hat, haben wir Ihnen in dem dritten Teil unserer Reihe „Die Einwilligung – Cookie Consent Banner“ beschrieben.
Eindeutig bestätigende Handlung
Als nächstes beschriebt die LfD, dass eine Einwilligung nach Art. 4 Nr. 11 DS-GVO in Form einer eindeutig bestätigenden Handlung erfolgen muss.
Im vierten Teil unsere Reihe „Die Einwilligung – Cookie Consent Banner“ erfahren Sie wie eine Einwilligung in Form einer eindeutig bestätigenden Handlung geschehen kann.
Freiwillige Einwilligung
Ferner geht die LfD in der Handreichung darauf ein, dass eine rechtswirksame Einwilligung freiwillig erfolgen muss.
Wie gewährleistet werden kann, dass die Einwilligung freiwillig erfolgt, erfahren Sie in dem fünften Teil unserer Reihe „Die Einwilligung – Cookie Consent Banner“.
Kein unzulässiges Nudging
Im Zusammenhang mit der Freiwilligkeit wird in der Handreichung auch auf das sogenannte Nudging eingegangen. Nudging bezeichnet Techniken, durch die das Verhalten der Nutzenden beeinflusst werden soll. In vielen Consent-Bannern ist beispielsweise die Zustimmen-Option häufig auffälliger als die Ablehnen-Option, wodurch die betroffene Person zur Abgabe einer Einwilligung beeinflusst werden soll. Häufig wird auch der Prozess des Ablehnens unnötig kompliziert gestaltet, indem die Zustimmung mit einem Klick erteilt werden kann, aber erst die Cookie-Einstellungen geöffnet werden müssen, um die Ablehnung vorzunehmen.
Eine weitere Form des Nudgings liegt vor, wenn die nutzende Person nach der Ablehnung wiederholt nach der Einwilligung gefragt wird. Durch dieses Verfahren soll die nutzende Person “erschöpft” werden um nach einer gewissen Zeit „aufzugeben“ und die Einwilligung doch noch zu erteilen. Bei einem wiederholten Aufruf der Website darf die Einwilligung also nicht noch einmal abgefragt werden.
Nudging ist unzulässig, wenn es vom Verantwortlichen verwendet wird, um die betroffene Person zur Erteilung der Einwilligung zu verleiten.
Widerruf der Einwilligung
Daraufhin wird in der Handreichung der Widerruf der Einwilligung thematisiert.
In Art. 7 Abs. 3 S. 4 DS-GVO wird ausdrücklich gefordert, dass der Widerruf der Einwilligung so einfach wie die Erteilung der Einwilligung erfolgen können muss. Sollte die Einwilligung unmittelbar bei der Nutzung der Website erfolgen, so muss der Widerruf auch über diesen Weg möglich sein. Ausschließliche Widerrufsmöglichkeiten über Kommunikationswege wie E-Mail, Anruf, Fax oder sogar Brief sind nicht zulässig.
Die LfD rät außerdem aus datenschutzrechtlicher Sicht davon ab ein Kontaktformular als Widerrufsmöglichkeit zu nutzen, da hierbei in der Regel personenbezogene Daten für den Widerruf angegeben werden müssen.
Daneben sollte eine leicht auffindbare Möglichkeit gegeben werden, um zuvor vorgenommene Einstellungen ändern zu können. Es bietet sich an hierfür einen Link zu dem Consent-Banner einzufügen. Dieser kann beispielsweise „Datenschutz-Einstellungen“ genannt werden. Und entweder im Footer der Website oder gut sichtbar auf der Seite der Datenschutzerklärung eingefügt werden.
Einwilligung für Datenverarbeitungen von Minderjährigen
Nach Art. 8 DS-GVO müssen Betreiber von Websites die sich direkt an minderjährige Personen richten weitere Anforderungen an die Einwilligungen beachten.
Die LfD empfiehlt Betreibern solcher Websites möglichst ganz auf Cookies und Drittanbieter zu verzichten, damit keine Einwilligung notwendig ist.
Sollte aber doch eine Einwilligung erforderlich sein, so ist diese bei unter 16-jährigen-Personen nur wirksam, wenn sie durch den Teil der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wird. Hierzu wäre zunächst eine Abfragung des Alters erforderlich. Hierbei ist problematisch, dass Minderjährige möglicherweise nicht wahrheitsgemäß antworten. Vertretbar sei es aber, wenn die Einwilligung der Eltern abgefragt wird. Der Verantwortliche ist gem. Art. 8 Abs. 2 DS-GVO jedoch dazu verpflichtet nachzuprüfen, ob die Einwilligung tatsächlich von den Eltern abgegeben wurde. Hierzu empfiehlt die LfD ein Verifizierungsverfahren auf der Website einzubinden, welches eine geringe Missbrauchswahrscheinlichkeit bietet.
Das Einwilligungsverfahren i.S.d. der DS-GVO wird jedoch oft kritisiert, da es unrealistisch ist, davon auszugehen, dass alle Minderjährigen ihre Eltern um ihre Einwilligung bitten. Aus diesem Grund ist es wichtig, dass Eltern ihren Kindern beibringen, wie sie ihre Daten schützen können.
Folgen unzulässiger Cookie-Banner
Es zeigt sich, dass die korrekte Umsetzung eines Cookie-Banners von entscheidender Bedeutung ist, da es regelmäßig zu Bußgeldern und Geldstrafen im Zusammenhang mit unzulässigen Cookie-Bannern kommt. Das LG München (Urteil vom 29.11.2022, Az.: 33 O 14776/19) entschied, dass durch den Cookie-Banner auf der Website „focus.de“ keine wirksame Entscheidung eingeholt worden sei und die eingeholte Einwilligung auch nicht freiwillig sei. Das Ablehnen von Cookies erfordere nämlich eine aufwendigere Interaktion mit der Consent-Management Plattform. Zur Zustimmung in alle Verarbeitungsmöglichkeiten war dabei ein Klick notwendig wohingegen die Ablehnung erst nach zwei Klicks ermöglicht wurde. In einem vergleichbaren Sachverhalt verhängte die französische Aufsichtsbehörde, CNIL, Anfang 2022 Bußgelder i.H.v. 60 Mio. Euro gegen Facebook und insgesamt 150 Mio. Euro gegen Google (näher im Artikel: “Millionenhohe Strafen für Google und Facebook in Frankreich – deutsche Aufsichtsbehörden reagieren”).
Bei einer weiteren Zuwiderhandlung droht den Betreibern der Website ein Ordnungsgeld in Höhe von 25.000 Euro.
Ein weiteres Beispiel ist das Bußgeld in Höhe von 60 Millionen Euro, die die französische Datenschutzbehörde CNIL gegen Microsoft verhängt hat, weil die Suchmaschine „Bing“ Cookies ohne die notwendige Zustimmung der Nutzer gespeichert habe. Microsoft muss nun nachbessern und eine Abfrage der Einwilligung einblenden. Zudem bietet die Suchmaschine erst seit März 2022 eine eigene Schaltfläche an, mit der alle Cookies abgelehnt werden können.