#6 She said yes! So sorgt Ihr Consent Banner für Zustimmung.

She said yes! Was Sie mit einem Consent Banner regeln können und wie das wirklich richtig funktioniert.

Hallo und herzlich willkommen bei „So geht sicher“, dem Podcast für Datenschutz und IT-Sicherheit in der Steuerkanzlei. Ich bin Christine Munker, Datenschutzberaterin und Geschäftsführerin der Munker Privacy Consulting GmbH.

In den vergangenen Folgen zum Thema „datenschutzkonforme Homepage“ haben wir schon öfter darüber gesprochen, dass man für den Einsatz bestimmter Tools, PlugIns oder – rechtlich ausgedrückt – bestimmter Datenverarbeitungen, eine Einwilligung des Besuchers Ihrer Homepage benötigen. In der letzten Episode zur Website Analyse war die Einwilligung ein Thema, weil sie in den Fällen, in denen personenbezogene Daten an den Betreiber des Analysetools weitergegeben werden, notwendig ist. In der heutigen Episode möchte ich darüber sprechen, warum Sie diese Einwilligung brauchen, wie Sie sie durch den Einsatz eines Consent Banners einholen können und wie dieser gestaltet sein muss, damit die Voraussetzungen an eine wirksam erklärte Einwilligung auch wirklich erfüllt sind. Und wir müssen über das sprechen, was Sie durch den Einsatz eines Consent Banners nicht lösen können. Der Klick des Besuchers auf „OK“ ist nämlich leider kein rechtliches Allheilmittel.

Warum brauchen Sie Einwilligungen?

Wenn Sie die bisherigen Episoden von „So geht sicher“ verfolgt haben, ist das Thema für Sie bestimmt nicht mehr neu. Daher nur noch einmal kurz zusammengefasst: die IP-Adresse, die der Besucher auf Ihrer Homepage während dem Surfen auf der Seite bei Ihnen hinterlässt, ist ein personenbezogenes Datum. Die IP-Adresse wird in verschiedensten Protokollen gespeichert, wenn der Besucher sich auf Ihrer Website „bewegt“, und es wird mitprotokolliert, was er auf der Seite tut. Aber nicht nur Ihre Website selbst, sondern auch Tools von Drittanbietern speichern diese IP-Adresse unter Umständen, wenn der Benutzer z.B. auf einer Unterseite Ihrer Website ankommt, auf der ein Video aus Youtube eingebunden ist. Oder wenn Sie ein Tool zur Website-Analyse einsetzen, das die IP-Adresse des Besuchers in nicht anonymisierter Form speichert und diverse Daten des Besuchers gleich mit dazu.

Kleiner Exkurs an dieser Stelle: Wann dürfen Sie personenbezogene Daten verarbeiten?

Kleiner Exkurs an dieser Stelle: Immer dann, wenn es eine Rechtsgrundlage dafür gibt, wenn die Verarbeitung zur Erfüllung eines Vertragsverhältnisses notwendig ist, oder wenn Sie die Einwilligung der betroffenen Person bekommen haben. Der Vollständigkeit halber sei hier auch noch erwähnt, dass auch das sogenannte „berechtigte Interesse“ als Erlaubnistatbestand für die Verarbeitung personenbezogener Daten gelten kann. Da in unserem Fall kein berechtigtes Interesse vorliegt und es hier zu weit führen würde zu erklären, wann genau das so wäre, grenzen wir dieses Thema heute aus.

Kleiner Exkurs an dieser Stelle: Eine Rechtsgrundlage für die Verarbeitung von Daten liegt z.B. bei der Übermittlung von Gehaltsinformationen an die Krankenkassen vor. Sie brauchen keine Einwilligung von den einzelnen Arbeitnehmern oder vom Arbeitgeber dafür, die Daten im Rahmen der Erstellung der Lohnabrechnungen zu übermitteln, da dieses Vorgehen gesetzlich vorgeschrieben ist. Die Verarbeitung von personenbezogenen Daten zur Erfüllung eines Vertragsverhältnisses liegt z.B. bei der Organisation Ihrer Personalstammdaten vor. Auch hier brauchen Sie keine Einwilligung, die Stammdaten Ihrer Mitarbeiter speichern zu dürfen, da die Erfüllung des Arbeitsvertrags sonst nicht möglich wäre.

