Wie ist ein Cookie-Banner zu gestalten?

Aus einem aktuellen Bericht der Cookie-Banner-Taskforce der EU ergeben sich folgende Anforderungen für die Erstellung von Cookie-Bannern:

  • Auf der ersten Ebene des Banners ist eine Ablehnungsoption anzubieten, anstatt in einer Unterebene zu verstecken.
  • Der Websitebesucher muss aktiv zustimmen, anstatt vorab angekreuzte Kästchen vorzufinden.
  • Das Verweigern der Zustimmung muss auch anders als bloß über winzige Links in einem anderen Text oder Links außerhalb des Cookie-Banners möglich sein.
  • Man hat die Zustimmung einzuholen anstatt die Geltendmachung eines berechtigten Interesses für die Nutzung nicht wesentlicher Cookies zu behaupten.
  • Der Verantwortliche hat eine dauerhafte Möglichkeit zum Widerruf der Einwilligung anzubieten.

Den gesamten Bericht finden Sie auf: https://edpb.europa.eu/system/files/2023-01/edpb_20230118_report_cookie_banner_taskforce_en.pdf

Während des Surfens im Internet entdeckt man eine Vielzahl unterschiedlicher Cookie-Banner. Diese informieren über die auf der Seite eingesetzten Cookies und lassen eine Auswahl darüber zu, welche Cookies aktiviert werden sollen. Diese Auswahl soll eine wirksame Einwilligung zum Verarbeitungsvorgang personenbezogener Daten iSd DSGVO darstellen, die unter gewissen Umständen erforderlich sein kann, falls personenbezogene Daten verarbeitet werden. Es existieren unzählige verschiedene Meinungen darüber, wie diese Banner zu gestalten sind, um die Anforderungen einer wirksamen Einwilligung zur Datenverarbeitung zu erfüllen.

Um zu prüfen, ob ein Teil der in der Praxis genutzten Cookie-Banner die Anforderungen einer wirksamen Einwilligung iSd DSGVO als auch die Anforderungen der als ePrivacy-Richtline bekannten RL 2002/58/EG erfüllen, wurde die „Cookie Banner Taskforce“ des European Data Protection Bords damit beauftragt, diese Fragen zu prüfen. Diese Taskforce veröffentlichte einen Entwurf eines Berichts über die bisherige Arbeit.

In diesem Bericht wurde auf einige häufig angetroffene Praktiken eingegangen, die entdeckt wurden.

So wurde die Praktik kritisiert, wonach Cookie-Banner zumindest in der ersten Ebene über keine Schaltfläche verfügen würden, mit deren Hilfe man das Setzen von Cookies verhindern konnte. Ebenso wurde das Vorgehen beanstandet, wonach Checkboxen für die Auswahl von Cookies bereits vorausgewählt waren. Beide Praktiken führten dazu, dass Website-Besucher hierdurch keine positive, aktive, informierte und freie Handlung setzten, um in die Setzung von Cookies einzuwilligen. Somit lag keine wirksame Einwilligung vor und war damit die gesamte Datenverarbeitung rechtswidrig.

Ebenso wurde aus diesem Grund die Praktik beanstandet, wonach man nur über einen Link anstatt eines Buttons zu setzende Cookies abwählen konnte. Dies geschah entweder über einen direkten Link oder auf einer verlinkten Seite. Besonders hervorgehoben wurde hierbei, dass es sich um Links handelte, die im Text eines Cookie-Banners eingebunden und so designed waren, dass sie nicht die Aufmerksamkeit eines durchschnittlichen Nutzers auf sich zogen.

Differenzierter wurde die Praktik irreführender Button-Farben und Button-Kontraste beurteilt. Dies musste von Fall zu Fall beurteilt werden; es konnten hierfür keine generell verbindlichen Regeln formuliert werden. Lediglich ein Vorgehen wurde deutlich kritisiert: Dabei handelte es sich um Banner, über die man entweder in das Setzen von Cookies einwilligen konnte oder alternativ andere Buttons angeboten wurden. Die Farben der Buttons der Alternativen wiesen jedoch einen so geringen Kontrast zu den Farben ihrer Beschriftungen auf, dass sie unlesbar waren.

Der Bericht ging auch auf die Problematik ein, wonach Cookies als essenziell klassifiziert wurden, obwohl es sich um keine essenziellen Cookies handelte.

