Der Landesbeauftragten für den Datenschutz (LfD) Niedersachsen stellt im Rahmen einer Pressemitteilung zu der branchenübergreifenden Prüfung zum datenschutzkonformen Tracking auf Webseiten ein PDF-Papier zu Anforderungen an Conset-Layer zur Verfügung. Das Papier mit dem Titel Datenschutzkonforme Einwilligung auf Webseiten – Anforderungen an Consent-Layer lohnt sich auf jeden Fall einmal zu lesen, es ist immerhin 9 Seiten lang.
Anbei ein paar zentrale Aussagen aus dem Dokument:
- Zu einem umfassenden Consent-Management, wie es dieDS-GVOfordert, gehört darüber hinaus, dass die Nutzerdaten auf Webseiten in einer Weise verarbeitet werden, wie es der vom Nutzer gegebenen oder verweigerten Einwilligung sowie den getroffenen Einstellungen entspricht
- Eine Einwilligung muss vor der Datenverarbeitung erteilt werden.
- Zutreffend ist, dass der Einsatz eines Consent-Management-Tools es in der Regel ermöglichen kann, dass auf der Webseite datenschutzkonforme Einwilligungen eingeholt und die erteilten oder verweigerten Einwilligungen der Nutzer individuell berücksichtigt werden. Allerdings hängt dies maßgeblich vom konkreten Einsatz des Tools ab.
- Den Betroffenen sind vor Abgabe der Einwilligung bestimmt Mindestinformationen zu geben, formulierungen für die Verarbeitungszwecke wie „für Sie die Webseite optimal zu gestalten und zu verbessern“, •„Ihr Surferlebnis zu verbessern“, •„Webanalyse und Werbemaßnahmendurchzuführen“ und•„Marketing, Analytics und Personalisierung“ sind nicht ausreichend
- Sofern auf der Webseite ein Nutzertracking durch Drittdienste zu Marketingzwecken sowie Real Time Binding verwendet werden, reicht es nicht allgemein darauf hinzuweisen, dass •Informationen an „Partner“ weitergegebenwerden und diese •„die Informationen möglicherweise mit weiteren Daten zusammengeführt werden.
- Die Bezeichnung und auch die Darstellung der Schaltfläche insbesondere im Vergleich zu der Schaltfläche, durch die die Einwilligung verweigert wird, ist bei der Bewertung mitentschei-dend, ob eine eindeutige bestätigende Handlung vorliegt.
- „Ich willige ein“ oder „Akzeptieren“ kann im Einzelfall nicht ausreichend sein, wenn aus dem Informationstext nicht eindeutig hervorgeht, wozu konkret die Einwilligung erteilt wird.
- Bei Schiebereglern kann, „Alle Akzeptieren“ auch dahingehend verstanden werden, dass alle Cookies akzeptiert werden, deren Schieberegler aktiv sind.
- In den Consent-Guidelinesweist der EDSA wird ausdrücklich darauf hingewiesen, dass eine sogenannte Cookie-Wall unzulässig sei. Es wird allerdings nicht gegen die Freiwilligkeit verstoßen, wenn dem Nutzer neben der Einwilligung die Alternative angeboten wird, die Sichtbarkeit der Inhalte durch eine angemessene Bezahlung herbeizuführen.
- Wird Nudging vom Verantwortlichen mit dem Ziel eingesetzt, den Betroffenen zur Erteilung der Einwilligung zu verleiten, so kann damit je nach konkreter Ausgestaltung gegen unterschiedliche rechtliche Vorgaben für die datenschutzrechtliche Einwilligung verstoßen werden. Fest steht, dass einem erlaubten Nudging Grenzen gesetzt sind und verhaltensmanipulierende Ausgestaltungen zu einer Unwirksamkeit der Einwilligung führen können.
- Sofern ein Consent-Fenster eingesetzt wird, sollte dem Nutzer eine leicht auffindbare Möglichkeit gegeben werden, dieses jederzeit wieder öffnen und seine zuvor vorgenommenen Einstellungen ändern zu können.
- Bei Kindern und Jugendlichen unter 16 Jahren: Um diese rechtliche Anforderung auf der Webseite in Abhängigkeit des Alters des einzelnen Nutzers umzusetzen, wäre zunächst eine geeignete Altersverifikation notwendig. Die einfache Abfrage des Alters ist für den Betreiber der Webseite mit dem recht hohen Risiko verbunden, dass Nutzer unter 16 Jahren nicht wahrheitsgemäß antworten.
Im Prinzip findet mal also nichts wirklich Neues
