rauf

Wie können wir Ihnen weiterhelfen?

+49 (0) 221 / 97 31 43 - 0

Sie brauchen rechtliche Beratung? Dann rufen Sie uns an für eine unverbindliche und kostenlose Ersteinschätzung. Bundesweit!

info@werner-ri.de

Gerne können Sie uns Ihr rechtliches Anliegen per E-Mail schildern. Sie erhalten zeitnah eine unverbindliche und kostenlose Ersteinschätzung von uns.
Sie sind hier: Startseite / Rechtsnews

Neue Leitlinien des EDSA zur Cookie-Einwilligung auf Websites

Der Europäische Datenschutzausschuss, EDSA (European Data Protection Board, EDPD) hat am 04.05.2020 neue Leitlinien zum Umgang mit Einwilligungen unter der DS-GVO (Guidelines 05/2020 on consent under Regulation 2016/679 (GDPR), Version 1.1) veröffentlicht.

Der EDSA macht in der Leitlinie 05/2020 wichtige Vorgaben für Websitebetreiber zur Nutzung von „Cookie-Walls“, zur Wahl von datenschutzrechtlichen Grundlagen für Datenverarbeitung und zur Wirksamkeit von Einwilligungen.

1. Inhalt der EDSA-Leitlinien

Mit den Leitlinien ergänzt der EDSA die Leitlinien zur Einwilligung der Artikel-29-Arbeitsgruppe (WP259 rev.01), deren Geltung der EDSA auch unter der DS-GVO bereits im Jahr 2018 anerkannt hat. Insbesondere enthalten die neuen Leitlinien wichtige und neue Erläuterungen und Klarstellungen zur:

  • Wahl der Rechtsgrundlage für Datenverarbeitung (Verarbeitungsgrundlage),
  • Wirksamkeit der Einwilligung, die von der betroffenen Person bei der Interaktion mit sog. „Cookie-Walls“ gegeben wird und
  • vermeintlichen Einwilligung durch Scrollen auf einer Website.

Viele Ausführungen des 33-seitigen Schriftwerks zur wirksamen Einwilligung sind bereits bekannt und sind so gesehen wiederholend. Dennoch ist die Lektüre eine gute und mit Beispielen untermauerte Darstellung aller Anforderungen.

2. Wechsel von einer Einwilligung zu einer anderen Rechtsgrundlage nach Art. 6 DS-GVO unzulässig

Der EDSA weist darauf hin, dass für die Verarbeitung von personenbezogenen Daten mehrere Rechtsgrundlagen in Art. 6 DS-GVO vorgesehen sind. An dieser Stelle hebt der EDSA hervor, wie wichtig es sei, vor der Datenverarbeitung sich Gedanken über sämtliche Konsequenzen einer Rechtsgrundlage zu machen. Dies insbesondere, weil der Verantwortliche die Rechtsgrundlage einer Datenverarbeitung nach dem Beginn dieser Verarbeitung nicht mehr austauschen kann, wenn die Datenverarbeitung auf der Grundlage einer Einwilligung erfolgt. Nach der DS-GVO ist der Verantwortliche verpflichtet, die Entscheidung über die Rechtsgrundlage vor der Verarbeitung mitzuteilen, und muss sich hieran festhalten lassen. Andernfalls würde ein jederzeit möglicher Wechsel der Rechtsgrundlagen zu einer Benachteiligung der betroffenen Personen führen und nicht den Anforderungen der DS-GVO entsprechen.

Zitat (Seite 25):

123. In other words, the controller cannot swap from consent to other lawful bases. For example, it is not allowed to retrospectively utilise the legitimate interest basis in order to justify processing, where problems have been encountered with the validity of consent. Because of the requirement to disclose the lawful basis, which the controller is relying upon at the time of collection of personal data, controllers must have decided in advance of collection what the applicable lawful basis is.

3. Cookie-Walls

Eine wichtige Feststellung enthalten die Leitlinien zum Thema Cookie Walls.

Cookie Walls führen dazu, dass die betroffenen Personen eine Website oder einen Online-Dienst nicht nutzen dürfen, ohne dass die betroffenen Personen in das Setzen eines oder aller Cookies einwilligen.

Der EDSA stellt klar, dass der Zugang zu einer Website oder zu einem Online-Dienst nicht von der Einwilligung in das Setzen von Cookies abhängig gemacht werden darf. Hier fehle es an der Freiwilligkeit einer solchen Einwilligung.

Zitat (Seite 12):

39. In order for consent to be freely given, access to services and functionalities must not be made conditional on the consent of a user to the storing of information, or gaining of access to information already stored, in the terminal equipment of a user (so called cookie walls)

4. Keine wirksame Einwilligung durch Scrollen oder "Wischen"

Der EDSA stellt weiter klar, dass die Verantwortlichen den Vorgang für die Abgabe der Einwilligung so aufbauen sollen, dass die betroffene Person klar erkennen kann, dass sie eine Einwilligung abgibt.

