FAQ zur datenschutzkonformen Einwilligung und zum Cookie-Consent
Mit Urteil vom 01.10.2019 (Az. C-673/17) hat der EuGH entschieden: Datenverarbeitungen durch Cookies sind weitgehend einwilligungspflichtig. Diese Entscheidung hat sich die IT-Recht Kanzlei zum Anlass genommen, allgemeine Fragen zu datenschutzkonformen Einwilligungen und die Auswirkungen für Cookies zu klären. Welche Anforderungen sind für wirksame Einwilligungen zu beachten? Wie sind diese umzusetzen? Was gilt nun für Cookie-Banner und Cookie-Tools und: stellt die IT-Recht Kanzlei eine Lösung bereit? Lesen Sie mehr dazu in unseren aktuellen FAQ.
Inhaltsverzeichnis
- A. Allgemeine Voraussetzungen für DSGVO-konforme Einwilligungen
- I. Welche Anforderungen gelten nach der DSGVO für wirksame Einwilligungen?
- II. Wann ist eine Einwilligung „selbstbestimmt und informiert“?
- III. Wann wird eine Einwilligung unmissverständlich erteilt?“
- IV. Wann ist eine Einwilligung freiwillig
- V. Was bedeutet die Widerruflichkeit der Einwilligung?
- VI. Wie kann die Einwilligung protokolliert werden?
- B. Anforderungen für cookie-basierte Verarbeitungen und Cookie-Banner/-Tools
- I. Sind cookie-basierte Datenverarbeitungen einwilligungspflichtig?
- II. Wie können die wirksame Einwilligungen bei cookie-basierten Verarbeitungen eingeholt werden?
- III. Muss ich jetzt handeln?
- IV. Bietet die IT-Recht Kanzlei Mandanten eine technische Lösung an?
- V. Sind die Datenschutzerklärungen der IT-Recht Kanzlei schon auf die Cookie-Einwilligungen optimiert?
- VI. Warum verweist Ziffer 3 der Datenschutzerklärung der IT-Recht Kanzlei auch auf Tracking- und Analysecookies von Drittanbietern? Entstehen hier nicht Probleme?
- VII. Dürfen Mandanten, die eine Datenschnittstelle verwenden, davon ausgehen, sich mit der optimierten Datenschutzerklärung in Sachen Cookies bereits vollkommen rechtskonform zu verhalten?
- VIII. Müssen Einwilligungen auch für technisch nicht notwendige Dienste eingeholt werden, die zwar Cookies setzen, aber eine Personenbeziehbarkeit ausschließen?
A. Allgemeine Voraussetzungen für DSGVO-konforme Einwilligungen
I. Welche Anforderungen gelten nach der DSGVO für wirksame Einwilligungen?
Damit sie wirksam sind, müssen Einwilligungen nach der DSGVO
- selbstbestimmt und informiert abgegeben werden
- unmissverständlich erteilt werden
- freiwillig erteilt werden und ohne unzulässige Kopplung auskommen
- jederzeit widerruflich sein
- nachweisbar protokolliert werden
II. Wann ist eine Einwilligung „selbstbestimmt und informiert“?
Dies ist der Fall, wenn der Einwilligende vor der Erteilung der Einwilligung über alle Umstände der Datenverarbeitung aufgeklärt wird, die mit der Einwilligung gerechtfertigt werden sollen. Es muss vollständige Transparenz herrschen.
In klarer und verständlicher Sprache muss also deutlich werden
- auf welche Verarbeitungssituationen sich die Einwilligung bezieht
- für welche personenbezogenen Daten die Einwilligung gelten soll
- welche konkret zu bezeichnenden Empfänger die personenbezogenen Daten mit der Einwilligung erhalten sollen
- welche konkreten Datenverarbeitungen jeder einzelne Empfänger mit der Einwilligung abdecken will
Sollen mit der Einwilligung auch Datenverarbeitungen durch andere Empfänger (Dritte, die nicht der Verantwortliche selbst sind) gerechtfertigt werden, muss der Betroffene in jede einzelne Form der Drittverarbeitung spezifisch muss einwilligen können.
