DSGVO-Consent: Was müssen Sie unbedingt beim Consent-Management beachten?

In diesem Artikel führen wir Sie durch die wichtigsten Consent-Eigenschaften, die Sie im Zuge der DSGVO berücksichtigen sollten, wenn Sie Einwilligungen Ihrer User einholen. Anschließend stellen wir Ihnen den DSGVO Consent Manager vor – ein nützliches Tool, das Ihnen beim Sammeln, Verwalten und Speichern aller relevanten Daten hilft und dabei stets mit den neuen EU-Datenschutzrichtlinien kompatibel ist.

Die neuen Gesetze rund um die Einwilligung (Consent) von Usern sind so essentiell, dass sie bei einigen zu schlaflosen Nächten führen könnten. Es sollte jedoch bedacht werden, dass die neuen Vorschriften ins Leben gerufen wurden, um die Privatsphäre der User zu schützen und um Vertrauen und Transparenz zwischen den Usern und den datenverarbeitenden Unternehmen sicherzustellen. Ein vertrauensvoller Umgang mit personenbezogenen Daten steht im Mittelpunkt.

Studien zeigen, dass immer noch ein weiter Weg vor uns liegt. Die Umfrage “The 2017 State of Consumer Privacy and Trust” von Gigya hat beispielsweise herausgefunden, dass 68% der Befragten Unternehmen nicht vertrauen, wenn es um die Verwaltung ihrer persönlichen Informationen geht. Dies ist ein aussagekräftiges Ergebnis, das sich im Zusammenhang mit der neuen DSGVO aber hoffentlich ändern wird.

Was wird sich mit der DSGVO ändern?

Die DSGVO bringt in vielen Aspekten rund um die Verarbeitung von Nutzerdaten maßgebliche Änderungen mit sich.

Wenn Sie tiefer in das Thema eintauchen wollen, empfehlen wir Ihnen folgende Blogartikel:
– EU-DSGVO: Ist Ihre Web Analytics Software in Einklang mit dem neuen Gesetz?
– Wie speichern und verarbeiten Sie zukünftig Daten unter der DSGVO?

Auch die Definition von “Einwilligung” ändert sich durch das neue Gesetz in wesentlichen Punkten. Im folgenden sehen Sie die Begriffsbestimmung von “Einwilligung” laut DSGVO sowie die Begriffsbestimmung von 1995, als die EU-Datenschutzrichtlinie erstmals in Kraft trat.

EU-Datenschutzrichtlinie (Richtlinie 95/46/EG):

“Einwilligung der betroffenen Person” – jede Willensbekundung, die ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgt und mit der die betroffene Person akzeptiert, daß personenbezogene Daten, die sie betreffen, verarbeitet werden.

DSGVO:

“Einwilligung der betroffenen Person”- jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.

Wie sie sehen, führt die DSGVO eine neue Bestimmung ein, da die Einwilligung ab jetzt unmissverständlich – und mit einer eindeutigen, bestätigenden Handlung einhergehen muss.

Was bedeutet diese datenschutzrechtliche Anforderung konkret?

Die Definition einer Einwilligung (Consent) ist eher generell gehalten und bietet Ihnen keine konkreten Tipps für Ihre Compliance-Strategie. Es gibt jedoch einige nützliche Dokumente und Guidelines, die die DSGVO-Bestimmungen interpretieren.

Einwilligung interpretiert nach den Leitlinien der Artikel-29-Datenschutzgruppe

Eine der wichtigsten und hilfreichsten Guidelines ist die der Artikel-29-Datenschutzgruppe. Die Gruppe ist ein unabhängiges Gremium der Europäischen Kommission und veröffentlicht seit 2016 regelmäßig Leitlinien zu Fragen der Auslegung einzelner Regelungsbereiche der DSGVO. Das Dokument “Guidelines on Consent under Regulation 2016/679” (vom 28.11.2017) beinhaltet eine Übersicht der verschiedenen Eigenschaften einer rechtskräftigen Einwilligung nach Artikel 4(11) der DSGVO. Hier werden vier Eigenschaften definiert: “freely given” (freiwillig abgeben), “specific” (bestimmter Fall), “informed” (informiert) und “unambiguously indicated” (unmissverständlich angegeben).

