Für viele Tools und Cookies wird eine Einwilligung benötigt, die auch als Consent bezeichnet wird. Sogenannte Consent Tools sollen hier helfen, tun es aber nicht ausreichend, wie mein Praxistest gezeigt hat. Welche Anforderungen muss eine Einwilligungsabfrage eigentlich erfüllen?
Einleitung
Der Einsatz von Tools auf Webseiten ist gemäß Art. 6 DSGVO im Wessentlichen nur erlaubt, wenn
a) ein berechtigtes Interesse des Webseiten-Betreibers vorliegt, oder
b) eine Einwilligung vom Besucher der Webseite eingeholt wurde.
Ferner schreibt die ePrivacy-Richtlinie in Art. 5 (3) vor, dass auch der Abruf von Cookies oder das Auslesen von Cookies einwilligungspflichtig ist. Düe Richtlinie gilt auch für Deutschland, wie der BGH im Jahr 2020 im Planet49-Urteil (28.05.2020 – I ZR 7/16) feststellte.
Die Art. 44ff DSGVO schreiben vor, dass der Datentransfer in unsichere Drittländer (wie die USA) an sich nicht erlaubt ist. Da IP-Adressen bereits personenbezogene Daten sind, greift das DSGVO-Gesetz hier vor allem für Webseiten immer.
Gemäß dieser Rechtsgrundlagen sind beispielsweise folgende Tools einwilligungspflichtig:
- Google Analytics: ePrivacy-Richtlinie (und/oder andere). Mehr Details
- Google Maps: ePrivacy-Richtlinie (und/oder andere). Mehr Details
- Google Schriften (externer Abruf): Art 44ff. DSGVO oder Art. 5 DSGVO (Datenminimierung)
- Google reCAPTCHA: ePrivacy-Richtlinie (und/oder andere). Mehr Details
- YouTube-Videos mit Cookies: ePrivacy-Richtlinie (und/oder andere)
- YouTube-Videos ohne Cookies: Art. 44ff. DSGVO oder Art. 5 DSGVO (Datenminimierung)
- Vimeo-Videos: Art. 44ff. DSGVO oder Art. 5 DSGVO (Datenminimierung). Mehr Details
- SoundCloud Player: ePrivacy-Richtlinie (und/oder andere). Mehr Details
Die Liste lässt sich für weitere bekannte Tools nahezu beliebig fortsetzen.
Das berechtigte Interesse kann für all diese Dienste ausgeschlossen werden. Dies kann teilweise sogar technisch und somit zweifelsfrei bewiesen werden.
Checkliste für Consent Tools
Sollten Sie risikobewusst genug sein, eine der gängigen Einwilligungslösungen verwenden zu wollen, hilft Ihnen die folgende Checkliste sicher dabei, Ihr Vorhaben zu prüfen. Die gängige Lösungen sind nämlich keine Lösungen, wie mein Praxistest gezeigt hat.
Die Anforderungen an Einwilligungsabfragen ergeben sich aus dem Gesetzestext der DSGVO und aus Urteilen von EuGH und BGH. Mittlerweile liegen auch Urteile von kleineren Gerichten vor, wie etwa vom LG Rostock (15.09.2020 – 3 O 762/19), das es als rechtswidrig ansieht, wenn das Ablehnen nicht ebenso einfach möglich ist wie das Einwilligen.
Anforderungen an Consent Abfragen:
- Das Widerrufsrecht muss direkt ersichtlich sein → Art. 7 (3) DSGVO
- Das Ablehnen sollte so einfach möglich sein wie das Einwilligen → Urteil LG Rostock
- Eine datenschutzunfreundliche Vorbelegung ist nicht erlaubt → EuGH-Urteil Planet49
- Einfach auffindbare Möglichkeit des Widerrufs → Art. 7(3) DSGVO
- Der Widerruf muss einfach möglich sein (Anzahl der Klicks!) → Art. 7(3) DSGVO
- Der Widerruf muss vollständig möglich sein (Löschen aller Cookies, Entladen aller Dienste) → Art. 7(3) DSGVO
- Nach Widerruf sollte die Webseite automatisch neu geladen werden, um bis dato aktive Dienste durch Neuladen der Webseite zu deaktivieren
- Nennung der Dienste, in die eingewilligt wird. Möglichkeit, pro Dienst einzuwilligen oder in Kategorien von Diensten→ Art. 12 DSGVO, Art. 7(4) DSGVO
- Pro Dienst → Art. 13 DSGVO
- Nennung des Anbieters (volle Firmenangabe samt Adresse und Land)
- Nennung der Zwecke → Art. 5 (1) DSGVO
- Nennung der Datenempfänger (volle Firmenangabe samt Adresse und Land)
- Nennung der Länder der Datenerhebung
- Nennung der Risiken bei Übermittlung in unsichere Drittländer → Art. 49 (1) DSGVO
- Nennung aller Cookies zum Dienst. Pro Cookie
- Nennung der Zwecke → EuGH-Urteil Planet49
- Nennung der Lebensdauer → EuGH-Urteil Planet49
- Aufzeichnung der erteilten Einwilligung als Nachweis bei Rückfragen → Art. 7(1) DSGVO
- Erst nach Einwilligung dürfen Scripte für Videos von Vimeo oder YouTube, externe Schriften, sowie die allermeisten Google Tools inkl. Google Tag Manager geladen werden. Die USA sind ein unsicheres Drittland. Auch Standardvertragsklauseln ändern daran nichts.
- Vollständige Erklärung aller Datenverarbeitungsvorgänge zu eingesetzten Diensten in der Datenschutzerklärung.
- Die Datenschutzerklärung muss trotz des Einwilligungsfensters direkt erreichbar sein, der Link darauf darf von einem Popup nicht verdeckt werden.
- Die Datenschutzerklärung muss lesbar sein, ohne eine Einwilligungsabfrage wegklicken zu müssen.
Es kann gut sein, dass es weitere Anforderungen gibt. Über eine entsprechende Nachricht würde ich mich freuen, sollte etwas fehlen.
Wichtig zu wissen:
- Dienste werden auch als Tools bezeichnet. Fast jedes bekannte Tool bedarf einer Einwilligung
- Cookies sind nur ein Grund für eine Einwilligung. Siehe IP-Adressen und Datenminimierung
- IP-Adressen sind personenbezogene Daten. Jeder Abruf einer Webseite oder eines Dienstes bedeutet einen Austausch personenbezogener Daten
- Datenminimierung: Unnötige Datentransfers sind zu unterlassen → Art. 5 (3) DSGVO
- Sogenannte Consent Tools sind laut Praxistest ungeeignet zur Einhaltung aller Datenschutzregeln. Es gib sogar objektive Gründe, warum Consent Tools nicht zuverlässig funktionieren können
In einem gesonderten Beitrag werden Alternativen für verschiedene Google Tools beschrieben.
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. Im Jahr 2017 bin ich zum Datenschutz gekommen. Mir sind juristische Gegebenheiten nicht fremd. Ich versuche, meine Ergebnisse durch Betrachtung von Technik und Recht zu gewinnen. Das scheint mir jedenfalls absolut notwendig, wenn es um digitalen Datenschutz geht. Ich würde mich freuen, wenn Sie meinen