III. Wann wird eine Einwilligung unmissverständlich erteilt?“
Eine Einwilligung wird unmissverständlich erteilt, wenn der Betroffene durch ein aktives Handeln eindeutig zu verstehen gibt, dass er mit den deutlich beschriebenen Datenverarbeitungen einverstanden ist.
Für Websites zulässig ist hier:
- das Anklicken/Anticken eines nicht vorausgefüllten Opt-Ins
- das Auswählen nicht voreingestellter Optionen
Unzulässig ist dahingegen:
- ein Opt-Out (bloßes Deaktivieren einer Voreinstellung)
- eine bloße, zu bestätigende Information
- eine vorformulierte Einwilligung in Rechtstexten (etwa AGB)
IV. Wann ist eine Einwilligung freiwillig
Die Freiwilligkeit setzt voraus, Betroffene eine echte und freie Wahl hat und somit in die Lage versetzt wird, eine Einwilligung auch verweigern zu können, ohne dadurch Nachteile zu erleiden.
Hierzu zählt auch das sogenannte Kopplungsverbot. Eine Einwilligung ist danach nicht freiwillig, wenn ihre Erteilung für die Erfüllung eines Vertrages (auch die Erbringung einer Dienstleistung) gefordert wird, sie dafür aber eigentlich gar nicht benötigt wird.
Wichtig für die Freiwilligkeit gerade im Internet ist auch, dass die Einwilligung immer spezifisch für jeden einzelnen Verarbeitungsvorgang eingeholt wird. Werden auf einer Website verschiedenste einwilligungspflichtige Dienste eingesetzt, muss die Einwilligung für jeden dieser Dienste einzeln eingeholt werden. Eine Generaleinwilligung für alle Dienste gesammelt wäre unwirksam. Möglich ist es aber, einen einzigen Einwilligungsbutton vorzuhalten, sofern die einzelnen Cookies (etwa per Roll-Out) vorher einzeln aktiviert werden können und die Auswahl mit dem Einwilligungsbutton bestätigt wird.
Wird auf einer Website eine Einwilligungsmaske vorgeschaltet, müssen die einzelnen Verarbeitungsvorgänge für die Einwilligung per Häkchen einzeln auswählbar sein.
V. Was bedeutet die Widerruflichkeit der Einwilligung?
Nach der DSGVO muss jede Einwilligung mit Wirkung für die Zukunft widerrufen werden können.
Nach Widerruf müssen die von der Einwilligung betroffenen Verarbeitungen unverzüglich eingestellt und auch die betroffenen Daten gelöscht werden.
Bei Erteilung der Einwilligung muss der Betroffene immer zwingend über seine Widerrufsmöglichkeit informiert werden (etwa im Einwilligungsfeld oder über einen Link auf die entsprechende Klausel in der Datenschutzerklärung)
Wichtig: der Widerruf der Einwilligung so einfach sein muss wie deren Erteilung. Bei einer Einwilligung per Checkbox muss auch der Widerruf über eine „Ein-Klick-Lösung“ möglich sein. Auch darf die Widerrufsmöglichkeit auf einer Website nicht versteckt platziert werden.
VI. Wie kann die Einwilligung protokolliert werden?
Einwilligungen müssen im Zweifel nachgewiesen werden können (etwa bei behördlichen Anfragen). Dafür sind sie zu protokollieren. Die Protokollierung erfordert die Erfassung von Einwilligungen in einem speicherfähigen Format mit Zeitstempel und Personenzuordnung. Hierfür genügt es, eine Information etwa auf dem Endgerät des Betroffenen zu speichern, welche die Einwilligungseinstellungen enthält.
B. Anforderungen für cookie-basierte Verarbeitungen und Cookie-Banner/-Tools
I. Sind cookie-basierte Datenverarbeitungen einwilligungspflichtig?
Nach aktueller höchstrichterlicher Rechtsprechung weitgehend ja!
