Die aktuellen Guidelines des EDSA zur DSGVO-konformen Einwilligung

Am 4. Mai 2020 veröffentlichte der Europäische Datenschutzausschuss (EDSA) seine aktualisierte “Leitlinie zur Einwilligung in die Nutzung von Internetseiten” – und kommt damit seinem Ziel, eine EU-weite einheitliche Auslegung der Datenschutzvorschriften zu erreichen, einen Schritt näher. Die wichtigsten Punkte haben wir im Folgenden zusammengefasst.

Der EDSA bestätigt viele der bereits bestehenden Regelungen – so auch die Voraussetzungen für eine DSGVO-konforme Nutzer Einwilligung:

Eine rechtswirksame Einwilligung muss u.a.
freiwillig, explizit und granular gegeben werden. 

Freiwilligkeit i.S.d DSGVO bedeutet eine eindeutig bestätigende Handlung, z.B. in Form eines Opt-ins. 

Der Nutzer muss der Verarbeitung seiner Daten also in jedem Fall aktiv und explizit zustimmen. Scrollen oder Weitersurfen auf der Webseite stellt demnach keine ausdrücklich bestätigende Handlung dar. 

Freiwilligkeit bedeutet weiter, dass dem Nutzer eine echte Wahlfreiheit zugestanden werden muss. Verweigert der Nutzer die Weitergabe seiner Daten, dürfen für ihn dadurch keine Nachteile entstehen. Ein Nachteil liegt in der Regel vor, wenn dem Nutzer der Besuch einer Webseite unmöglich gemacht wird, aber auch dann, wenn die Erbringung einer Leistung oder eines Services an die Erteilung der Einwilligung des Nutzers gekoppelt wird, ohne eine angemessene Alternativen für die Einwilligung anzubieten. 

Erfolgt die  Datenverarbeitung zu unterschiedlichen Zwecken, liegt nach Ansicht des EDSA die Lösung für eine gültige Einwilligung in der Granularität, d.h. in der Trennung und granularen Einholung der Einwilligung für jeden Zweck.

Das Erzwingen der Interaktion mit dem Banner, meist in Form von sog. Cookie Walls, betrachtet der EDSA als äußerst fragwürdig. Er “gestattet” aber jedenfalls solche Walls dann, wenn dem Nutzer die Möglichkeit der Ablehnung gegeben wird und er die Webseite nutzen kann.

Wie auch schon der EuGH in dem Urteil zur Sache Planet49 entschieden hat, bestätigt auch der EDSA, dass “Aktives Handeln” im Rahmen der Einwilligung nur durch ein Opt-in erfolgen kann. Ein vor angekreuztes Kästchen, bei dem der Nutzer vielmehr in umgekehrter Weise aktiv werden muss, nämlich um die Verarbeitung zu verhindern, stellt keine rechtswirksame Einwilligung dar. 

Zum Thema Incentives verweist der EDSA auf angemessene Vorgehensweisen. In jedem Fall soll der Nutzer nicht in dem Maße beeinflusst werden, dass eine reflektierte Entscheidung geradezu ausgeschlossen erscheint. 

Für den Webseitenbetreiber ergeben sich weiter verschärfte Anforderungen an die Informationspflicht. So muss er bei mehrschichtiger Erklärung den Nutzer jedenfalls über die Identität des für die Verarbeitung Verantwortlichen und die Zwecke der Verarbeitung unmittelbar in der ersten Informationsebene des Cookie-Banner informieren. Sofern die Informationspflicht nicht eingehalten wird, kann der Nachweis der Einholung einer datenschutzkonformen Einwilligung vom Verantwortlichen nicht erbracht werden.

Die aktuelle Leitlinie des EDSA zeigt deutlich, dass sich die Vorgaben für die Einholung der Einwilligung verschärft haben. Auffallend sind insbesondere die Aussagen des ESDA zu der praktischen Umsetzung. Es scheint, als wolle der EDSA die Verantwortung des Gesetzgebers eine rechtlich praktikable Lösung zu finden, an die Verantwortlichen durchreichen. Nicht nur müssen die Webseitenbetreiber diverse Regelungen beachten um eine rechtliche bindende Nutzereinwilligung nachweisen zu können. Sie müssen außerdem in der Praxis umsetzbare, nutzerfreundliche Lösungen finden. 

Denn klar ist: Beachtet ein Webseitenbetreiber alle die ihm vorgegeben Regelungen zur Einwilligung, ist  Nutzerfreundlichkeit (“Usability”) nahezu ausgeschlossen. Der Webseitenbesucher wäre in diesem Fall mit überfüllten Cookie Bannern konfrontiert und selbst technisch versierte Nutzer kämen wohl an ihre Grenzen. 

Die Aufgabe, den Konflikt zwischen “Consent fatigue” auf Nutzerseite und rechtskonformer Einholung der Einwilligung zu lösen, sieht der EDSA also letztlich in der Verantwortung des Webseitenbetreibers: “The GDPR places upon controllers the obligation to develop ways to tackle this issue.” Ein Beispiel dafür ist die Pflicht des Verantwortlichen, das Alter der Nutzers zu überprüfen, wobei wiederum der Grundsatz der Datenminimierung beachtet werden soll. 

Autoren: Jana Krahforst & Carolin Weißofner, Legal Team Usercentrics

DISCLAIMER

Die Umsetzung einer datenschutzkonformen Implementierung einer CMP liegt letztlich im Ermessen des jeweiligen Datenschutzbeauftragten bzw. der Rechtsabteilung.

Diese Ausführungen stellen somit auch keine Rechtsberatung dar. Sie dienen lediglich dazu, Sie mit Informationen über die aktuelle Rechtslage bei der Umsetzung einer CMP Lösung zu unterstützen. Bei rechtlichen Fragen, sollten Sie sich an einen Fachanwalt wenden.