Seit Ende 2019 hat sich bei Betreibern von Websites die Einsicht durchgesetzt, dass Drittanbieterdienste in der Regel nur noch nach vorhergehender Einwilligung der Websitebenutzer ausgeführt werden dürfen.
Die Tools von legalweb.io legen dabei maximalen Wert auf die rechtlich korrekte Umsetzung. Features, die rechtlich hochumstritten oder gar illegal sind, bieten wir erst nicht an. Doch was heißt das konkret?
Rechtsanwalt Peter Harlander, Mitbegründer von legalweb.io und Datenschutzexperte, zeigt in diesem Artikel, worauf es nach Ansicht der Gerichte und Datenschutzbehörden bei Cookie-Popups und Datenschutzerklärungen ankommt:
Die Bezeichnung “Cookie-Popup” ist irreführend. Websitebetreiber müssen sicherstellen, dass die Einwilligung nicht nur das Setzen von einwilligungspflichtigen Cookies umfasst, sondern alle einwilligungsbedürftigen Verarbeitungsprozesse, wie z.B. Verfahren zum Tracking der Nutzer mittels Zählpixel oder Browser Fingerprinting.
Trotz DSGVO bestehen zwischen den EU-Staaten rechtliche Unterschiede. So hat Österreich beispielsweise die E-Privacy-Richtlinie voll umgesetzt, Deutschland hingegen nicht. Cookie-Popup und Datenschutzerklärung müssen diese Unterschiede berücksichtigen. Welches Recht zur Anwendung kommt, bestimmt sich nach dem Sitz des Websitebetreibers.
Das Cookie-Popup und die Datenschutzerklärung müssen in allen Sprachen der Website abrufbar sein. Das gilt generell für alle Rechtstexte auf einer Website.
Die Links zum Impressum und zur Datenschutzerklärung müssen insbesondere bei einem als Overlay ausgestalteten Cookie-Banner auch vor Erteilung der Einwilligung abrufbar sein.
Zudem muss der Websitebetreiber sicherstellen, dass diese Seiten nicht durch das Cookie-Banner blockiert werden und dass bei Aufruf dieser Seiten keine Daten von Drittanbietern erhoben werden.
Der Websitebetreiber muss sicherstellen, dass beim Aufruf der Website nur die für den Betrieb der Website essentiell notwendigen Daten des Websitebenutzers verarbeitet werden.
Speziell die Datenverarbeitung durch externe Dienste (z.B. Analysetools, Remarketingtools, Videodienste, Kartendienste) darf in der Regel erst nach vorhergehender, informierter, eindeutiger und freiwilliger Einwilligung des Websitebenutzers erfolgen.
Ebenso können lokale Dienste bei entsprechender Eingriffstiefe (z.B. Profiling, userspezifischer Content, Mousetracking) einwilligungspflichtig sein.
Bloße Respektsbekundungen wie „Wir nehmen den Schutz Ihrer persönlichen Daten sehr ernst …“ sind für die Erfüllung der rechtlichen Vorschriften nicht ausreichend. Der Websitebenutzer muss erkennen, dass eine datenschutzrechtliche Einwilligung zur Verarbeitung personenbezogener Daten gefordert wird.
Bereits auf den ersten Blick muss der Websitebenutzer zumindest erkennen können, wer Verantwortlicher für die Website ist, welche Dienste in die Website eingebunden sind, welche Unternehmen diese Dienste betreiben und ob eine Datenübermittlung in Drittstaaten stattfindet. Diese Informationen dürfen daher nicht in Detailseiten versteckt sein.
Der Websitebenutzer muss die Tragweite der Datenverarbeitung und seiner Einwilligung erkennen können. Die dazu notwendigen Informationen sind sehr umfangreich, müssen daher nicht am ersten Blick zu sehen sein, dürfen aber nicht weiter als einen Klick, z.B. auf einen Button “Alle Details“ entfernt sein.
Die noch immer oft gelesene Formulierung „Durch Weitersurfen stimmen Sie der Datenverarbeitung zu“ ist rechtswidrig. Durch bloßes Weitersurfen kommt keine rechtsgültige Einwilligung zustande.
Die Einwilligung muss durch proaktive Handlung des Websitebenutzers erfolgen (z.B. aktives Ankreuzen einer leeren Checkbox).
Die Checkboxen müssen daher auf „nicht aktiviert“ voreingestellt sein.
Jeder Dienst muss einzeln auswählbar sein. Ähnliche Dienste können in Gruppen segmentiert und gemeinsam ausgewählt werden, sofern diese Dienste weiterhin auch einzeln ausgewählt werden können.
Ein Verstecken der Auswahlmöglichkeit in einer zweiten Ebene reicht nicht aus. Die Auswahl einzelner Dienste muss genauso einfach möglich sein, wie die Einwilligung in alle Dienste. Muss der User daher einen Klick mehr machen, um zur Auswahl zu gelangen, ist das schon illegal.
Für den Betrieb einer Website unbedingt technisch notwendige Dienste bedürfen keiner Einwilligung und sohin auch keiner gesonderten Auswahlmöglichkeit.
Konsequent zu Ende gedacht, bedeutet das: eine Website, die nur essentielle Dienste hat, benötigt kein Cookie-Popup.
Eine gleichwertige grafische Ausgestaltung des „Zustimmen-Buttons“ und des „Ablehnen-Buttons“ ist Voraussetzung für eine rechtskonforme Einwilligung.
Psychotricks wie ein knallgrüner „Zustimmen-Button“ mit einem hellgrauen „Ablehnen-Button“ auf hellgrauem Hintergrund oder gar mit einem klitzekleinen, kaum sichtbaren „Ablehnen-Link“ sind illegal.
Die Nichterteilung der Einwilligung sollte ganz einfach mit Klick auf den „Ablehnen-Button“, mit Klick auf „Schließen (X)“ und mit Klick in das graue Overlay neben dem Cookie-Banner funktionieren.
Da eine Einwilligung widerruflich ist, muss eine entsprechende Möglichkeit zum Widerruf implementiert werden. Der Widerruf der Einwilligung muss jederzeit möglich und so einfach wie die Einwilligung selbst sein.
Im Idealfall wird dazu nochmals das Cookie-Popup geladen, damit der Websitebenutzer seine Einstellungen ändern kann.
Nach Widerruf der Einwilligung müssen die Datenverarbeitung eingestellt und die Dienste deaktiviert werden.
Im Idealfall erfolgt ein Seitenreload, sodass die Dienste nicht mehr ausgeführt und keine neuen Daten erfasst werden. Verarbeiten die Dienste die Daten nur anonym, ist damit alles erledigt.
Die Datenschutzerklärung der Website und die „Alle Details“-Texte des Cookie-Popups müssen präzise aufeinander abgestimmt sein. Im Idealfall werden das Cookie-Banner und die Datenschutzerklärung mit demselben Tool generiert.
Die Information des Websitebenutzers über die Datenverarbeitung, darf nicht mittels Verlinkung in die Datenschutzerklärung „ausgelagert“ werden. Links zu anderen Datenschutzerklärungen bringen daher nichts.
Datenschutzrecht ist extrem komplex – wir machen es Ihnen einfach