Mit Urteil vom 01.10.2019 (Az. C-673/17) hat der europäische Gerichtshof eine Pflicht zur Einholung wirksamer Einwilligungen für alle cookie-basierten Personendatenverarbeitungen aufgestellt, die nicht zum Betrieb einer Website oder zur Bereitstellung von deren Grundfunktionen zwingend notwendig sind. Betroffen von der Einwilligungspflicht sind insbesondere alle cookie-basierten Tracking- und Analysetools, Affiliate-Dienste, Retargeting- und Remarketing-Funktionen und Social-Media-Plugins. Online-Händler, welche derartige Dienste auf ihren Websites nutzen, müssen nunmehr zwingend DSGVO-konforme Einwilligungen für den Einsatz von jedem Seitenbesucher einholen.
Welche Cookies im Online-Shop technisch notwendig sind und welche nicht, haben wir hier dargestellt.
Die Datenschutzerklärungen der IT-Recht Kanzlei berücksichtigen die Rechtsprechungsänderung schon und führen die Einwilligung als Rechtsgrundlage bei den betroffenen Cookie-Verarbeitungen an. Freilich müssen Händler technisch die Einwilligungslösung aber implementieren.
II. Wie können die wirksame Einwilligungen bei cookie-basierten Verarbeitungen eingeholt werden?
Für cookie-basierte Verarbeitungen haben sich „Cookie-Banner“ und „Cookie-Consent-Tools“ durchgesetzt. Damit hiermit wirksame Einwilligungen eingeholt werden können, sind aber technische und gestalterische Maßnahmen zu beachten:
1.) Informationen und Auswahlmöglichkeiten für alle eingesetzten Cookies
Wird ein Banner oder Tool beim erstmaligen Aufruf einer Website angezeigt, muss in diesem Banner für jedes eingesetzte Cookie eine sprachlich einfach gefasste Information darüber ergehen,
- welche Verarbeitungsvorgänge mit dem Cookie vorgenommen werden,
- welche Akteure an den Verarbeitungsvorgängen des Cookies beteiligt sind und
- welche Funktionen diese Akteure erfüllen
Es ist zulässig, für die Bereitstellungen dieser Informationen auf die Datenschutzerklärung zu verweisen. Voraussetzung ist freilich, dass in dieser dann die Funktionsweise jedes einwilligungspflichtigen Cookies auch abschließend beschrieben wird.
Jedes Banner oder Tool muss über ein Auswahlmenü verfügen, bei dem jedes eingesetzte Cookie einen eigenen aktivierbaren Menüpunkt darstellt. Keine Auswahlmöglichkeit darf voraktiviert bzw. „angetickt“ sein.
Nicht ausreichend sind die häufig beobachteten Cookie-Banner, die sich über einen „OK“-Button wegklicken lassen. In diesen Fällen fehlt es an der Freiwilligkeit, weil Betroffene keine Möglichkeit haben, das Setzen von Cookies abzulehnen.
2.) Kein Cookie-Einsatz vor Einwilligung
Beim erstmaligen Aufruf einer Website dürfen keinerlei Cookies voraktiviert sein und im Hintergrund laufen. Alle eingesetzten Cookie-Skripte müssen solange blockiert werden, bis der Betroffene über das Banner oder Tool in deren Einsatz eingewilligt hat. Werden nur für einzelne Cookies Einwilligungen erteilt, muss der Einsatz der anderen unterbunden werden.
Erst, wenn der Nutzer seine Einwilligung durch die Auswahl von Cookies erteilt hat, dürfen die hiermit verbundenen Datenverarbeitungen aktiviert werden.
3.) Protokollierung und Speicherung von Einwilligungen
Weil für die Erfüllung der einwilligungsbezogenen Nachweispflichten eine sog. „indirekte Nutzeridentifizierung“ genügt, sollte die Entscheidung eines Betroffenen für oder gegen alle individuellen Cookie-Einwilligungen auf dessen Endgerät gespeichert werden. Die Verwendung einer User-ID oder einer sonstigen eindeutigen Identifizierung ist hierfür nicht erforderlich.
Die Speicherung der Einwilligungseinstellungen auf dem jeweiligen Endgerät genügt als Nachweis für vorliegende Einwilligungen und hat zudem den Vorteil, dass dem Betroffenen bei einem erneuten Seitenaufruf das Banner oder Tool nicht erneut angezeigt wird.
