Kurze Zusammenfassung
Die EDSA-Leitlinien in Kürze
Am 4. Mai 2020 verabschiedete der Europäische Datenschutzausschuss (EDSA) Richtlinien zur DSGVO-Konformität, die klarstellen, was eine gültige Einwilligung zur Verarbeitung und Übermittlung personenbezogener Daten in der EU darstellt. Sie bestätigen, dass die Verwendung von sogenannten Cookie Walls als Mittel zur Einholung der Einwilligung nicht datenschutzkonform ist.
Diese EDSA-Leitlinien festigen als allgemeine Leitlinien die einheitliche Anwendung der DSGVO, was einige der nationalen Aufsichtsbehörden und das EuGH-Urteil Planet49 unabhängig voneinander entschieden hatten. Da die EDSA-Leitlinien bestimmen, wie die Datenschutzbehörden in jedem EU-Mitgliedsstaat die DSGVO durchsetzen sollen, ist es sehr wichtig, diese Richtlinien zu beachten.
EDSA-Leitlinien zur gültigen Einwilligung
Damit eine Einwilligung DSGVO-konform ist, muss sie:
- freiwillig erfolgen,spezifisch sein,
- informiert erteilt werden und
- eindeutig sein.
Der Europäische Datenschutzausschuss stellt in seinen Leitlinien klar, dass die Einwilligung der Nutzer mit einer klaren und bestätigenden Handlung erfolgen muss.
Das Scrollen oder Wischen auf einer Website oder ähnliche Nutzeraktivitäten (auch als implizite Einwilligung bekannt) erfüllen nicht das Erfordernis einer gültigen Einwilligung nach der DSGVO und dem Europäischen Datenschutzausschuss.
Dies bedeutet also, dass der Cookie-Banner auf Ihrer Website nicht angeben darf, dass das fortgesetzte Browsen oder Scrollen auf Ihrer Website als Einwilligung zur Verwendung von Cookies, die personenbezogene Daten verarbeiten, angesehen wird, da dies keine gültige Form der Einwilligung nach der DSGVO ist.
Stattdessen muss der Cookie-Banner auf Ihrer Website interaktiv sein. Websites dürfen solange keine Cookies aktivieren, die personenbezogene Daten sammeln, bis die Nutzer ausgewählt haben, welche Kategorien von Cookies aktiviert werden dürfen (die so genannte vorherige Einwilligung).
Die EDSA-Leitlinien stellen auch klar, dass die Verwendung von vorab angekreuzten Opt-in-Feldern nicht DSGVO-konform ist, da auch dies nicht dem Erfordernis der klaren und bestätigenden Handlung entspricht.Hier ergänzen die EDSA-Leitlinien den Präzedenzfall, den der Gerichtshof der Europäischen Union (EuGH) im Oktober 2019 im Fall Planet 49 geschaffen hat.
Diese EuGH-Entscheidung urteilte, dass vorgekreuzte Kästchen auf Cookie-Bannern nicht erlaubt sind, da sie auch nicht der Anforderung entsprechen, dass die Zustimmung eine frei gegebene, positive Handlung sein muss.
Erzwungene Einwilligung betroffener Personen durch Cookie Walls
Die EDSA-Leitlinien untersagen also den Einsatz von Cookie Walls als nicht datenschutzkonformen Weg zur Einholung der Einwilligung.
Bei diesen wird nämlich die Einwilligung zur Aktivierungvon Cookies erzwungen oder den Nutzern bleibt keine Wahl, wenn sie auf bestimmte Dienste oder Funktionen der Website zugreifen möchten.
Welche wichtigen Auswirkungen haben die EDSA-Leitlinien auf meine Website?
Die EDSA-Leitlinien bekräftigen, was die Absicht der DSGVO von Anfang an war: die Nutzer mit echten, durchsetzbaren Rechten in Bezug auf ihre eigenen Daten und ihre Privatsphäre auszustatten.
In ihren Leitlinien zur Einwilligung macht der Europäische Datenschutzausschuss sehr deutlich, dass jeder Versuch, den Nutzer daran zu hindern, echte Macht über seine eigenen persönlichen Daten zu erlangen (wie das Erzwingen der Einwilligung oder das Vertrauen auf schlecht informierte implizite Einwilligungen), untersagt ist.