Im folgenden finden Sie die Begriffsbeschreibungen der Adjektive, die in der DSGVO-Definition für “Einwilligung” fallen. Da das Working Paper 259 nur auf Englisch erschienen ist, wurde die englische Definition der einzelnen Adjektive frei ins Deutsche übersetzt.

“freiwillig abgeben (freely given)”

Das Wort “freiwillig” impliziert eine echt Wahl und Kontrolle der betroffenen Personen. Die DSGVO verordnet als generelle Regel, dass eine Einwilligung nicht gültig ist, wenn die betroffene Person keine wirkliche Wahl hat, sich zu der Einwilligung gezwungen fühlt oder negative Konsequenzen befürchtet, falls keine Einwilligung erfolgt. Wenn die Einwilligung an nicht verhandelbare Geschäftsbedingungen gebunden ist, ist davon auszugehen, dass eine Einwilligung nicht freiwillig abgegeben wurde. Dementsprechend ist eine Einwilligung nicht als freiwillig zu bezeichnen, wenn die betroffene Person die Einwilligung nicht verweigern oder zurückziehen kann ohne dass dies Nachteile mit sich zieht. Die Auffassung von einem Ungleichgewicht zwischen dem Verantwortlichen (Controller) und der betroffenen Person ist in der DSGVO berücksichtigt.

Dieser Punkt ist sehr hilfreich, da sich einfacher feststellen lässt, ob Ihre Website-Besucher frei entscheiden können, ob Sie möchten, dass ihre Daten von Ihnen verarbeitet werden. Leider wird das nicht der Fall sein, wenn die Datenverantwortung bei öffentlichen Behörden oder Arbeitgebern liegt. Das Ungleichgewicht der ausgeübten Macht führt zu dem Risiko, dass die Einwilligungen der User nicht aus freien Stücken erfolgt. Solche Organisationen sollten daher eine andere gesetzmäßige Verarbeitungsmöglichkeit wählen. Hierfür gibt es fünf weitere Optionen.

Es ist zudem wichtig hervorzuheben, dass Einwilligungen nie eine vorausgehende Bedingung sein sollten, um Ihre Website zu nutzen oder die Vorteile Ihres Service in Anspruch zu nehmen. Einwilligungen sollten beispielsweise nicht in Ihren Geschäftsbedingungen integriert werden. Dies hält User von einer freien Entscheidung in Bezug auf den Consent ab.

Wichtiger Tipp: Wenn Sie Ihren Usern bei der Verarbeitung ihrer Daten keine wahrhaftig freie Wahl lassen können, sind Einwilligungen für Sie nicht die richtige rechtliche Grundlage. Bei einem solchen Szenario sollten Sie andere Wege finden, um die Verarbeitung der persönlichen User-Daten zu rechtfertigen.

“bestimmter Zweck (specific)”

Der Artikel 6(1a) bestätigt, dass sich die Einwilligung einer betroffenen Person auf mindestens einen bestimmten Zweck beziehen muss und dass die betroffene Person eine Wahl in Bezug zu jedem dieser Zwecke hat. Die Anforderung, dass eine Einwilligung sich auf einen bestimmten Zweck bezieht, beabsichtigt die Gewährleistung einer bestimmten User-Kontrolle sowie Transparenz für die betroffene Person. Diese Anforderung wurde durch die DSGVO nicht verändert und bleibt eng mit der Anforderung einer “informierten” Einwilligung verbunden. Gleichzeitig muss es mit den Anforderungen für “Detailgenauigkeit” interpretiert werden, um “freie” Einwilligungen zu erlangen. Zusammenfassend muss der Verantwortliche folgende Vorgehensweisen berücksichtigen, wenn er die Auflagen für einen “bestimmten Zweck” erfüllen will:
– Beschreibung des Grundes als Schutzmaßnahme gegen willkürliches Datensammeln
– Detailgenauigkeit in Einwilligungs-Anfragen und
– eine klare Trennung von Informationen, die sich auf das Erlangen von Einwilligungen für Datenverarbeitungsaktivitäten beziehen und Informationen, die sich auf andere Angelegenheiten beziehen.

Wie man erkennen kann, schlägt die Artikel-29-Datenschutzgruppe vor, jeden erdenklichen Grund für die Nutzung von User-Daten anzugeben. So gehen Sie sicher, dass User Ihnen Einwilligungen für “bestimmte Zwecke” geben, um ihre Daten in einer bestimmten Art und Weise zu verarbeiten.

In der Praxis heißt das, dass Sie eine separate Einwilligung für jede einzelne Verwendung von persönlichen Daten brauchen. Zum Beispiel: eine für Aktivitäten zur Content-Personalisierung und eine für Remarketing-Kampagnen; eine, um First-Party Cookies zu verwenden und eine andere für Third-Party Cookies. All diese Einwilligungen sollten in einer Consent-Box gelistet sein, die Usern angezeigt wird, wenn sie zum ersten mal Ihre Website besuchen oder in dem Moment eingeblendet wird, wenn der gewünschte Zweck notwendig wird.

Jedoch ist es noch denkbar, dass nachträglich nicht jeder Grund für die Verwendung von persönlichen Daten eine direkte User-Einwilligung erfordert. Hier stehen die letzten gesetzlichen Regelungen noch aus.

Einige Experten prognostizieren, dass Regelungen einiger Datenschutzanforderungen und zur elektronischer Kommunikation (auch bekannt als “ePrivacy-Verordnung”) in ihrer jetzigen und noch immer nicht finalen Form von der Liste gestrichen werden. Hierunter fallen u.a. Cookies, die speziell für Analytics-Zwecke genutzt werden.

Bis nichts anderes beschlossen ist, bleibt einem jedoch nichts anderes übrig als strikt die Vorgaben der DSGVO zu befolgen und den Einwilligungsprozess zu etablieren. Danach bleibt nur noch abzuwarten, wie sich alles entwickelt und in welchem Ausmaß die Regelungen final in Kraft treten. Solange nichts anderes verkündet wird, ist davon auszugehen, dass auch für Web Analytics-Tracking Einwilligungen benötigt werden.

Wenn Sie mehr über ePrivacy erfahren möchten, empfehlen wir Ihnen die folgenden Blogartikel:
– ePrivacy: Wie wirkt sich die Richtlinie auf Ihr Marketing aus?
– ePrivacy-Verordnung: Was bedeutet das neue EU-Recht für Ihr Unternehmen?

Wichtiger Tipp: Stellen Sie sicher, dass Ihre Cookie Consent-Box jeden Grund, den Sie haben, um persönliche Daten zu verwenden, auflistet und abfragt. Ansonsten können Sie nicht belegen, dass der Consent des Users einem bestimmten Zweck zugeordnet waren.

“informiert (informed)”

Die DSGVO bekräftigt die Anforderung, dass Einwilligungen informierend sein müssen. Basierend auf Artikel 5 der DSGVO, zählt die Anforderung für Transparenz zu den fundamentalen Grundsätzen, eng verbunden mit den Grundsätzen für Gerechtigkeit und Rechtmäßigkeit. Betroffene Personen mit Informationen zu versorgen, bevor man ihre Einwilligung einholt ist maßgeblich, um sicherzustellen, dass sie eine gut informierte Entscheidung treffen, verstehen, zu was sie einstimmen und beispielsweise ihrem Recht nachgehen die Einwilligung zurückzuziehen. Wenn der Verantwortliche keine gut zugänglichen Informationen bereitstellt, ist eine Kontrolle der User nur scheinhaft vorhanden und der Consent wird für eine Datenverarbeitung ungültig. Das heißt, wenn man die Anforderungen an eine informierende Einwilligung nicht erfüllt, wird die Einwilligung ungültig und der Verantwortliche könnte gegen Artikel 6 der DSGVO verstoßen.

