7 Kriterien einer DSGVO-konformen Einwilligung
Home Ressourcen Blog 7 Kriterien einer DSGVO-konformen Einwilligung

7 Kriterien einer DSGVO-konformen Einwilligung

von Usercentrics
4. Feb 2019
7 Kriterien einer DSGVO-konformen Einwilligung
Inhaltsverzeichnis
Mehr anzeigen Weniger anzeigen

Eine rechtskräftige und DSGVO-konforme Einwilligung muss zahlreiche Kriterien erfüllen, die es dann auch auf den Usecase von Webseiten und Apps anzuwenden gilt. Maßgeblich ist dabei immer die Perspektive des Nutzers und was dieser rational erwarten und verstehen kann.

Nachfolgend haben wir Ihnen alle Kriterien einer DSGVO-konformen Einwilligung festgehalten und erklären, was genau diese bedeuten.

7 Kriterien einer DSGVO-konformen Einwilligung

Freiwillig

“Annehmen” und “Ablehnen” Button

Eine Einwilligung erfolgt freiwillig, wenn die Person bei ihrer Entscheidung eine echte Wahlfreiheit hat. Gerade die Freiwilligkeit wird von Rechtsprechung und den Behörden zugunsten von Verbrauchern eng ausgelegt. Eine Zugangssperre der Webseite, nur weil der Nutzer die Einwilligung zu Marketing-Technologien nicht gegeben hat, dürfte in der Praxis kaum Bestand haben.

Was bedeutet dies für den Cookie-Banner?
Es muss einen „Annehmen“ und „Ablehnen“ Button geben. Der User muss also die Möglichkeit haben, die Datenverarbeitung abzulehnen und den Service bzw. die Website trotzdem zu benutzen.

Informiert

Wer, Was, Warum, Wie lange?

Eine Einwilligung erfolgt informiert, wenn die betroffene Person alle Gegebenheiten im Zusammenhang mit der Datenverarbeitung kennt und diesen wissentlich zustimmt.

Was bedeutet dies für den Cookie-Banner?
Website-Besucher sollten folgende Informationen direkt einsehen können:

  • Wer bekommt meine Daten?
  • Zu welchem Zweck werden diese erhoben (z.B. Analyse, Retargeting etc.)?
  • Welche Daten werden erhoben (z.B. IP-Adresse, Cookie ID, Standort etc.)
  • Auf Basis welcher Rechtsgrundlage werden diese erhoben?
  • Wie lange werden die Daten gespeichert?
  • In welchem Land werden die Daten verarbeitet?
  • Werden die Daten an einen Drittanbieter weitergegeben?
  • Wo finde ich die Datenschutzerklärung des jeweiligen Technologie-Anbieters?

Zur Informiertheit gehört auch die Information über das Recht zum Widerruf der Einwilligung.

Explizit

Ja, ich will!

Der Nutzer muss aktiv für die Verwendung von Technologien zustimmen.

Was bedeutet dies für den Cookie-Banner?
Das heißt, eine implizite Einwilligung “durch Weitersurfen” von der oft die Rede ist, ist zumindest nicht konform, wenn Technologien sofort beim Besuch der Website geladen werden.

Granular

Zustimmung zu Google, Facebook, etc.

Die Einwilligung muss Technologie- bzw. Cookie-spezifisch sein.

Was bedeutet dies für den Cookie-Banner?
Das heißt, der User muss granular wissen, für welchen Datensatz und für welchen Drittanbieter er seine Einwilligung gibt oder entzieht. Pauschale Einwilligungen in allgemein gehaltene Hinweise genügen diesem Informationsprinzip nicht.

Vorab

Keine Datenverarbeitung vor Opt-In

Daten sollten erst erfasst werden, wenn die Einwilligung vorliegt.

Was bedeutet dies für den Cookie-Banner?
Es muss eine technische Verknüpfung des “Cookie-Banners” und der Technologien auf der Seite bestehen. Sonst werden Daten ohne gültige Rechtsgrundlage verarbeitet, was einen Verstoß nach Art. 83 Abs. 5 lit. a) DSGVO darstellt.

Willigt der Nutzer nicht ein, muss technisch sichergestellt werden, dass auch weiterhin keine Daten erhoben und weitergegeben werden.

Dokumentiert

Nachweispflicht im Falle einer Prüfung

Gemäß Art. 7 Abs. 1 DSGVO müssen sämtliche Einwilligungen dokumentiert werden.

Website-Betreiber unterliegen nach DSGVO einer Beweispflicht und müssen im Falle einer Abmahnung oder eines Audits der Datenschutzbehörde die Einwilligungshistorie vollständig vorlegen können.

Was bedeutet dies für den Cookie-Banner?
Damit die Einwilligung einer Prüfung standhält, sollten diverse Datenpunkte mitgeschrieben werden, zum Beispiel Timestamp, User-Agent oder die Version der Einwilligungstexte. Auch abgesetzte URL-Calls sollten geloggt werden, um nachzuweisen, dass keine Cookies ausgespielt wurden, bevor die Einwilligung nicht vorlag.

Widerrufbar

Opt-Out auf der Seite

Der User hat das Recht, die Einwilligung jederzeit und ohne Begründung zu widerrufen. Dabei muss der Widerruf genauso einfach wie die Erteilung der Einwilligung sein.

Was bedeutet dies für den Cookie-Banner?
Übertragen auf Technologien, bedeutet dies, dass der User jederzeit seine Einwilligung zu einzelnen Technologien mit wenigen Klicks einsehen und widerrufen können muss. Dass er erst in den Datenschutzbestimmungen nach der jeweiligen Opt-Out Option suchen muss und hierzu ggf. auf eine Drittanbieter Seite geleitet wird, kann dem User hingegen nicht zugemutet werden.

Ein Click-Out in der Datenschutzerklärung, welcher auf Drittseiten zum Opt-Out verlinkt, ist ohnehin technisch nicht ausreichend. Grund hierfür ist, dass im Fall des Widerrufs des Users auf der Webseite eine weitere Datenweitergabe vom Webseitenbetreiber verhindert werden muss.

Das Auslesen der Cookie-ID – selbst zu dem Zweck, den Opt-Out festzustellen – bedeutet damit bereits eine unberechtigte Datenweitergabe an Dritte (in diesem Fall dem Processor). Nach dem Widerruf darf die Technologie also nicht mehr ausgelöst werden. Folglich genügt die Kombination von OK-Banner und Opt-Out-Hinweis in der Datenschutzerklärung weder rechtlich noch technisch der DSGVO.

 

 

Weitere interessante Artikel:

Ähnliche Artikel

Timeline zum Gesetz über digitale Märkte (DMA)

Wie wichtig ist Consent Management unter dem Gesetz über digitale Märkte (DMA)?

Privatsphäre der Nutzer, Consent Management und Consent-Banner nach dem Gesetz über digitale Märkte (DMA). Welche Rolle...

Timeline zum Gesetz über digitale Märkte (DMA)

Timeline zum Gesetz über digitale Märkte (DMA)

Der Digital Markets Act (DMA) der Europäischen Union ist ein wichtiges Gesetz, das die Tätigkeiten digitaler Plattformen...