Die aktuellen Guidelines des EDSA zur DSGVO-konformen Einwilligung

Ressourcen / Blog / Die aktuellen Guidelines des EDSA zur DSGVO-konformen Einwilligung
Veröffentlicht von Usercentrics
Lesedauer: 3 Minuten
Mai 18, 2020
Am 4. Mai 2020 veröffentlichte der Europäische Datenschutzausschuss (EDSA) seine aktualisierte “Leitlinie zur Einwilligung in die Nutzung von Internetseiten” – und kommt damit seinem Ziel, eine EU-weite einheitliche Auslegung der Datenschutzvorschriften zu erreichen, einen Schritt näher. Die wichtigsten Punkte haben wir im Folgenden zusammengefasst.

Die aktuellen Leitlinien der EDSA – das ist neu:

Der EDSA bestätigt viele der bereits bestehenden Regelungen – so auch die Voraussetzungen für eine DSGVO-konforme Nutzer Einwilligung: Eine rechtswirksame Einwilligung muss u.a. freiwillig, explizit und granular gegeben werden.  Freiwilligkeit i.S.d DSGVO bedeutet eine eindeutig bestätigende Handlung, z.B. in Form eines Opt-ins. 

Weiterscrollen gilt nicht als gültige Einwilligung

Der Nutzer muss der Verarbeitung seiner Daten also in jedem Fall aktiv und explizit zustimmen. Scrollen oder Weitersurfen auf der Webseite stellt demnach keine ausdrücklich bestätigende Handlung dar.  Freiwilligkeit bedeutet weiter, dass dem Nutzer eine echte Wahlfreiheit zugestanden werden muss. Verweigert der Nutzer die Weitergabe seiner Daten, dürfen für ihn dadurch keine Nachteile entstehen. Ein Nachteil liegt in der Regel vor, wenn dem Nutzer der Besuch einer Webseite unmöglich gemacht wird, aber auch dann, wenn die Erbringung einer Leistung oder eines Services an die Erteilung der Einwilligung des Nutzers gekoppelt wird, ohne eine angemessene Alternativen für die Einwilligung anzubieten.  Erfolgt die Datenverarbeitung zu unterschiedlichen Zwecken, liegt nach Ansicht des EDSA die Lösung für eine gültige Einwilligung in der Granularität, d.h. in der Trennung und granularen Einholung der Einwilligung für jeden Zweck. Das Erzwingen der Interaktion mit dem Banner, meist in Form von sog. Cookie Walls, betrachtet der EDSA als äußerst fragwürdig. Er “gestattet” aber jedenfalls solche Walls dann, wenn dem Nutzer die Möglichkeit der Ablehnung gegeben wird und er die Webseite nutzen kann. Wie auch schon der EuGH in dem Urteil zur Sache Planet49 entschieden hat, bestätigt auch der EDSA, dass “Aktives Handeln” im Rahmen der Einwilligung nur durch ein Opt-in erfolgen kann. Ein vor angekreuztes Kästchen, bei dem der Nutzer vielmehr in umgekehrter Weise aktiv werden muss, nämlich um die Verarbeitung zu verhindern, stellt keine rechtswirksame Einwilligung dar. 

Maß und Mitte bei Incentives 

Zum Thema Incentives verweist der EDSA auf angemessene Vorgehensweisen. In jedem Fall soll der Nutzer nicht in dem Maße beeinflusst werden, dass eine reflektierte Entscheidung geradezu ausgeschlossen erscheint. 

Verschärfte Anforderungen an die Informationspflicht

Für den Webseitenbetreiber ergeben sich weiter verschärfte Anforderungen an die Informationspflicht. So muss er bei mehrschichtiger Erklärung den Nutzer jedenfalls über die Identität des für die Verarbeitung Verantwortlichen und die Zwecke der Verarbeitung unmittelbar in der ersten Informationsebene des Cookie-Banner informieren. Sofern die Informationspflicht nicht eingehalten wird, kann der Nachweis der Einholung einer datenschutzkonformen Einwilligung vom Verantwortlichen nicht erbracht werden.

Fazit

Die aktuelle Leitlinie des EDSA zeigt deutlich, dass sich die Vorgaben für die Einholung der Einwilligung verschärft haben. Auffallend sind insbesondere die Aussagen des ESDA zu der praktischen Umsetzung. Es scheint, als wolle der EDSA die Verantwortung des Gesetzgebers eine rechtlich praktikable Lösung zu finden, an die Verantwortlichen durchreichen. Nicht nur müssen die Webseitenbetreiber diverse Regelungen beachten um eine rechtliche bindende Nutzereinwilligung nachweisen zu können. Sie müssen außerdem in der Praxis umsetzbare, nutzerfreundliche Lösungen finden.  Denn klar ist: Beachtet ein Webseitenbetreiber alle die ihm vorgegeben Regelungen zur Einwilligung, ist Nutzerfreundlichkeit (“Usability”) nahezu ausgeschlossen. Der Webseitenbesucher wäre in diesem Fall mit überfüllten Cookie Bannern konfrontiert und selbst technisch versierte Nutzer kämen wohl an ihre Grenzen.    Die Aufgabe, den Konflikt zwischen “Consent fatigue” auf Nutzerseite und rechtskonformer Einholung der Einwilligung zu lösen, sieht der EDSA also letztlich in der Verantwortung des Webseitenbetreibers: “The GDPR places upon controllers the obligation to develop ways to tackle this issue.” Ein Beispiel dafür ist die Pflicht des Verantwortlichen, das Alter der Nutzers zu überprüfen, wobei wiederum der Grundsatz der Datenminimierung beachtet werden soll.  Autoren: Jana Krahforst & Carolin Weißofner, Legal Team Usercentrics   DISCLAIMER Die Umsetzung einer datenschutzkonformen Implementierung einer CMP liegt letztlich im Ermessen des jeweiligen Datenschutzbeauftragten bzw. der Rechtsabteilung. Diese Ausführungen stellen somit auch keine Rechtsberatung dar. Sie dienen lediglich dazu, Sie mit Informationen über die aktuelle Rechtslage bei der Umsetzung einer CMP Lösung zu unterstützen. Bei rechtlichen Fragen, sollten Sie sich an einen Fachanwalt wenden.
Woman holding tablet
20. Sep 2024
Google Analytics, Google Tag Manager oder Google Ads nutzen und gleichzeitig möglichst DSGVO-konform sein? Geht nicht? Geht doch – und zwar mit dem „Google Consent Mode”.
Woman holding phone with social media icons
9. Jul 2024
Das Gesetz über digitale Märkte (DMA) bringt neue Regeln für Tech-Gatekeeper. Dies hat wiederum Auswirkungen auf Unternehmen, die deren zentralen Plattformdienste nutzen. Doch was bedeutet das für Ihr Unternehmen? Erfahren Sie, mit welchen Maßnahmen Sie sich auf das neue Gesetz vorbereiten können.
5. Jul 2024
Privatpersonen wollen sie möglichst geschützt sehen und Unternehmen wollen möglichst viele davon für Werbezwecke nutzen: Personenbezogene Daten. Seit Mai 2018 gibt es die Datenschutz-Grundverordnung (DSGVO), die europaweit die Nutzung von personenbezogenen Daten regulieren soll. Wir klären auf, was hinter dem Begriff steckt und was für Unternehmen wichtig ist.