Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
sofort das Ergebnis sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Checkliste für Webseiten-Tools: Wann ist eine Einwilligung notwendig?

0

Viele denken, dass nur beim Einsatz von Cookies eine Einwilligung in Form eines Cookie Popups abgefragt werden müsste. Darüber hinaus sind einige weitere Vorgänge zu berücksichtigen, beispielsweise externe Google Fonts.

Einleitung

Häufig wird die Einwilligungsabfrage auf Webseiten als Cookie Consent oder Cookie Popup bezeichnet. Der Begriff ist ungenau und missverständlich. Eine Einwilligung ist in der Praxis auch für fast jedes Tool, welches keine Cookies einsetzt, erforderlich. Gleiches gilt für Dateien, die von einem Server Dritter abgerufen werden. Dazu zählen beispielsweise Schriftarten, Bilder, JavaScript-Bibliotheken oder Stylesheets.

Zunächst nenne ich die wichtigsten Rechtsgrundlagen, um die Einwilligungspflicht prüfen zu können.

Danach folgt eine Liste mit häufig verwendeten Diensten für Webseiten, die erst nach Einwilligung geladen werden dürfen. Dienste werden häufig als Tools bezeichnet. Auch wenn einfache Dateien keine Tools sind, sollen sie der Einfachheit halber auch mit diesem Begriff gemeint sein, weil deren Nutzung ebenso einwilligungspflichtig sein kann.

Rechtsgrundlagen

Die folgende Nennung ist unvollständig, reicht aber meiner Erfahrung nach für die meisten Fragestellungen aus. Generell gilt das Verbot mit Erlaubnisvorbehalt. Zunächst ist der Einsatz jedes Website-Tools verboten. Erlaubt ist es nur, wenn eine Rechtsgrundlage aus Art. 6 DSGVO gegeben ist. Relevant sind hier:

  • Berechtigtes Interesse: Wird oft als Ausrede benutzt, gilt meistens nicht. Später mehr dazu.
  • Einwilligung: Geht immer, kann aber widerrufen werden. Außerdem ist fast kein Consent Tool in der Praxis in der Lage, eine rechtskonforme Einwilligung abzufragen. Siehe Praxistest sowie objektive Gründe, die das zeigen.
  • Rechtliche Verpflichtung: Manchmal wird argumentiert, dass ein Consent Tool deswegen eingesetzt werden muss. Das ist richtig, dann darf aber dennoch kein Datentransfer in die USA stattfinden, weil dafür eine Einwilligung (für die Einwilligungsabfrage) erforderlich wäre. UserCentrics Scripte und auch die von Cookiebot übertragen potentiell Daten in die USA (die anderer Anbieter ggf. auch).
  • Erfüllung eines Vertrags: Kürzlich las ich, dass der Zahlungsdienstanbieter Stripe verwendet wird und an diesen die Zahlungsdaten des Käufers übermittelt werden, um einen Vertrag zu erfüllen. Das mag richtig sein. Dennoch darf kein Datentransfer zu Stripe (USA) stattfinden, wenn nicht vorher eine Einwilligung abgefragt wurde.

Ein berechtigtes Interesse als Rechtsgrundlage scheidet grundsätzlich aus, wenn ein Datentransfer in die USA stattfindet. Dies gilt gemäß Art. 44 DSGVO und dem bekannten EuGH-Urteil zur Ungültigkeit des Privacy Shield. Als Stichworte seien die folgenden amerikanischen Gesetze und Rechtsmittel genannt, die der DSGVO unheilbar entgegenstehen: EO 12333, Cloud Act, FISA.

Nahezu alle Cookies, die von Dritten oder zu Analyse-Zwecken erzeugt werden, sind einwilligungspflichtig.

Konsequenz aus der Anwendung der ePrivacy-Richtlinie (über TMG oder TTDSG).

Wann immer also ein Datentransfer in die USA stattfinden kann, etwa durch Lastverteilung, ist eine Einwilligung abzufragen. Auch wenn ein Server einem amerikanischen Konzern gehört oder diese direkt oder indirekt darauf zugreifen kann, gilt dies. Der Verantwortliche muss im Zweifel beweisen, dass kein Zugriff aus den USA (etwa durch Geheimdienste, die höflich zur Datenherausgabe auffordern) möglich ist.