Mit anderen Worten: Ihre Website darf keine Cookies aktivieren, die personenbezogene Daten verarbeiten, es sei denn, der Nutzer hat dieser Verarbeitung in einem bewährten Verfahren klar und deutlich zugestimmt.
Für Ihre Website bedeutet dies:
- keine vorab angekreuzten Checkboxen auf Ihren Cookie-Bannern
- Scrollen und weiteres Browsen ist keine gültige Einwilligung
- Cookie Walls sind keine datenschutzkonforme Methode zur Einholung der Einwilligung
Wenn Ihre Website eine Consent Management-Lösung verwendet, die Cookies auf der Basis von fortgesetztem Scrollen, Klicken oder Browsen auf Ihrer Website oder durch vorab angekreuzte Checkboxen oder Cookie Walls aktiviert (d. h. jede andere Aktivität als die direkte, explizite Interaktion mit dem Banner zur Einwilligung), müssen Sie dies ändern.
Die EDSA-Leitlinien bilden die Grundlage für die Durchsetzung der DSGVO auf nationaler Ebene durch die federführende Aufsichtsbehörde in jedem EU-Mitgliedstaat. Wenn Ihre Website also von einem EU-Land aus betrieben wird oder wenn Ihre Website personenbezogene Daten von Personen aus einem EU-Land verarbeitet, müssen Sie die EDSA-Leitlinien einhalten, um DSGVO-Konformität zu erreichen.
EDSA-Leitlinien und DSGVO-Konformität
Sind Sie unsicher, ob Ihre Website die DSGVO-Anforderungen für die rechtmäßige Verwendung von Cookies und Trackern erfüllt? Haben Sie Zweifel, ob Ihre Domain die EDSA-Leitlinien für eine gültige Einwilligung natürlicher Personen erfüllt?
Dabei könnte sich herausstellen, dass Ihre Website viel mehr Cookies hat, als Ihnen bekannt ist, da:
- 72% der Cookies heimlich durch Tracker von Drittanbietern geladen werden, was es fast unmöglich macht, sie ohne geeignete Scan-Technologie zu erkennen.
- 18% der Cookies auf Websites Trojaner sind, d. h. Tracker, die bis in die Tiefe von acht anderen Cookies laden.
- 50% aller Trojaner zwischen Besuchen wechseln, so dass Nutzer riskieren, dass ihre personenbezogenen Daten von verschiedenen Dritten auf Ihrer Website erfasst werden, wenn sie diese erneut aufrufen.
Erfahren Sie mehr über die DSGVO und die Cookie-Einwilligung
Cookiebot und die EDSA-Leitlinien
Die Cookiebot CMP ist die weltweit führende Consent Management Platform (CMP) und hilft Ihnen dabei, Datenschutzvorschriften auf Ihrer Website einzuhalten.
Dazu bietet Cookiebot ein Plug-and-Play-System, das weder eine manuelle Implementierung noch eine Vor-Ort-Integration in Ihre Domain erfordert.
Sie implementieren die Consent Management Platform einfach aus der Cloud, um die personenbezogenen Daten Ihrer Nutzer vor dem Zugriff durch Dritte zu schützen.
Die Cookiebot CMP führt Deep-Scans Ihrer gesamten Website durch, um alle aktiven Cookies und Tracker aufzuspüren – sogar die versteckten Trojaner – und blockiert diese automatisch, bis Ihre Nutzer ihre Einwilligung erteilt haben, in voller Übereinstimmung mit der DSGVO.
Die CMP-Lösung von Cookiebot befolgt alle Leitlinien, die vom Europäischen Datenschutzausschuss in diesem Zusammenhang veröffentlicht wurden:
- automatische Blockierung aller Cookies und Tracker bis zur vorherigen Einwilligung
- detaillierte, bejahende Wahl der Einwilligung zu vier Kategorien von Cookies
- vollständige Cookie-Erklärung über Anbieter, Zweck, Dauer und Art der einzelnen Cookies
- einfache Möglichkeit für Nutzer, ihre Einwilligung zu ändern oder zurückzuziehen
- sicher dokumentierte Einwilligung der Nutzer
- automatische Erneuerung der Nutzereinwilligung
Die EDSA-Leitlinien im Detail
Die im Mai 2020 veröffentlichten Leitlinien des Europäischen Datenschutzausschusses zur gültigen Einwilligung sind ein detailliertes 40-seitiges Dokument (siehe Ressourcen).