4.) Widerruflichkeit
Weil jede Einwilligung widerruflich sein und der Widerruf so einfach wie die Einwilligungserteilung sein muss, muss zwingend eine „One-Klick“-Widerrufsmöglichkeit für jedes Cookie implementiert werden.
Dies kann etwa über eine Schaltfläche „Cookie-Einstellungen“ oder in der Datenschutzerklärung erfolgen.
III. Muss ich jetzt handeln?
Wenn auf Ihrer Website für betroffene Cookie-Verarbeitungen noch keine wirksamen Einwilligungen eingeholt werden: ja! Ab sofort müssen sie hinreichende Cookie-Banner oder -Tools einsetzen!
IV. Bietet die IT-Recht Kanzlei Mandanten eine technische Lösung an?
Die IT-Recht Kanzlei stellt ihren Mandanten hier im Mandantenportal ein kostenloses Cookie-Consent-Tool zur Einbindung in Shops und auf Webseiten zur Verfügung - dies in Kooperation mit dem Datenschutz-Komplettdienst PRIVE.
Dieses Cookie-Consent-Tool bringt folgende Vorteile mit sich:
- Bis zu 20.000 Seitenaufrufe pro Monat kostenfrei.
- Vollständig datenschutzkonformes Cookie-Einwilligungsmanagement nach dem aktuellen Stand der Technik
- Basierend auf der Technologie von Usercentrics, einem Marktführer im Bereich der Consent-Tools
- Einfache Konfiguration und Integrierbarkeit auch für Laien
- Plattformunabhängige Nutzbarkeit
- Unterstützung der deutschen und englischen Sprache (wird noch erweitert)
- Unterstützung aller gängigen Tacking- und Analysedienste
- Laufende Pflege und steter Ausbau des Tools
- Kostenfreie Nutzung für Update-Service-Mandanten der IT-Recht Kanzlei
V. Sind die Datenschutzerklärungen der IT-Recht Kanzlei schon auf die Cookie-Einwilligungen optimiert?
In der Tat. Mandanten der IT-Recht Kanzlei verfügen seit der Entscheidung des EuGH bereits jetzt über rechtskonforme Datenschutzklauseln für alle betroffenen Cookie-Verarbeitungen. Eine Neukonfiguration ist hier nicht notwendig.
Die IT-Recht Kanzlei hat sich hier für eine Doppellösung entschieden: als Rechtsgrundlagen in den betroffenen Klauseln werden berechtigte Interessen und die Einwilligung nun parallel angeführt.
Mandanten, welche noch keine Einwilligungslösung vorhalten, laufen damit nicht Gefahr, fälschlicherweise in der Datenschutzerklärung schon jetzt eine Einwilligung vorauszusetzen. Insofern werden noch berechtigte Interessen angeführt.
Andersherum können Mandanten mit Einwilligungslösung die Klauseln nunmehr bereits rechtssicher verwenden.
Mandanten, die keine Schnittstelle verwenden, werden gebeten, die Datenschutzerklärung im Mandantenportal einmal neu abzurufen und dann händisch auf ihrer Präsenz zu hinterlegen.
VI. Warum verweist Ziffer 3 der Datenschutzerklärung der IT-Recht Kanzlei auch auf Tracking- und Analysecookies von Drittanbietern? Entstehen hier nicht Probleme?
Ziffer 3 der Datenschutzerklärung klärt nur generell über Cookies und deren Funktionsweise auf, verweist aber darauf, dass über jede einzelne cookie-basierte Anwendung im weiteren Verlauf gesondert informiert wird. Die Cookie-Klausel in Ziffer 3 dient insofern nur als Generalüberblick und trifft auch keine Aussage darüber, ob tatsächlich einwilligungspflichtige Cookies auf der jeweiligen Website eingesetzt werden (s. Formulierungen "unter Umständen" etc.). Für die Rechtmäßigkeit der Datenschutzerklärung kommt es daher maßgeblich auf die nachfolgenden individuellen Klauseln für spezielle Dienste an, die darüber informieren, welche hiervon Sie tatsächlich nutzen.
