Für viele Tools und Cookies wird eine Einwilligung benötigt, die auch als Consent bezeichnet wird. Sogenannte Consent Tools sollen hier helfen, tun es aber nicht ausreichend, wie mein Praxistest gezeigt hat. Welche Anforderungen muss eine Einwilligungsabfrage eigentlich erfüllen?
Einleitung
Der Einsatz von Tools auf Webseiten ist gemäß Art. 6 DSGVO im Wesentlichen nur erlaubt, wenn
a) ein berechtigtes Interesse des Webseiten-Betreibers vorliegt, oder
b) eine Einwilligung vom Besucher der Webseite eingeholt wurde.
Ferner schreibt die ePrivacy-Richtlinie in Art. 5 Abs. 3 vor, dass auch der Abruf von Cookies oder das Auslesen von Cookies einwilligungspflichtig ist. Die Richtlinie gilt über § 15 Abs. 3 TMG auch für Deutschland, wie der BGH im Jahr 2020 im Planet49-Urteil (28.05.2020 – I ZR 7/16) feststellte. Die Vorschrift wird mit § 25 TTDSG in Deutschland offiziell im Dezember 2021 eingeführt.
Die Art. 44ff DSGVO schreiben vor, dass der Datentransfer in unsichere Drittländer (wie die USA) an sich nicht erlaubt ist. Da IP-Adressen bereits personenbezogene Daten sind, greift das DSGVO-Gesetz hier vor allem für Webseiten immer.
Gemäß dieser Rechtsgrundlagen sind beispielsweise folgende Tools einwilligungspflichtig:
- Google Analytics: ePrivacy-Richtlinie, Datentransfer in die USA. Mehr Details
- Google Maps: ePrivacy-Richtlinie (und/oder andere). Mehr Details
- Facebook Plugin: ePrivacy-Richtlinie (und/oder andere)
- Google Schriften (externer Abruf): Art 44ff. DSGVO oder Art. 5 DSGVO (Datenminimierung). Mehr Details
- Google reCAPTCHA: ePrivacy-Richtlinie (und/oder andere). Mehr Details
- YouTube-Videos mit Cookies: ePrivacy-Richtlinie (und/oder andere)
- YouTube-Videos ohne Cookies: Art. 44ff. DSGVO oder Art. 5 DSGVO (Datenminimierung)
- Vimeo-Videos: Art. 44ff. DSGVO oder Art. 5 DSGVO (Datenminimierung). Mehr Details
- SoundCloud Player: ePrivacy-Richtlinie (und/oder andere). Mehr Details
Die Liste lässt sich für weitere bekannte Tools nahezu beliebig fortsetzen.
Das berechtigte Interesse kann für all diese Dienste ausgeschlossen werden. Dies kann teilweise sogar technisch und somit zweifelsfrei bewiesen werden.
Checkliste für Consent Tools
Sollten Sie risikobewusst genug sein, eine der gängigen Einwilligungslösungen verwenden zu wollen, hilft Ihnen die folgende Checkliste sicher dabei, Ihr Vorhaben zu prüfen. Die gängigen Lösungen sind nämlich keine Lösungen, wie mein Praxistest gezeigt hat.
Gemäß meiner Tests ungeeignet sind folgende Consent Tools:
- Borlabs Cookie
- CCM19
- Cookiebot
- consentmanager
- Klaro!
- OneTrust / Optanon / CookieLaw
- UserCentrics
Die Anforderungen an Einwilligungsabfragen ergeben sich aus dem Gesetzestext der DSGVO und aus Urteilen von EuGH und BGH. Mittlerweile liegen auch Urteile von kleineren Gerichten vor, wie etwa vom LG Rostock (15.09.2020 – 3 O 762/19), das es als rechtswidrig ansieht, wenn das Ablehnen nicht ebenso einfach möglich ist wie das Einwilligen.