Kleiner Exkurs an dieser Stelle: Für die Besucher Ihrer Website greifen diese beiden Punkte nicht. Es gibt weder ein Gesetz, dass Sie und auch Anbieter eingebundener Tools dazu verpflichtet, die IP-Adressen Ihrer Besucher zu verarbeiten, noch haben Sie zum Zeitpunkt des Besuchs der Webseite ein Vertragsverhältnis, das ohne Besuch der Website und Verarbeitung der Daten nicht ausführbar wäre.

Sie sehen schon: Sie brauchen (fast immer) eine Einwilligung.

Sie sehen schon: Warum haben wir auf unserer Seite dann keinen Consent Banner? Diese Frage wird uns natürlich oft gestellt.

Die Antwort ist recht einfach: wir haben unsere Seite so erstellt, dass keine Einwilligungen notwendig sind. Die IP-Adressen, die in den Protokollen auf unserem Webserver gespeichert werden, gehen über das technisch notwendige Maß nicht hinaus.

Die Antwort ist recht einfach: Da das Internet nun mal ohne Austausch der IP-Adressen nicht funktioniert, geht man davon aus, dass jeder Internet-User sich der Tatsache im Klaren ist, dass diese IP-Adresse für alle technisch notwendigen Vorgänge beim Betreiber der Webseiten, die man besucht, gespeichert wird. Da wir darüber hinaus keine Daten verarbeiten, wird der Einsatz eines Consent Banners unnötig.

Die Antwort ist recht einfach: Die Daten, die unser Website-Analyse-Tool verarbeitet, sind so anonymisiert, dass ein Personenbezug nicht herstellbar ist. Die Informationen, die wir daraus gewinnen, reichen für unsere Zwecke völlig aus.

Die Antwort ist recht einfach: Wenn Sie also z.B. Website Analyse Tools einsetzen, die personenbezogene Daten speichern, brauchen Sie eine Einwilligung. Wenn Sie Tools in Ihre Website eingebunden haben, deren Hersteller die Daten auf Servern in Drittländern außerhalb der EU speichern oder an Subunternehmer weitergeben, die das tun, brauchen Sie eine Einwilligung. Es kommt also ganz darauf an, was Sie und die Hersteller der Lösungen, die auf Ihrer Homepage eingebunden sind, mit den Daten Ihrer Besucher tun und wie die jeweiligen Tools konfiguriert sind, um festzustellen, ob Sie eine Einwilligung brauchen oder nicht.

Die Antwort ist recht einfach: Als Beispiel möchte ich nochmal auf das Website-Analyse-Tool zurückkommen. So, wie wir unser Tool konfiguriert haben, läuft die Datenverarbeitung DSGVO-konform, wir brauchen keine zusätzliche Einwilligung von den Besuchern unserer Website. Hätten wir uns für eine andere Form der Installation des Tools entschieden oder ggf. auch nur ein paar Häkchen in der Konfiguration anders gesetzt, würden wir eine Einwilligung benötigen und bräuchten einen Consent Banner auf unserer Webseite. Es kommt also nicht ausschließlich darauf an, was Sie mit den Daten Ihrer Homepagebesucher tun, sondern auch darauf, wie Sie das tun.

Die Antwort ist recht einfach: Wie kann ein Consent Banner helfen?

Die Antwort ist recht einfach: Je nachdem, wie Ihre Homepage gestaltet ist, können da schon einige Einwilligungen zusammen kommen, die Sie von den Benutzern einholen müssen. Es ist technisch nicht ganz einfach, das korrekt umzusetzen. Die Daten der Besucher werden ja schon in dem Moment verarbeitet, in dem die Webseite im Browser geladen wird. Zu diesem Zeitpunkt kann der Benutzer aber noch gar keine Einwilligung in die Datenverarbeitung gegeben haben, da diese schon begonnen hat, bevor überhaupt entsprechende Infos angezeigt werden können.

