Zurück

Warum legalweb.io

#News

5 Minuten

Seit Ende 2019 hat sich bei Betreibern von Websites die Einsicht durchgesetzt, dass Drittanbieterdienste in der Regel nur noch nach vorhergehender Einwilligung der Websitebenutzer ausgeführt …

Zurück

Seit Ende 2019 hat sich bei Betreibern von Websites die Einsicht durchgesetzt, dass Drittanbieterdienste in der Regel nur noch nach vorhergehender Einwilligung der Websitebenutzer ausgeführt werden dürfen.

Die Tools von legalweb.io legen dabei maximalen Wert auf die rechtlich korrekte Umsetzung. Features, die rechtlich hochumstritten oder gar illegal sind, bieten wir erst nicht an. Doch was heißt das konkret?

Rechtsanwalt Peter Harlander, Mitbegründer von legalweb.io und Datenschutzexperte, zeigt in diesem Artikel, worauf es nach Ansicht der Gerichte und Datenschutzbehörden bei Cookie-Popups und Datenschutzerklärungen ankommt:

Basics

Cookies vs. Datenverarbeitung

Die Bezeichnung „Cookie-Popup“ ist irreführend. Websitebetreiber müssen sicherstellen, dass die Einwilligung nicht nur das Setzen von einwilligungspflichtigen Cookies umfasst, sondern alle einwilligungsbedürftigen Verarbeitungsprozesse, wie z.B. Verfahren zum Tracking der Nutzer mittels Zählpixel oder Browser Fingerprinting.

Anzuwendendes Recht

Trotz DSGVO bestehen zwischen den EU-Staaten rechtliche Unterschiede. So hat Österreich beispielsweise die E-Privacy-Richtlinie voll umgesetzt, Deutschland hingegen nicht. Cookie-Popup und Datenschutzerklärung müssen diese Unterschiede berücksichtigen. Welches Recht zur Anwendung kommt, bestimmt sich nach dem Sitz des Websitebetreibers.

Sprachen

Das Cookie-Popup und die Datenschutzerklärung müssen in allen Sprachen der Website abrufbar sein. Das gilt generell für alle Rechtstexte auf einer Website.

Impressum / Datenschutz

Die Links zum Impressum und zur Datenschutzerklärung müssen insbesondere bei einem als Overlay ausgestalteten Cookie-Banner auch vor Erteilung der Einwilligung abrufbar sein.

Zudem muss der Websitebetreiber sicherstellen, dass diese Seiten nicht durch das Cookie-Banner blockiert werden und dass bei Aufruf dieser Seiten keine Daten von Drittanbietern erhoben werden.

Keine Datenverarbeitung vor Erteilung der Einwilligung

Der Websitebetreiber muss sicherstellen, dass beim Aufruf der Website nur die für den Betrieb der Website essentiell notwendigen Daten des Websitebenutzers verarbeitet werden.

Speziell die Datenverarbeitung durch externe Dienste (z.B. Analysetools, Remarketingtools, Videodienste, Kartendienste) darf in der Regel erst nach vorhergehender, informierter, eindeutiger und freiwilliger Einwilligung des Websitebenutzers erfolgen.

Ebenso können lokale Dienste bei entsprechender Eingriffstiefe (z.B. Profiling, userspezifischer Content, Mousetracking) einwilligungspflichtig sein.

Umsetzung

Klare, nicht irreführende Texte

Bloße Respektsbekundungen wie „Wir nehmen den Schutz Ihrer persönlichen Daten sehr ernst …“ sind für die Erfüllung der rechtlichen Vorschriften nicht ausreichend. Der Websitebenutzer muss erkennen, dass eine datenschutzrechtliche Einwilligung zur Verarbeitung personenbezogener Daten gefordert wird.