Jeder vermeidbare Datentransfer zu einem Dritten ist einwilligungspflichtig. Hierzu zählen beispielsweise Bilder, die von einer externen Adresse geladen werden. Gleiches gilt für JavaScript-Bibliotheken, CSS-Dateien und sonstige Dateien. Einige Rechtsgrundlagen hierfür sind Art. 5 Abs. 1 c DSGVO und Art. 25 DSGVO. Aus meiner Erfahrung kann ich sagen, dass die meisten externen Datentransfers entweder vermeidbar oder nicht unbedingt notwendig sind.

Die Nutzung von externen Google Fonts ist deshalb fragwürdig, weil eine Einwilligung vor Einsatz der Schriftarten erforderlich wäre. Das berechtigte Interesse kann schon deshalb nicht angeführt werden, weil Google Fonts leicht lokal gehalten werden können. Weiter unten folgt eine genauere Begründung dazu.

Ein Dritter wird übrigens zum Ersten, wenn ein rechtskonformer AVV mit diesem geschlossen wurde. Der Art. 28 DSGVO enthält wichtige Regeln hierzu.

Nahezu jede Einwilligungsabfrage auf Webseiten ist mit erheblichen rechtlichen Mängeln behaftet,

Ergebnis meiner zahlreichen Untersuchungen sowie aus objektiven Gründen herleitbar.

Wer eine Einwilligung abfragen will oder muss, sollte wissen, dass dies meistens keine gute Idee ist. Für nahezu jedes Google Tool gelingt die Einwilligungsabfrage nicht rechtskonform. Wer es genauer wissen will, findet in der Checkliste für rechtskonforme Consent Abfragen alle möglichen Pflichten. Nach kurzem Studium wird man merken, dass die DSGVO-konforme Abfrage nach einem User Consent meist nicht gelingen wird.

Die Abfrage einer Einwilligung macht nur dann wirklich Sinn, wenn dem Verantwortlichen alle wichtigen Details zur Datenverarbeitung bekannt sind. Das kann beispielsweise bei einer lokal betriebenen Instanz von Matomo oder beim WordPress Plugin WP Statistics der Fall sein.

Cookies

Ganz einfach wird es am Dezember 2021. Dann gilt das TTDSG in Deutschland. Der § 26 TTDSG setzt die ePrivacy Richtlinie nahezu wortgleich um. Bis dahin gilt § 15 Abs. 3 TMG in Verbindung mit dem BGH-Urteil zu Planet49.

Die Nutzung von Cookies bedarf immer einer Einwilligung, außer, die Cookies sind technisch notwendig. Technisch notwendig sind Cookies so gut wie nie. Für Google Analytics kann das sogar objektiv bewiesen werden. Bei Google Analytics spielt das aber keine entscheidende Rolle, weil bei der Nutzung dieses Google Tools immer ein Datentransfer in die USA stattfindet (siehe unten).

Es ist übrigens egal, welche Werte in einem Cookie gespeichert sind. Auch der Buchstabe X als Wert ist einwilligungspflichtig. Das steht so im Gesetz und hat der EuGH auch schon in seinem Planet49-Urteil klargestellt. Der Hintergrund ist wohl, dass bei Cookies und ähnlichen Technologien der Schutz des Endgeräts im Vordergrund steht und nicht der Schutz originärer personenbezogener Daten. Immerhin ist ein Endgerät, welcher einer Person zugeordnet werden kann, auch personenbezogen.

Es ist auch egal, ob ein Cookie technisch ein First-Party oder ein Third-Party Cookie ist. Google Universal Analytics etwa setzt Cookies, die in derselben Domäne wie die gerade besuchte Webseite liegen. Deswegen sind diese Cookies aus technischer Sicht einer Erstpartei zuzuordnen. Aus fachlicher Sicht handelt es sich aber offensichtlich um Drittpartei-Cookies, weil Google sich selbst (in der Verantwortung des Webseiten-Betreibers) die Werte aus den Cookies zusendet. Das geschieht über die JavaScript-Logik des zu Analytics geladenen Scripts.

Bekannte Tools

Für folgende häufig verwendete Tools wird eine Einwilligung benötigt. Dies ist nur eine Auswahl. Die Begründung steht jeweils im verlinkten Artikel zum Tool.