Die Antwort ist recht einfach: Dieses Problem lösen gute und technisch sauber entwickelte Consent Banner. Sie blockieren die Verarbeitungsvorgänge im Hintergrund beim Laden der Website und zeigen in Form eines Banners oder eines Popups an, welche Daten verarbeitet werden. Hier kann der Benutzer dann sein Einverständnis geben oder verweigern. Optimalerweise werden Vorgänge, die Daten speichern möchten, zu denen aber keine Einwilligung gegeben wurde, im Anschluss blockiert.

Die Antwort ist recht einfach: Als Websitebetreiber ist es also Ihre Aufhabe, alle Vorgänge auf Ihrer Website, die einwilligungspflichtig personenbezogene Daten verarbeiten, zu identifizieren und in einem Consent Banner zu hinterlegen. Die technische Organisation der Einwilligung beim Laden Ihrer Website wird dann vom Consent Banner selbst übernommen.

Die Antwort ist recht einfach: Jetzt stellen Sie sich bestimmt die Frage, wie Sie bitteschön herausfinden sollen, was in den Consent Banner Ihrer Webseite eingepflegt werden muss. Da gibt es natürlich verschiedene Lösungen. Wie Sie selbst herausfinden können, welche Cookies gesetzt werden und welche Daten verarbeitet werden, haben wir schon vor einiger Zeit in einem umfangreichen Artikel auf unserer Website veröffentlicht. Sie finden den Artikel auf www.munker.info im Blog, hier müssen Sie ggf. ein bisschen nach unten scrollen.

Die Antwort ist recht einfach: Schneller und – ohne Ihnen zu nahe treten zu wollen – wahrscheinlich auch zuverlässiger funktioniert das Ganze, wenn Sie ihre Website scannen lassen, um all das zu identifizieren, was ohne weitere Einwilligung nicht datenschutzkonform installiert wäre. Einen solchen Scan bieten wir ebenfalls auf unserer Website an, das ist die DSGVO-Website-Analyse. Die Links zum Blogartikel und zur Website-Analyse stelle ich Ihnen in den Shownotes ein, so dass Sie sich alles in Ruhe ansehen können.

Die Antwort ist recht einfach: Warum reicht eine Einwilligung manchmal nicht aus?

Die Antwort ist recht einfach: Wie schon zu Beginn der Episode erwähnt, müssen wir uns unbedingt auch ansehen, was Sie mit einer Einwilligung durch den Besucher Ihrer Homepage datenschutzrechtlich nicht heilen können.

Die Antwort ist recht einfach: Dazu müssen wir uns kurz ansehen, welche Voraussetzungen an eine rechtsverbindliche Einwilligung geknüpft sind. Eine DSGVO-konforme Einwilligung muss

Die Antwort ist recht einfach: Freiwillig

Die Antwort ist recht einfach: Für einen konkreten Fall

Die Antwort ist recht einfach: Nach ausreichender Information des Betroffenen und

Die Antwort ist recht einfach: Unmissverständlich abgegeben werden.

Die Antwort ist recht einfach: Der Betroffene muss eine echte und freie Wahl haben.

Die Antwort ist recht einfach: Unser Problem an dieser Stelle ist der Punkt der ausreichenden bzw. umfassenden Information des Betroffenen, also des Besuchers Ihrer Website. Sie sind demnach verpflichtet, dem Besucher umfassend und gut verständlich darzulegen, was Sie selbst oder – und hier kommt die Schwierigkeit ins Spiel – die Anbieter eingebundener Lösungen tatsächlich mit den personenbezogenen Daten tun.

Um es mal ganz unwissenschaftlich auszudrücken: versuchen Sie bitte in wenigen, einfach zu verstehenden Sätzen auszuformulieren, was Google genau mit den Daten Ihres Websitebesuchers tut, wozu diese verarbeitet werden, an wen diese weitergegeben werden und wie die Löschung der Daten umgesetzt wird, wenn der Besucher seine Einwilligung widerrufen möchte. Es wird ihnen nicht gelingen. Dabei ist das Problem noch nicht einmal, dass Tools wie Google Analytics oder Youtube – was auch zu Google gehört – technisch extrem komplex sind. Nein, sie bekommen schlicht nicht die Informationen von den Anbietern (und das betrifft nicht nur Google), die sie benötigen. Sie können Ihre Besucher also nicht umfassend informieren, und damit wäre eine erteilte Einwilligung rechtlich gesehen ungültig. Ein Consent Banner ist also kein Heilmittel für den Einsatz von Lösungen, die grundsätzlich nicht datenschutzkonform nutzbar sind. Hier herrscht oft das Mißverständnis, dass ein Klick auf „Ja“ jedes Datenschutzproblem lösen kann.

