Usercentrics - Nutzer Einwilligung einholen: diese fünf Tricks sind nicht DSGVO-konform
Home Ressourcen Blog Nutzer Einwilligung einholen: diese fünf Tricks sind nicht DSGVO-konform

Nutzer Einwilligung einholen: diese fünf Tricks sind nicht DSGVO-konform

von Usercentrics
19. Mai 2020
Usercentrics - Nutzer Einwilligung einholen: diese fünf Tricks sind nicht DSGVO-konform
Inhaltsverzeichnis
Mehr anzeigen Weniger anzeigen

Consent ist das neue Gold im Online-Marketing, denn ohne Nutzer Einwilligung sind Daten in Zukunft wertlos. Aber es ist nicht alles Gold, was glänzt! Denn ein Blick auf die derzeit beliebtesten Banner-Lösungen zeigt, nicht überall wird die Nutzer Einwilligung auch DSGVO-konform eingeholt.

Wir haben uns die beliebtesten (leider nicht DSGVO-konformen!) Tricks einmal angeschaut und erklären, warum sie zwar gerne eingesetzt werden, eigentlich aber nicht erlaubt sind.

Hier die 5 No-Gos beim Einholen der Nutzer Einwilligung:

Usercentrics - Nutzer Einwilligung einholen: diese fünf Tricks sind nicht DSGVO-konform

bbg fotografia/shutterstock.com

1. “Implizite” Einwilligung

Webseitenbesucher mittels eines Banners darüber zu informieren, dass sie der Datenverarbeitung zustimmen, indem sie die Webseite weiterhin nutzen, ist nicht DSGVO-konform. Denn Weiterscrollen oder anderweitige Nutzung der Webseite kann in keinem Fall als Einwilligung zur Datenerhebung bzw. Verarbeitung interpretiert werden. Auch nicht, wenn der Nutzer nicht mit dem Cookie Banner interagiert, obwohl er die Möglichkeit dazu gehabt hätte, z.B. durch das Klicken eines Ablehnen oder Annehmen-Buttons.

Warum nicht? 

Bevor nicht die Nutzer-Einwilligung durch einen aktiven Opt-in vorliegt (Erwägungsgrund 32, DSGVO), dürfen generell keine Technologien geladen werden, die nicht allein dazu dienen die Funktionalität der Webseite zu ermöglichen (technisch notwendige Cookies). Daten ohne gültige Rechtsgrundlage zu verarbeiten, stellt einen Verstoß nach Art. 6 Abs. 1 DSGVO dar. 

Die Nutzer Einwilligung muss immer in Form einer eindeutig bestätigenden Handlung (Art. 4 Nr.11 DSGVO) erfolgen. Eine “implizite” (“konkludente”) Einwilligung stellt hierbei keine wirksame Rechtsgrundlage i.S.v. Art. 6 I 1 a DSGVO) dar. Die Tatsache, dass eine explizite Einwilligung (Opt-in) unumgänglich ist, bestätigt auch das EugH Urteil vom (01.10.19 Az. C‑673/17). 

Auch viele europäische Datenschutzbehörden haben sich bereits zum Thema “impliziter Consent” geäußert. Zuletzt der Europäische Datenschutzausschuss (EDSA) in seinen “Guidelines on Consent” vom 4. Mai 2020. Das Konzept des “impliziten Consent” verstoße u.a. gegen das “Gebot der Freiwilligkeit”, heißt es hier, da der Nutzer keine Wahl habe, Cookies und andere Tracking Technologien abzulehnen, wenn er auf die Webseite zugreifen möchte. Diese Methode sei zudem nicht DSGVO-konform, weil bei “implizitem Consent” keine Opt-out Möglichkeit bestehe, also dem Nutzer keine Möglichkeit gegeben werde, seine Einwilligung zu widerrufen. Und zwar auf die gleiche Weise, wie er gegeben wurde.

Des Weiteren verstößt die Einholung der Einwilligung durch Weiterscrollen laut EDSA auch gegen das Erfordernis einer “eindeutig bestätigenden Handlung”. Das bedeutet: Die für die Verarbeitung Verantwortlichen sollen Mehrdeutigkeit vermeiden und sicherstellen, dass die Handlung, durch die die Einwilligung erteilt wird, von anderen Handlungen unterschieden werden kann.

