Datenschutzkonforme Einwilligungen auf Webseiten 

Anforderungen an Consent-Layer (Datenschutz-Banner)

Die Landesbeauftrage für den Datenschutz Niedersachsen hat im November 2020 eine Hilfestellung zum Verständnis der Anforderungen an Datenschutz-Banner auf Websites veröffentlicht. Das Original kann unter dem QR Code oder dem Link nachgelesen werden. 


Mit einer Großzahl von Positiv- und Negativbeispielen wird erläutert, welche Regeln eingehalten werden müssen und welche gängigen Anwendungsarten nicht zulässig sind. Die Hilfestellung weist noch einmal darauf hin, dass erst ein DS-GVO konformer Datenschutz-Banner auch eine wirksame Einwilligung in die Datenverarbeitung darstellt.

Die Landesbeauftrage für den Datenschutz Niedersachsen hat hiermit die Lücke geschlossen, dass Interpretationsvorgaben fehlten. Als Webseiten-Betreiber können Sie sich also nicht mehr auf diese Lücke berufen und müssen handeln.



Kurz zusammengefasst wird auf 7 Prüfpunkte hingewiesen:

  1. Zeitpunkt der Einwilligung
    Vor der Einwilligung oder der Ablehnung des Besuchers dürfen keine Cookies gesetzt werden.
    Warum nenne ich hier auch die Ablehnung? Zu einem späteren Zeitpunkt wird auch darauf hingewiesen, dass der Besucher nicht bei jedem Besuch wieder mit dem Banner genervt werden darf, bis er endlich zustimmt. Die Information, dass der Banner dem Besucher bereits angezeigt wurde, muss also lokal beim Benutzer mit seiner Entscheidung gespeichert werden.
  2. Informiertheit der Einwilligung
    Der Besucher muss inhaltlich darüber informiert werden, welche Daten für welchen Einsatz gespeichert werden, und an wen die Daten weitergegeben werden. „Der Zweck der Verarbeitung muss konkret erläutert werden.“
    Es reicht zum Beispiel nicht aus, mit unkonkreten Floskeln wie „Webanalysen und Werbemaßnahmen durchzuführen“ eine Datenspeicherung zu begründen, vielmehr müssen die Maßnahmen und Analysen konkret benannt werden. Auch ein Link auf die Datenschutzseite der Webseite ist hier nicht ausreichend.
  3. Eindeutige bestätigende Handlung
    Der Besucher muss aktiv jeder einzelnen Maßnahme zustimmen.

    Es ist möglich, einen Button anzubieten, der jede einzelne Auswahl aktiviert, dieser muss dann aber auch eindeutig benannt sein. Auf vielen Webseiten werden Schieberegler und ein Button angeboten, mit dem Text „Alle akzeptieren“. Dieser akzeptiert dann aber oft nicht alle Einstellungen, die der Besucher vorgenommen hat, sondern aktiviert alle Einstellungen und übermittelt dies dann so. Dies ist nicht zulässig, da für den Besucher die ausgeführte Aktion nicht eindeutig benannt ist.
  4. Freiwillige Einwilligung
    Der Kerninhalt der Website muss auch ohne Einwilligung zur Verfügung gestellt werden, oder es muss eine Alternative zur Verfügung gestellt werden.

    Es ist nicht zulässig, das Anzeigen des Kerninhalts einer Seite alternativlos an die Einwilligung in die Datenverarbeitung zu koppeln. Eine zulässige Alternative ist aber das Angebot, den Inhalt ohne Einwilligung aber gegen Bezahlung anzuzeigen.
  5. Keine unzuverlässige Einflussnahme auf die Nutzerentscheidung
    Jede Entscheidung, Einwilligung oder Ablehnung muss gleich leicht getroffen werden können.

    Es ist nicht zulässig die Einwilligung über einen großen grünen Button anzubieten, während der Ablehnen-Button durch Größe und Kontrast kaum zu sehen ist. Es ist auch nicht zulässig, eine Vorauswahl zu treffen, die man aber erst einsehen kann, wenn man sich in ein Untermenü einklickt. Dieser Abschnitt ist in der Hilfestellung der Landesbeauftragten für den Datenschutz Niedersachsen sehr ausführlich beschrieben und lohnt sich im Original nachzulesen.
  6. Widerruf der Einwilligung
    Der Widerruf der Einwilligung muss genauso leicht sein, wie die Einwilligung an sich.

    Es ist nicht zulässig, einen Widerruf der Einstellungen nur per Telefonanruf oder Fax anzubieten. Auch ein Kontaktformular wird hier kritisch gesehen. Richtig wäre es den Banner jederzeit erneut per klick aufrufen zu können, um dann dort die getroffenen Einstellungen anzupassen. Auf die Möglichkeit des Widerrufs muss auch bei der initialen Anzeige des Banners hingewiesen werden.
  7. Einwilligung für die Datenverarbeitung von Minderjährigen
    Beim Zugriff auf Inhalte, die dem Schutz von Minderjährigen unterliegen (also Inhalte, die etwa erst ab 16 Jahren zugänglich sein dürfen), muss die Einwilligung des Trägers der elterlichen Verantwortung vorliegen.

    Dies ist ein schwieriges Thema, da der Webseiten-Betreiber in der Pflicht ist sicher zu stellen, dass der Minderjährige nicht einfach vortäuscht, im Namen der Verantwortlichen einzuwilligen. Rechtssicher scheinen hier nur Verfahren, wie zum Beispiel das Post-Ident-Verfahren oder Prüfsummenchecks auf Personalausweisdaten.

Abschließend kann ich Ihnen nur nahelegen ganz genau zu prüfen, welche Informationen Ihnen für den Erfolg Ihrer Webseite und für Ihr Handwerk einen Mehrwert bringen und soweit es geht auf Datenerhebung und Cookie-Tracking zu verzichten.

 

Kerstin Schamber
Beauftragte für Innovation und Technologie*

Kreishandwerkerschaft Mettmann

* Gefördert durch das Bundesministerium für Wirtschaft und Energie auf Grund eines Beschlusses des Deutschen Bundestages