Das Setzen von Cookies, die technisch nicht unbedingt erforderlich sind, sowie der Einsatz von Analysediensten, die Nutzungsdaten der Website mit Daten von anderen Websites zusammenführen, bedarf ebenso der vorherigen Einwilligung der Betroffenen wie das Setzen von Zählpixeln von Werbenetzwerken oder das Mousetracking.
Das ist nicht neu. Doch bei der Gestaltung von Einwilligungsdialogen geht es nach wie vor zu wie im Wilden Westen.
Daher hat der Europäische Datenschutzausschuss (EDSA) als höchstes Gremium der europäischen Aufsichtsbehörden am 5. Mai 2020 neue Leitlinien hierzu veröffentlicht, die Rechtsklarheit schaffen sollen.
Schauen wir uns fünf Kernanforderungen an gültige Einwilligungen an.
Punkt 44 der Leitlinien
Wenn der für die Verarbeitung Verantwortliche mehrere Zwecke für die Verarbeitung zusammengeführt hat und nicht versucht hat, für jeden Zweck eine gesonderte Zustimmung einzuholen, liegt ein Mangel an Freiheit vor. […] Wenn die Datenverarbeitung in Verfolgung mehrerer Zwecke erfolgt, liegt die Lösung zur Erfüllung der Bedingungen für eine gültige Einwilligung in der Granularität, d.h. in der Trennung dieser Zwecke und der Einholung der Einwilligung für jeden Zweck. (Übersetzt vom Autor)
Ungültig sind demnach pauschale, undifferenzierte Einwilligungen wie beispielsweise dieser Art:
Besser das Beispiel von lufthansa.com:
Punkt 47 der Leitlinien
Andere Beispiele für Beeinträchtigungen sind Täuschung, Einschüchterung, Nötigung oder erhebliche negative Konsequenzen, wenn eine betroffene Person nicht einwilligt. Der für die Verarbeitung Verantwortliche sollte in der Lage sein nachzuweisen, dass die betroffene Person eine freie oder echte Wahl hatte, ob sie einwilligen wollte und ob sie die Möglichkeit hatte, ihre Zustimmung ohne Schaden zu widerrufen. (Übersetzt vom Autor)
Dies findet sich hier, indem die Wegnahme von Funktionen (u.a. keine Warenkorbfunktion) bei Nicht-Zustimmung „angedroht“ wird:
Punkt 79 der Leitlinien
[…] Die Verwendung von vorher angekreuzten Opt-in-Kästchen ist nach der DSGVO ungültig. Schweigen oder Untätigkeit der betroffenen Person sowie das bloße Fortfahren mit einer Dienstleistung können nicht als aktiver Hinweis für die Entscheidung angesehen werden. (Übersetzt vom Autor)
Weit verbreitet, demnach aber klipp und klar unrechtmäßig:
Punkt 82 der Leitlinien
Wenn die Einwilligung nach einem Antrag auf elektronischem Wege erteilt werden soll, sollte der Antrag auf Einwilligung die Nutzung des Dienstes, für den die Einwilligung erteilt wird, nicht unnötig stören. […] (Übersetzt vom Autor)
Cookie-Banner in Form von Pop-Ups sind somit ebenso wenig erlaubt wie Dialoge, die sich nur durch Zustimmen oder Konfigurieren schließen lassen:
Punkt 114 der Leitlinien
Wenn die Einwilligung jedoch auf elektronischem Wege durch nur einen Mausklick, Streichen oder Tastendruck eingeholt wird, müssen die betroffenen Personen in der Praxis in der Lage sein, diese Einwilligung ebenso einfach zu widerrufen. […] (Übersetzt vom Autor)
Wer auf https://www.mercedes-benz.de/ zustimmt, kann die Einwilligung nicht ebenso einfach widerrufen, da der Dialog auf Nimmerwiedersehen verschwindet:
Was sagt die deutsche Aufsichtsbehörde zu den neuen Leitlinien?
Die Leitlinien des EDSA stellt keinen Paradigmenwechsel dar, sondern bringt Klarheit bzgl. der Auslegung der nun seit nahezu zwei Jahren geltenden EU-Datenschutzgrundverordnung.
Prof. Ulrich Kelber, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), ist Mitglied des EDSA und begrüßt die Leitlinien:
„Es gibt immer noch Internetseiten, die durch ihren Aufbau den Nutzenden Tracking aufdrängen. Die aktualisierten Leitlinien machen erneut deutlich, dass Einwilligungen nicht erzwungen werden können. Die meisten Cookie-Walls und die Annahme, dass das Weitersurfen eine Einwilligung bedeutet, widersprechen dem Aspekt der Freiwilligkeit und verstoßen gegen die Datenschutz-Grundverordnung. Ich wünsche mir, dass Verantwortliche daraus die richtigen Schlüsse ziehen und endlich datenschutzfreundliche Alternativen anbieten.“
Quelle Bundesregierung/Kugler
Fazit
Rechtskonforme Einwilligungen sind sehr schwer einzuholen. Macht man rechtlich alles richtig, droht eine niedrige Einwilligungsrate. Daher empfiehlt es sich, Tools einzusetzen, die keine Einwilligungs-Pflicht mit sich bringen.
Das trifft für etracker zu! Die gerade abgeschlossene erneute DSGVO-Prüfung durch ePrivacy bestätigt, dass mit etracker dank Cookie-less Standard im Regelfall auf Consent-Dialoge verzichtet werden kann.