Im weiteren Verlauf dieses Artikels werden wir einen genaueren Blick auf jeden der wesentlichen Abschnitte der EDSA-Leitlinien werfen, die Klarheit über die gültige Einwilligung nach der DSGVO schaffen:
- Freiwillig erteilte Einwilligung
- Bedingtheit der Einwilligung
- Granulare Einwilligung
- Spezifische Einwilligung
- Informierte Einwilligung
- Widerruf der Einwilligung
- Zusätzliche Bedingungen für die Einholung einer gültigen Einwilligung
- Rechte der betroffenen Person
Was ist der Europäische Datenschutzausschuss?
Der Europäische Datenschutzausschuss (EDSA) ist die federführende Aufsichtsbehörde, die für die einheitliche Auslegung und Anwendung der Allgemeinen Datenschutz-Grundverordnung (DSGVO) in der EU verantwortlich ist.
Der EDSA wurde mit der Verabschiedung der DSGVO im Jahr 2018 eingerichtet und besteht aus Vertretern der nationalen Datenschutzbehörden der einzelnen EU-Mitgliedstaaten.
Die Aufgabe des EDSA besteht darin, allgemeine Leitlinien zu verabschieden und Entscheidungen zu treffen, die klarstellen, wie die DSGVO von Websites, Unternehmen und Organisationen zur vollständigen Einhaltung interpretiert werden soll. Außerdem berät der Europäische Datenschutzausschuss die Europäische Kommission zu Datenschutzfragen.
Die Leitlinien des EDSA sind wichtige Dokumente und der Eckpfeiler bei der Durchsetzung der DSGVO in den EU-Mitgliedstaaten, wobei jede nationale Datenschutzbehörde für die Anwendung der DSGVO verantwortlich ist, beispielsweise die deutsche Aufsichtsbehörde für den Datenschutz.
Freiwillig erteilte Einwilligung
Ihre Website muss bei der Einholung von Nutzereinwilligungen zur Aktivierung von Cookies sicherstellen, dass die Nutzer ihre Einwilligung freiwillig erteilen. Dies stellt einen Grundpfeiler für eine gültige Einwilligung gemäß der DSGVO dar.
Wenn Nutzer keine wirkliche Wahl haben, sich zur Einwilligung gezwungen fühlen oder negative Folgen hinnehmen müssen, wenn sie nicht einwilligen (z. B. eingeschränkte Dienste oder verweigerter Zugang), dann ist die Einwilligung nicht gültig.
Ihre Website darf die Einwilligung nicht bündeln, d. h. wenn sie als nicht verhandelbarer Teil der Geschäftsbedingungen dargestellt wird, wird davon ausgegangen, dass sie nicht freiwillig erteilt wurde.Dementsprechend wird die Einwilligung nicht als gültig betrachtet, wenn Nutzer nicht in der Lage sind, die Einwilligung ohne Konsequenzen (wie z. B. verminderte Qualität der Dienste oder Zugangsverweigerung) zu verweigern oder zurückzuziehen.
Bedingtheit der Zustimmung
Wie oben kurz angesprochen, ist das Bündeln von Einwilligungen nicht DSGVO-konform.
Wenn sie z. B. von der Annahme von Geschäftsbedingungen oder der Erbringung einer Dienstleistung abhängig gemacht wird, für die keine durch Cookies und Tracker verarbeiteten personenbezogenen Daten erforderlich sind, gilt dies als ungültige Form der Einwilligung.
Die DSGVO enthält sechs Rechtsgrundlagen für die Verarbeitung personenbezogener Daten, von denen die erste die Einwilligung der Nutzer und die zweite die Ausübung eines Vertrags darstellt.
Die EDSA-Leitlinien machen sehr deutlich, dass diese beiden Rechtsgrundlagen nicht zusammengeführt oder vermischt werden dürfen, d. h. wenn sich Ihre Website auf die Einwilligung der Nutzer zur Verwendung von Cookies und Trackern stützt, die personenbezogene Daten verarbeiten, kann diese Einwilligung nicht von der Erbringung einer Dienstleistung abhängig gemacht werden, für die die personenbezogenen Daten nicht erforderlich sind (siehe dazu DSGVO Artikel 7, 4).