Dafür ist es nach den Leitlinien erforderlich, dass die Handlung für die Einwilligungsabgabe, sich von anderen bei der Nutzung einer Website üblichen Handlungen unterscheiden soll. Insbesondere kann durch die bloße weitere Nutzung der Website, z.B. durch Scrollen oder durch „Wischen“ auf der Website eine wirksame Einwilligung (Art. 6 Abs. 1 lit. a) und Art. 7 DS-GVO) nicht erteilt werden. Der EDSA begründet diese Anforderung mit ErwG 32 DS-GVO und weist auf das einleuchtende Argument hin, dass der Widerruf der Einwilligung in einer ähnlich einfachen Art und Weise möglich sein muss, wie die Abgabe der Einwilligung. Und ein solcher Weg für den Widerruf ist beim Scrollen oder „Wischen“ nicht realisierbar.

Zitat (Seite 19):

84. Controllers should design consent mechanisms in ways that are clear to data subjects. Controllers must avoid ambiguity and must ensure that the action by which consent is given can be distinguished from other actions. Therefore, merely continuing the ordinary use of a website is not conduct from which one can infer an indication of wishes by the data subject to signify his or her agreement to a proposed processing operation. [...]

86. Example 16: Based on recital 32, actions such as scrolling or swiping through a webpage or similar user activity will not under any circumstances satisfy the requirement of a clear and affirmative action: such actions may be difficult to distinguish from other activity or interaction by a user and therefore determining that an unambiguous consent has been obtained will also not be possible. Furthermore, in such a case, it will be difficult to provide a way for the user to withdraw consent in a manner that is as easy as granting it.

5. Keine „Überschwemmung“ der Websitenutzer mit Einwilligungserklärungen

In einem sehr kurzen Absatz weist der EDSA auf eine wesentliche Anforderung hin: Die hohe Anzahl von Aufforderungen auf Websites, eine Einwilligung durch einen Klick oder „Wisch“-bewegung abzugeben, kann dazu führen, dass die Warnfunktion dieser Einwilligungsanfragen abgeschwächt wird. Der EDSA betont, dass es nach der DS-GVO Aufgabe des Verantwortlichen sei, dieses Problem zu bewältigen, indem neue Handhabungswege entwickelt werden. Welche Wege dies sein können, wird aber nicht aufgezeigt. Hier müssten die Verantwortlichen in Abstimmung mit ihren Beratern aus dem technischen und juristischen Bereich entsprechende und für ihre Websites passende und dennoch wirksame Wege für die Abgabe einer Einwilligung entwickeln, wenn dies noch nicht geschehen ist.

Zitat (Seite 19)

87. In the digital context, many services need personal data to function, hence, data subjects receive multiple consent requests that need answers through clicks and swipes every day. This may result in a certain degree of click fatigue: when encountered too many times, the actual warning effect of consent mechanisms is diminishing.

88. This results in a situation where consent questions are no longer read. This is a particular risk to data subjects, as, typically, consent is asked for actions that are in principle unlawful without their consent. The GDPR places upon controllers the obligation to develop ways to tackle this issue.

6. Gültigkeitsdauer der Einwilligung

Zum Schluss betont der EDSA, dass es eine bestimmte Gültigkeitsdauer einer Einwilligung nicht gibt. Kriterien, wonach sich die Gültigkeitsdauer einer Einwilligung bestimmt, sind die Umstände, unter denen diese Einwilligung erteilt wurde, der Umfang der Einwilligung und die Erwartungen der betroffenen Person. Sollte sich die Verarbeitungssituation ändern oder wesentlich entwickeln im Vergleich zur ursprünglichen Einwilligung, so ist diese nach den Leitlinien des EDSA nicht mehr gültig. Die Folge ist, dass der Verantwortliche eine neue Einwilligung einholen muss; anderenfalls hat er die Datenverarbeitung zu beenden.

Zitat (Seite 23):

110. There is no specific time limit in the GDPR for how long consent will last. How long consent lasts will depend on the context, the scope of the original consent and the expectations of the data subject. If the processing operations change or evolve considerably then the original consent is no longer valid. If this is the case, then new consent needs to be obtained.

7. Fazit

Die neuen Leitlinien des EDSA bringen noch mehr Klarheit:

  • Stützt sich der Verantwortliche bei der Datenverarbeitung personenbezogener Daten auf die Einwilligung als Rechtsgrundlage, so ist anschließend ein einseitiger Wechsel der Rechtsgrundlage durch den Verantwortlichen unzulässig.
  • Die Anwendung von Cookie Walls führen dazu, dass die hierüber eingeholte Einwilligung unwirksam ist, weil die Abgabe nicht freiwillig erfolgt.
  • Durch bloßes Scrollen oder „Wischen“ kann eine Einwilligung nicht wirksam erteilt werden.

Die Verantwortlichen sind gut beraten, diese Anforderungen zu beachten und einzuhalten. Dies insbesondere, weil die Datenschutzaufsichtsbehörden im Jahre 2020 angekündigt haben, Aktionspläne auszuarbeiten, welche auch die Kontrolltätigkeit nach der DS-GVO enthalten werden. Rheinland-Pfalz hat diesen Aktionsplan bereits veröffentlicht.

Autorin: RAin Kristina Dimitrova LL.M.