Anforderungen an Consent Abfragen:
- Das Widerrufsrecht muss direkt ersichtlich sein → Art. 7 Abs. 3 DSGVO
- Das Ablehnen sollte so einfach möglich sein wie das Einwilligen → Urteil LG Rostock
- Eine datenschutzfeindliche Vorbelegung ist nicht erlaubt → EuGH-Urteil Planet49
- Einfach auffindbare Möglichkeit des Widerrufs → Art. 7 Abs. 3 DSGVO
- Der Widerruf muss einfach möglich sein (Anzahl der Klicks!) → Art. 7 Abs. 3 DSGVO
- Der Widerruf muss vollständig möglich sein (Löschen aller Cookies, Entladen aller Dienste) → Art. 7 Abs. 3 DSGVO
- Nach Widerruf sollte die Webseite automatisch neu geladen werden, um bis dato aktive Dienste durch Neuladen der Webseite zu deaktivieren
- Nennung der Dienste, in die eingewilligt wird. Möglichkeit, pro Dienst einzuwilligen oder in Kategorien von Diensten→ Art. 12 DSGVO, Art. 7 Abs. 4 DSGVO
- Pro Dienst → Art. 13 DSGVO
- Nennung des Anbieters (volle Firmenangabe samt Adresse und Land)
- Nennung der Zwecke → Art. 5 Abs. 1 DSGVO
- Nennung der Datenempfänger (volle Firmenangabe samt Adresse und Land)
- Nennung der Länder der Datenerhebung
- Nennung der Risiken bei Übermittlung in unsichere Drittländer → Art. 49 Abs. 1 DSGVO
- Nennung aller Cookies zum Dienst. Pro Cookie:
- Cookie-Name
- Nennung der Zwecke → EuGH-Urteil Planet49
- Nennung der Lebensdauer → EuGH-Urteil Planet49
- Aufzeichnung der erteilten Einwilligung als Nachweis bei Rückfragen → Art. 7 Abs. 1 DSGVO
- Erst nach Einwilligung dürfen Scripte für Videos von Vimeo oder YouTube, externe Schriften, sowie die allermeisten Google Tools inkl. Google Tag Manager geladen werden. Die USA sind ein unsicheres Drittland. Auch Standardvertragsklauseln ändern daran nichts.
- Vollständige Erklärung aller Datenverarbeitungsvorgänge zu eingesetzten Diensten in der Datenschutzerklärung.
- Die Datenschutzerklärung muss trotz des Einwilligungsfensters direkt erreichbar sein, der Link darauf darf von einem Popup nicht verdeckt werden.
- Die Datenschutzerklärung muss lesbar sein, ohne eine Einwilligungsabfrage wegklicken zu müssen.
Es kann gut sein, dass es weitere Anforderungen gibt. Über eine entsprechende Nachricht würde ich mich freuen, sollte etwas fehlen.
Wichtig zu wissen:
- Dienste werden auch als Tools bezeichnet. Fast jedes bekannte Tool bedarf einer Einwilligung.
- Cookies sind nur ein Grund für eine Einwilligung. Siehe IP-Adressen und Datenminimierung sowie meinen Fachartikel.
- IP-Adressen sind personenbezogene Daten. Jeder Abruf einer Webseite oder eines Dienstes bedeutet einen Austausch personenbezogener Daten.
- Datenminimierung: Unnötige Datentransfers sind zu unterlassen → Art. 5 Abs. 3 DSGVO.
- Sogenannte Consent Tools sind laut Praxistest ungeeignet zur Einhaltung aller Datenschutzregeln. Es gib sogar objektive Gründe, warum Consent Tools nicht zuverlässig funktionieren können.
In einem gesonderten Beitrag werden Alternativen für verschiedene Google Tools beschrieben.
Moin Herr Dr. Meffert,
vorab – vielen Dank für Ihre wirklich informativen Artikel und Ihr entsprechendes Engagement!!!
