legalweb.io

Warum legalweb.io

Darum zählt legalweb zu den TOP-DSGVO-Lösungen 

Seit Ende 2019 hat sich bei Betreibern von Websites die Einsicht durchgesetzt, dass Drittanbieterdienste in der Regel nur noch nach vorhergehender Einwilligung der Websitebenutzer ausgeführt werden dürfen.

Die Tools von legalweb.io legen dabei maximalen Wert auf die rechtlich korrekte Umsetzung. Features, die rechtlich hochumstritten oder gar illegal sind, bieten wir erst nicht an. Doch was heißt das konkret?

Rechtsanwalt Peter Harlander, Mitbegründer von legalweb.io und Datenschutzexperte, zeigt in diesem Artikel, worauf es nach Ansicht der Gerichte und Datenschutzbehörden bei Cookie-Popups und Datenschutzerklärungen ankommt:

Basics

Cookies vs. Datenverarbeitung

Die Bezeichnung „Cookie-Popup“ ist irreführend. Websitebetreiber müssen sicherstellen, dass die Einwilligung nicht nur das Setzen von einwilligungspflichtigen Cookies umfasst, sondern alle einwilligungsbedürftigen Verarbeitungsprozesse, wie z.B. Verfahren zum Tracking der Nutzer mittels Zählpixel oder Browser Fingerprinting.

Anzuwendendes Recht

Trotz DSGVO bestehen zwischen den EU-Staaten rechtliche Unterschiede. So hat Österreich beispielsweise die E-Privacy-Richtlinie voll umgesetzt, Deutschland hingegen nicht. Cookie-Popup und Datenschutzerklärung müssen diese Unterschiede berücksichtigen. Welches Recht zur Anwendung kommt, bestimmt sich nach dem Sitz des Websitebetreibers.

Sprachen

Das Cookie-Popup und die Datenschutzerklärung müssen in allen Sprachen der Website abrufbar sein. Das gilt generell für alle Rechtstexte auf einer Website.

Impressum / Datenschutz

Die Links zum Impressum und zur Datenschutzerklärung müssen insbesondere bei einem als Overlay ausgestalteten Cookie-Banner auch vor Erteilung der Einwilligung abrufbar sein.

Zudem muss der Websitebetreiber sicherstellen, dass diese Seiten nicht durch das Cookie-Banner blockiert werden und dass bei Aufruf dieser Seiten keine Daten von Drittanbietern erhoben werden.

Keine Datenverarbeitung vor Erteilung der Einwilligung

Der Websitebetreiber muss sicherstellen, dass beim Aufruf der Website nur die für den Betrieb der Website essentiell notwendigen Daten des Websitebenutzers verarbeitet werden.

Speziell die Datenverarbeitung durch externe Dienste (z.B. Analysetools, Remarketingtools, Videodienste, Kartendienste) darf in der Regel erst nach vorhergehender, informierter, eindeutiger und freiwilliger Einwilligung des Websitebenutzers erfolgen.

Ebenso können lokale Dienste bei entsprechender Eingriffstiefe (z.B. Profiling, userspezifischer Content, Mousetracking) einwilligungspflichtig sein.

Umsetzung

Klare, nicht irreführende Texte

Bloße Respektsbekundungen wie „Wir nehmen den Schutz Ihrer persönlichen Daten sehr ernst …“ sind für die Erfüllung der rechtlichen Vorschriften nicht ausreichend. Der Websitebenutzer muss erkennen, dass eine datenschutzrechtliche Einwilligung zur Verarbeitung personenbezogener Daten gefordert wird.

Auf den ersten Blick

Bereits auf den ersten Blick muss der Websitebenutzer zumindest erkennen können, wer Verantwortlicher für die Website ist, welche Dienste in die Website eingebunden sind, welche Unternehmen diese Dienste betreiben und ob eine Datenübermittlung in Drittstaaten stattfindet. Diese Informationen dürfen daher nicht in Detailseiten versteckt sein.

Alle Details

Der Websitebenutzer muss die Tragweite der Datenverarbeitung und seiner Einwilligung erkennen können. Die dazu notwendigen Informationen sind sehr umfangreich, müssen daher nicht am ersten Blick zu sehen sein, dürfen aber nicht weiter als einen Klick, z.B. auf einen Button „Alle Details“ entfernt sein.

