DSGVO-konformer Einsatz Consent-Tools , Cookie-Bannern

DSGVO-KONFORMER EINSATZ VON CONSENT-TOOLS

in

Die Website ist durch ihre dauerhafte Erreichbarkeit besonders auf ihre Datenschutzkonformität zu prüfen. Auch wenn es sich bei den Consent-Tools um ein leidiges Thema handelt, noch kommt man an den „Cookie-Bannern“ nicht vorbei. Es sei denn man verzichtet gänzlich auf Cookies.

Was macht ein Consent-Tool

Durch das Consent-Tool holen Sie auf rechtssicherem Wege eine Einwilligung für die weitere Verarbeitung von personenbezogenen Daten (hierzu zählt bspw. auch die IP-Adresse) ein.

Des Weiteren können Sie durch das Consent-Tool die Informationspflichten gem. Art. 12 ff. DSGVO erfüllen.

Häufiges Problem: Es wird ein Consent-Tool eingesetzt, dieses ist jedoch nicht richtig konfiguriert. Lassen Sie die Webseite regelmäßig durch einen Experten prüfen, um sicherzustellen, dass das Consent-Tool auch korrekt funktioniert und alle neuen Tools und Cookies eingebunden werden.

Cookies, die für den reinen Betrieb der Webseite benötigt werden (z.B. Warenkorb, Sprache, Cookie-Consent), benötigen hingegen keine vorherige Einwilligung. Ein Hinweis in der Datenschutzerklärung sollte jedoch nichtsdestotrotz erfolgen.

Pros & Cons der Consent-Tools

Consent-Tools sind derzeit die einzige Möglichkeit, um die gesetzlichen Anforderungen an eine auf der Webseite einzuholende Einwilligungserklärung zu erfüllen. Von daher kommt man um den Einsatz nicht herum, wenn man z.B. Analyse-, Remarketing-, Affiliate-Tools oder Plugins (Maps, Videoplattformen, Social-Media) einsetzen möchte. Die Einwilligung für alle diese Tools/Plugins zentral einholen zu können, ist natürlich ein großer Vorteil.

Beachten Sie aber auch, dass das Surferlebnis für den User durch das Aufpoppen der Cookie-Banner (stark) beeinträchtigt wird. Des Weiteren kann auch die Ladedauer (mehrfach Laden der Webseite, bei Änderungen) negativ ausgelegt werden. Darüber hinaus bedarf die Einbindung eines Consent-Tools eine gute Vorbereitung und den Einsatz von Experten, die mit der Materie betraut sind. Wie bereits vorab dargestellt: Nur wenn ein Consent-Tool auch korrekt eingebunden ist, entfaltet es seine Wirkung und kann Rechtssicherheit schaffen.

Prüfen Sie also vorab, ob ein Consent-Tool unbedingt notwendig ist oder ob nicht auf einzelne Dienste und somit ggf. auch auf ein Consent-Tool verzichtet werden kann.

Manipulativer Einsatz des Consent-Tools

Der/die Websitebesucher*in lässt sich durch Signalfarben der Button gezielt in eine Richtung manipulieren um seine/ihre Einwilligung abzugeben. Ein grüner Button für „alles annehmen“ und ein roter Button „für ablehnen“. Grün suggeriert Sicherheit, während Rot eine abschreckende Gefahr darstellt. Auf diese Farbspielchen (sog. Nudging) ist zu verzichten.

LfDI Baden-Württemberg:

Nutzer_innen dürfen nicht unterschwellig zur Abgabe einer Einwilligung beeinflusst werden. Das ist beispielsweise dann der Fall, wenn Buttons/Schaltflächen durch eine farbliche Hervorhebung, Größe oder Position deutlich auffälliger gestaltet sind.“

Eine Einwilligung muss zwangsläufig so einfach zu widerrufen sein, wie sie auch erteilt werden kann. Gegen diesen Grundsatz verstoßen viele Consent-Tools, da man zwar mit einem Klick eine Zustimmung erteilen kann – um sie jedoch nicht zu erteilen oder zu widerrufen, muss man sich häufig durch ein Labyrinth von Klicks manövrieren. Um hier konform mit den datenschutzrechtlichen Anforderungen zu agieren, ist auch ein Button/Link zu implementieren, mit dem alles einfach abgelehnt werden kann.

Auswahl des Consent-Tools

Sollten Sie sich für ein lokal installiertes Consent-Tool entscheiden, haben Sie den Vorteil, dass die Nachweise der Einwilligung direkt bei Ihnen liegen. Auch ein Auftragsverarbeitungsvertrag ist sodann nicht notwendig. Aber auch hier sollte die Einbindung durch Experten erfolgen, um die Funktionsfähigkeit sicherzustellen. Eine abschließende Prüfung durch den Datenschutzbeauftragten ist unabdingbar.

Bei Consent-Tools von Drittanbietern ist Folgendes zu beachten:

  • Bevorzugt EU-Anbieter anstatt Anbieter aus Drittländern (bspw. USA) einsetzen
  • Vorherige datenschutzrechtliche Prüfung des Anbieters durch den Datenschutzbeauftragten
  • Abschluss des notwendigen Auftragsverarbeitungsvertrags
  • Abschließende Prüfung durch den Datenschutzbeauftragten nach der Einbindung

Sollten Sie, aus bestimmten Gründen, zwingend ein Consent-Tool eines Drittlands-Anbieters einsetzen wollen/müssen:

  • Enge Einbindung des Datenschutzbeauftragten in den Prozess
  • Prüfung, ob eine Rechtsgrundlage für die Übermittlung der Daten vorliegt (z.B. Angemessenheitsbeschluss, EU-Standardvertragsklauseln)
  • Durchführung eines „Transfer Impact Assessments (TIA)“ wenn die Datenübermittlung auf Grundlage der EU-Standardvertragsklauseln erfolgt

Empfehlung

Auf Grund der vorgenannten Anforderungen kann nur der Hinweis gegeben werden: Setzen Sie beim Einsatz eines Consent-Tools vorzugsweise auf ein lokal installiertes Tool. Auch wenn die Kosten ggf. höher sein werden, bietet es mehr Sicherheit, da Sie selbst „Herr über die Daten“ sind und die Einstellungen vollumfänglich selbst vornehmen können (ohne Einschränkung). Hierbei muss es nicht einmal ein Tool sein, welches selbst programmiert ist. Es gibt auch diverse Anbieter die Ihnen, gegen eine minimal höhere Gebühr, ihr Tool als „Selfhosting“-Variante zur Verfügung stellen.

Erik Hallmann ist Datenschutz Consultant im Consultinghaus von Biehn & Professionals.

Erik Hallmann ist Wirtschaftsjurist, LL.M. und Consultant bei Biehn & Professionals. Als Spezialist für Datenschutz, informiert er hier zum datenschutzkonformen Einsatz von Consent-Tools. Bei Fragen zu dieser Thematik ist er der passende Ansprechpartner für Sie.

Rufen Sie gerne an 02944 – 97 97 10

 

Das könnte Sie auch interessieren:
Cybercrime, ein lohnendes GeschäftCYBERCRIME, EIN LOHNENDES GESCHÄFT
Risiko Cloud Computing beispielhaft Diagnosedaten Microsoft Office 365RISIKEN DES CLOUD COMPUTING
Hackerangriff von Ransom Cartel am KundenbeispielANGRIFFSSZENARIO von Ransom Cartel
Business Frühstück zum Datenschutz mit Vorträgen zum Cloud Computing, Whistleblower-Richtlinie und Consent Tools.DATENSCHUTZ KANN AUCH LECKER SEIN