Ich möchte mich kurz auf Ihren Hinweis beziehen: Es kann gut sein, dass es weitere Anforderungen gibt. Über eine entsprechende Nachricht würde ich mich freuen, sollte etwas fehlen.
Nein, auch aus meiner Sicht waren Sie hier gründlich! Wenn es sich allerdings einmal ergeben sollte, wäre eine Ergänzung schön. Thema: Die „ausdrückliche“ Einwilligung, gefordert im Zusammenhang mit besonders schützenswerten Daten. Etwa im Zusammenhang mit dem Besuch fachärztlicher Webseiten.
BG
Vielen Dank für Ihre konstruktive und freundliche Rückmeldung!
Mir ist in der Tat noch kein Fall untergekommen, bei dem die von Ihnen zurecht genannten besonderen Datenkategorien mit der Einwilligung als Rechtsgrundlage zu verarbeiten waren.
Gerne behalte ich das Thema im Hinterkopf und schaue beim nächsten Besuch einer ärztlichen Webseite einmal genauer hin. Ich vermute aber, dass insb. Ärzte sensibel Daten nicht online erfragen.
Was aber sein kann, ist eine im Zuge der Corona-Pandemie stattfindende Datenverarbeitung, etwa auf der Webseite des Robert-Koch-Instituts o.ä.
Ja, Einwilligungs-Tools sind nicht geeignet, eine Website 100prozentig datenschutzkonform zu betreiben, da stimme ich Ihnen nur zu gerne zu. Nur: Was folgt daraus für eine Webagentur, die es im Auftrag eines Kunden dennoch versucht? Ohne eines der Tools bzw die dahinter stehenden Dienstleistungen in Anspruch zu nehmen geht es angesichts der Komplexität der Aufgabe auch nicht. Die größeren Probleme dabei sind aber die Marketinginteressen des Auftraggebers und die Missachtung von Privacy by Design.
Man kann ein altes Auto nicht verkehrssicher machen, indem man einen neuen, stärkeren Motor einbaut und dann mittels "guter Beziehungen" sich beim TÜV eine Plakette auf's Kennzeichen kleben lässt. So verfahren aber viele, die einer "gewachsenen" Website einfach ein Consent-Tool und eine verschwurbelte Datenschutzerklärung dran picken. Und sogar bei gutem Willen lassen sich die meisten alten Websites nicht DSGVO-konform sanieren. Meist ist ein völliger Relaunch mit Privacy by Design angesagt. Wenn dieser Ansatz konsequent verfolgt wird, liesse sich meist schon ein großer Teil der einwilligungspflichtigen Dienste vermeiden und für die restlichen ließe sich auch eine brauchbare Lösung oder Alternative finden.
Wenn, ja wenn da nicht die Marketingabteilung des Auftraggebers wäre, die meint, nur mit diesem geilen Service aus den USA könne sie die notwendigen Erkenntnisse über potentielle Kunden gewinnen. (Nichts für ungut, das ist der Daseinszweck von Marketingabteilungen.) Das ist dann keine technische Frage mehr, sondern eine unternehmenspolitische Richtungsentscheidung. Es liegt an der Unternehmensführung, zu entscheiden, ob ihr ihre Marketinginteressen oder die Achtung der Grundrechte und Freiheiten der Kunden und Nutzer wichtiger sind.
Danke für Ihren ausführlichen Kommentar.
Der Kunde, der etwas wünscht, ist der Verantwortliche. Jedenfalls dann, wenn der Auftragnehmer über die ihm bekannten Risiken aufklärt.
Man muss sich den Einzelfall ansehen. Ich kann pauschal zu Ihren Ausführungen nicht viel Konkretes mitteilen.
Allerdings bin ich schon der Meinung und beweise es selber, dass Webseiten ohne Google Tools und ohne Google Ads erfolgreich sein können. Mit Google Ads gelingt das Scheitern am schnellsten, sage ich gerne. Auf Dr. DSGVO finden Sie einen Gastartikel zu Google Ads (der Autor sieht es etwas positiver als ich) sowie weitere Ausführungen zur Vermeidung einwilligungspflichtiger Dienste (wie etwa Google Analytics).