Notwendige Mindestangaben:

Checkboxen & Buttons

Proaktive Einwilligung

Die noch immer oft gelesene Formulierung „Durch Weitersurfen stimmen Sie der Datenverarbeitung zu“ ist rechtswidrig. Durch bloßes Weitersurfen kommt keine rechtsgültige Einwilligung zustande.

Die Einwilligung muss durch proaktive Handlung des Websitebenutzers erfolgen (z.B. aktives Ankreuzen einer leeren Checkbox).

Keine Vorauswahl

Die Checkboxen müssen daher auf „nicht aktiviert“ voreingestellt sein.

Einzeln auswählbar

Jeder Dienst muss einzeln auswählbar sein. Ähnliche Dienste können in Gruppen segmentiert und gemeinsam ausgewählt werden, sofern diese Dienste weiterhin auch einzeln ausgewählt werden können.

Ein Verstecken der Auswahlmöglichkeit in einer zweiten Ebene reicht nicht aus. Die Auswahl einzelner Dienste muss genauso einfach möglich sein, wie die Einwilligung in alle Dienste. Muss der User daher einen Klick mehr machen, um zur Auswahl zu gelangen, ist das schon illegal.

Ausnahme: Essentielle Dienste

Für den Betrieb einer Website unbedingt technisch notwendige Dienste bedürfen keiner Einwilligung und sohin auch keiner gesonderten Auswahlmöglichkeit.

Konsequent zu Ende gedacht, bedeutet das: eine Website, die nur essentielle Dienste hat, benötigt kein Cookie-Popup.

Buttons

Eine gleichwertige grafische Ausgestaltung des „Zustimmen-Buttons“ und des „Ablehnen-Buttons“ ist Voraussetzung für eine rechtskonforme Einwilligung.

Psychotricks

Psychotricks wie ein knallgrüner „Zustimmen-Button“ mit einem hellgrauen „Ablehnen-Button“ auf hellgrauem Hintergrund oder gar mit einem klitzekleinen, kaum sichtbaren „Ablehnen-Link“ sind illegal.

Nichterteilung der Einwilligung

Die Nichterteilung der Einwilligung sollte ganz einfach mit Klick auf den „Ablehnen-Button“, mit Klick auf „Schließen (X)“ und mit Klick in das graue Overlay neben dem Cookie-Banner funktionieren.

Widerruf

Widerrufsmöglichkeit

Da eine Einwilligung widerruflich ist, muss eine entsprechende Möglichkeit zum Widerruf implementiert werden. Der Widerruf der Einwilligung muss jederzeit möglich und so einfach wie die Einwilligung selbst sein.

Im Idealfall wird dazu nochmals das Cookie-Popup geladen, damit der Websitebenutzer seine Einstellungen ändern kann.

Folgen des Widerrufs

Nach Widerruf der Einwilligung müssen die Datenverarbeitung eingestellt und die Dienste deaktiviert werden.

Im Idealfall erfolgt ein Seitenreload, sodass die Dienste nicht mehr ausgeführt und keine neuen Daten erfasst werden. Verarbeiten die Dienste die Daten nur anonym, ist damit alles erledigt.

Datenschutzerklärung

Konsistenz

Die Datenschutzerklärung der Website und die „Alle Details“-Texte des Cookie-Popups müssen präzise aufeinander abgestimmt sein. Im Idealfall werden das Cookie-Banner und die Datenschutzerklärung mit demselben Tool generiert.

Verlinkungen

Die Information des Websitebenutzers über die Datenverarbeitung, darf nicht mittels Verlinkung in die Datenschutzerklärung „ausgelagert“ werden. Links zu anderen Datenschutzerklärungen bringen daher nichts.

Fazit

Datenschutzrecht ist extrem komplex – wir machen es Ihnen einfach

Jetzt 14 Tage kostenlos testen

Machen Sie Ihre Website heute noch rechtssicher!

Logo
Datenschutzinformation
Der datenschutzrechtliche Verantwortliche (legal web GmbH, Österreich) würde gerne mit folgenden Diensten Ihre personenbezogenen Daten verarbeiten. Dies ist für die Nutzung der Website nicht notwendig, ermöglicht aber eine noch engere Interaktion mit Ihnen. Falls gewünscht, treffen Sie bitte eine Auswahl: