Vermehrt werden fehlende Datenschutz Einwilligungen durch die Aufsichtsbehörden moniert, da die dafür bereit gestellten Vorlagen und Tools den gesetzlichen Vorgaben nicht entsprachen.
Überprüfung von Medienunternehmen durch die Landesaufsichtsbehörden
So wurden im Juni 2021 beispielsweise die Webseiten von 49 Medienunternehmen deutschlandweit überprüft. Im Fokus stand hier das Nutzertracking zu Werbezwecken und die Einbindung von Cookies. Im Ergebnis wurden bei der weit überwiegenden Zahl der Webseiten erhebliche Mängel in der Einwilligung des Nutzers festgestellt. So insbesondere, dass das Einholen der Einwilligung erst nach dem Setzen von Cookies durch Öffnen der Webseite erfolgte. Zudem wurden die Nutzer häufig vor Abgabe der Einwilligung nicht hinreichend informiert. Nicht zuletzt wurden die Nutzer bei der Gestaltung des Einwilligungsbanners häufig zur Abgabe der Einwilligung genötigt – so durch besondere Hervorhebung des Zustimmungsbuttons.
Anleitung zur rechtskonformen Ausgestaltung einer Einwilligungserklärung
Eine rechtskonforme Einwilligung zu erstellen ist kein Hexenwerk. Eine Einwilligung ist gemäß Art.4 Abs. 11 DSGVO
jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.
Bereits aus dieser Definition ergeben sich klare Voraussetzungen.
- Die Einwilligung muss freiwillig erfolgen; der Nutzer darf also nicht zu Ihrer Abgabe gezwungen sein oder genötigt werden
- Die Einwilligung muss informiert erfolgen; d.h. der Nutzer muss über Art und Umfang seiner Einwilligung aufgeklärt werden
- Die Einwilligung muss unmissverständlich und eindeutig erfolgen
Ferner gilt es, die Art. 6 und Art. 7 DSGVO korrekt umzusetzen. Von der Frage der Erforderlichkeit der Einwilligung bis zu deren konkreten Ausgestaltung des Banners finden sich die Antworten in diesen beiden Vorschriften. Wann Sie eine Einwilligung benötigen und was dabei genau zu beachten ist, zeigen wir Ihnen anbei anhand einfacher Schritte:
Erforderlichkeit der Einwilligung
Die erste zu stellende Frage ist, ob für das geplante Vorhaben eine Einwilligung des Nutzers in die Datenverarbeitung überhaupt benötigt wird. Die Antwort gibt Art. 6 Abs. 1 DSGVO. Hier ist in den Ziffern a) bis f) aufgelistet, wann eine Datenverarbeitung erfolgen darf. Art.6 Abs. 1 lit. a) DSGVO sagt dazu, dass die Nutzung der personenbezogenen Daten des Kunden zumindest dann zulässig ist, wenn dieser explizit eingewilligt hat. Die Ziffern b) bis f) regeln hingegen, wann eine Einwilligung nicht erforderlich ist. Dies ist insbesondere dann der Fall, wenn die Datenverarbeitung zur Erfüllung eines Vertrages oder vorvertraglicher Maßnahmen auf Anfrage des Kunden erforderlich ist (Ziffer b).
Dieser Aufbau des Art. 6 Abs. 1 DSGVO führt zu einem einfachen Umkehrschluss: Liegt kein Fall der Ziffern b) bis f) vor, wird eine Einwilligung benötigt. Einfaches Beispiel ist bereits, das Setzen von Cookies. Da die Ziffern b) bis f) diesen Fall nicht erfassen, bleibt nur, über Ziffer a) zu gehen und die Einwilligung des Nutzers einzuholen. Daraus ergibt sich das Erfordernis des so genannten Cookie-Banners.