Hallo Herr Meffert,
vielen dank für Ihre umfangreiche Analyse.
Sie gehen allerdings in Ihren Tests davon aus, dass die Tools sich alleine um die Konformität kümmern.
Diese Annahme ist falsch. Es kommt vor allem um die Umsetzung an.
Die Tools lassen sich in der Regel schon so Anpassen, dass eine Konformität möglich ist.
Danke für Ihre Rückmeldung!
Mir ist schon bewusst, dass man die Consent Tools anpassen kann. In der Praxis ist das Endergebnis aber dennoch nicht rechtskonform.
Ich behaupte, dass Google Dienste gar nicht rechtskonform eingesetzt werden können. Oder wissen Sie, welche Datenverarbeitungen genau bei Google ablaufen und was die Zwecke der vielen Google-Cookies sind?
Wer nur Matomo o.ä. einsetzt, kann es richtig machen. Wer auf die üblichen Verdächtigen setzt, wird scheitern. Bitte beweisen Sie mir das Gegenteil mit einem Praxisbeispiel.
Hallo Herr Meffert,
ich habe ja nicht behauptet, dass sich Google Dienste rechtssicher anwenden lassen. Darüber hinaus gilt es auch mehr wie nur Cookies zu berücksichtigen.
Ihrer Behauptung bzgl. Google schließe ich mich an: Aktuell kommt Frankreich ja auch zum Ergebnis, dass Google Analytics in der EU rechtswirdrig sei.
Wir setzten in unserer Agentur eine Eigenentwicklung auf Basis von Klaro ein. Dabei Scannen wir regelmässig die Webseiten und erstellen Audits. Das letzte Wort spricht jedoch immer der Kunde, bzw. deren DSB.
Hallo Herr Meffert,
danke für diese tolle Checkliste.
Eine Frage habe ich aber noch dazu:
Kann und muss man Einwilliungen nach §25 TTDSG nicht auch in dem Bannertext mit aufnehmen? Und wenn ja, wie genau macht man das dann? Was müsste ich beachten?
Viele Grüße
Thea
PS: Ich glaube, meine Frage ist nicht ganz klar. In welcher Form nehme ich das TTDSG mit in den Text auf? Wie könnte so ein Satz heißen?
Die Angaben müssen ja allgemein verständlich sein. Insofern würde ich den § 25 TTDSG aus der ersten Ebene der Einwilligungsabfrage herauslassen und nur in den Datenschutzhinweisen (oder weniger prominent im Einwilligungs-Popup) erwähnen.
Beispielsweise so:
Wir verwenden ein Cookie namens X mit einer Laufzeit von Y Monaten mit dem folgenden Zweck:…
Dieses Cookie ist technisch nicht notwendig und somit gemäß § 25 TTDSG nicht einwilligungsfrei.
Allerdings ist die Einwilligung nicht für Cookies einzuholen, sondern für Zwecke. Ein Tool/Plugin wird auf einer Webseite üblicherweise für einen zweck eingesetzt (oder auch für mehrere). Das Tool wiederum nutzt Cookies.
Demnach ist die Einwilligung für Tools einzuholen, nicht für Cookies.
vielen lieben Dank für die Info.
Ist es auch bei der Einwilliung über die DSGVO so, dass die Einwilliung für das Tool eingeholt wird und nicht für die Cookies an sich? oder ist das nur beim TTDSG so?
Gilt für DSGVO und TTDSG. Es geht zuerst nicht um Cookies.
Die DSGVO handelt gar nicht von Cookies, dafür aber das TTDSG.
Um es komplizierter zu machen: Das TTDSG ist ein Sondergesetz zur DSGVO (genauer: das TTDSG setzt das lex specialis "ePrivacy" um)