Auf den ersten Blick

Bereits auf den ersten Blick muss der Websitebenutzer zumindest erkennen können, wer Verantwortlicher für die Website ist, welche Dienste in die Website eingebunden sind, welche Unternehmen diese Dienste betreiben und ob eine Datenübermittlung in Drittstaaten stattfindet. Diese Informationen dürfen daher nicht in Detailseiten versteckt sein.

Alle Details

Der Websitebenutzer muss die Tragweite der Datenverarbeitung und seiner Einwilligung erkennen können. Die dazu notwendigen Informationen sind sehr umfangreich, müssen daher nicht am ersten Blick zu sehen sein, dürfen aber nicht weiter als einen Klick, z.B. auf einen Button „Alle Details“ entfernt sein.

Notwendige Mindestangaben:

  • Zweck der Verarbeitung
  • Dauer der Verarbeitung
  • Rechtsgrundlage der Verarbeitung
  • Kontaktdaten des gemeinsamen Verantwortlichen oder Auftragsverarbeiters
  • die Folgen einer Nichteinwilligung
  • Rechtsgrundlage einer etwaigen Übermittlung in Drittstaaten

Checkboxen & Buttons

Proaktive Einwilligung

Die noch immer oft gelesene Formulierung „Durch Weitersurfen stimmen Sie der Datenverarbeitung zu“ ist rechtswidrig. Durch bloßes Weitersurfen kommt keine rechtsgültige Einwilligung zustande.

Die Einwilligung muss durch proaktive Handlung des Websitebenutzers erfolgen (z.B. aktives Ankreuzen einer leeren Checkbox).

Keine Vorauswahl

Die Checkboxen müssen daher auf „nicht aktiviert“ voreingestellt sein.

Einzeln auswählbar

Jeder Dienst muss einzeln auswählbar sein. Ähnliche Dienste können in Gruppen segmentiert und gemeinsam ausgewählt werden, sofern diese Dienste weiterhin auch einzeln ausgewählt werden können.

Ein Verstecken der Auswahlmöglichkeit in einer zweiten Ebene reicht nicht aus. Die Auswahl einzelner Dienste muss genauso einfach möglich sein, wie die Einwilligung in alle Dienste. Muss der User daher einen Klick mehr machen, um zur Auswahl zu gelangen, ist das schon illegal.

Ausnahme: Essentielle Dienste

Für den Betrieb einer Website unbedingt technisch notwendige Dienste bedürfen keiner Einwilligung und sohin auch keiner gesonderten Auswahlmöglichkeit.

Konsequent zu Ende gedacht, bedeutet das: eine Website, die nur essentielle Dienste hat, benötigt kein Cookie-Popup.

Buttons

Eine gleichwertige grafische Ausgestaltung des „Zustimmen-Buttons“ und des „Ablehnen-Buttons“ ist Voraussetzung für eine rechtskonforme Einwilligung.

Psychotricks

Psychotricks wie ein knallgrüner „Zustimmen-Button“ mit einem hellgrauen „Ablehnen-Button“ auf hellgrauem Hintergrund oder gar mit einem klitzekleinen, kaum sichtbaren „Ablehnen-Link“ sind illegal.

Nichterteilung der Einwilligung

Die Nichterteilung der Einwilligung sollte ganz einfach mit Klick auf den „Ablehnen-Button“, mit Klick auf „Schließen (X)“ und mit Klick in das graue Overlay neben dem Cookie-Banner funktionieren.

Widerruf

Widerrufsmöglichkeit

Da eine Einwilligung widerruflich ist, muss eine entsprechende Möglichkeit zum Widerruf implementiert werden. Der Widerruf der Einwilligung muss jederzeit möglich und so einfach wie die Einwilligung selbst sein.

Im Idealfall wird dazu nochmals das Cookie-Popup geladen, damit der Websitebenutzer seine Einstellungen ändern kann.

Folgen des Widerrufs

Nach Widerruf der Einwilligung müssen die Datenverarbeitung eingestellt und die Dienste deaktiviert werden.