Der generelle Cookie-Hinweis in unserer Datenschutzerklärung ist unschädlich.
VII. Dürfen Mandanten, die eine Datenschnittstelle verwenden, davon ausgehen, sich mit der optimierten Datenschutzerklärung in Sachen Cookies bereits vollkommen rechtskonform zu verhalten?
Nein, denn die Mandanten müssen (losgelöst von der Datenschutzerklärung) technisch hinreichende Einwilligungslösungen implementieren. Nach der Entscheidung des EuGH ist in technischer Hinsicht notwendig, dass Cookies erst dann gesetzt werden, wenn eine wirksame Nutzereinwilligung eingeholt wurde. Kann dies (etwa über ein geeignetes Cookie-Consent-Tool) technisch nicht sichergestellt werden, raten wir dazu, alle cookie-basierten Dienste vorerst abzuschalten.
Davon losgelöst ist unsere Datenschutzerklärung zu betrachten: diese haben wir mit Blick auf die Einwilligungspflicht optimiert.
VIII. Müssen Einwilligungen auch für technisch nicht notwendige Dienste eingeholt werden, die zwar Cookies setzen, aber eine Personenbeziehbarkeit ausschließen?
Ja. Die Einwilligungspflicht für technisch nicht notwendige Cookies gilt unabhängig davon, ob hierdurch personenbezogene Daten verarbeitet werden oder nicht. Dass eventuell keine Rückschlüsse auf konkrete Personen gezogen werden können, bedingt die Einwilligungspflicht nicht ab. Arbeitet ein nicht notwendiger Dienst mit Cookies, muss für deren Verwendung die Einwilligung eingeholt werden.
Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .
Link kopieren
Als PDF exportieren
Per E-Mail verschicken
Zum Facebook-Account der Kanzlei
Zum Instagram-Account der Kanzlei
5 Kommentare
"Weil für die Erfüllung der einwilligungsbezogenen Nachweispflichten eine sog. „indirekte Nutzeridentifizierung“ genügt, sollte die Entscheidung eines Betroffenen für oder gegen alle individuellen Cookie-Einwilligungen auf dessen Endgerät gespeichert werden. Die Verwendung einer User-ID oder einer sonstigen eindeutigen Identifizierung ist hierfür nicht erforderlich."
Darf ich fragen, wo sich die Regelung im Gesetzestext oder Urteil findet, dass eine „indirekte Nutzeridentifizierung“ genügt? Und: ist das stand heute noch aktuell?
Vielen Dank!
Muss diese Einwilligung bei mir als Seitenbetreiber in zum Beispiel einer extra Datei gespeichert werden, mit Zeitstempel IP Adresse etc.?
Oder ist damit gemeint, dass das Cookie consent Tool ein Cookie auf dem Endgerät des Seitenbesucher es speichert Mit seiner Auswahl? Wie könnte ich das dann nachweisen, falls der Seitenbesucher dieses Cookie einfach manuell löscht?
Vielen Dank für eine Antwort
Auf die Datenschutzerklärung kann (aus Platzgründen) verwiesen werden, um die Funtkionsweise, die Funktionsdauer und die Verarbeitungsvorgänge der Cookies zu konkretisieren.
Im Banner/Tool selbst sollten aber immerhin *der Dienst, die von ihm verwendeten Cookies und deren Funktion* (etwa "Tracking", "Analyse", "Retargeting" etc.) benannt sein.
--> Muss also jetzt doch nicht bereits im Cookie-Banner die Funktionsweise etc. beschrieben werden? Also reicht es, wenn man im Cookie-Banner bspw. (vereinfacht ausgedrückt) schreibt? :
Wir nutzen Google Analytics | Wie und warum siehe HIER (Links zur DaSchuErkl) | [ ] Ich stimme zu
Wie verhält sich das mit dem Cookie, welches die IT-Rechtkanzlei bei uns setzt.
Diese Cookie kommt wohl von dem Aufruf des Footer IT-Rechtanwalt-Badget".
Wir haben es aber gerade, bis zur Klärung der Technischen Notwendigkeit gelöscht.
Viele Grüße