Der wichtigste Punkt ist in diesem Fall, dass Sie den Usern explizit erklären müssen, zu was sie gerade zustimmen. Jeder sollte informiert sein, dass die Weiterverarbeitung von personenbezogenen Daten nur unter ihrer Zustimmung erfolgt. Zusätzlich sollten User über ihre Rechte in Zusammenhang mit der Einwilligung Bescheid wissen. Hierunter zählt u.a. das Recht, die Einwilligung zurückzuziehen oder die Daten korrigieren zu lassen.

Sie Wollen mehr dazu erfahren, wie Sie die Rechte betroffener Personen in Ihrem Consent-Management berücksichtigen? Dann werfen Sie einen Blick in unseren Blogartikel “Wie speichern und verarbeiten Sie zukünftig Daten unter der DSGVO?”.

Des Weiteren muss die Anfrage für eine Einwilligung:

• leicht zu verstehen sein
• prominent platziert sein
• prägnant formuliert sein
• unabhängig von den allgemeinen Geschäftsbedingungen abgefragt werden
• in leicht verständlicher Sprache formuliert sein

Wenn Ihre Anfrage für eine Einwilligung diesen Anforderungen nicht entspricht (und somit undeutlich formuliert ist, schwer verständlich ist und nicht in Abgrenzung zu anderen Angelegenheiten steht) wird diese als ungültig angesehen.

“unmissverständlich angegeben (unambiguous)”

Die DSGVO verdeutlicht, dass eine Einwilligung die Bestätigung der betroffenen Person erfordert oder eine eindeutige bestätigende Handlung durch ein aktives Zeichen oder Aussage erfolgen muss. Es muss eindeutig sein, dass die betroffene Person zu der bestimmten Bearbeitung eingewilligt hat. Eine “eindeutige bestätigende Handlung” bedeutet, dass die betroffenen Person eine absichtliche Handlung durchgeführt hat, um der bestimmten Bearbeitung zuzustimmen. Die Randnummer 32 stellt hier eine zusätzliche Anleitung bereit. Eine Einwilligung kann durch ein geschriebenes (oder aufgezeichnetes) mündliches Statement inkl. elektronischer Hilfsmittel eingesammelt werden.

Wie man erkennen kann, weist das Wort “unmissverständlich” darauf hin, dass kein Zweifel aufkommen sollte, dass eine betroffene Person der Datenverarbeitung zugestimmt hat. Die Guideline zum Working Paper 259 bietet auch weitere Informationen zu dem Spektrum an möglichen Instrumenten, durch die betroffenen Personen eine eindeutige bestätigende Handlung zum Ausdruck bringen können. Diese beinhaltet:

• eine anklickbare Box
• Wischen / “Swiping” am Bildschirm
• Winken vor einer smarten Kamera
• Drehen des Smartphones im Uhrzeigersinn oder in einer Achter-Bewegung

Dies verdeutlicht, dass die Einwilligung nur dann gültig ist, wenn die betroffene Person eine Handlung durchführen muss, um Ihre Anfrage zu bestätigen. Bereits vorausgefüllte Boxen zum Anklicken sind daher ab sofort keine Option mehr.

Um Unternehmen bei der DSGVO-konformen Erstellung von Einwilligungen zu unterstützen, hat Piwik PRO den Piwik PRO Consent Manager als zusätzliches Modul für die Piwik PRO Marketing Suite entwickelt. Mit dem Consent Manager können Sie Pop-ups zur Abfrage der Einwilligungen individuell erstellen und bearbeiten. Zusätzliche Widgets helfen bei der gesetzeskonformen Speicherung und Verwaltung von Einwilligungen der Besucher und zeigen ihm z.B. welche Einwilligungen er derzeit akzeptiert hat. Lernen Sie in unserem Blogartikel alle Consent Manager Features kennen.