7 Kriterien einer DSGVO-konformen Einwilligung

Eine rechtskräftige und DSGVO-konforme Einwilligung muss zahlreiche Kriterien erfüllen, die es dann auch auf den Usecase von Webseiten und Apps anzuwenden gilt. Maßgeblich ist dabei immer die Perspektive des Nutzers und was dieser rational erwarten und verstehen kann.

Nachfolgend haben wir Ihnen alle Kriterien einer DSGVO-konformen Einwilligung festgehalten und erklären, was genau diese bedeuten.

Überblick: Kriterien einer DSGVO-konformen Einwilligung
Kriterium einer Einwilligung: Freiwillig

Freiwillig

“Annehmen” und “Ablehnen” Button

Eine Einwilligung erfolgt freiwillig, wenn die Person bei ihrer Entscheidung eine echte Wahlfreiheit hat. Gerade die Freiwilligkeit wird von Rechtsprechung und den Behörden zugunsten von Verbrauchern eng ausgelegt. Eine Zugangssperre der Webseite, nur weil der Nutzer die Einwilligung zu Marketing-Technologien nicht gegeben hat, dürfte in der Praxis kaum Bestand haben.

Was bedeutet dies für den Cookie-Banner?
Es muss einen "Annehmen" und "Ablehnen" Button geben. Der User muss also die Möglichkeit haben, die Datenverarbeitung abzulehnen und den Service bzw. die Website trotzdem zu benutzen.

Kriterium einer Einwilligung: Informiert

Informiert

Wer, Was, Warum, Wie lange?

Eine Einwilligung erfolgt informiert, wenn die betroffene Person alle Gegebenheiten im Zusammenhang mit der Datenverarbeitung kennt und diesen wissentlich zustimmt.

Was bedeutet dies für den Cookie-Banner?
Website-Besucher sollten folgende Informationen direkt einsehen können:

  • Wer bekommt meine Daten?
  • Zu welchem Zweck werden diese erhoben (z.B. Analyse, Retargeting etc.)?
  • Welche Daten werden erhoben (z.B. IP-Adresse, Cookie ID, Standort etc.)
  • Auf Basis welcher Rechtsgrundlage werden diese erhoben?
  • Wie lange werden die Daten gespeichert?
  • In welchem Land werden die Daten verarbeitet?
  • Werden die Daten an einen Drittanbieter weitergegeben?
  • Wo finde ich die Datenschutzerklärung des jeweiligen Technologie-Anbieters?

Zur Informiertheit gehört auch die Information über das Recht zum Widerruf der Einwilligung.

Kriterium einer Einwilligung: Explizit

Explizit

Ja, ich will!

Der Nutzer muss aktiv für die Verwendung von Technologien zustimmen.

Was bedeutet dies für den Cookie-Banner?
Das heißt, eine implizite Einwilligung “durch Weitersurfen” von der oft die Rede ist, ist zumindest nicht konform, wenn Technologien sofort beim Besuch der Website geladen werden.

Kriterium einer Einwilligung: Granular

Granular

Zustimmung zu Google, Facebook, etc.

Die Einwilligung muss Technologie- bzw. Cookie-spezifisch sein.

Was bedeutet dies für den Cookie-Banner?
Das heißt, der User muss granular wissen, für welchen Datensatz und für welchen Drittanbieter er seine Einwilligung gibt oder entzieht. Pauschale Einwilligungen in allgemein gehaltene Hinweise genügen diesem Informationsprinzip nicht.

Newsletter abonnieren

In unserem „Legal Update“ Newsletter informieren wir Sie alle 2 Wochen über aktuelle News rund um die DSGVO und sonstige relevante Datenschutz-Themen. Darüber hinaus erfahren Sie als erstes von Usercentrics Events und neuen Veröffentlichungen.












Kriterium einer Einwilligung: Vorab

Vorab

Keine Datenverarbeitung vor Opt-In

Daten sollten erst erfasst werden, wenn die Einwilligung vorliegt.

Was bedeutet dies für den Cookie-Banner?
Es muss eine technische Verknüpfung des “Cookie-Banners” und der Technologien auf der Seite bestehen. Sonst werden Daten ohne gültige Rechtsgrundlage verarbeitet, was einen Verstoß nach Art. 83 Abs. 5 lit. a) DSGVO darstellt.

Willigt der Nutzer nicht ein, muss technisch sichergestellt werden, dass auch weiterhin keine Daten erhoben und weitergegeben werden.

Kriterium einer Einwilligung: Dokumentiert

Dokumentiert

Nachweispflicht im Falle einer Prüfung

Gemäß Art. 7 Abs. 1 DSGVO müssen sämtliche Einwilligungen dokumentiert werden.

Website-Betreiber unterliegen nach DSGVO einer Beweispflicht und müssen im Falle einer Abmahnung oder eines Audits der Datenschutzbehörde die Einwilligungshistorie vollständig vorlegen können.

Was bedeutet dies für den Cookie-Banner?
Damit die Einwilligung einer Prüfung standhält, sollten diverse Datenpunkte mitgeschrieben werden, zum Beispiel Timestamp, User-Agent oder die Version der Einwilligungstexte. Auch abgesetzte URL-Calls sollten geloggt werden, um nachzuweisen, dass keine Cookies ausgespielt wurden, bevor die Einwilligung nicht vorlag.

Kriterium einer Einwilligung: Widerrufbar

Widerrufbar

Opt-Out auf der Seite

Der User hat das Recht, die Einwilligung jederzeit und ohne Begründung zu widerrufen. Dabei muss der Widerruf genauso einfach wie die Erteilung der Einwilligung sein.

Was bedeutet dies für den Cookie-Banner?
Übertragen auf Technologien, bedeutet dies, dass der User jederzeit seine Einwilligung zu einzelnen Technologien mit wenigen Klicks einsehen und widerrufen können muss. Dass er erst in den Datenschutzbestimmungen nach der jeweiligen Opt-Out Option suchen muss und hierzu ggf. auf eine Drittanbieter Seite geleitet wird, kann dem User hingegen nicht zugemutet werden.

Ein Click-Out in der Datenschutzerklärung, welcher auf Drittseiten zum Opt-Out verlinkt, ist ohnehin technisch nicht ausreichend. Grund hierfür ist, dass im Fall des Widerrufs des Users auf der Webseite eine weitere Datenweitergabe vom Webseitenbetreiber verhindert werden muss.

Das Auslesen der Cookie-ID - selbst zu dem Zweck, den Opt-Out festzustellen - bedeutet damit bereits eine unberechtigte Datenweitergabe an Dritte (in diesem Fall dem Processor). Nach dem Widerruf darf die Technologie also nicht mehr ausgelöst werden. Folglich genügt die Kombination von OK-Banner und Opt-Out-Hinweis in der Datenschutzerklärung weder rechtlich noch technisch der DSGVO.

Usercentrics Whitepaper

Whitepaper: DSGVO für Enterprises

Sie möchten mehr über die DSGVO erfahren? In unserem kostenlosen Whitepaper haben wir Ihnen neben allem Wissenswerten rund um die DSGVO auch hilfreiche Checklisten und praktische Tipps festgehalten, wie Sie mit Cookies und User-Identifiern zukünftig umgehen müssen.

Usercentrics Newsletter
Legal Update
Immer up-to-date: Mit unserem Legal Update halten wir Sie auf dem Laufenden über aktuelle Trends rund ums Thema Datenschutz.
Usercentrics Whitepaper Cover
Neues Whitepaper
Checklisten und praktische Hinweise zum korrekten Umgang mit Cookies und User-Identifiern nach DSGVO.