Der Eu­ro­päi­sche Ge­richts­hof (EuGH) hat ent­schie­den, dass eine Ein­wil­li­gung, mit der In­ter­net­nut­zer das Spei­chern und Aus­le­sen von In­for­ma­tio­nen (z.B. Cookies) auf ihren Geräten er­lau­ben sollen, nur dann wirksam ist, wenn der Nutzer aktiv (opt-in, nicht opt-out) die Ein­wil­li­gung erklärt.

Wann ist keine Ein­wil­li­gung erforderlich? 
Bei­spie­le für ein­wil­li­gungs­freie Cookies sind jene, die die Funk­ti­on „Ein­kaufs­wa­gen“ er­mög­li­chen oder Ein­stel­lun­gen (wie Schrift­grö­ßen o.ä.) spei­chern, wenn sie wirk­lich nur für diesen Zweck ver­wen­det werden. Zu be­ach­ten ist hierbei aber, dass die Da­ten­ver­ar­bei­tun­gen (ob mit oder ohne Hilfe von Cookies) in der Da­ten­schutz­er­klä­rung dar­ge­stellt werden.

Wann ist eine Ein­wil­li­gung in jedem Fall notwendig?
Wer etwa Cookies nutzt, um das Nut­zer­ver­hal­ten zu Wer­be­zwe­cken zu ana­ly­sie­ren und zu tracken oder durch Dritte ana­ly­sie­ren zu lassen (z. B. Google Ana­ly­tics), be­nö­tigt dafür grund­sätz­lich die in­for­miert, frei­wil­lig, vor­he­rig, aktiv, separat und wi­der­ruf­lich er­klär­te Ein­wil­li­gung des Nutzers.

„Ein­­wil­­li­­gungs-Banner“ müssen ein­ge­setzt werden, wenn tat­säch­lich eine Ein­wil­li­gung des Nutzers nötig ist, also ins­be­son­de­re Daten an Dritte wei­ter­ge­ge­ben werden oder Dritten die Mög­lich­keit er­öff­net wird, Daten zu erheben. Bei­spie­le sind Analyse-Tools, Social-Media-Plugins, externe Kar­ten­diens­te und andere Ele­men­te Dritter.

In einem solchen Fall müssen die fol­gen­den Vor­ga­ben für die Ein­wil­li­gung be­ach­tet werden: 
Klare Be­ant­wor­tung der fol­gen­den Fragen: Welche per­so­nen­be­zo­ge­nen Daten sind be­trof­fen? Was pas­siert mit ihnen? Wer erhält Zugriff auf die Daten? Werden die per­so­nen­be­zo­ge­nen Daten mit wei­te­ren Daten ver­knüpft? Welchen Zwecken dient das?

Es dürfen keine Daten wei­ter­ge­ge­ben werden, bevor eine Ein­wil­li­gung durch den Nutzer erteilt wurde.

Der Zugriff auf Im­pres­sum und Da­ten­schutz­er­klä­rung darf nicht ver­hin­dert oder ein­ge­schränkt werden, bevor eine Ein­wil­li­gung durch den Nutzer erteilt wurde.

Die Frei­wil­lig­keit der Ein­­wil­­li­­gungs-Er­klä­rung muss deut­lich gemacht werden und ein Hinweis auf das Recht auf einen je­der­zei­ti­gen Wi­der­ruf muss ent­hal­ten sein; bei­spiels­wei­se „Diese Ein­wil­li­gung ist frei­wil­lig, für die Nutzung dieser Website nicht not­wen­dig und kann je­der­zeit wi­der­ru­fen werden, indem […]“.

Wie der Wi­der­ruf zu er­klä­ren ist, ist in der In­for­ma­ti­on zur Ein­wil­li­gungs­er­klä­rung klar und deut­lich zu be­schrei­ben. Die Er­klä­rung des Wi­der­rufs muss je­der­zeit so einfach sein wie die Ein­wil­li­gungs­er­klä­rung selbst.

Check­lis­te:
– Die Ein­wil­li­gung muss durch den Nutzer gesetzt werden, d.h. opt-in und nicht opt-out
– Bis zur Ein­wil­li­gung muss das Tool alle Cookies blocken (bis auf den Consent-Cookie)
– Erst nach Einwilligung/Häckchen dürfen Cookies gesetzt werden In­for­ma­tio­nen über das ein­ge­setz­te Consent Tool in der Da­ten­schutz­er­klä­rung der Webseite

Einige Bei­spie­le für Consent Manager:
Consent Ma­nage­ment Pro­vi­der (CMP)https://www.consentmanager.de/ funk­tio­niert un­ab­hän­gig von einem be­stimm­ten CMS.

Borlabs Cookie https://de.borlabs.io/borlabs-cookie/

User­cen­trics https://usercentrics.com/de/ ist eine in­di­vi­du­el­le Profi-Lösung, funk­tio­niert für die meisten We­b­­sei­­ten-Typen un­ab­hän­gig vom ver­wen­de­ten CMS.

Consent Ma­nage­ment Tool bietet eine ein­fa­che Lösung https://traffective.com/cmp/

Matomo (ehemals Piwik) Consent Manager https://piwikpro.de/dsgvo-consent-manager/

Hinweis: Für ein­ge­setz­te „Web Beacon“ beim News­­­le­t­­ter-Versand ist eine Ein­wil­li­gung mittels opt-in erforderlich.

Der Lan­des­be­auf­trag­te für Daten­schutz und In­for­ma­ti­ons­frei­heit Baden-Wür­t­­te­m­­berg (LfDI) hat einen hilf­rei­chen FAQ ver­öf­fent­licht: https://www.baden-wuerttemberg.datenschutz.de/faq-zu-cookies-und-tracking-2/ 

Daten­schutz ist kein Produkt. Daten­schutz ist ein Prozess.
Wenn Sie Fragen haben, kon­tak­tie­ren Sie uns: per E-Mail consulting@AdOrgaSolutions.de.

(Autorin: Regina Mühlich ist Ex­per­tin für Daten­schutz, Da­ten­­­schutz-Au­­di­­to­­ren, Sach­ver­stän­di­ge für Daten­schutz sowie Com­pli­ance Officer und verfügt über lang­jäh­ri­ge Er­fah­rung im Daten­schutz. Sie ist ge­frag­te Do­zen­ten und Re­fe­ren­tin; Vor­stands­mit­glied des Be­rufs­ver­ban­des für Datenschutz­beauftragte Deutsch­lands (BvD) e. V.)

Wie können wir Ihnen weiterhelfen?

Kontaktieren Sie uns: Wir sind gerne für Sie da!