Für eine rechtswirksame Einwilligung ist eine Ablehnmöglichkeit auf erster Ebene erforderlich.
Bei den vorliegenden Beschwerden, Kontrollanregungen und Beratungsgesuchen im Bereich Internet, stellten sich immer wieder Fragen im Hinblick auf die Gestaltung der „Consent“-Banner. Diese dienen generell dazu eine Einwilligung (Consent) einzuholen. Die Voraussetzungen für eine rechtswirksame Einwilligung richten sich bei Verarbeitungstätigkeiten nach Art. 4 Nr. 11, Art. 7 und ggfs. Art. 8 DSGVO. Dies gilt nicht nur für eine Einwilligung nach Art. 6 Abs. 1 lit a DSGVO, sondern entsprechend § 25 Abs. 1 S. 2 TTDSG auch für Zugriffe auf Endeinrichtungen, wie beispielsweise das Setzen von Cookies.
Hierin enthalten sind jedoch keine konkreten Gestaltungsvorgaben, sodass ein gewisser Gestaltungsspielraum auf Seiten der Verantwortlichen verbleibt. Dieser findet jedoch seine Grenzen dort, wo eine freie, informierte, unmissverständliche Wahl nicht mehr möglich ist oder Nutzer:innen bewusst in die Irre geführt werden, um deren Einwilligung zu erhalten. Pauschale Aussagen, wie Kontraste oder Farben gewählt werden dürfen, Einwilligungstexte oder Buttons gestaltet werden dürfen sind nur schwer möglich, da es in der Regel immer einer Einzelfallentscheidung bedarf. Diese ist auch dahingehend zwingend erforderlich, da die Rechtsfolgen gravierend sein können: Wurde die Einwilligung nicht rechtswirksam eingeholt, sind alle darauf basierenden Verarbeitungen rechtswidrig. Es ist daher darauf zu achten, dass die Voraussetzungen an eine rechtswirksame Einwilligung nicht durch die Gestaltung des „Consent“- Banners unterlaufen werden.
Von großer Praxisrelevanz ist vor allem die Frage, ob es für eine rechtswirksame Einwilligung erforderlich ist eine Ablehnmöglichkeit für einwilligungspflichtige Dienste auf erster Ebene vorzuhalten. Dies ist bei einem Großteil der aktuell gängigen „Consent- Banner“ zu bejahen, da hier keine andere Möglichkeit besteht das Banner zu schließen, ohne Einwilligung zu erteilen oder eine weitere Ebene aufzusuchen. Die Möglichkeit „Einstellungen oder Ablehnen“ als Alternative zur Einwilligungserteilung ist im Regelfall nicht ausreichend.
Die Datenschutzaufsicht hat daher im letzten Jahr eine Vielzahl von Verantwortlichen aufgefordert eine gleichwertige Ablehnmöglichkeit in den ConsentBannern vorzuhalten und sehen auch außerhalb von aufsichtlichen Verfahren hier eine positive Entwicklung.
Darauf aufbauend folgen weitere Gestaltungsfragen, insbesondere was unter einer „gleichwertigen“ Ablehnmöglichkeit zu verstehen ist. Dies muss grundsätzlich anhand einer Einzelfallbetrachtung entschieden werden. Allgemein lässt sich sagen, dass die Alternative zur Einwilligung als solche eindeutig erkennbar sein muss und von Nutzer:innen als solche wahrgenommen werden kann. Nicht ausreichend ist es beispielsweise, wenn die Möglichkeit abzulehnen außerhalb des Consent-Banners auf der Webseite dargestellt ist oder dies im Text des Banners ohne Hervorhebung oder Kenntlichmachung „versteckt“ ist, wenn dagegen die Möglichkeit der Einwilligungserteilung prominent als Button unter dem Text erscheint. Auch ein identischer Button, der allerdings erst nach Scrollen durch den Consenttext ersichtlich ist, während die Möglichkeit zur Einwilligung direkt zu Beginn des Banners sichtbar ist, stellt keine gleichwertige Option dar.
Um in diesem Bereich eine größtmögliche Harmonisierung der Mitgliedstaaten zu erreichen hat der Europäische Datenschutzausschuss den gemeinsamen Diskurs zu Verstößen in diesem Bereich die sog. „Cookie-Banner“-Taskforce eröffnet, an welcher wir aktiv mitwirken. Ziel ist es möglichst einheitliche Bewertungen zu finden, wenngleich ein gewisser Entscheidungsspielraum auch in Zukunft bei den einzelnen Behörden verbleibt.
Weiterhin ist für Verantwortliche, im Regelfall die Webseitenbetreiber, in diesem Kontext auch darauf zu achten, dass sie allein durch den Einsatz von Consent- Management- Plattformen nicht von ihrer datenschutzrechtlichen Verantwortung entbunden sind. Sowohl für die eigene Datenerhebung als auch die Offenlegung von Daten der Endnutzer:innen an jeden einzelnen Drittanbieter bleibt der Webseitenbetreiber rechenschaftspflichtig.
Quelle: BayLDA
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks