Sie befinden sich hier:

Datenschutzkonforme Einwilligungen auf Webseiten

Die Landesbeauftragte für den Datenschutz Niedersachsen hat am 25.11.2020 „Hinweise zu datenschutzkonfomen Einwilligungen auf Webseiten und zu Anforderungen an Consent-Layer“ auf ihrer Webseite veröffentlicht.

Viele Webseiten verwenden Cookies oder binden Dienste von Drittanbietern ein – zum Beispiel Analyse-, Karten- oder Wetterdienste. Dafür benötigt der Betreiber der Seite eine datenschutzrechtliche Einwilligung der Nutzer. Dabei sind einige Vorgaben zu beachten, damit diese Einwilligung den gesetzlichen Vorgaben entspricht und wirksam ist.

Vor der Geltung der Datenschutz-Grundverordnung wurden überwiegend einfache Cookie-Banner auf Webseiten eingesetzt, durch die User in der Regel über den Einsatz von Cookies lediglich informiert wurden, eine Entscheidung für oder gegen Cookies war meist nicht möglich. Mittlerweile finden sich vermehrt aufwändige Consent-Fenster (auch Consent-Banner oder Consent-Layer genannt), die Nutzern erstens detaillierte Informationen über den Einsatz von Cookies und die Einbindung von Drittdiensten und zweitens echte Entscheidungs- und Wahlmöglichkeiten geben. Entsprechend aufwändiger ist die Gestaltung und die Umsetzung von Consent-Layern geworden.

Zu einem umfassenden Consent-Management, wie es die DSGVO fordert, gehört darüber hinaus, dass die Nutzerdaten auf Webseiten in einer Weise verarbeitet werden, wie es der vom Nutzer gegebenen oder verweigerten Einwilligung sowie den getroffenen Einstellungen entspricht. Schließlich müssen auch ein Widerruf von Einwilligungen und gegebenenfalls ein Widerspruch gegen einzelne Datenverarbeitungen korrekt umgesetzt werden.

Anforderungen an datenschutzkonforme Einwilligungen

Die Landesbeauftragte für den Datenschutz Niedersachsen weist in ihren Hinweisen auf folgende Anforderungen an datenschutzkonforme Einwilligungen hin:

„Gemäß Art. 4 Nr. 11 DS-GVO ist eine Einwilligung der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Art. 7 DS-GVO stellt weitere Bedingungen für eine wirksame Einwilligung auf. Art. 8 DS-GVO regelt darüber hinaus ergänzende Bedingungen für den Fall, dass die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft eingeholt werden soll.
Aus diesen rechtlichen Vorgaben ergeben sich die folgenden Prüfungspunkte für die Beurteilung der Wirksamkeit der Einwilligung:

  • Zeitpunkt der Einwilligung,
  • Informiertheit der Einwilligung,
  • eindeutige bestätigende Handlung,
  • freiwillige Einwilligung,
  • keine unzulässige Einflussnahme auf die Nutzerentscheidung (sog. Nudging),
  • Widerruf der Einwilligung,
  • Einwilligungen für Datenverarbeitungen von Minderjährigen.“
Insbesondere ist Folgendes zu beachten:
  • Eine Einwilligung muss vor der Datenverarbeitung erteilt werden.
  • Der Europäische Datenschutzausschuss (EDSA) setzt grundsätzlich voraus, dass dem Betroffenen vor der Abgabe der Einwilligung die folgenden Mindestinformationen gegeben werden müssen:
    –  Identität des Verantwortlichen,
    –  Verarbeitungszwecke,
    –  die verarbeiteten Daten,
    –  die Absicht einer ausschließlich automatisierten Entscheidung (Art. 22 Abs. 2 Buchstabe c DSGVO) und
    –  die Absicht einer Datenübermittlung in Drittländer (Art. 49 Abs. 1 Satz 1 Buchstabe a DSGVO).
  • Die Verarbeitungszwecke müssen konkret beschrieben werden.
  • Aus Art. 7 Abs. 3 Satz 3 DSGVO ergibt sich die Pflicht des Betreibers der Webseite, Betroffene „vor der Abgabe der Einwilligung“ auf ihr Widerrufsrecht hinzuweisen. In einem Consent-Layer ist diese Information bereits auf der ersten Ebene des Consent-Fensters erforderlich. Art. 7 Abs. 3 Satz 4 DSGVO fordert ausdrücklich, dass der Widerruf der Einwilligung so einfach wie die Erteilung der Einwilligung sein muss. Wird die Einwilligung unmittelbar bei der Nutzung der Webseite erteilt, muss auch deren Widerruf auf diesem Weg möglich sein. Nicht den Vorgaben entsprechen ausschließliche Widerrufsmöglichkeiten über andere Kommunikationswege wie E-Mail, Anruf, Fax oder sogar per Brief.
  • Gemäß Art. 4 Nr. 11 DSGVO ist die Einwilligung als eine unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung zu erteilen.
  • Art. 4 Nr. 11 DSGVO fordert, dass die Einwilligung des Betroffenen freiwillig erfolgen muss.
  • Für die Einholung von Einwilligungen zur Verwendung von Cookies werden häufig Formen des sogenannten Nudging eingesetzt. Dies bezeichnet Techniken, durch die das Verhalten der Nutzer beeinflusst werden soll. Diese Beeinflussung kann im Interesse des Nutzers erfolgen oder im – entgegenstehenden – Interesse desjenigen, der Nudging einsetzt. Zum Nudging gehören auch Ansätze, die darauf abzielen, Nutzer, nachdem sie die Einwilligung abgelehnt haben, wiederholt nach dieser zu fragen. Jedes Mal, wenn der Nutzer erneut die Webseite aufruft, öffnet sich wieder der Consent-Layer. Dieses Verfahren zielt darauf ab, den Nutzer „mürbe“ zu machen, so dass er früher oder später aufgibt und schließlich die Einwilligung erteilt, um in Ruhe gelassen zu werden. Insbesondere wenn der User nicht die Möglichkeit hat, mit einem Klick auf eine Schaltfläche, die beispielsweise mit „Alles ablehnen“ bezeichnet ist, bestimmte Verarbeitungstätigkeiten auf der Webseite zu deaktivieren, sind diese Einstellungen zu speichern. Bei einem wiederholten Aufruf der Webseite darf in diesem Fall nicht erneut eine Einwilligung abgefragt werden. Wird Nudging vom Verantwortlichen mit dem Ziel eingesetzt, den Betroffenen zur Erteilung der Einwilligung zu verleiten, so kann damit je nach konkreter Ausgestaltung gegen unterschiedliche rechtliche Vorgaben für die datenschutzrechtliche Einwilligung verstoßen werden. Fest steht, dass einem erlaubten Nudging Grenzen gesetzt sind und verhaltensmanipulierende Ausgestaltungen zu einer Unwirksamkeit der Einwilligung führen können.
  • Art. 8 DSGVO stellt weitere Anforderungen an datenschutzkonforme Einwilligungen für Angebote von Diensten der Informationsgesellschaft, die einem Kind unter 16 Jahren direkt gemacht werden. Diese Vorschrift ist von allen Betreibern von Webseiten zu beachten, die sich direkt an Kinder richten, wie beispielsweise Suchmaschinen für Kinder oder spezifische Medienseiten für Kinder, unabhängig davon, ob sie über eine eigene Domain verfügen.

Fundstelle: Handreichung Datenschutzkonfomen Einwilligungen auf Webseiten und zu Anforderungen an Consent-Layer [PDF] (Stand November 2020) der Landesbeauftragten für den Datenschutz Niedersachsen

nach oben