An dieser Stelle müssen wir auch die optische Gestaltung des Consent Banners ansprechen. Auch hier ist nämlich genau zu beachten, unter welchen Voraussetzungen eine Einwilligung rechtsgültig ist: der Betroffene muss eine echte und freie Wahl haben. Die Wahl darf also nicht beeinflusst oder manipuliert werden.

An dieser Stelle müssen wir auch die optische Gestaltung des Consent Banners ansprechen. Auch hier ist nämlich genau zu beachten, unter welchen Voraussetzungen eine Einwilligung rechtsgültig ist: Gestalten Sie einen Consent Banner so, dass es dem Besucher besonders leicht fällt, auf „ok“ zu klicken, und es sehr umständlich ist, die Einwilligung nicht zu erteilen, wird eine über diesen Consent Banner eingeholte Einwilligung als ungültig angesehen. Sie alle kennen bestimmt die Banner auf Homepages, die mit einem kurzen, einzeiligen Text und einem „Ok“ Button auskommen. Der OK-Button ist in der Regel groß und deutlich zu sehen und farblich schön hervorgehoben. Will man sich über die Datenverarbeitung informieren, muss man auf einen kleinen, grauen Link klicken, und dort bei Bedarf erst einmal einige voraktivierte Optionen manuell deaktivieren, um speichern zu können, dass man für bestimmte Dinge eben keine Einwilligung erteilen möchte. Diese Vorgehensweise ist definitiv zweifelhaft und hält einer Prüfung sehr wahrscheinlich nicht stand.

An dieser Stelle müssen wir auch die optische Gestaltung des Consent Banners ansprechen. Auch hier ist nämlich genau zu beachten, unter welchen Voraussetzungen eine Einwilligung rechtsgültig ist: Achten Sie also bei der optischen Gestaltung des Consent Banners darauf, dass die Möglichkeiten zur Zustimmung und Verweigerung ebenbürtig dargestellt werden und keine optische oder inhaltliche Beeinflussung des Besuchers stattfindet.

Unser Plädoyer: arbeiten Sie von Anfang an Datenschutzkonform.

Unser Plädoyer: All die Tools, die Sie auf Ihrer Website einbinden und im Hintergrund einsetzen können, sind sicher oft verlockend, bieten tolle Möglichkeiten und lassen Sie spannende Einblicke in das Nutzerverhalten Ihrer Homepagebesucher gewinnen. Wenn Sie diese Möglichkeiten wirklich brauchen, anbieten wollen oder dann – z.B. im Falle von Analysetools – wirklich intern weiter nutzen, können und sollen Sie das natürlich tun, sofern die Tools grundsätzlich datenschutzkonform nutzbar sind.

Unser Plädoyer: Unser Vorschlag dazu, der schon auf vielen Webseiten schnell zur Behebung eines Einwilligungs-Durcheinanders und so manches nicht datenschutzkonformen Zustands geführt hat.

Unser Plädoyer: Brauchen Sie eine Funktion wirklich oder ist das „Nice to have“.Nehmen Sie sich bitte VOR der Installation oder Konfiguration eines Tools einmal, ob das wirklich wichtig und notwendig ist und ob Sie die Daten, die Ihnen als Ergebnis zur Verfügung stehen – z.B. bei Website Analyse Tools – auch wirklich nutzen werden. Nein? Lassen Sie das Tool einfach weg. Ja? Dann kommen wir zu Punkt 2.

