Checkliste für rechtssichere Einwilligungsabfragen auf Webseiten: Vorschriften und Rechtsgrundlagen

Kategorien: Datenschutz, Consent Tools, Cookies, Empfehlungen, Recht und Tracking

Für viele Tools und Cookies wird eine Einwilligung benötigt, die auch als Consent bezeichnet wird. Sogenannte Consent Tools sollen hier helfen, tun es aber nicht ausreichend, wie mein Praxistest gezeigt hat. Welche Anforderungen muss eine Einwilligungsabfrage eigentlich erfüllen?

Einleitung

Der Einsatz von Tools auf Webseiten ist gemäß Art. 6 DSGVO im Wesentlichen nur erlaubt, wenn

a) ein berechtigtes Interesse des Webseiten-Betreibers vorliegt, oder

b) eine Einwilligung vom Besucher der Webseite eingeholt wurde.

Ferner schreibt die ePrivacy-Richtlinie in Art. 5 Abs. 3 vor, dass auch der Abruf von Cookies oder das Auslesen von Cookies einwilligungspflichtig ist. Die Richtlinie gilt über § 15 Abs. 3 TMG auch für Deutschland, wie der BGH im Jahr 2020 im Planet49-Urteil (28.05.2020 – I ZR 7/16) feststellte. Die Vorschrift wird mit § 25 TTDSG in Deutschland offiziell im Dezember 2021 eingeführt.

Die Art. 44ff DSGVO schreiben vor, dass der Datentransfer in unsichere Drittländer (wie die USA) an sich nicht erlaubt ist. Da IP-Adressen bereits personenbezogene Daten sind, greift das DSGVO-Gesetz hier vor allem für Webseiten immer.

Gemäß dieser Rechtsgrundlagen sind beispielsweise folgende Tools einwilligungspflichtig:

• Google Analytics: ePrivacy-Richtlinie, Datentransfer in die USA. Mehr Details
• Google Maps: ePrivacy-Richtlinie (und/oder andere). Mehr Details
• Facebook Plugin: ePrivacy-Richtlinie (und/oder andere)
• Google Schriften (externer Abruf): Art 44ff. DSGVO oder Art. 5 DSGVO (Datenminimierung). Mehr Details
• Google reCAPTCHA: ePrivacy-Richtlinie (und/oder andere). Mehr Details
• YouTube-Videos mit Cookies: ePrivacy-Richtlinie (und/oder andere)
• YouTube-Videos ohne Cookies: Art. 44ff. DSGVO oder Art. 5 DSGVO (Datenminimierung)
• Vimeo-Videos: Art. 44ff. DSGVO oder Art. 5 DSGVO (Datenminimierung). Mehr Details
• SoundCloud Player: ePrivacy-Richtlinie (und/oder andere). Mehr Details

Die Liste lässt sich für weitere bekannte Tools nahezu beliebig fortsetzen.

Das berechtigte Interesse kann für all diese Dienste ausgeschlossen werden. Dies kann teilweise sogar technisch und somit zweifelsfrei bewiesen werden.

Checkliste für Consent Tools

Sollten Sie risikobewusst genug sein, eine der gängigen Einwilligungslösungen verwenden zu wollen, hilft Ihnen die folgende Checkliste sicher dabei, Ihr Vorhaben zu prüfen. Die gängigen Lösungen sind nämlich keine Lösungen, wie mein Praxistest gezeigt hat.

Gemäß meiner Tests ungeeignet sind folgende Consent Tools:

• Borlabs Cookie
• CCM19
• Cookiebot
• consentmanager
• Klaro!
• OneTrust / Optanon / CookieLaw
• UserCentrics

Die Anforderungen an Einwilligungsabfragen ergeben sich aus dem Gesetzestext der DSGVO und aus Urteilen von EuGH und BGH. Mittlerweile liegen auch Urteile von kleineren Gerichten vor, wie etwa vom LG Rostock (15.09.2020 – 3 O 762/19), das es als rechtswidrig ansieht, wenn das Ablehnen nicht ebenso einfach möglich ist wie das Einwilligen.

