two hands clasping

Coach Consent

Lesedauer: 7 Minuten

Jetzt lesen
27. Januar 2023

Inhaltsverzeichnis

  1. Keep your friends close, but your data closer
  2. Freiwillig währt am längsten
  3. Wieso, weshalb, warum
  4. Ja, ich will…informieren
  5. Keine Missverständnisse erlaubt
  6. Der Beweis
  7. Ich will doch nicht, und das ist okay

Der Besuch einer Webseite beginnt gerne mit einem Wettrennen. Ein Wettrennen, das nicht von Jubelschreien, sondern dem leisen Surren eines Desktops begleitet wird. Ein Wettrennen, das nicht mit Laufschuhen, sondern mit einer im Optimalfall ergonomisch angepassten Maus bestritten wird. Ein Wettrennen, dessen Sieger nie ersichtlich sein wird. Es ist ein Wettrennen um den schnellsten Klick auf den „Alles ablehnen“-Button, der sich, der Spannung halber gräulich eingefärbt in der rechten unteren Ecke eines beliebigen Cookie-Banners befindet. Diese Szene findet schätzungsweise so, oder zumindest so ähnlich, millionenfach pro Tag in europäischen Haushalten statt. Dabei wird das machtvolle Instrument der Einwilligung, das Konsumentinnen eine Wahl und Betreiberinnen ein Mittel der Kommunikation bietet, unnötigerweise zu Indiana Jones Teil 6: In den Untiefen des Second Layer umfunktioniert. Bei den vielen Richtlinien, Gesetzen und Verordnungen sowie unterschiedlichen Meinungen von Datenschutzbehörden ist es aber nicht weiter verwunderlich, dass es Unklarheiten über die Gestaltung eines Consent Banners gibt. APOCRAT möchte dem entgegenwirken und hat deswegen eigens Coach Consent engagiert, der Ihnen in diesem Beitrag seine 7 Schritte zum Best Practice Einwilligungserfolg vorstellt.

Zusammenfassung:

  1. Verschaffen Sie sich einen Überblick über die von Ihnen verarbeitenden Daten

  2. Geben Sie Ihren Nutzer*innen eine echte Wahl

  3. Legen Sie fest, für welche Zwecke die Daten verarbeitet werden sollen

  4. Versehen Sie die festgelegten Verwendungszwecke mit ausreichend Information

  5. Ermöglichen Sie eine eindeutige bestätigende Handlung

  6. Achten Sie auf Ihre Nachweispflicht

  7. Ermöglichen Sie eine Widerrufsmöglichkeit

Liebe Leser*innen,

das Verfahren des Einholens, Durchsetzens und Dokumentierens von Einwilligungen gibt es keineswegs ohne Grund. Es erlaubt neben der Erfüllung eines Vertrages oder einer rechtlichen Verpflichtung eine rechtmäßige Verarbeitung von (personenbezogenen) Daten. Es baut zudem Vertrauen auf und zeigt, wenn richtig umgesetzt, Nutzer*innen in einfacher und übersichtlicher Weise, weshalb es die Verarbeitung ihrer Daten zu ihrem Vorteil braucht. Dieser Dialog aus Information und Akzeptanz kann auf Augenhöhe geführt werden und ich möchte Ihnen heute zeigen, wie das geht:

Keep your friends close, but your data closer

Bevor Sie sich um effektives Einwilligungsmanagement kümmern können, benötigen Sie einen Überblick über die von Ihrem Unternehmen gesammelten Daten. Nur so können Sie sichergehen, dass Sie sämtliche Verwendungszwecke auf Ihrem Consent Banner abbilden. Unterscheiden sie dabei zwischen personenbezogenen, sensiblen und nicht personenbezogenen Daten.

Personenbezogen Daten sind all jene Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als Beispiele können der Name, die Standortdaten oder besondere physische Merkmale von Nutzer*innen genannt werden. In der gesamten Europäischen Union braucht es laut DSGVO für die Verarbeitung, also dem Erheben, Erfassen, Ordnen, Speichern, Auslesen und Verwenden von personenbezogen Daten, eine von sechs Rechtsgrundlagen, u.a. eine Einwilligung.

