Datensparsame Musterlösung für DSGVO-konforme Opt-in-Verfahren
Im September dieses Jahres stellte das Bundesministerium der Justiz und für Verbraucherschutz (BMJV) den Abschlussbericht des Forschungsprojekts „Innovatives Datenschutz-Einwilligungsmanagement“ vor. Die Forscher kommen im Bericht zu dem Schluss, dass „praxistaugliche Möglichkeiten“ für Opt-in-Verfahren existieren, die auch die Vorgaben der DSGVO umsetzen.
DSGVO: Opt-in ersetzt Opt-out
Seit Mai 2018 gilt die Datenschutz-Grundverordnung (DSGVO) europaweit – und mit ihr wurden unter anderem neue Regeln für Einwilligungen von Nutzer*innen gültig. Dazu gehört auch die Opt-in- bzw. Opt-out-Frage, mit der sich Unternehmen auseinanderzusetzen hatten: In welcher Form sind Einwilligungen von Nutzer*innen einzuholen, sodass Unternehmen die Daten verarbeiten dürfen?
So wurde das Opt-out- vom Opt-in-Verfahren nach und nach abgelöst. Bis zur DSGVO war das Opt-out-Verfahren gängig: Nahmen Nutzer*innen beispielsweise über eine Website Kontakt zu einem Unternehmen auf, gehörte es fast schon zum guten Ton, die Newsletter-Anmeldung mit einem Häkchen vorausgefüllt zu haben. Wollte der / die Nutzende den Newsletter nicht bestellen, musste das Häkchen selbst entfernt werden.
Seit Gültigkeit der DSGVO dürfen Unternehmen, Vereine oder Institutionen keine Checkboxen vorausfüllen, sondern der Betreffende muss die Möglichkeit erhalten, seine Zustimmung aktiv zu bekunden. Das gilt für Newsletterbestellungen genauso wie für Cookies, zu denen es seit Mai 2020 entsprechende Urteile gibt.
Cookies: EuGH & BGH haben geurteilt
Am 28. Mai 2020 bestätigte der Bundesgerichtshof (BGH) das Urteil der Richter des Europäischen Gerichtshof (EuGH) zum Fall Planet49: Nutzer*innen müssen aktiv und freiwillig einwilligen, bevor nicht-notwendige Cookies auf der Website aktiv werden. Vorab angekreuzte Kästchen sind gesetzeswidrig.
Diesem Urteil ging die Entscheidung des EuGH voraus; die Richter argumentierten ähnlich: Nutzer*innen müssen eine unmissverständliche Einwilligungserklärung durch das aktive Ankreuzen des Kästchens abgeben. Vor dieser Einwilligung dürfen die Daten nicht verarbeitet werden. Eigentlich bestätigt dieses Urteil lediglich, was die DSGVO in ihren Rechtstexten – vielleicht missverständlich oder nicht präzise genug – ohnehin schon geregelt hat. Möchten Sie sich in die verschiedenen Tracking-Technologien vertiefen und wissen, was erlaubt ist und was nicht, empfehlen wir Ihnen unseren Artikel „Cookies & Co.: Tracking Ihrer Seitenbesucher – eine heikle Gratwanderung“.
Bitkom-Umfrage: Cookie-Banner sind nützlich, und nerven!
Seit dem Urteil haben sich die meisten Website-Betreiber*innen damit abgefunden, einen Cookie-Banner zum Einstieg auf die Website einblenden zu lassen. Nutzer*innen müssen zustimmen oder ablehnen, oft sind individuelle Einstellungen möglich. Laut dem Branchenverband Bitkom sind Internetnutzer*innen bezüglich dieses Vorgehens gespalten: 46 % halten die Cookie-Banner für eine wichtige Information, 43 % zeigen sich genervt.
Susanne Dehmel aus der Bitkom-Geschäftsleitung fasst die Umfrageergebnisse zusammen: „Bereits jetzt nehmen Nutzer die vielen Hinweise auf Webseiten eher als störend wahr. Die Webseitenbetreiber sind aber verpflichtet, die Webseitenbesucher entsprechend deutlich zu informieren. Transparenz, Auswahlmöglichkeiten und Kontrolle über die Datennutzung sind selbstverständlich wichtig, vor allem wenn es um Webseiten-Tracking geht. Die derzeitigen Vorgaben führen aber eher dazu, dass die Banner schlicht weggeklickt werden, als dass sich Nutzer tatsächlich mit den Informationen auseinander setzen.“ In Hinblick auf die kommende ePrivacy-Verordnung sieht Dehmel „die Situation auch nicht verbessert. Im Gegenteil: Nutzer werden mit weiteren Hinweisen konfrontiert werden. Hier verpasst die Politik die Chance, neue Wege für Transparenz, Nutzervertrauen und Datennutzung zu finden.“
Opt-in-Verfahren mit „datensparsamen Voreinstellungen“
„Neue Wege für Transparenz, Nutzervertrauen und Datennutzung“, wie Dehmel von Bitkom erklärte, sind beiderseits gewollt: Unternehmen möchten in aller Regel durch Transparenz Nutzervertrauen gewinnen und über die Datennutzung aufklären, die Bereitschaft ist durchaus vorhanden. Auch Nutzer*innen vertrauen eher in transparenter Aufklärung zur Datennutzung. Aber wie lässt sich das Ganze mit der DSGVO vereinbaren, ohne sich in Komplexität zu verlieren?
