Der Europäische Gerichtshof (EuGH) hat entschieden, dass eine Einwilligung, mit der Internetnutzer das Speichern und Auslesen von Informationen (z.B. Cookies) auf ihren Geräten erlauben sollen, nur dann wirksam ist, wenn der Nutzer aktiv (opt-in, nicht opt-out) die Einwilligung erklärt.
Wann ist keine Einwilligung erforderlich?
Beispiele für einwilligungsfreie Cookies sind jene, die die Funktion „Einkaufswagen“ ermöglichen oder Einstellungen (wie Schriftgrößen o.ä.) speichern, wenn sie wirklich nur für diesen Zweck verwendet werden. Zu beachten ist hierbei aber, dass die Datenverarbeitungen (ob mit oder ohne Hilfe von Cookies) in der Datenschutzerklärung dargestellt werden.
Wann ist eine Einwilligung in jedem Fall notwendig?
Wer etwa Cookies nutzt, um das Nutzerverhalten zu Werbezwecken zu analysieren und zu tracken oder durch Dritte analysieren zu lassen (z. B. Google Analytics), benötigt dafür grundsätzlich die informiert, freiwillig, vorherig, aktiv, separat und widerruflich erklärte Einwilligung des Nutzers.
„Einwilligungs-Banner“ müssen eingesetzt werden, wenn tatsächlich eine Einwilligung des Nutzers nötig ist, also insbesondere Daten an Dritte weitergegeben werden oder Dritten die Möglichkeit eröffnet wird, Daten zu erheben. Beispiele sind Analyse-Tools, Social-Media-Plugins, externe Kartendienste und andere Elemente Dritter.
In einem solchen Fall müssen die folgenden Vorgaben für die Einwilligung beachtet werden:
Klare Beantwortung der folgenden Fragen: Welche personenbezogenen Daten sind betroffen? Was passiert mit ihnen? Wer erhält Zugriff auf die Daten? Werden die personenbezogenen Daten mit weiteren Daten verknüpft? Welchen Zwecken dient das?
Es dürfen keine Daten weitergegeben werden, bevor eine Einwilligung durch den Nutzer erteilt wurde.
Der Zugriff auf Impressum und Datenschutzerklärung darf nicht verhindert oder eingeschränkt werden, bevor eine Einwilligung durch den Nutzer erteilt wurde.
Die Freiwilligkeit der Einwilligungs-Erklärung muss deutlich gemacht werden und ein Hinweis auf das Recht auf einen jederzeitigen Widerruf muss enthalten sein; beispielsweise „Diese Einwilligung ist freiwillig, für die Nutzung dieser Website nicht notwendig und kann jederzeit widerrufen werden, indem […]“.
Wie der Widerruf zu erklären ist, ist in der Information zur Einwilligungserklärung klar und deutlich zu beschreiben. Die Erklärung des Widerrufs muss jederzeit so einfach sein wie die Einwilligungserklärung selbst.
Checkliste:
– Die Einwilligung muss durch den Nutzer gesetzt werden, d.h. opt-in und nicht opt-out
– Bis zur Einwilligung muss das Tool alle Cookies blocken (bis auf den Consent-Cookie)
– Erst nach Einwilligung/Häckchen dürfen Cookies gesetzt werden Informationen über das eingesetzte Consent Tool in der Datenschutzerklärung der Webseite
Einige Beispiele für Consent Manager:
Consent Management Provider (CMP)https://www.consentmanager.de/ funktioniert unabhängig von einem bestimmten CMS.
Borlabs Cookie https://de.borlabs.io/borlabs-cookie/
Usercentrics https://usercentrics.com/de/ ist eine individuelle Profi-Lösung, funktioniert für die meisten Webseiten-Typen unabhängig vom verwendeten CMS.
Consent Management Tool bietet eine einfache Lösung https://traffective.com/cmp/
Matomo (ehemals Piwik) Consent Manager https://piwikpro.de/dsgvo-consent-manager/
Hinweis: Für eingesetzte „Web Beacon“ beim Newsletter-Versand ist eine Einwilligung mittels opt-in erforderlich.
Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI) hat einen hilfreichen FAQ veröffentlicht: https://www.baden-wuerttemberg.datenschutz.de/faq-zu-cookies-und-tracking-2/
Datenschutz ist kein Produkt. Datenschutz ist ein Prozess.
Wenn Sie Fragen haben, kontaktieren Sie uns: per E-Mail consulting@AdOrgaSolutions.de.
(Autorin: Regina Mühlich ist Expertin für Datenschutz, Datenschutz-Auditoren, Sachverständige für Datenschutz sowie Compliance Officer und verfügt über langjährige Erfahrung im Datenschutz. Sie ist gefragte Dozenten und Referentin; Vorstandsmitglied des Berufsverbandes für Datenschutzbeauftragte Deutschlands (BvD) e. V.)