Die Verarbeitung von sensiblen Daten, also Daten, aus denen ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen hervorgehen oder genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zu der sexuellen Orientierung einer natürlichen Person ist laut DSGVO in der EU untersagt. Das ist nur dann nicht der Fall, wenn die betroffene Person ausdrücklich eingewilligt (Sonderfall) hat.

Nicht personenbezogene Daten fallen in der EU zwar nicht unter die DSGVO, in Deutschland aber in Zusammenspiel mit Endeinrichtungen wie vernetzten Spielzeugen unter das TTDSG. Erfolgt die Speicherung von oder der Zugriff auf nicht personenbezogene oder personenbezogene Daten in der Endeinrichtung, braucht es die Einwilligung der Nutzer*innen. Die Anforderungen an die Einwilligung sind an die DSGVO angepasst. Das TTDSG gilt für alle in Deutschland verkauften oder hergestellten Endeinrichtungen.

Freiwillig währt am längsten

Nachdem Sie sich einen Überblick über die gesammelten Daten in ihrem Unternehmen und die mit ihrem Standort verbundenen Regelungen gemacht haben, es ist nun an der Zeit, einen rechtskonformen und massentauglichen Consent Banner aufzusetzen. Beginnen Sie mit dem Prinzip der Freiwilligkeit.

Geben Sie Ihren Nutzer*innen eine echte Wahl. Drängen Sie sie nicht zur Einwilligung, indem Sie die Einwilligung zu einem nicht verhandelbaren Teil der Geschäftsbedingungen machen. Das ist nicht erlaubt und nicht zielführend. Geben Sie den betroffenen Personen, die Möglichkeit, genauso einfach die Einwilligung zu verweigern wie zu akzeptieren bzw. ohne negative Folge zurückzuziehen. Achten Sie besonders darauf, welche Verarbeitungszwecke Sie für die Erfüllung eines Vertrages oder die Erbringung einer Dienstleistung in die Einwilligung mit aufnehmen. Vermeiden Sie also im Sinne der Wirksamkeit der Einwilligung die Einflussnahme auf betroffene Personen.  

Ihren Nutzerinnen eine einfache Möglichkeit zu geben, das Sammeln von Daten zu verweigern, klingt vermutlich zunächst etwas erschreckend. Immerhin gelten Daten nicht grundlos als das Gold unserer Zeit, ohne das viele Unternehmen ein großes wirtschaftliches Risiko eingehen. Vergessen Sie jedoch nicht, dass eine auf Freiwilligkeit basierende Verarbeitung von Daten einen immensen Vertrauensboost in Ihr Unternehmen darstellt. Nutzen Sie also den Dialog der Einwilligung, um mit Datentransparenz Ihre Kundeninnen ans Unternehmen zu binden.

Wieso, weshalb, warum

Legen Sie nun fest, für welche Zwecke die Daten gesammelt bzw. verarbeitet verwenden sollen. Denn für jeden einzelnen Zweck muss den betroffenen Personen eine Wahlmöglichkeit zur Verfügung stehen. Der Zweck muss dabei eindeutig und legitim sein, damit die betroffenen Personen von der schrittweisen Ausweitung oder dem Vermischen von Zwecken geschützt werden. Ein Zweck kann allerdings mehrere Vorgänge beinhalten, für die nicht extra die Einwilligung der Nutzer*innen eingeholt werden. Beispiele für Verwendungszwecke von Daten sind etwa Marketing, Optimierung oder Statistik.

Ja, ich will…informieren

Versehen Sie im nächsten Schritt Ihre Consent Banner mit Informationen, um den betroffenen Personen eine Einwilligung „in informierter Weise“ zu ermöglichen. Bei der Frage nach der Art der Information können Sie sich an der Auffassung des Europäischen Datenschutzausschusses orientieren. Diese sieht vor, dass sich:

  • die Identität des Verantwortlichen (Ihr Unternehmen)

  • der Zweck jedes Verarbeitungsvorgangs, für den die Einwilligung eingeholt wird

  • die (Art der) Daten, die erhoben und verwendet werden

  • das Bestehen eines Rechts, die Einwilligung zu widerrufen

  • gegebenenfalls Informationen über die Verwendung der Daten für eine automatisierte Entscheidungsfindung

  • Angaben zu möglichen Risiken von Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien

vorfinden lassen. Wie Sie die Informationen bereitstellen, ist Ihnen überlassen. Achten Sie allerdings darauf, dass Sie eine klare und einfache Sprache verwenden, um damit dem Durchschnittsbürger zu entsprechen. Verboten ist lediglich, dass Sie die Informationen zur Einwilligung nicht klar von anderen Sachverhalten trennen, weswegen etwa Informationen in den AGBs ungültig sind.