Datenschutzfreundliche Alternativen sind auf Dr. DSGVO nicht nur genannt, sondern werden teilweise von mir selber zur Verfügung gestellt. Beispielsweise die datenschutzfreundliche interaktive Karte oder ein Ersatz für den Google Tag Manager.

Checkliste

Anhand folgender Checkliste empfehle ich zu prüfen, ob ein Tool auf einer Webseite ohne Einwilligung genutzt werden kann.

  1. Potentieller Datentransfer in die USA: Einwilligung
  2. Nutzung von Cookies, die nicht absolut notwendig sind: Einwilligung
  3. Vermeidbarer Datentransfer zu einem Dritten: Einwilligung
  4. Alternative durch datenschutzfreundliche Technikgestaltung vorhanden: Einwilligung
  5. Mehr Daten als nötig verarbeitet: Einwilligung

Das gilt natürlich nur, wenn keine andere Rechtsgrundlage existiert, was auf Webseiten so gut wie nie der Fall sein dürfte. Das berechtigte Interesse gilt hier explizit nicht als Rechtfertigung, denn ein Einwilligungserfordernis schließt ein solches Interesse aus.

Als kleines Extra:

6. Zum eingesetzten Tool sind nicht alle wesentlichen Datenverarbeitungen bekannt: Einwilligungsabfrage weglassen, Tool weglassen

7. Unsicher, ob ein Tool einfach so eingesetzt werden darf? Weglassen oder Einwilligung erfragen (siehe dazu Punkt 6)

8. Keine Ahnung, was das „Cookie Popup“ macht und ob alle Angaben dort richtig sind: Das „Popup“ Weglassen und auch alle Tools weglassen, die über das Consent Tool angeblich abgewickelt werden

Nahezu alle nicht notwendigen externen Dateiabrufe oder Tools sind einwilligungspflichtig.

Eine Konsequenz (von mehreren) aus der DSGVO.

Fazit

Für nahezu jeden Datentransfer zu einer externen Adresse ist eine Einwilligung erforderlich. Meistens sind entweder keine AVVs mit dem Anbieter eines Dienstes verfügbar oder die angebotenen AVV sind rechtswidrig (wie man am Beispiel Google zeigen kann, weil das Unternehmen sich beispielsweise die Nutzung der erhaltenen Daten zu eigenen, nicht näher benannten Zwecken vorbehält). Übrigens bietet nicht einmal Cookiebot einen AVV an. Cookiebot weiß entweder zu wenig von Datenschutz oder möchte keine Verantwortung übernehmen. Ich vermute ersteres und nicht einmal beides, weil ich an der Grundkompetenz von Cookiebot bzw. dem Anbiete Cybot zum digitalen Datenschutz generell zweifle, ebenso wie an der anderer Anbieter von Consent Tools.

Wer Daten zu Dritten überträgt, ist dafür verantwortlich und muss im Zweifel substantiell zeigen, dass alles mit rechten Dingen zugegangen ist. Viel Erfolg beim Kontaktieren von Google, Microsoft, Facebook oder Consent Tool Anbietern.

Es ist wie mit der aktuellen Flutkatastrophe in Deutschland: Die zunächst günstig erscheinende Lösung wird bald teurer als gedacht. So verhält es sich auch mit dem Einsatz von datenschutzfeindlichen Tools. Wem keine Abmahnung ins Haus geschickt wird, der wird vielleicht irgendwann doch die Gefahr dieser sehen und muss seine Webseite schon wieder mehrfach anpassen. Geld und Zeit verschwenden war noch nie so einfach. Die wenigsten profitieren wirklich von Google Werbung und ähnlichen angeblich effektiven Marketing-Maßnahmen, die nur für sehr wenige Marktkonstellationen wirklich effektiv funktionieren.

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. Im Jahr 2017 bin ich zum Datenschutz gekommen. Mir sind juristische Gegebenheiten nicht fremd. Ich versuche, meine Ergebnisse durch Betrachtung von Technik und Recht zu gewinnen. Das scheint mir jedenfalls absolut notwendig, wenn es um digitalen Datenschutz geht. Ich würde mich freuen, wenn Sie meinen Newsletter abonnieren.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

So entstehen Datenschutzprobleme in Deutschland: Beispiele aus der Praxis