Dies ist der Teil der EDSA-Leitlinien, der die Verwendung von Cookie Walls als eine datenschutzkonforme Form der Einholung von Einwilligungen faktisch ausschließt, da eine erzwungene Einwilligung nicht freiwillig erteilt wird.Der Zwang zur Einwilligung in die nicht notwendige Erhebung personenbezogener Daten steht der freiwillig erteilten Einwilligung im Wege.
Granulare Einwilligung
Auf den meisten Websites weltweit sind viele verschiedene Cookies in Betrieb, die von verschiedenen Anbietern unterschiedliche Daten für unterschiedliche Zwecke sammeln.
Die EDSA-Leitlinien stellen klar, dass, wenn Ihre Website personenbezogene Daten für mehr als einen Zweck verarbeitet, die Nutzer in der Lage sein müssen, frei zu wählen, welchen Zweck sie akzeptieren – anstatt einem Bündel von Verarbeitungszwecken zustimmen zu müssen.
Dies bedeutet für Ihre Website, dass Sie alle Cookies und ihre verschiedenen Zwecke kennen und Ihren Nutzern die Möglichkeit bieten müssen, die Aktivierung einiger Cookies auszuwählen und anderer abzulehnen, was auch als granulareEinwilligung bekannt ist.
Spezifische Einwilligung
Eine gültige Einwilligung muss nach den EDSA-Leitlinien immer spezifisch sein, d. h. es muss eindeutig ein spezifischer, expliziter und legitimer Zweck für die beabsichtigte Verarbeitungstätigkeit festgelegt werden.
Um diese Datenschutzanforderung zu erfüllen, muss Ihre Website Folgendes gewährleisten:
- Zweckdefinition als Schutz gegen „Function Creep“ (d. h., dass personenbezogene Daten für mehrere Zwecke verwendet werden, ohne dass für jeden einzelnen Zweck die spezifische Einwilligung der Nutzer vorliegt)
- Angabe von Details bei Einwilligungsanfragen
- Klare Trennung der Informationen bezüglich der Einwilligung zu Datenverarbeitungsaktivitäten von Informationen zu sonstigen Angelegenheiten
Informierte Einwilligung
Eine gültige Einwilligung muss in informierter Weise erfolgen, d. h. die Nutzer müssen wissen und verstehen, worauf sie sich einlassen.
Ihre Website muss im Banner mindestens die folgenden Informationen angeben, damit eine Einwilligung als informiert gilt:
- Sie und die Identität Ihrer Website
- Zweck der einzelnen Verarbeitungsvorgänge, für die auf Ihrer Website um Einwilligung gebeten wird
- welche Art von Daten auf Ihrer Website gesammelt und verwendet werden
- das Recht auf Widerruf der Einwilligung
- Informationen über die Verwendung der Daten für die automatisierte Entscheidungsfindung
- mögliche Risiken bei der Datenübertragung auf Grundlage eines Angemessenheitsbeschlusses, wie in DSGVO Artikel 46 beschrieben wird.
Ihre Informationen müssen für Ihre Nutzer in klarer und verständlicher Sprache verfasst sein und für die allgemeine Bevölkerung (und nicht nur für Juristen) leicht verständlich sein.
Widerruf der Einwilligung
Wenn sich Ihre Website auf die Einwilligung zur Verarbeitung personenbezogener Daten durch die Verwendung von Cookies und Trackern stützt, müssen Sie bereit sein, die Entscheidungen Ihrer Nutzer auch dann zu respektieren, wenn diese Einwilligung widerrufen wird. Dies ist eine DSGVO-Anforderung.
Die Nutzer müssen ihre Einwilligung genauso einfach widerrufen können, wie sie sie erteilt haben. Tatsächlich ist es eine Bedingung für die Gültigkeit der Einwilligung, dass die Nutzer ihre Einwilligung im Nachhinein auf ebenso einfache Weise widerrufen können.
Dieser Widerruf der Einwilligung muss freiwillig und ohne Konsequenzen vonstattengehen können. Der Widerruf darf keine Verwehrung des Zugangs zu einer Website oder eine Einschränkung der Dienstleistungen zur Folge haben.
Jede Verarbeitung personenbezogener Daten, die nach der Einwilligung der Nutzer und vor dem Widerruf dieser Einwilligung erfolgt, ist rechtmäßig.
