Die Datenschutzkonferenz (DSK) hat in ihrer Orientierungshilfe für Anbieter:innen von digitalen Diensten (OH Digitale Dienste) die rechtlichen Anforderungen an Einwilligungsbanner und deren Gestaltung sowie an die Definition digitaler Dienste näher beleuchtet. Diese Aspekte sind für Anbieter von Webseiten, Apps und anderen digitalen Services von zentraler Bedeutung. Im Folgenden werden die wichtigsten Punkte praxisnah zusammengefasst.
Was ist ein digitaler Dienst im Sinne der Datenschutzregelungen?
Nach Auffassung der DSK fallen unter den Begriff des digitalen Dienstes alle Angebote, die im digitalen Raum bereitgestellt werden, wie beispielsweise Webseiten, mobile Apps, Streaming-Plattformen oder Cloud-Dienste. Entscheidend ist dabei, dass solche Dienste nur dann als digital gelten, wenn sie elektronisch und online abrufbar sind. Dies schließt traditionelle Offline-Dienstleistungen, die lediglich digital beworben werden, aus.
Von besonderem Interesse für die Rechtsanwendung ist die Frage, ob und wann ein digitaler Dienst als „unbedingt erforderlich“ anzusehen ist. Der Begriff der Erforderlichkeit spielt insbesondere bei der Frage der Einwilligungspflicht für Cookies und andere Tracking-Technologien eine zentrale Rolle.
„Unbedingt erforderlich“: Wo liegt die Grenze?
Ein digitaler Dienst gilt als unbedingt erforderlich, wenn ohne die zu verarbeitenden Daten seine Kernfunktion nicht bereitgestellt werden kann. Hierzu zählen beispielsweise:
- Session-Cookies: Diese gewährleisten den technischen Betrieb einer Webseite, z. B. für Warenkorbfunktionen in Online-Shops.
- Authentifizierungsmaßnahmen: Wenn eine Anmeldung notwendig ist, um auf einen geschützten Bereich zuzugreifen.
- Sprachauswahl oder regionale Anpassungen: Diese Funktionen dürfen ohne explizite Einwilligung bereitgestellt werden, wenn sie notwendig sind, um die Nutzererfahrung zu gewährleisten.
Demgegenüber sind Tracking-Technologien, die etwa zu Marketingzwecken oder zur Reichweitenanalyse eingesetzt werden, nicht als erforderlich anzusehen. Diese benötigen stets eine informierte Einwilligung der Nutzer.
Einwilligungsbanner: Klare Vorgaben der DSK
Einwilligungsbanner sind mittlerweile ein fester Bestandteil digitaler Dienste. Ihre Gestaltung unterliegt jedoch strengen Anforderungen:
- Transparenz: Der Banner muss klar und verständlich über den Zweck der Datenverarbeitung, die eingesetzten Technologien und die betroffenen Datenkategorien informieren. Floskeln oder komplexe juristische Formulierungen sind unzulässig.
- Freiwilligkeit: Eine Einwilligung darf nur erfolgen, wenn der Nutzer eine echte Wahlmöglichkeit hat. Das bedeutet insbesondere, dass der Zugriff auf die Webseite nicht von der Zustimmung zu nicht erforderlichen Cookies abhängig gemacht werden darf (sog. „Cookie-Wall“).
- Einfachheit der Ablehnung: Einwilligungsbanner müssen es Nutzern ebenso leicht machen, ihre Zustimmung zu verweigern, wie sie zu erteilen. Dies umfasst beispielsweise gleichwertige Schaltflächen für „Akzeptieren“ und „Ablehnen“.
- Granularität: Nutzer müssen in der Lage sein, spezifisch auszuwählen, für welche Zwecke sie ihre Einwilligung erteilen möchten. Eine pauschale Zustimmung für alle Zwecke ist unzulässig.
- Nachweispflicht: Anbieter sind verpflichtet, jede erteilte Einwilligung nachweisbar zu dokumentieren, um im Streitfall die Rechtmäßigkeit der Datenverarbeitung belegen zu können.
Praxisrelevanz für Anbieter digitaler Dienste
Die Orientierungshilfe zeigt, dass die Anforderungen an Einwilligungsbanner nicht nur technischer Natur sind, sondern auch eine rechtliche Feinarbeit erfordern. Unternehmen sollten sicherstellen, dass ihre Einwilligungsbanner den Vorgaben der DSK entsprechen, um kostspielige Abmahnungen und Bußgelder zu vermeiden.
Zudem ist es wichtig, regelmäßig zu überprüfen, welche Datenverarbeitungsvorgänge tatsächlich notwendig sind und welche einer Einwilligung bedürfen. Nur so kann sichergestellt werden, dass das Vertrauen der Nutzer nicht verspielt wird und gleichzeitig die regulatorischen Anforderungen erfüllt werden.
Fazit
Die DSK definiert in ihrer Orientierungshilfe präzise, wie ein Einwilligungsbanner ausgestaltet sein muss, um rechtlich auf der sicheren Seite zu sein. Unternehmen, die digitale Dienste bereitstellen, sollten den Begriff der „Unbedingten Erforderlichkeit“ klar abgrenzen und ihre Banner so gestalten, dass sie den Transparenz- und Freiwilligkeitsanforderungen entsprechen. Eine saubere Umsetzung spart nicht nur rechtliche Probleme, sondern fördert auch die Akzeptanz bei den Nutzern.
Stefan Lutz, LL.M.
Rechtsanwalt und Fachanwalt für IT-Recht
externer Datenschutzbeauftragter
Lehrbeauftragter für IT-Recht an der RWU
Rechtsanwalt und Fachanwalt für IT-Recht Stefan Lutz, LL.M. berät Firmen und private Mandanten in den Rechtsgebieten des IT-Rechts, wozu unter anderem das Datenschutzrecht (BDSG, DSGVO, TDDDG...), Urheberrecht, Wettbewerbsrecht, Markenrecht, E-Commerce-Recht, Social Media Recht und das Recht der Künstlichen Intelligenz gehören.
Telefon: 0751 / 27 088 530