Der Landesbeauftragte für den Datenschutz Niedersachsen hat neue Richtlinien und Hinweise herausgebracht, wie ein konformer Consent-Layer auszusehen hat. Hier die wichtigsten Infos zusammengefasst.
Viele Consent-Tools nicht konform
Als erstes kommt das LDF zu der Erkenntnis, dass viele DSGVO-Tools eben doch nicht DSGVO-konform sind. Der Einsatz eines Consent Management Tools wird es in der Regel ermöglichen, dass die Webseite konform werden kann um datenschutzkonforme Einwilligungen einzuholen – es liegt aber am Webseitenbetreiber das Tool auch richtig zu konfigurieren.
Praxistipp: Die Default-Einstellungen bei consentmanager sind bereits auf die empfohlenen Werte gesetzt. Sind Sie sich unsicher, wie Sie unser Tool einstellen sollen, verwenden Sie einfach die Default-Einstellungen.
Keine Datenverarbeitung vor der Zustimmung
Das LDF stellt außerdem noch mals klar, dass eine Datenverarbeitung, d.h. das Setzen von Cookies und der Aufruf von Drittanbietern, erst erfolgen darf, wenn eine Zustimmung vor liegt (z. B. durch ein Consent-Banner auf der Internetseite).
Praxistipp: Nutzen Sie unseren Konformitätstest vom Cookie Crawler um festzustellen, dass ohne Zustimmung keine Cookies gesetzt werden.
Informationen im Consent-Layer
Darüber hinaus wird vom LDF noch mals klargestellt, welche Informationen in einem Consent-Banner auf der Internetseite hinein gehören, um eine datenschutzkonforme Einwilligung zu erhalten. Diese sind insbesondere:
- Identität des Verantwortlichen,
- Verarbeitungszwecke,
- die verarbeiteten Daten,
- die Absicht einer ausschließlich automatisierten Entscheidung (Art. 22 Abs. 2 lit. c) und
- die Absicht einer Datenübermittlung in Drittländer (Art. 49 Abs. 1 S. 1 lit. a)
Ferner wird klar gestellt, dass die Zwecke konkret sein müssen. Eine Formulierung wie „Verbesserung des Surferlebnis“ oder „Marketing, Analyse und Personalisierung“ sind nicht ausreichend.
Gleiches gilt für die Angabe der Partner: Es ist nicht ausreichend nur davon zu sprechen, dass „Partner“ die Daten verarbeiten werden – es müssen alle Partner auch einzeln benannt werden.
Praxistipp: Der consentmanager liefert die meisten der geforderten Daten bereits mit, Sie sollten jedoch kontrollieren ob für Ihre Einsatzgebiete die Zwecke ausreichend konkret benannt sind.
Eindeutige Einwilligung und Nudging
Zuletzt wird vom LFD klar gestellt, dass eine Schaltfläche klar verständlich und eindeutig beschriftet sein muss. Ein „Okay“-Button ist hier nicht ausreichend und auch ein „Alle akzeptieren“ kann zu unklar sein (wenn im Text nicht ausreichend beschrieben wird was akzeptiert wird).
Gleichzeitig stellt das LFD klar, dass die sogenannten „PUR-Modelle“ (Werbung akzeptieren oder Abo abschließen) konform sein können.
Auusführlich geht das LFD zudem darauf ein, dass das sogenannte Nudging oder Dark-Patterns nicht erlaubt sind. Dabei geht es darum, dass der Nutzer bewusst oder unterbewusst zu einer Entscheidung gedrängt wird und damit die „freie Wahl“ untergraben wird. Dies ist bereits dann der Fall, wenn etwa der Ablehnen Button anders (weniger auffällig) gestaltet ist oder das Ablehen nur durch Klick auf „Einstellungen“ oder dergleichen ermöglicht wird.
Praxistipp: Verwenden Sie immer zwei Buttons (Akzeptieren und Ablehnen) und formulieren Sie diese klar verständlich.
Den vollständigen Bericht des LFD Niedersachsen finden Sie hier.
