Freiwillig
“Annehmen” und “Ablehnen” Button Eine Einwilligung erfolgt freiwillig, wenn die Person bei ihrer Entscheidung eine echte Wahlfreiheit hat. Gerade die Freiwilligkeit wird von Rechtsprechung und den Behörden zugunsten von Verbrauchern eng ausgelegt. Eine Zugangssperre der Webseite, nur weil der Nutzer die Einwilligung zu Marketing-Technologien nicht gegeben hat, dürfte in der Praxis kaum Bestand haben. Was bedeutet dies für den Cookie-Banner? Es muss einen „Annehmen“ und „Ablehnen“ Button geben. Der User muss also die Möglichkeit haben, die Datenverarbeitung abzulehnen und den Service bzw. die Website trotzdem zu benutzen.Informiert
Wer, Was, Warum, Wie lange? Eine Einwilligung erfolgt informiert, wenn die betroffene Person alle Gegebenheiten im Zusammenhang mit der Datenverarbeitung kennt und diesen wissentlich zustimmt. Was bedeutet dies für den Cookie-Banner? Website-Besucher sollten folgende Informationen direkt einsehen können:- Wer bekommt meine Daten?
- Zu welchem Zweck werden diese erhoben (z.B. Analyse, Retargeting etc.)?
- Welche Daten werden erhoben (z.B. IP-Adresse, Cookie ID, Standort etc.)
- Auf Basis welcher Rechtsgrundlage werden diese erhoben?
- Wie lange werden die Daten gespeichert?
- In welchem Land werden die Daten verarbeitet?
- Werden die Daten an einen Drittanbieter weitergegeben?
- Wo finde ich die Datenschutzerklärung des jeweiligen Technologie-Anbieters?
Explizit
Ja, ich will! Der Nutzer muss aktiv für die Verwendung von Technologien zustimmen. Was bedeutet dies für den Cookie-Banner? Das heißt, eine implizite Einwilligung “durch Weitersurfen” von der oft die Rede ist, ist zumindest nicht konform, wenn Technologien sofort beim Besuch der Website geladen werden.Granular
Zustimmung zu Google, Facebook, etc. Die Einwilligung muss Technologie- bzw. Cookie-spezifisch sein. Was bedeutet dies für den Cookie-Banner? Das heißt, der User muss granular wissen, für welchen Datensatz und für welchen Drittanbieter er seine Einwilligung gibt oder entzieht. Pauschale Einwilligungen in allgemein gehaltene Hinweise genügen diesem Informationsprinzip nicht.Vorab
Keine Datenverarbeitung vor Opt-In Daten sollten erst erfasst werden, wenn die Einwilligung vorliegt. Was bedeutet dies für den Cookie-Banner? Es muss eine technische Verknüpfung des “Cookie-Banners” und der Technologien auf der Seite bestehen. Sonst werden Daten ohne gültige Rechtsgrundlage verarbeitet, was einen Verstoß nach Art. 83 Abs. 5 lit. a) DSGVO darstellt. Willigt der Nutzer nicht ein, muss technisch sichergestellt werden, dass auch weiterhin keine Daten erhoben und weitergegeben werden.Dokumentiert
Nachweispflicht im Falle einer Prüfung Gemäß Art. 7 Abs. 1 DSGVO müssen sämtliche Einwilligungen dokumentiert werden. Website-Betreiber unterliegen nach DSGVO einer Beweispflicht und müssen im Falle einer Abmahnung oder eines Audits der Datenschutzbehörde die Einwilligungshistorie vollständig vorlegen können. Was bedeutet dies für den Cookie-Banner? Damit die Einwilligung einer Prüfung standhält, sollten diverse Datenpunkte mitgeschrieben werden, zum Beispiel Timestamp, User-Agent oder die Version der Einwilligungstexte. Auch abgesetzte URL-Calls sollten geloggt werden, um nachzuweisen, dass keine Cookies ausgespielt wurden, bevor die Einwilligung nicht vorlag.Widerrufbar
Opt-Out auf der Seite Der User hat das Recht, die Einwilligung jederzeit und ohne Begründung zu widerrufen. Dabei muss der Widerruf genauso einfach wie die Erteilung der Einwilligung sein. Was bedeutet dies für den Cookie-Banner? Übertragen auf Technologien, bedeutet dies, dass der User jederzeit seine Einwilligung zu einzelnen Technologien mit wenigen Klicks einsehen und widerrufen können muss. Dass er erst in den Datenschutzbestimmungen nach der jeweiligen Opt-Out Option suchen muss und hierzu ggf. auf eine Drittanbieter Seite geleitet wird, kann dem User hingegen nicht zugemutet werden. Ein Click-Out in der Datenschutzerklärung, welcher auf Drittseiten zum Opt-Out verlinkt, ist ohnehin technisch nicht ausreichend. Grund hierfür ist, dass im Fall des Widerrufs des Users auf der Webseite eine weitere Datenweitergabe vom Webseitenbetreiber verhindert werden muss. Das Auslesen der Cookie-ID – selbst zu dem Zweck, den Opt-Out festzustellen – bedeutet damit bereits eine unberechtigte Datenweitergabe an Dritte (in diesem Fall dem Processor). Nach dem Widerruf darf die Technologie also nicht mehr ausgelöst werden. Folglich genügt die Kombination von OK-Banner und Opt-Out-Hinweis in der Datenschutzerklärung weder rechtlich noch technisch der DSGVO. ButtonWeitere interessante Artikel:
- So gestalten Sie die Customer Journey DSGVO-konform
- Nutzer Einwilligung einholen: diese fünf Tricks sind nicht DSGVO-konform
- Sechs Fallstricke bei der Erstellung einer DSGVO-konformen Datenschutzerklärung
- Die aktuellen Guidelines des EDSA zur DSGVO-konformen Einwilligung
- Best practice – So implementieren Sie Ihre CMP DSGVO-konform