Keine Missverständnisse erlaubt

Eine Einwilligung laut DSGVO macht eine eindeutige bestätigende Handlung durch die betroffene Person oder eine Erklärung erforderlich. Damit ist die Einwilligung nur wirksam, wenn sie durch eine aktive Handlung erteilt wurde. Damit sind etwa eine schriftliche oder eine mündliche Erklärung, die auch elektronisch erfolgen kann, gemeint. Es gelten allerdings auch das Anklicken eines Kästchens oder die Auswahl technischer Einstellungen. Bereits angekreuzte Kästchen wiederum sind nicht erlaubt, auch nicht das Einbinden der Einwilligung in den Zustimmungsvorgang der AGBs oder eines Vertrages.

Der Beweis

Um vor etwaigen Strafen gefreit zu sein, ist es von besonderer Relevanz, das Einholen der Einwilligung auch nachweisen zu können. Denn nur dann ist eine Einwilligung auch wirklich gültig. Dabei steht es Ihnen frei, welche Methode Sie dafür verwenden. Halten Sie im Sinne der Wirksamkeit auf jeden Fall fest, wann Sie die Einwilligung erhalten, welche Informationen Sie der betroffenen Person mitgeteilt und welche Arbeitsabläufe stattgefunden haben.

Ich will doch nicht, und das ist okay

Stellen Sie unbedingt sicher, dass die Nutzer*innen Ihrer Webseite oder App die Einwilligung jederzeit widerrufen können und dass der Widerruf genau so einfach ist wie das Erteilen der Einwilligung. Wenn Sie den betroffenen Personen also elektronisch mittels Mausklick, Wischvorgang oder Tastenschlag die Einwilligung ermöglichen, so muss das auch für den Widerruf gelten. Das Gleiche gilt auch für elektronische Schnittstellen eines Gerätes des Internet der Dinge oder einer App. Sorgen Sie außerdem dafür, dass Widerruf ohne Nachteile für die betroffene Person erfolgt. Das umfasst u.a. den gebührenfreien Widerruf oder das Halten des Leistungsniveaus. 

„Uff, da gilt es ja Einiges zu beachten“, werden Sie an dieser Stelle vollkommen zu Recht sagen. Um Ihnen den Weg zum Einwilligungserfolg zu erleichtern, möchte ich für Sie zu Ende dieses Blogbeitrags die genannten Prinzipien auf die erste und zweite Ebene eines Consent Banners übertragen.

Ebene 1 sollte folgende Informationen beinhalten:

  • Die Identität des Verantwortlichen (= Ihr Unternehmen)

  • Die genaue Beschreibung der Verarbeitungszwecke

  • Die Rechtgrundlage der Datenverarbeitung

  • Der Hinweis auf die Widerrufsmöglichkeit

  • Der Ort, an dem die Einwilligung widerrufen werden kann

  • Der Link zur Datenschutzerklärung

  • Die Art der verarbeitenden Daten

  • Der Prozess der Verarbeitung

  • Die „Alle annehmen“- und „Alle ablehnen“-Buttons

  • Die klare Möglichkeit, auf die zweite Ebene zu gelangen

Ebene 2 sollte folgende Informationen beinhalten:

  • Die Identität der verarbeitenden Parteien

  • Der Zweck der Verarbeitung der Parteien

  • Der Prozess der Verarbeitung der Parteien

  • Der Kontakt bei den Parteien und dessen Anschrift

  • Die Speicherdauer der Daten

  • Die Möglichkeit, granular abzuwählen nach Partei und Verwendungszweck

Best Practice Consent Banner

Damit darf ich mich, liebe Leser*innen, schon wieder von Ihnen verabschieden. Vorher erteile ich Ihnen aber noch meine Einwilligung, die oben genannten Schritte umzusetzen.

Ihr
Coach Consent

Kontakt
Partner & Sales Manager: Alexander Jürgens
E-Mail-Adresse: office@apocrat.at
Mobil: +43 676 4025255