Im ersten Teil unserer Reihe “Die Einwilligung – Cookie Consent Banner” wurde die aktuelle Sachlage im Hinblick auf die aktuellen Entwicklungen in den Bereichen der Executive und Judikative im Zusammenhang mit Cookie Bannern erörtert. Nun stellt sich die Frage, welche Anforderungen an DS-GVO konforme Einwilligungen und damit die eingesetzten Cookie Consent Banner es zu erfüllen gilt und wie Sie diesen gerecht werden können.
Einwilligung i.S.d. Art. 6 Abs. 1 lit. a), Art. 4 Nr. 11 DS-GVO, i.V.m. § 25 TTDSG
Die Verarbeitung personenbezogener Daten steht gem. der DS-GVO unter einem Erlaubnisvorbehalt – die Verarbeitung ist grundsätzlich verboten, es sei denn, sie ist ausnahmsweise erlaubt.
Personenbezogene Daten sind gem. Art. 4 DS-GVO solche Informationen, die einer identifizierten oder identifizierbaren natürlichen Person zugeordnet sind bzw. Zugeordnet werden können. Wie weit der Begriff der Personenbezogenheit zu verstehen ist, wird anhand der Entscheidungen des EuGH (Urteil vom 19.10.2016 – C-582/14) und des BGH (Urteil vom 16.05.2017 – VI ZR 135/13.) deutlich. Selbst dynamische IP-Adressen, d.h. Adressen, die sich regelmäßig ändern und die sich auf einen Anschluss, nicht eine Einzelperson beziehen, sind nach dieser Rechtsprechung als personenbezogene Daten zu bewerten.
Auch der Begriff der Verarbeitung ist sehr weit gefasst. Darunter ist jeder Vorgang im Zusammenhang mit personenbezogenen Daten zu verstehen. Sowohl die Erhebung, Erfassung, die Ordnung, Weitergabe an Dritte, aber auch die Löschung (nicht abschließende Aufzählung) fallen unter diesen Begriff. Praktisch jede Handhabung personenbezogener Daten ist hiernach als “Verarbeitung” zu qualifizieren.
Die Einwilligung i.S.d. Art. 6 Abs. 1 lit. a) DS-GVO stellt einen der möglichen Erlaubnistatbestände für die Verarbeitung personenbezogener Daten dar. Gem. Art. 4 Nr. 11 DS-GVO ist die Einwilligung der betroffenen Person:
„… jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist“
Insgesamt ergeben sich die folgenden Voraussetzungen für eine DS-GVO konforme Einwilligung:
- Zeitpunkt der Einwilligung
- Informiertheit der Einwilligung
- Eindeutige bestätigende Handlung
- Freiwillige Einwilligung
- Keine unzulässige Einflussnahme auf die Nutzerentscheidung
- Widerruf der Einwillifung
Zeitpunkt der Einwilligung
Anforderungen: Eine Einwilligung legitimiert die Verarbeitung personenbezogener Daten. Somit dürfen keine (nicht unbedingt technisch notwendigen) Cookies oder vergleichbare Trackingtechnologien eingesetzt werden, bis eine Einwilligung hierzu erteilt wurde. Auch eine Weitergabe der personenbezogenen Daten an Dritte darf erst nach Abgabe einer entsprechenden Einwilligung erfolgen.
Umsetzung: Insbesondere die technische Umsetzung dieses Erfordernisses hat in der jüngsten Vergangenheit zu Bußgeldern und auch immateriellen Schadensersatzansprüchen geführt. Cookie-Skripte (siehe dazu audatis Artikel: „Belgische Datenschutzaufsicht“), ähnliche Trackingtechnologien, die Weitergabe personenbezogener Daten an Dritte (siehe dazu Artikel: „Google Fonts – unrechtmäßige Datenverarbeitung“) und ein etwaiger Drittlandtransfer (siehe dazu Artikel: „Cookie Consent Tool „Cookiebot“) müssen so lange blockiert werden, bis der Betroffene deren Einsatz zugestimmt hat.
Empfehlung:
- Überprüfen sie ihr Consent Management Tool oder Dienst auf korrekte Einstellungen in Bezug auf die Blockierung einwilligungspflichtiger Tools, Dienste, Transfers.
- Die Weiternutzung der Website ohne Abgabe einer Einwilligung stellt KEINE Einwilligung dar. Nicht essentielle Dienste müssen zwingend inaktiv bleiben.
- Nutzen Sie möglichst selbstgehostete Consent Managing Tools, oder greifen Sie auf in der EU gehostete Diensteanbieter zurück (siehe dazu: Liste mit empfohlenen Anbietern).
- Wenn Sie nicht aktiv am Real Time Bidding teilnehmen, deaktivieren Sie das TCF-Framework – wenn eine Deaktivierung nicht möglich ist, besteht die Gefahr der Rechtswidrigkeit. Über einen Wechsel sollte nachgedacht werden (audatis Artikel: „Belgische Datenschutzaufsicht“).
- Wenn Sie auf Ihren Social Media Auftritt Aufmerksam machen möchten, empfiehlt es sich mit geeigneter optischer Gestaltung einen entsprechenden Link zu dem jeweiligen Auftritt zu setzen. Damit werden beim bloßen Aufruf Ihrer (Websitebetreiber) Website keine Inhalte an die jeweilige Social-Media Plattform übermittelt.
- Social Media Buttons können ferner mithilfe der Shariff-Lösung eingebunden werden. Eine Verbindung und damit eine Datenübertragung zu den entsprechenden Socia-Media-Plattformen erfolgt dabei erst nach einem Klick auf die Vorschaltseite und damit nach aktiv erteilter Einwilligung.
- Bei direkter Einbindung externer Dienste empfiehlt sich der Rückgriff auf eine Zwei-Klick-Lösung. Ähnlich wie bei der Shariff-Lösung werden Daten erst an die externen Dienste (z.B. YouTube, Twitter, Google Maps etc.) übertragen, wenn der Websitebesucher über die Datenübertragung informiert wurde und danach auf das entsprechende Vorschaubild aktiv klickt und sich mit der Datenübertragung zum Zwecke der Darstellung des externen Inhalts einverstanden erklärt.
Quellen: Die für die Ausführungen herangezogenen Quellen sind neben dem Gesetz und den Erwägungsgründen zur DS-GVO die folgenden:
Datenschutzkonferrenz, Kurzpapier Nummer 20 i.d.F. v. 21.02.2019;
European data Protection Board, Guidelines 05/2020 (en) ;
LfD Niedersachsen: Handreichung, Datenschutzkonforme Einwilligungen auf Webseiten ;
LfDI Baden-Württemberg: FAQ zu Cookies und Tracking, Stand März 2022,
sowie weitere, im Text unmittelbar verlinkte Quellen)