Anforderungen an Consent Abfragen:

1. Das Widerrufsrecht muss direkt ersichtlich sein → Art. 7 Abs. 3 DSGVO
2. Das Ablehnen sollte so einfach möglich sein wie das Einwilligen → Urteil LG Rostock
3. Eine datenschutzfeindliche Vorbelegung ist nicht erlaubt → EuGH-Urteil Planet49
4. Einfach auffindbare Möglichkeit des Widerrufs → Art. 7 Abs. 3 DSGVO
5. Der Widerruf muss einfach möglich sein (Anzahl der Klicks!) → Art. 7 Abs. 3 DSGVO
6. Der Widerruf muss vollständig möglich sein (Löschen aller Cookies, Entladen aller Dienste) → Art. 7 Abs. 3 DSGVO
7. Nach Widerruf sollte die Webseite automatisch neu geladen werden, um bis dato aktive Dienste durch Neuladen der Webseite zu deaktivieren
8. Nennung der Dienste, in die eingewilligt wird. Möglichkeit, pro Dienst einzuwilligen oder in Kategorien von Diensten→ Art. 12 DSGVO, Art. 7 Abs. 4 DSGVO
9. Pro Dienst → Art. 13 DSGVO
   1. Nennung des Anbieters (volle Firmenangabe samt Adresse und Land)
   1. Nennung der Zwecke → Art. 5 Abs. 1 DSGVO
   1. Nennung der Datenempfänger (volle Firmenangabe samt Adresse und Land)
   1. Nennung der Länder der Datenerhebung
   1. Nennung der Risiken bei Übermittlung in unsichere Drittländer → Art. 49 Abs. 1 DSGVO
   1. Nennung aller Cookies zum Dienst. Pro Cookie:
      1. Cookie-Name
      2. Nennung der Zwecke → EuGH-Urteil Planet49
      1. Nennung der Lebensdauer → EuGH-Urteil Planet49
10. Aufzeichnung der erteilten Einwilligung als Nachweis bei Rückfragen → Art. 7 Abs. 1 DSGVO
11. Erst nach Einwilligung dürfen Scripte für Videos von Vimeo oder YouTube, externe Schriften, sowie die allermeisten Google Tools inkl. Google Tag Manager geladen werden. Die USA sind ein unsicheres Drittland. Auch Standardvertragsklauseln ändern daran nichts.
12. Vollständige Erklärung aller Datenverarbeitungsvorgänge zu eingesetzten Diensten in der Datenschutzerklärung.
13. Die Datenschutzerklärung muss trotz des Einwilligungsfensters direkt erreichbar sein, der Link darauf darf von einem Popup nicht verdeckt werden.
14. Die Datenschutzerklärung muss lesbar sein, ohne eine Einwilligungsabfrage wegklicken zu müssen.

Es kann gut sein, dass es weitere Anforderungen gibt. Über eine entsprechende Nachricht würde ich mich freuen, sollte etwas fehlen.

Wichtig zu wissen:

• Dienste werden auch als Tools bezeichnet. Fast jedes bekannte Tool bedarf einer Einwilligung.
• Cookies sind nur ein Grund für eine Einwilligung. Siehe IP-Adressen und Datenminimierung sowie meinen Fachartikel.
• IP-Adressen sind personenbezogene Daten. Jeder Abruf einer Webseite oder eines Dienstes bedeutet einen Austausch personenbezogener Daten.
• Datenminimierung: Unnötige Datentransfers sind zu unterlassen → Art. 5 Abs. 3 DSGVO.
• Sogenannte Consent Tools sind laut Praxistest ungeeignet zur Einhaltung aller Datenschutzregeln. Es gib sogar objektive Gründe, warum Consent Tools nicht zuverlässig funktionieren können.

In einem gesonderten Beitrag werden Alternativen für verschiedene Google Tools beschrieben.