Nutzerfreundliches Einwilligungsmanagement

Wer kennt die Cookie-Banner nicht, die mittlerweile auf fast jeder Webseite erscheinen. Aber erfüllen die eingesetzten Cookie-Banner überhaupt die Anforderungen der Datenschutz-Grundverordnung (DSGVO)? Geben sie den Nutzern eine freiwillige und tatsächlich informierte Wahl?

Viele Cookie-Banner sind nicht DSGVO-konform

Häufig leider nein, so müssen die Datenschutzaufsichtsbehörden der Länder immer wieder feststellen. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) Baden-Württemberg prüft deshalb zeitgleich mit anderen deutschen Aufsichtsbehörden in einem groß angelegten Verfahren Online-Angebote darauf, ob sie Tracking-Technologien rechtskonform einbinden.

Prüfungen fanden auch an anderer Stelle statt: Wissenschaftler der Universität Göttingen haben für das Bundesministerium der Justiz und für Verbraucherschutz (BMJV) die Umsetzung der DSGVO bei 40 Online-Diensten untersucht. Zu den betrachteten Portalen zählten etwa Amazon, Google, WhatsApp, Zalando und Otto.

Studienergebnisse zur DSGVO-Umsetzung

Ein Schwerpunkt lag auf den Betroffenenrechten der DSGVO, insbesondere auf der Einwilligung der Nutzer, der Transparenz und der Information. Das Ergebnis:

• Insgesamt haben 23 Dienste die datenschutzrechtlichen Vorgaben nicht oder nur unzureichend umgesetzt.
• Fünf Dienste erfüllen die Vorgaben für eine datenschutzkonforme Einwilligung nur teilweise.
• Lediglich vier der untersuchten Dienste setzten die rechtlichen Vorgaben im Rahmen ihrer Einwilligungserklärung datenschutzkonform um.

Das BMJV stellt fest: In der Praxis konfrontieren die Anbieter Verbraucherinnen und Verbraucher im Netz zu oft mit fehlenden Auswahlmöglichkeiten, undurchsichtigem Web-Design und zu langen Texten, wenn es um die datenschutzrechtliche Einwilligung geht.

Klicken die Nutzer aus diesem Grund genervt alles weg, führen die Anbieter häufig an, sie hätten kein echtes Interesse daran, bei der Verarbeitung ihrer Daten mitzuentscheiden.

Forschungsprojekt zum Einwilligungsmanagement

Vor diesem Hintergrund hat das BMJV das Forschungsprojekt „Innovatives Datenschutz-Einwilligungsmanagement“ mit dem Ziel in Auftrag gegeben, bestehende Einwilligungsmanagement-Modelle zu analysieren, Nutzerpräferenzen zu erfassen und neue Lösungsansätze zur rechtskonformen und nutzerfreundlichen Datenschutz-Einwilligung zu entwickeln.

Im September 2020 stellte das BMJV die Ergebnisse vor. Danach schließen sich Nutzerfreundlichkeit und Rechtssicherheit nicht aus. Die Vorgaben der DSGVO für die datenschutzrechtliche Einwilligung ließen sich praktikabel, differenziert und nutzerfreundlich umsetzen, erklärte Staatssekretär Prof. Christian Kastrop.

Dafür liefere ein Best-Practice-Modell Leitlinien, und zwar auch nach den individuellen Wünschen von Verbraucherinnen und Verbrauchern.

„Ich möchte alle Unternehmen ermuntern, sich bei der Gestaltung des Webdesigns zur datenschutzrechtlichen Einwilligung an dem Best Practice-Modell zu orientieren“, so Prof. Kastrop weiter.

Das Best-Practice-Modell

Die wesentlichen Elemente des Modells sind, neben den Forderungen, die sich aus der Datenschutz-Grundverordnung direkt ergeben, die folgenden Punkte:

• Wichtig sind die Differenzierungsmöglichkeiten. Einwilligungsmanagement-Systeme mit umfangreichen Einwilligungen sollten mit einer „Entscheidungsbaumlogik“ arbeiten. So können Nutzerinnen und Nutzer mit möglichst wenigen Klicks ihre Datenschutz-Präferenzen einstellen.
• Insgesamt sollte die Einwilligung einfach bedienbar, nutzergruppenspezifisch gestaltet und mit unterschiedlichen Endgeräten kompatibel sein.
• Informationen zur Datenverarbeitung müssen transparent, verständlich und gestalterisch neutral in das Modell eingebunden sein. Hierbei ist die richtige Dosierung wichtig.
• Damit die Nutzer ihre erteilten Einwilligungen nachträglich verwalten und ihre Datenschutzrechte ausüben können, sollten Websiteanbieter ihnen ein Datenschutz-Cockpit zur Verfügung stellen.

Nutzer sind nicht „klickmüde“

Diese zusammengefassten Ergebnisse der im Projekt „Innovatives Datenschutz-Einwilligungsmanagement“ durchgeführten repräsentativen Online-Befragung und zweier Praxistests zeigen laut BMJV, dass die überwiegende Mehrheit der Verbraucherinnen und Verbraucher individuelle Wahl- und Einstellungsmöglichkeiten bei Einwilligungen sowie datensparsame Voreinstellungen klar befürwortet.

Das räumt auch den Mythos aus, Verbraucherinnen und Verbraucher seien „klickmüde“ und hätten vermeintlich kein Interesse daran, sich eingehender mit datenschutzrechtlichen Einwilligungen zu beschäftigen.

Wahlmöglichkeiten schaffen Vertrauen

Die repräsentative Online-Befragung stellt zudem heraus, dass Verbraucherinnen und Verbraucher Anbieter, die differenzierte Einwilligungsmodelle einsetzen, als wesentlich vertrauenswürdiger einschätzen als solche, die keine Wahlmöglichkeiten lassen.

Die überwiegende Mehrheit der Befragten hält es sogar für problematisch, wenn sie einen Dienst nur bei Einwilligung in eine nicht erforderliche Datenverarbeitung nutzen kann.

• Der komplette Studienbericht zum Projekt „Innovatives Datenschutz-Einwilligungsmanagement“ ist als PDF herunterzuladen unter https://ogy.de/Abschlussbericht-Einwilligung. Auf 178 Seiten finden sich auch konkrete Beispiele und Abbildungen für mögliche Cookie-Banner.
• Die vorausgehende Studie „Untersuchung der Umsetzung der Datenschutz-Grundverordnung (DSGVO) durch Online-Dienste“ im Auftrag des BMJV finden Sie unter https://ogy.de/DSGVO-Studie.
• Die Anforderungen an Cookie-Banner und an ein datenschutzkonformes Einwilligungsmanagement hat die Datenschutzkonferenz in einer Orientierungshilfe für Anbieter von Telemedien dargestellt, zu finden unter https://ogy.de/oh-tmg.
• Darüber hinaus hat der LfDI Baden-Württemberg ein FAQ zu Cookies und Tracking veröffentlicht unter https://ogy.de/faq-cookies-und-tracking.

Oliver Schonschek