In einer Studie fürs Justizressort ist es Forschern gelungen, eine Musterlösung für ein Opt-in-Verfahren vorzustellen, das nicht nur DSGVO-konform, sondern auch datensparsam sein soll.
Forschungsprojekt „Innovatives Datenschutz-Einwilligungsmanagement“
Das Bundesministerium der Justiz und für Verbraucherschutz (BMJV) beauftragte für das Forschungsprojekt „Innovatives Datenschutz-Einwilligungsmanagement“ das Institut für Verbraucherpolitik ConPolicy. Wie der Website des BMJV zu entnehmen ist, wurde das Projekt mit dem Ziel angegangen, „bestehende Einwilligungsmanagement-Modelle zu analysieren, Nutzerpräferenzen zu erfassen und neue Lösungsansätze zur rechtskonformen und nutzerfreundlichen Datenschutz-Einwilligung zu entwickeln.“
Staatssekretär Prof. Dr. Christian Kastrop erklärt: „Durch die Datenschutz-Grundverordnung wurde klargestellt: Verbraucherinnen und Verbraucher müssen transparent darüber informiert werden, wann, wie und zu welchem Zweck mit ihren Daten umgegangen wird. Und diese Informationen müssen für jeden leicht auffindbar und ohne Jurastudium verständlich sein. Da sehe ich allerdings bei vielen Online-Diensten und Webseiten noch erheblichen Verbesserungsbedarf. Hier kann man manchmal sogar meinen, dass Web-Designs zu datenschutzrechtlichen Einwilligungen bewusst so gestaltet werden, dass Verbraucherinnen und Verbraucher verwirrt und genervt sind – mit der Folge, dass sie ihre Rechte nicht wahrnehmen, sondern alles schnell wegklicken. Umso mehr freue ich mich, dass wir mit den Ergebnissen des Forschungsprojekts zeigen können: Nutzerfreundlichkeit und Rechtssicherheit schließen sich nicht aus. […] In der Datenökonomie kann ein hohes Niveau im digitalen Verbraucherschutz Geschäftsmodelle attraktiver machen – was letztlich auch der Wirtschaft nützt.“
In der Praxis getestete Musterlösung
Gemeinsam mit der Deutschen Telekom und Miele haben die Forscher von ConPolicy ein Modell für Websitebetreiber einschließlich einem konkreten Webdesign getestet. In ihrem Abschlussbericht (PDF) präsentieren die drei beteiligten Parteien neben verschiedenen Resultaten diese Musterlösung. Berücksichtigt haben die Wissenschaftler nach eigenen Aussagen verschiedene Forderungen von den unterschiedlichen Parteien – also den Nutzer*innen und den Websitebetreiber*innen. Laut diesem Bericht ist es notwendig, einen Dienst grundsätzlich auch ohne jede Einwilligung in weiterführende Verarbeitungen von personenbezogenen Daten zu ermöglichen. Für einwilligungsrelevante Dienste und Services seien entsprechend „datensparsame Voreinstellungen“ bereitzustellen.
Ein Opt-in-Verfahren ist idealerweise leicht bedienbar, außerdem kompatibel mit verschiedenen Endgeräten und nutzergruppenspezifisch gestaltet. Entwickler müssten „eine manipulierende Gestaltung“ von Inhalten, wie etwa mithilfe von Dark Patterns, unterlassen. Ein „Datenschutz-Cockpit“ soll es ermöglichen, erteilte Einwilligungen sowie Datenverarbeitungen, aber auch Nutzungsrechte nachträglich einfach zu verwalten.
Wie die oben erwähnte Bitkom-Umfrage bestätigt, kommt auch eine im Rahmen des Projekts durchgeführte Umfrage zu dem Ergebnis, dass Verbraucher*innen in der Mehrheit individuelle Einstellmöglichkeiten befürwortet. Es zeigte sich in dieser Umfrage auch, dass Anbieter, die differenzierte Einstellungen durch Opt-in gestatten, als vertrauenswürdiger angesehen werden.
One Reply to “Datensparsame Musterlösung für DSGVO-konforme Opt-in-Verfahren”