Gibt es eine einwilligungsfreie Alternative?Sehen Sie sich das Tool, das zum Einsatz kommen soll, genau an. Ist es grundsätzlich überhaupt datenschutzkonform zu betreiben? Wenn ja, gibt es datenschutzfreundliche Konfigurationsmöglichkeiten, die Ihnen erlauben, auf die Einwilligung zu verzichten? Dann empfehlen wir Ihnen dringend, das Tool auch so zu nutzen, denn das ist immer die rechtskonforme Variante. Und Sie kommen sicher ans Ziel: Eine Einwilligung kann auch verweigert werden, dann können Sie einen Service nicht anbieten oder Daten nicht nutzen. Wenn Sie auf eine datenschutzkonforme Konfiguration setzen, oder eine datenschutzkonforme Alternative zu Ihrem Tool finden, läuft ihr Service immer, und ihre Analysetools erfassen 100% aller Nutzer. Brauchen Sie eine Einwilligung für den Betrieb ihres Analysetools, können Sie immer nur auf die Daten eines Teils der Besucher zugreifen. Die Besucher, die nicht einwilligen, bleiben Ihnen verborgen. Am Ende haben Sie also mehr davon, gleich datenschutzkonforme Varianten einzusetzen. Sollten Sie um eine Einwilligung nicht herumkommen, gehen wir zu Punkt 3:

Gibt es eine einwilligungsfreie Alternative?Sehen Sie sich das Tool, das zum Einsatz kommen soll, genau an. Ist es grundsätzlich überhaupt datenschutzkonform zu betreiben? Wenn ja, gibt es datenschutzfreundliche Konfigurationsmöglichkeiten, die Ihnen erlauben, auf die Einwilligung zu verzichten? Dann empfehlen wir Ihnen dringend, das Tool auch so zu nutzen, denn das ist immer die rechtskonforme Variante. Und Sie kommen sicher ans Ziel: Binden Sie das Tool korrekt in ConsentBanner und Datenschutzhinweis ein. Alle Tools und Plugins, für die Einwilligungen notwendig sind, sollten auch wirklich im ConsentBanner aufgeführt werden. Seien Sie hier sorgfältig. Denken Sie auch daran, die notwendigen Informationen dazu im Datenschutzhinweis Ihrer Website einzubinden. Was genau dort stehen muss, sehen wir uns noch in einer der nächsten Episoden von „So geht sicher“ an.

Gibt es eine einwilligungsfreie Alternative?Sehen Sie sich das Tool, das zum Einsatz kommen soll, genau an. Ist es grundsätzlich überhaupt datenschutzkonform zu betreiben? Wenn ja, gibt es datenschutzfreundliche Konfigurationsmöglichkeiten, die Ihnen erlauben, auf die Einwilligung zu verzichten? Dann empfehlen wir Ihnen dringend, das Tool auch so zu nutzen, denn das ist immer die rechtskonforme Variante. Und Sie kommen sicher ans Ziel: So, damit bin ich am Ende dieser Episode, vor der es mir – zugegeben – etwas gegraust hat. Das Thema Consent Banner verbindet nunmal verschiedene rechtliche und technisch nicht triviale Themen miteinander. Ich hoffe es ist mir gelungen, auch diese Sachverhalte verständlich und praxisnah zu erklären. Behalten Sie unbedingt im Hinterkopf, dass für manche Verarbeitungsvorgänge auf Ihrer Homepage eine Einwilligung notwendig ist, dass diese an bestimmte Bedingungen geknüpft ist, und dass auch eine erteilte Einwilligung nicht jedes Problem lösen kann. Mit diesem Knowhow gehen Sie an die Einbindung von Tools auf Ihrer Homepage bestimmt umsichtig heran und können den Fachleuten die richtigen Fragen stellen.

Gibt es eine einwilligungsfreie Alternative?Sehen Sie sich das Tool, das zum Einsatz kommen soll, genau an. Ist es grundsätzlich überhaupt datenschutzkonform zu betreiben? Wenn ja, gibt es datenschutzfreundliche Konfigurationsmöglichkeiten, die Ihnen erlauben, auf die Einwilligung zu verzichten? Dann empfehlen wir Ihnen dringend, das Tool auch so zu nutzen, denn das ist immer die rechtskonforme Variante. Und Sie kommen sicher ans Ziel: Wenn Sie spezielle Themenwünsche haben, oder Fragen zur heutigen Episode, Hinweise oder Kritik, dann schreiben Sie uns gerne, die Kontaktdaten finden Sie wie immer in den Shownotes. Und wenn Sie mehr von diesem Podcast hören wollen, sollten Sie „so geht sicher“ JETZT GLEICH abonnieren. Bis bald!