In der Orientierungshilfe (OH Telemedien 2021) beschreibt die Datenschutzkonferenz (DSK) ab Seite 9 (bis Seite 18) und ab Seite 28 (bis Seite 30) die Anforderungen an Einwilligungs-Banner. Es gilt zu beachten: Der Einsatz von Cookies oder die Übermittlung personenbezogener Daten ist nicht per se einwilligungsbedürftig. Verantwortliche sollten daher prüfen, ob tatsächlich eine Einwilligung (in die Datenverarbeitung) notwendig ist.

Sofern der Einsatz eines Einwilligungs-Banners erforderlich ist, sollten unter anderem die nachfolgenden Anforderungen beachtet werden:

Kein Aufbau von (Dritt-)Verbindungen: Während der Einwilligungs-Banner geladen bzw. angezeigt wird, sollten keine Skripte oder ähnliches nachgeladen werden, die auf Informationen auf dem Endgerät zugreifen, Cookies ablegen (TTDSG) oder personenbezogene Daten auslesen bzw. übermitteln (DSGVO). Das bedeutet: Es muss eine Einwilligung des Nutzers vorliegen, bevor Informationen gespeichert oder auf diese zugegriffen wird bzw. eine Weitergabe von Daten erfolgt. Prüfen lässt sich das bspw. mit dem Netzwerk-Monitor von Firefox.

Erreichbarkeit Datenschutzinformationen / Impressum: Der Zugriff auf die Datenschutzinformation und Impressum sollte durch die Einblendung des Einwilligungs-Banners nicht behindert/verdeckt werden.

Einwilligung: Eine Einwilligung durch den Nutzer muss ausdrücklich, informiert, freiwillig und aktiv erfolgen. Verantwortliche haben das Einwilligungs-Banner so zu gestalten, dass dies ermöglicht wird. Unter anderem muss also die Freiwilligkeit in der Einwilligungs-Erklärung deutlich gemacht werden und in verständlicher Sprache beschrieben, welche (personenbezogenen) Daten betroffen sind bzw. welchen Zwecken diese Verarbeitung dient. Irreführende Überschriften oder Respektbekundungen bezüglich der Privatsphäre sind zu unterlassen – und meist auch vollkommen unglaubwürdig.

Umfang der Einwilligung: Wenn der Nutzer keine Einwilligung erteilt, muss ausgeschlossen sein, dass Tracking-Dienste und dergleichen aktiv bleiben. Prüfen lässt sich das bspw. mit dem Netzwerk-Monitor von Firefox.

Keine Manipulation (Nudging): Nutzer dürfen nicht unterschwellig zur Abgabe einer Einwilligung beeinflusst werden. Das ist bspw. dann der Fall, wenn Buttons/Schaltflächen durch eine farbliche Hervorhebung deutlich auffälliger gestaltet sind. Auf Nudging, also die Beeinflussung des Nutzers, um sein(e) Entscheidung/Verhalten zu manipulieren, soll verzichtet werden.

Einfach zugängliche Ablehnung: Bereits auf der ersten Ebene muss es möglich sein, dem Ablegen von Cookies bzw. dem Zugriff auf Informationen auf dem Endgerät zu widersprechen. Das bedeutet: Eine Ablehnung muss genauso einfach wie eine Zustimmung sein. Zum Hintergrund: Oftmals ist die Verweigerung erst auf Ebene zwei (oder drei) bzw. über mehrere Klicks erreichbar. Wie auch bei der Einwilligung muss dem Nutzer eine einfache Möglichkeit angeboten werden, der Verarbeitung seiner Daten abzulehnen.

Datenschutzfreundliche Voreinstellung: Eine Einwilligung sollte immer als Opt-In gestaltet sein. Das bedeutet: Die Einwilligung (in die Datenverarbeitung) darf nicht voreingestellt sein.
Widerrufsmöglichkeit: Eine Einwilligung ist grundsätzlich jederzeit widerrufbar. Entsprechend muss der Verantwortliche eine einfache und gut erreichbare Möglichkeit zum Widerruf anbieten bzw. implementieren.

Diese Anforderungen sind sicherlich nicht vollständig. Aus meiner Sicht sind diese Anforderungen allerdings essenziell und werden häufig nicht korrekt umgesetzt – selbst nicht nach mehreren Jahren DSGVO.

Der Kuketz-Blog ist spendenfinanziert! Mitmachen ➡