Jeder kennt die oft als nervig empfundenen Cookie-Pop-ups, auch als Consent-Abfrage oder Cookie-Tool bezeichnet. Diese Begriffe beschreiben im Endeffekt den gleichen Vorgang, nämlich die Abfrage einer Einwilligung des Besuchers einer Webseite.
Für solche Einwilligungsabfragen haben sich Consent-Management-Tools etabliert, auch bekannt als Consent-Management-Plattform oder CMP. „Tool“ ist dabei ein Synonym für einen Dienst, den der Betreiber auf seiner Webseite einbindet.
Das tun die Consent-Tools
Eine CMP fragt nicht nur eine Einwilligung ab, sondern verwaltet sie auch. So kann ein Verantwortlicher einer Person gegenüber besser nachweisen, dass sie zum Zeitpunkt X eine Einwilligung erteilt hat. Eine CMP soll zudem einwilligungspflichtige Vorgänge unterdrücken, bis tatsächlich eine Einwilligung der Webseitenbesucherin oder des -besuchers vorliegt.
Einwilligung für Cookies
Als einwilligungspflichtiger Vorgang wird oft allein das Verwenden von Cookies wahrgenommen. So begründet sich auch der Begriff des Cookie-Popups.
Tatsächlich entstehen Cookies nicht von selbst, sondern werden immer von Diensten erzeugt. Ein bekannter Dienst ist beispielsweise Google reCAPTCHA.
Die Einwilligungspflicht für Cookies regelt § 25 Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG, siehe dazu Eckhardt, Heft 12/21, S. 16–18, abrufbar auch unter https://ogy.de/dp-ttdsg-tracking).
Einwilligung in Datentransfers in unsichere Drittländer
Neben Cookies gibt es andere Datenverarbeitungen, die typischerweise erst nach Einwilligung stattfinden dürfen. Dazu gehören Datentransfers in unsichere Drittländer. Die Fälle, in denen ein Vertrag oder eine andere Rechtsgrundlage als die Einwilligung vorliegen, betrachten wir hier der Einfachheit halber nicht weiter, ohne dass die Allgemeingültigkeit der Aussagen wesentlich darunter leiden würde.
Das Schrems-II-Urteil des Europäischen Gerichtshofs (EuGH) hat die Problematik des Datentransfers in unsichere Drittländer ins Bewusstsein gehoben. Art. 49 Abs. 1 DSGVO beschreibt, für welche Fälle eine Einwilligung vorliegen muss, bevor ein Datentransfer in die USA oder andere unsichere Drittländer stattfinden darf.
Einwilligung in den Dateienabruf von Dritten
Oft sind Dateien so auf Webseiten eingebunden, dass sie von Dritten abgerufen werden. Auch dafür ist dann eine Einwilligung erforderlich. Beispiele sind Bilddateien, Hilfsbibliotheken oder Schriftarten.
Nicht selten ist es allerdings möglich, diese Dateien einfach herunterzuladen und dann lokal auf der eigenen Webseite einzubinden. Das gebietet jedenfalls Art. 5 Abs. 1 Buchst. c DSGVO, der eine Datenminimierung fordert. Und es macht darüber hinaus eine Einwilligungsabfrage für diese Zwecke überflüssig.
Informationspflichten erfüllen
Consent-Management-Tools erfüllen nach Wahrnehmung vieler verantwortlicher Webseitenbetreiber neben den genannten Funktionen weitere Aufgaben. Hierzu gehört, die Pflichtinformationen gemäß Art. 13 DSGVO zur Verfügung zu stellen. Und zwar in verkürztem, aber ausreichendem Umfang. Zu diesem Zweck liefern die Anbieter von Consent-Tools oft Mustertexte, um Dienste und Cookies zu beschreiben.
Die Frage ist nun, in welchem Maß Consent-Management-Tools die Erwartungen erfüllen können und worauf Sie besonders achten müssen.