Zusätzliche Bedingungen für die Einholung einer gültigen Einwilligung nach den EDSA-Leitlinien
Die Beweispflicht zum Nachweis der Einwilligung zur Verarbeitung personenbezogener Daten liegt beim Eigentümer und/oder Betreiber der Website.
Das bedeutet, dass Sie in der Lage sein müssen, nachzuweisen, dass Ihre Nutzer der Nutzung von Cookies und Trackern, die personenbezogene Daten auf Ihrer Website sammeln, zugestimmt haben. Die Dokumentation der Einwilligung muss sicher gespeichert werden.
Der EDSA empfiehlt als Best Practice, dass die Nutzereinwilligungen in angemessenen Abständen erneuert werden sollten.
Rechte der betroffenen Person
Zu guter Letzt sollten Sie daran denken, dass Ihre Nutzer durch die DSGVO gesicherte Rechte haben, die Sie stets respektieren müssen, um datenschutzkonform zu sein.
Diese sind:
- Das Recht auf Löschung der gesammelten und gespeicherten personenbezogenen Daten, wenn die Einwilligung zurückgezogen wurde
- Das Recht auf Einschränkung
- Das Recht auf Korrekturen
- Das Recht auf Auskunftserteilung
- Das Recht auf Datenübertragbarkeit
Cookiebot und DSGVO-Konformität
Die Consent Management Platform (CMP) von Cookiebot™ kümmert sich um alle Anforderungen zur Einhaltung der DSGVO, die Ihre Website erfüllen muss, wenn Sie Cookies verwenden, die personenbezogene Daten von Nutzern innerhalb der EU verarbeiten.
Die Consent Management Platform (CMP) von Cookiebot™:
- scannt und erkennt alle Cookies und Tracker, sogar die versteckten Trojaner.
- blockiert automatisch alle Cookies und Tracker, bis eine Einwilligung freiwillig erteilt wurde.
- dokumentiert und speichert jede erhaltene Einwilligung sicher.
- erneuert die Einwilligung automatisch.
Features der Cookiebot CMP ansehen
Häufig gestellte Fragen (FAQs)
Was ist der Europäische Datenschutzausschuss (EDSA)?
Der Europäische Datenschutzausschuss ist eine europäische Einrichtung und das höchste Kontrollorgan, das für die Anwendung und Durchsetzung der Allgemeinen Datenschutz-Grundverordnung (DSGVO) in der EU zuständig ist. Er setzt sich aus Vertretern der Datenschutzbehörden der einzelnen EU-Mitgliedstaaten zusammen. Seine Hauptaufgabe besteht darin, allgemeine Leitlinien zu verabschieden und Entscheidungen darüber zu treffen, wie die DSGVO auszulegen und durchzusetzen ist.
Was beinhalten die EDSA-Leitlinien?
Die EDSA-Leitlinien zur gültigen Einwilligung vom Mai 2020 stellen klar, was eine gültige Einwilligung in Bezug auf die Verarbeitung personenbezogener Daten ist, z. B. durch die Verwendung von Cookies und Trackern auf Websites. Sie schließen die Verwendung von Cookie Walls (erzwungene Einwilligung) aus und legen fest, was Websites tun müssen, um eine gültige Einwilligung in die Verarbeitung personenbezogener Daten zu erhalten.
Was ist eine gültige Einwilligung gemäß der EDSA-Leitlinien?
Eine gültige Einwilligung muss ein freiwillig erteilter, informierter, spezifischer und eindeutiger Ausdruck der Nutzerwünsche sein. Dies bedeutet, dass Ihre Website den Nutzern eine echte Wahlmöglichkeit zur Einwilligung zwischen allen verschiedenen Cookies und Trackern geben muss, bevor diese aktiviert und personenbezogene Daten verarbeitet werden können. Das Scrollen und fortgesetzte Browsing auf Websites ist keine gültige Einwilligung, und Cookie-Banner dürfen keine vorab angekreuzten Checkboxen enthalten.
Wie kann meine Website DSGVO-konform werden?
Wenn Ihre Website Cookies und Tracker von Dritten verwendet (z. B. durch die Verwendung von Social-Media-Links, Analytics-Tools oder Marketing-Plug-ins), müssen Sie die vorherige und ausdrückliche Einwilligung Ihrer Website-Besucher erfragen und einholen.
Die meistgenutzte Lösung für die datenschutzkonforme Nutzung von Cookies und Online-tracking
Ressourcen
Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679 in voller Länge