Zuvor hatten sich schon die britische Datenschutzbehörde ICO (UK Information Commissioner’s Office) in ihrer Cookie Richtlinie vom 3. Juli 2019 und die französische Datenschutzbehörde CNIL in einem Empfehlungsentwurf vom 14. Januar 2020 einheitlich gegen die Praxis der “impliziten” Einwilligung ausgesprochen. 

2. Keine Opt-out Button auf der ersten Ebene

Die beliebte Variante, dem Nutzer auf der ersten Ebene des Cookie Banners keine Möglichkeit zum Opt-out zu geben, ist nicht DSGVO-konform. Nicht einmal die Kombination von Annehmen-Button und Opt-out-Hinweis in der Datenschutzerklärung genügt rechtlich und technisch den Anforderungen der DSGVO.

Warum nicht?

Laut Art. 7 DSGVO muss der Widerruf der Nutzer Einwilligung (Opt-out) genauso einfach sein, wie der Opt-in. Der Widerruf muss also genauso schnell (z.B. durch die gleiche Anzahl von Klicks) erreichbar sein, wie der Annehmen-Button. 

Den Nutzer in den  Datenschutzbestimmungen nach der jeweiligen Opt-out Option suchen zu lassen und ihn dazu ggf. auf eine Drittanbieter Seite zu leiten, ist nicht zumutbar. Zudem ist ein solcher “Click-Out” in der Datenschutzerklärung, der auf Drittseiten zum Opt-out verlinkt, technisch nicht ausreichend, da im Fall eines Widerrufs die weitere Datenweitergabe an Drittanbieter vom Webseitenbetreiber unterbunden werden muss.

Zudem hat der Nutzer jederzeit das Recht, eine einmal erteilte Einwilligung jederzeit und ohne Begründung zu widerrufen. Dieser Widerruf muss genauso einfach wie die Abgabe der Einwilligung vorgenommen werden können.  

Webseiten-Inhalte hinter sog. Cookie Walls zu verstecken und erst freizugeben, wenn der Nutzer seine Einwilligung zur Datennutzung gegeben hat, ist nicht DSGVO-konform.

Warum nicht? 

Ist der Zugriff auf Inhalte ihrer Webseite abhängig von der Einwilligung der Nutzer zur Verarbeitung ihrer Daten, ist gem. Art. 7 Abs. 4 DSGVO das Kriterium der “Freiwilligkeit” nicht gegeben. Eine Einwilligung ist demnach nur wirksam, wenn sie ohne jeden Druck oder Zwang abgegeben werden kann. 

Dem Nutzer darf zudem kein Nachteil entstehen, wenn er die Zustimmung zur Datennutzung verweigert oder zurücknimmt (Erwägungsgrund 42 DSGVO). Konkret bedeutet das, dass der Nutzer auch ohne Opt-in auf sämtliche Inhalte der Webseite zugreifen können muss.

Der Europäische Datenschutzausschuss (EDSA) hat diese Vorgabe erneut in seinen  “Guidelines on Consent” vom 4. Mai 2020 bekräftigt und zudem klargestellt, dass durch Cookie Walls keine wirksamen Einwilligungen eingeholt werden kann.

Von dieser Regelung ausgenommen sind allerdings Cookie Walls, wenn ein vergleichbarer Dienst auch ohne Tracking angeboten wird, beispielsweise als bezahlter Abo-Dienst von Publikationsmedien. Eine Praxis, die in der Vergangenheit durch die österreichische und niederländische Datenschutzaufsicht (DSB) für zulässig erachtet wurde.  

4. Nudging

Webseitenbesucher durch sog. “Nudging”, also die gezielte Beeinflussung des Nutzers durch ein bestimmtes Banner-Design, zur Einwilligung zu bewegen, ist nicht DSGVO-konform. Hierunter fallen u.a. das farbliche Hinterlegen bestimmter Elemente (z.B. Grün für den Annehmen-Button) oder das optische Verstecken anderer Elemente (z.B. unauffälliges Grau für die Opt-out Möglichkeit) genauso wie die Fehlleitung des Nutzers durch eine geschickte Vorauswahl der Optionen. 