Inhaltliche Vorgaben für die Einwilligung
Die Einwilligung muss sich gemäß Art. 6 Abs. 1 lit. a) DSGVO auf einen oder mehrere konkrete Verarbeitungszwecke beziehen. Dass heißt für Sie, dass Sie den Nutzer genau darüber informieren müssen, wofür seine personenbezogenen Daten verwendet werden sollen. Im Klartext: Der Einwilligungsbanner muss eine Liste sämtlicher Verarbeitungsvorgänge aufweisen. Das heißt aber nicht, dass Sie einfach alles was Ihnen einfällt an Nutzungsarten aufnehmen können. Verarbeitungszwecke, die in keinem Zusammenhang mit einander stehen, dürfen nicht gekoppelt werden. Vielmehr ist dann für jeden einzelnen Zweck eine Auswahlmöglichkeit – beispielsweise in Form eines Ankreuzfeldes – anzubieten.
Weitere wichtige Vorgaben betreffen das Widerrufsrecht des Kunden. Er ist gemäß Art. 7 Abs. 3 DSGVO vor Erteilung der Einwilligung darüber zu informieren, dass er seine Einwilligung jederzeit widerrufen kann. Der Widerruf muss ihm so einfach ermöglicht werden wie die Erteilung der Einwilligung.
Die Einwilligung hat in leicht verständlicher Sprache zu erfolgen. Ein durchschnittlicher Verbraucher muss in der Lage sein zu verstehen, dass, wofür und wieweit er eine Einwilligung erteilt. Die Einwilligung darf ferner nicht an den Vertragsschluss gekoppelt werden. Ist die Datenverarbeitung für die Erfüllung des Vertrages erforderlich, ergibt sich die Zulässigkeit der Verarbeitung bereits aus Art. 6 Abs. 1 lit. b) DSGVO. Ist die konkrete Art der geplanten Verarbeitung für den Vertrag aber gerade nicht erforderlich – beispielsweise bei der Einwilligung in die Versendung eines Newsletters oder die Nutzung zu Marketingzwecken – kann sie nicht als Voraussetzung für den Vertragsschluss festgelegt werden.
Dringend zu beachten ist auch, dass der Kunde nicht zur Abgabe der Einwilligung genötigt werden darf. Dies erfolgt häufig durch eine besonders auffällige Gestaltung des Zustimmungsbuttons, vorangekreuzte Felder oder ein „Ausgrauen“ des Ablehnungsbuttons. Von derartigen Tricks ist dringend abzuraten.
Beweislast für die Einwilligung
Beachten Sie, dass Sie für die Abgabe der Einwilligung beweisbelastet sind. Art. 7 Abs. 1 DSGVO besagt, dass der Verantwortliche die Einwilligung der betroffenen Person nachweisen können muss. Dies heißt in der Praxis, dass Sie bei Streitigkeiten um das Vorliegen der Einwilligung bereits dann unterliegen, wenn Sie Ihrerseits nicht den Beweis erbringen können, dass sie vorlag.
Insbesondere bei der Einwilligung in Newsletterversand oder Werbemaßnahmen ist daher nach wie vor empfehlenswert, die Einwilligung im Wege des Double-Opt-In Verfahrens einzuholen. Dabei erhält der Kunde nach Abgabe der Einwilligung eine E-Mail mit einem Bestätigungslink. Betätigt er diesen Link ist die Einwilligung abgegeben, tut er dies allerdings nicht, gilt sie als abgelehnt.
Praktische Bedeutung
Das wirksame Einholen der Einwilligung des Nutzers spielt in der Praxis eine erhebliche Rolle. Nicht nur, dass Aufsichtsbehörden vermehrt prüfen, ob die DSGVO zutreffend umgesetzt wurde. Auch Mitbewerber mahnen Fehler des Einwilligungsbuttons gerne ab. Und nicht zuletzt stehen Betroffenen bei Verstößen umfangreiche Ansprüche auf Unterlassung und Schadensersatz zu. Es ist daher dringend zu empfehlen, einen geschulten Datenschutzbeauftragten in die Gestaltung der Einwilligungserklärung einzubinden und die aktuelle Rechtsprechung und aufsichtsbehördliche Praxis dazu im Blick zu behalten.