Tjekliste til juridisk korrekte anmodninger om samtykke på hjemmesider: Regler og retsgrundlag

Der kræves samtykke til mange værktøjer og cookies. Såkaldte samtykkeværktøjer skal hjælpe her, men de gør ikke nok, som min praktiske test har vist. Hvilke krav skal en samtykkeanmodning egentlig opfylde?

Indledning

Brugen af databehandlingstilføjelser og værktøjer på websteder er ifølge Art. 6 § 1 GDPR i hovedsagen kun tilladt, hvis

a) der er en legitim interesse for webstedsoperatøren, eller

b) der er indhentet samtykke fra den besøgende på webstedet.

Yderligere skriver ePrivacy-Richtlinien i artikel 5 § 3 om, at også tilgangen til cookies eller udlesningen af cookies kræver samtykke. directives gælder også for Tyskland , som BGH fastslog i 2020 Planet49-dom (28.05.2020 – I ZR 7/16). Bestemmelsen blev officielt indført i Tyskland i december 2021 med § 25 TTDSG . ([1]) ([2]) ([3])

Art. 44ff GDPR foreskriver, at overførslen af data til usikre tredjelande (som USA) i sig ikke er tilladt. Da IP-adresser allerede er persondata, gælder GDPR-loven her især for websteder altid. ([1])

I følge med disse lovgivende grunde er f.eks. følgende værktøjer pligtige til at opnå samtykke:

• Google Analytics: ePrivacy-Richtlinie, Overførsel af data til USA. Mere detaljer
• Google Kort: ePrivatighedsdirektiv (og/eller andre). Mere detaljer
• Facebook Plugin: ePrivatighedsdirektiv (og/eller andre) ([1])
• Google Skrift (ekstern tilgang): Art 44ff. GDPR eller Art. 5 GDPR (persondata minimering). Mere detaljer
• Google reCAPTCHA: ePrivacy-Richtlinie (og/eller andre). Mere detaljer
• YouTube-videoklip med cookies: ePrivacy-forskrift (og/eller andre)
• YouTube-videos uden cookies: Kapitel 44ff. i EU's dataskutz-ordning eller Kapitel 5 i EU's dataskutz-ordning (minimale data)
• Vimeo-videoer: Art. 44ff. GDPR eller Art. 5 GDPR (Databesparelse). Mere detaljer
• Lytteplatform på SoundCloud: ePrivacy-Richtlinie (og/eller andre). Mere detaljer

Listen, der kan næsten uden videre fortsættes med flere kendte værktøjer. Det beregnelige interesse kan udelukkes for alle disse tjenester. Dette kan delvist endda teknisk og således ubestrideligt bevist blive.

Her kan du i sekunder (gratis og uden tilmelding) tjekke, om en hjemmeside er dataskyddsfældig eller hvis der er behov for handling.

Tjekliste for samtykkeværktøjer

Hvis du risikobevidst nok er til at bruge en af de fremhående samtykningsløsninger, hjælper følgende checkliste dig med at overveje dine planer. De fremhående løsninger er nemlig ikke løsninger, som min praksistest har vist.

Jeg har gennemført tester, og følgende Consent-Tools er uegnet:

• Borlabs Cookie
• CCM19
• Kiksrobot
• consentmanager
• Ja, selvfølgelig!
• OneTrust / Optanon / CookieLaw
• Brugercentric

Kravene til samtykningsspørgsmål følger af lovgivningen i GDPR og domme fra EU-domstolen og Tysklands højesteret. Der er også domme fra mindre domstole, som f.eks. LG Rostock (15.09.2020 – 3 O 762/19), der ser det som ulovligt hvis afvisning ikke er lige så let muligt som samtykke.

Krav til forespørgsler om samtykke:

1. Retningsretten skal være direkte synlig → Art. 7 § 3 GDPR
2. Afvistelsen skulle være så enkel som muligt som tilgivelse → Dom i Landret Rostock
3. En databeskyttelsesvenlig forudindlægning er ikke tilladt → EU-dom i Planet49
4. En enkel mulighed for at trække tilbage → Artikel 7, stk. 3 i EU's dataskutzon
5. Widerevnen skal være enkelt mulig (antal klik!) → Art. 7 § 3 GDPR
6. Der Widerruf muss vollständig möglich sein (Löschen af alle cookies, frigivelse af alle tjenester) → Art. 7 Abs. 3 GDPR
7. Efter annullering skal webstedet automatisk genindlæses for at deaktivere tidligere aktive tjenester ved at genindlæse webstedet
8. Nuværende af tjenester, hvor der er givet samtykke. Mulighed for at give samtykke til hver enkelt tjeneste eller i kategorier af tjenester→ Art. 12 GDPR, Art. 7 Abs. 4 GDPR
9. For tjeneste → Kapitel 13 i EU's persondataretlige forbud (GDPR)
   1. Udbyderens navn (fuldt firmanavn inklusive adresse og land)
   2. Angivelse af formål → Art. 5 § 1 GDPR
   3. Navngivning af datamodtagere (fulde virksomhedsoplysninger, herunder adresse og land)
   4. Navngivning af lande til dataindsamling
   5. Opregning af risikoen ved overdragelse til usikre tredjelande → Art. 49 § 1 GDPR
   6. Navngivning af alle cookies til tjenesten. Per cookie:
      1. Cookie-navn
      2. Angivelse af formål → Planet49-dom i EU-retten
      3. Angivelse af levetid → Planet49-dom i EU-retten
10. Indregistrering af den givne samtykke som bevis ved spørgsmål → Art. 7 § 1 GDPR
11. Først efter samtykke må skripter til videoer fra Vimeo eller YouTube, eksterne skrifttyper, samt de mestest Google Tools inkl. Google Tag Manager kunne lastes ned. USA er et usikkert tredje land. Sædvanlige aftalebestemmelser ændrer ikke på det.
12. Fuldstændig forklaring af alle databehandlingsoperationer for de tjenester, der bruges i privatlivspolitikken.
13. Privatlivspolitikken skal være direkte tilgængelig på trods af samtykkevinduet; linket til den må ikke være skjult af en pop-up.
14. Privatlivspolitikken skal være læsbar, uden at man skal klikke sig væk fra en samtykkeforespørgsel.

Det kan godt være, at der er yderligere krav. Jeg vil gerne høre fra dig, hvis der mangler noget.

Det er vigtigt at vide:

• Tjenester kan også kaldes værktøjer eller plugins. Det er næsten hverken kendt værktøj der ikke skal have en samtykke.
• Cookies er kun en grund til en samtykke. Se IP-adresser og dataminimering samt min fagartikel.
• IP-adresser er personlige oplysninger. Hver gang en hjemmeside eller en tjeneste bliver tilgået, indebærer det en udveksling af personlige oplysninger.
• Minimering af data: Uønskede dataoverførsler skal undgås → Art. 5 Abs. 3 GDPR.
• Kaldet Consent Tools er ifølge Praxistest ikke egnet til at overholde alle dataskyddsbegreber. Der er endda objektivt grund til, hvorfor Consent Tools ikke kan fungere på en tillidensværdig måde..

I et separat indlæg beskrives alternativer til forskellige Google-tjenester.