Mit der im März 2019 veröffentlichten Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien des DSK wurde das Thema Einwilligung/Consent als Rechtsgrundlage für Drittanbieterwerkzeugen auf Internetpräsenzen vielen erst bewusst. Schon vorher gab es Debatten darum, ob ein einfaches Cookies-Banner reicht, um die den Einsatz von bis zu 30 Verbindungen zu omnipräsenten Statistikwerkzeugen, alles-verknüpfenden Marketingportalen, Schriftarten von US-Servern oder Chat-Bots aus Asien zu rechtfertigen. Spätestens seit dem EuGH-Urteil zu Planet49 ist nun allen klar, dass für jedes externe Werkzeug vor dessen Einsatz überprüft werden muss, auf Basis welcher Rechtsgrundlage dieser Einsatz stattfinden darf. Und was da alles schief gehen kann und wie es richtig geht, soll dieser Beitrag zeigen.
Erstmal möchte ich mit einem sich hartnäckig haltenden Vorurteil aufräumen: Cookie-Banner, die rein informativ sind, haben keinerlei rechtliche Relevanz. Mit diesen Bannern (die ich früher auch mal eingesetzt habe) lässt sich der Einsatz von Cookies nicht rechtfertigen. Diese Banner gehen höchstens noch als Hinweis auf die Datenschutzerklärung nach Art. 13 DSGVO durch - das ist jedoch nicht notwendig, wenn auf diese auf jeder Internetseite unten oder oben verwiesen wird.
Wenn also kein Cookie-Banner ausreichend ist, dann sollte es wohl besser ein Consent-Management-Tool sein. Nur davor haben ich bereits in einem meiner letzten Beiträge gewarnt: Mit einem kommerziellen Consent-Management-Tool nutzen Sie ein berechtigtes Interesse zur Einbindung dieses Tools, um eine Einwilligung als Rechtsgrundlage abzufragen. Dies ist, nach dem Grundsatz "Privacy by design" in allen mir bekannten Fällen nicht die datenschutzfreundlichste Lösung.
Aber was ist die datenschutzfreundlichste Lösung? Jedenfalls kann es nicht sein, dass Sie auf Snippets, Third-party-tools, Module, Suchfenster, Karten, externen Content oder sonstige Elemente nur aus datenschutzrechtlicher Sicht verzichten. Aber auch hier gilt: Die Menge macht das Gift - hier am Beispiel der Online-Präsenz einer bekannten deutschen Tageszeitung:
Doch selbst das verstehe ich aus betriebswirtschaftlicher Sicht. Wenn ich als kostenloser Nutzer die Seite besuche, dann erwarte ich mehr Tracker als ein eingeloggter Nutzer, der ein monatliches Abo bezahlt. Doch letztlich ist auch diese Frage eher ethischer Natur. Denn wenn Ihnen ein Nutzer eine Einwilligung zur Verarbeitung von seinen Daten für Tracking oder Marketing erteilt, dann können Sie die Daten auch für diesen Zweck verarbeiten. Wenn Sie darüber hinaus ausreichend transparent machen, wie die Daten verarbeitet werden und wer die Daten erhält, haben Sie gar keine Not diese Verarbeitung aus ehtischen Gründen einzuschränken.
Die Einwilligung bei selbstgestrickten Consent-Management-Prozessen auf Internetseiten muss sich nach den Vorgaben von Art. 7 DSGVO richten:
- Die Einwilligung muss nachweisbar sein. Nachweisbar ist eine Einwilligung immer dann, wenn der Einwilligungs-Prozess ausreichend dokumentiert ist und es ausgeschlossen ist, dass eine Verarbeitung auch ohne Einwilligung möglich ist.
- Transparenz: Die Einwilligung muss in einer verständlichen und leicht zugänglichen Form in einer klaren und einfachen Sprache so erfolgen, dass sie von den anderen Sachverhalten (insbesondere anderen Einwilligungen) klar zu unterscheiden ist. Generelle Einwilligungen (Persilscheine) sind also nicht erlaubt.
- Widerruf: Die Einwilligung ist widerrufbar - ohne Nachteile und genauso einfach wie sie erteilt wurde. Darüber ist der Betroffene zu informieren. Denken Sie dabei an den Zusatz "mit Wirkung für die Zukunft".
- Freiwilligkeit: Die Einwilligung muss freiwillig erteilt worden sein. Stichwort hier ist das Kopplungsverbot.
Sie haben Fragen? Wenden Sie sich gerne an mich.
Ingo Goblirsch LL.M.
Externer Datenschutzbeauftragter
Datenschutz & Informationssicherheit
Bad Aachen