Warum nicht?

Nudging widerspricht in zweierlei Hinsicht den Kriterien der DSGVO an eine gültige Einwilligung. Denn wird der Nutzer unterbewusst in seiner Entscheidung beeinflusst, kann er diese weder freiwillig noch informiert treffen (s.h. auch EugH Urteil Planet 49).  

Auch die dänische und die irische Datenschutzbehörde haben sich bereits zum Thema “korrektes Banner-Design” geäußert und sind sich einig, dass “Nudging” dem Grundsatz der Transparenz (Art. 5 Abs. 2 lit. DSGVO) widerspricht. Was bedeutet, dass es ebenso leicht sein muss, die Einwilligung in die Verarbeitung personenbezogener Daten abzulehnen, wie sie zu erteilen. 

5. Im Voraus angekreuzte Kästchen

Um die Nutzer Einwilligung zur Verwendung bestimmten Technologien abzufragen, setzen die meisten Webseitenbetreiber auf Checkboxen oder das Verschieben eines Reglers. Der Webseitenbesucher kann so die Einwilligung zum Einsatz bestimmter Technologien wie z.B. von Tracking Tools geben, indem er das Kästchen anklickt, um einen Haken zu setzen oder den Regler aktiv zu verschieben. Bereits im Voraus gesetzte Häkchen oder aktivierte Regler sind allerdings nur bei technisch notwendigen Cookies rechtskonform. Bei allen anderen Cookies, z.B. für Marketing Zwecke, muss ein aktiver Opt-in des Nutzers erfolgen. Sprich, das Kästchen muss zunächst leer sein. Die gerne verwendete Variante vom Nutzer einen aktiven Opt-out zu fordern, also ihn den im Voraus gesetzten Haken entfernen zu lassen, ist rechtlich nicht korrekt.

Warum nicht?

Erst wenn die explizite Einwilligung des Webseitenbesuchers vorliegt, dürfen seine Daten erfasst werden (Erwägungsgrund 32 DSGVO, EugH Urteil Planet49). Wer bereits bevor die Nutzer Einwilligung vorliegt, Daten erhebt bzw. verarbeitet, tut dies ohne gültige Rechtsgrundlage und verstößt damit nach Art. 83 Abs. 5 lit. a) gegen die DSGVO.

FAZIT

Sich einen Datenschatz für gezielte Online Marketing Maßnahmen aufzubauen, ist eine großartige Idee – aber bitte sauber, d.h. mit DGSVO-konform eingeholter Nutzer Einwilligung! 

Wie genau das geht, und wie eine Consent Management Platform (CMP) vor allem auch beim Optimieren Ihrer Opt-in Raten helfen kann, dazu beraten wir Sie gerne.

DISCLAIMER

Die Umsetzung einer datenschutzkonformen Implementierung einer CMP liegt letztlich im Ermessen des jeweiligen Datenschutzbeauftragten bzw. der Rechtsabteilung.

Diese Ausführungen stellen somit auch keine Rechtsberatung dar. Sie dienen lediglich dazu, Sie mit Informationen über die aktuelle Rechtslage bei der Umsetzung einer CMP Lösung zu unterstützen. Bei rechtlichen Fragen, sollten Sie sich an einen Fachanwalt wenden.

Ähnliche Artikel

Südafrikas ‘Protection of Information Act’ (POPIA)

Südafrikas ‘Protection of Information Act’ (POPIA) – ein Überblick

POPIA ist das südafrikanische Datenschutzgesetz, das bereits fünf Jahre vor der DSGVO verfasst wurde. Wir untersuchen,...

Chinas ‘Personal Information Protection Law’ (PIPL) – ein Überblick

Chinas ‘Personal Information Protection Law’ (PIPL) – ein Überblick

Wir erläutern, was Chinas ‘Personal Information Protection Law’ für die Datenschutzrechte seiner Bürger bedeutet und...