Jeder kennt sie, die meisten nerven sie. Seit Einführung der DSGVO haben sich Cookie-Hinweise auf Websites sprunghaft vermehrt. Da die bisherige Widerspruchslösung von den Aufsichtsbehörden für Trackingcookies abgelehnt wird (Details hier), versuchen Betreiber vermehrt mit Hilfe der Consent-Banner die geforderte Einwilligung einzuholen. Doch erfüllen die Banner auch die Anforderungen an eine Einwilligung im Sinne der DSGVO? Auch wenn die deutschen Aufsichtsbehörden erst kürzlich Ihre Anforderungen an eine rechtssichere Einwilligung in einem Kurzpapier zusammengefasst haben, fehlen auch dort konkrete Empfehlungen für Website-Cookies. Dieser Artikel soll Ihnen aufzeigen, auf welche Art und Weise Einwilligungen einzuholen sind und welche Rolle Consent-Banner in diesem Zusammenhang spielen können.
Wer muss die Einwilligung einholen?
Verantwortlich für die Rechtmäßigkeit der Datenverarbeitungen und somit auch für die Einholung der Einwilligung ist der Website-Betreiber. Als datenschutzrechtlich Verantwortliche müssen die Betreiber dafür Sorge tragen, dass die Verarbeitung personenbezogener Daten nach Maßgabe der DSGVO erfolgt. Ist für das Nutzer-Tracking eine Einwilligung gefordert, muss diese demnach vom Betreiber der Website nachweisbar eingeholt werden.
Wie kann eine Einwilligung eingeholt werden?
Zur Einholung einer Einwilligung bietet sich ein sogenannter Consent-Banner als praktikabelste Lösung an. Nicht zu verwechseln mit den viel gesehenen Cookie-Banner. Im Vergleich zum Cookie-Banner, welcher lediglich über den Einsatz von Cookies informiert und dem Nutzer dabei wenig bis überhaupt keine Wahl lässt, bietet der Consent-Banner eine konkrete Auswahlmöglichkeit. Der Banner holt dabei über einen Pop-Up beim ersten Besuch der Website die Einwilligung (Consent) der Nutzer ein und lädt erst anschließend die eingebauten Trackingtechnologien nach. Wichtig ist aber auch hier, dass die Anforderungen des Art. 7 DSGVO erfüllt werden.
Eine Einwilligung ist nach der DSGVO nur dann wirksam, wenn sie informiert erfolgt, der Nutzer sie vorab, freiwillig und durch eine aktive Handlung abgibt. Sie kann jederzeit widerrufen werden und der Verantwortliche muss die Erteilung der Einwilligung später nachweisen können.
„informiert“
Um dem Transparenzgrundsatz bestmöglich gerecht zu werden, den Nutzer aber gleichzeitig nicht mit Informationen zu überladen, hat sich in der Praxis mittlerweile ein zweistufiges Modell etabliert. Auf diese Weise werden dem Nutzer im Einwilligungstext des Consent-Banners die wesentlichen Informationen bereits geliefert. Für weitere Informationen kann dann auf die Datenschutzerklärung verlinkt werden, welche wiederum die restlichen Informationen enthält, die die DSGVO in Art. 13 fordert.
Der Text und die Gestaltung des Consent-Banners sollten möglichst übersichtlich und leicht verständlich sein. Von versteckten Informationen und irreführenden Angaben, um die Gunst des Nutzers zu erlangen, sollte jedenfalls abgesehen werden. Wichtig ist, dass der Nutzer darüber in Kenntnis gesetzt wird, wofür seine Einwilligung gilt.
Zur vereinfachten Darstellung für den Nutzer kann zunächst mit Kategorien gearbeitet werden. Möglich ist eine Einteilung in folgende Kategorien: „Funktionale Cookies“, „Cookies für statistische Auswertung“ und „Marketing-Cookies“. Aber Achtung (!) für das Setzen von Cookies aus funktionalen Gründen oder zu statistischen Zwecken muss im Regelfall keine Einwilligung eingeholt werden, denn hier bejahen auch die Aufsichtsbehörden ein berechtigtes Interesse des Website-Betreibers. Ausschlaggebend ist die Kategorie „Marketing-Cookies“, da sich dahinter die Cookies und andere Technologien zum Tracking des Nutzers verstecken. Hier ist also ein ausdrückliches Einverständnis der Nutzer erforderlich.
„vorab“
Der Ladevorgang der Marketing-Cookies darf erst nach Abgabe der Einwilligung starten. Es dürfen auch nur die Technologien geladen werden, für die der Nutzer seine Einwilligung abgegeben hat. Das bedeutet in der Praxis, dass beim ersten Aufruf der Seite alle Marketing-Cookies deaktiviert bzw. blockiert sein müssen. Erst nach Abgabe der Einwilligung dürfen die Cookies „scharf geschaltet“ werden.
„freiwillig“
Der Nutzer hat nun also selbst die Wahl, ob er dem Tracking zustimmen möchte oder nicht. Der Besuch der Website darf jedoch nicht von der Abgabe einer solchen Einwilligung abhängig gemacht werden. Möglich scheint hingegen, eine alternative Website mit Bezahlschranke anzubieten (dies wird beispielsweise von der Datenschutzbehörde Österreich vertreten).
„aktive Handlung“
Der Nutzer muss eine aktive Handlung vornehmen. Das Anklicken einer Checkbox ist hierfür ausreichend. Nicht ausreichend hingegen sind vorangekreuzte Checkboxen oder ein „einfaches Weiternutzen“ der Website, sodass durch ein Schließen des Banners fälschlicherweise von einer Einwilligung ausgegangen wird.
„widerrufen“
Eine Einwilligung muss auf Wunsch des Nutzers jederzeit widerruflich sein. Der Widerruf gilt dann mit Wirkung für die Zukunft. Auf die Widerruflichkeit der Einwilligung muss der Website-Betreiber den Nutzer im Voraus – am besten im Einwilligungstext auf dem Consent-Banner – hinweisen.
„nachweisen“
Der Website-Betreiber muss die Erteilung der Einwilligung nachweisen können. Hierbei ist es nicht ausreichend, lediglich auf die ordnungsgemäße Gestaltung der entsprechenden Website zu verweisen. Vielmehr muss für jeden Einzelfall der Nachweis für die tatsächlich erteilte Einwilligung vorliegen.
Anforderungen an einen Consent-Banner Anbieter
In letzter Zeit häufen sich die Angebote solcher Consent-Management Provider, die damit werben, das Einwilligungsmanagement für den Website-Betreiber zu übernehmen. Sie agieren dabei als Bindeglied zwischen Website-Betreiber und Werbetreibende, sorgen für die Einbindung des Consent-Banners, sowie für die Dokumentation und Verwaltung der Einwilligung. Auf diese Weise findet eine Protokollierung der erteilten Einwilligungen statt, wodurch die Nachweispflicht erfüllt werden kann.
Verantwortlich für die rechtmäßige Datenverarbeitung im datenschutzrechtlichen Sinne und somit für die Einholung der Einwilligung bleibt aber auch bei Nutzung dieser Anbieter der Website-Betreiber. Achten Sie deshalb bei der Wahl Ihres Consent-Management Providers genau darauf, dass die oben genannten Anforderungen an die Einwilligung eingehalten werden.
Julia Ruhe ist Wirtschaftsjuristin, zertifizierte Datenschutzbeauftragte und Datenschutzauditorin. Sie berät als Managing Consultant die Mandanten der Datenschutzkanzlei bei der Einführung und Umsetzung wirksamer Datenschutz-Management-Prozesse.