Im Idealfall erfolgt ein Seitenreload, sodass die Dienste nicht mehr ausgeführt und keine neuen Daten erfasst werden. Verarbeiten die Dienste die Daten nur anonym, ist damit alles erledigt.

Datenschutzerklärung

Konsistenz

Die Datenschutzerklärung der Website und die „Alle Details“-Texte des Cookie-Popups müssen präzise aufeinander abgestimmt sein. Im Idealfall werden das Cookie-Banner und die Datenschutzerklärung mit demselben Tool generiert.

Verlinkungen

Die Information des Websitebenutzers über die Datenverarbeitung, darf nicht mittels Verlinkung in die Datenschutzerklärung „ausgelagert“ werden. Links zu anderen Datenschutzerklärungen bringen daher nichts.

Fazit

Datenschutzrecht ist extrem komplex – wir machen es Ihnen einfach

Jetzt 14 Tage kostenlos testen

Machen Sie Ihre Website heute noch rechtssicher!

jetzt abonnieren!

Empfohlene Beiträge

Google Maps & Google StreetView ohne Einwilligung möglich

Google Maps, einer der führenden Anbieter von Kartendienste, hat kürzlich eine bedeutende Änderung im Bezug auf die DSGVO eingeführt, die es ermöglicht, den Service ohne ausdrückliche Einwilligung zu nutzen.

Google AdSense & Google Consent Mode Vorgaben 01/24

Am 16. Januar 2024 führt Google wichtige Änderungen im Zusammenhang mit Google AdSense ein, insbesondere in Bezug auf den Google Advanced Consent Mode. Diese Aktualisierung bringt Anpassungen mit sich, die Publisher und Website-Betreiber beachten sollten.

EU-U.S. Data Privacy Framework

Am 10. Juli 2023 verabschiedete die Europäische Kommission ihren Angemessenheitsbeschluss für die USA, das sogenannte „EU-U.S. Data Privacy Framework“. Dieser ... Weiterlesen ...

AI in der DSGVO – die Rolle der künstlichen Intelligenz

Mit dem Aufstieg der künstlichen Intelligenz (KI bzw. AI) und ihrem zunehmenden Einsatz in verschiedenen Branchen wird es für Unternehmen immer wichtiger, die Rolle der künstlichen Intelligenz bzw. AI in der DSGVO zu verstehen.

Beitritt zum IAB Europe Transparency and Consent Framework (TCF)

Aufgrund der Vorgaben verschiedener Werbenetzwerkanbieter entschieden wir, dem IAB Europe’s Transparency and Consent Framework beizutreten Unser privacy cloud „Datenschutz Paket“ ist seit einigen Wochen nach dem aktuell gültigen TCF Standard zertifiziert.

legalweb

.io

Bayerhamerstraße 14, 5020 Salzburg - Österreich

[email protected]

Support | Impressum | AGB | Datenschutz

legalweb.io
Impressum Datenschutz
Datenschutzinformation
Vielen Dank für Ihren Besuch legalweb.io, der Website von legal web GmbH in Österreich. Wir nutzen Technologien von Partnern (2), um unsere Dienste bereitzustellen. Dazu gehören Cookies und Tools von Drittanbietern zur Verarbeitung einiger Ihrer personenbezogenen Daten. Diese Technologien sind für die Nutzung der Website nicht zwingend erforderlich. Dennoch ermöglichen sie es uns, einen besseren Service zu bieten und enger mit Ihnen zu interagieren. Sie können Ihre Einwilligung jederzeit anpassen oder widerrufen.
Analyse / Statistik (1)
Anonyme Auswertung zur Fehlerbehebung und Weiterentwicklung
Google Analytics
Google LLC, USA
Detailszu Google Analytics
Sonstige Inhalte (1)
Einbindung zusätzlicher Informationen
YouTube
Google Ireland Limited, Irland
Detailszu YouTube