Abschließend wurde erwähnt, dass viele Websites keine Möglichkeit anbieten würden, eine einmal über den Cookie-Banner erteilte Einwilligung zu widerrufen. Selbst von jenen Websitebetreibern, die eine derartige Möglichkeit anbieten würden, wurde dies nicht derart umgesetzt, dass diese Widerrufsmöglichkeit einfach zugänglich war.

Zusammengefasst liegt in allen diesen Fällen keine wirksame Einwilligung und somit keine ausreichende Rechtsgrundlage für die Verarbeitung von Daten vor. Sofern personenbezogene Daten verarbeitet werden, ist dies daher rechtswidrig. Gerne beraten wir Sie individuell hierzu.

„GEWINN“ Artikel – DSGVO: Die ersten Fälle und Erfahrungen

Gewinn_Artikel_Zeilinger_Wuenscher

Auch gut neun Monate nach Einführung der neuen Rechtslage bezüglich der DSGVO kursieren noch immer viele Mythen rund um die neuen Regelungen.

Den gesamten Artikel von Dr. Christian Zeilinger und Andrea Wünscher aus der aktuellen Ausgabe des Wirtschaftsmagazins „GEWINN“ gibt es hier zum Nachlesen. Artikel Gewinn DSGVO Wünscher Zeilinger 02.2019
.

Verarbeitung des Religionsbekenntnisses

15.02.2019 | Autorin: Andrea Wünscher – Juristische Mitarbeiterin   Andrea_Wuenscher

Religionsbekenntnis DSGVO

Der Karfreitag soll für jeden ein Feiertag werden – so lautet ein Urteil des Europäischen Gerichtshofs (EuGH). Laut diesem Urteil ist die derzeitige Regelung, nach welcher nur Mitarbeiter einer bestimmten Religionsangehörigkeit an diesem Tag ein Feiertag zusteht, gleichheitswidrig. Nun muss die Regierung bis Mitte April eine neue Alternative finden. Doch warum ist diese Entscheidung nun auch in Bezug auf die DSGVO bedeutsam?

In der Personalverwaltung werden unter zahlreichen anderen personenbezogenen Daten auch das Religionsbekenntnis der Mitarbeiter verarbeitet, wenn die betroffenen Personen selbst Angaben dazu machen. Aufgrund der Verarbeitung dieser Angabe kamen einige Mitarbeiter in den Genuss eines Feiertages am Karfreitag. Es gab also bislang einen klaren Zweck für die Verarbeitung des Religionsbekenntnisses – die sogenannte „Abwesenheitsverwaltung“.

Dieser Zweck fiel aber mit der Entscheidung des EuGH weg und daher darf das Religionsbekenntnis auf dieser Grundlage nicht länger verarbeitet werden. Derzeit ist noch unklar, ob Mitarbeiter möglicherweise rückwirkend einen Anspruch auf Feiertagsentgelt oder Ersatzfreizeit haben, weshalb eine zumindest dreijährige Speicherung auf Grundlage des Artikel 17 Abs 3 lit e DSGVO, also „zur Geltendmachung, Ausübung oder Verteidigung  von Rechtsansprüchen“, zulässig ist.

Ferner gibt es auch einige Ausnahmen – beispielsweise bei einem kollektivvertraglichen Anspruch auf den Feiertag „Jom Kippur“ von Mitarbeitern jüdischen Glaubens. In solchen Fällen ist eine Verarbeitung des Religionsbekenntnisses weiterhin gestattet.

Empfehlenswert ist es daher, individuell zu prüfen, ob eine Verarbeitung dieses Datums zulässig ist. Durch einen Wegfall der Verarbeitung ändert sich auch die Informationspflicht der Arbeitgeber.

Neuerungen im Datenschutzrecht

 

secretive woman

Mit der Verordnung (EU) 2016/679 vom 27.04.2016 (Datenschutz-Grundverordnung) wird die RL 95/46/EG (DatenschutzRL) mit Wirkung vom 25.05.2018 aufgehoben; deren Grundsätze werden aktualisiert und modernisiert.

Einige wesentliche Neuerungen sind dabei:

• das Erfordernis der Einwilligung der betroffenen Person zur Verarbeitung personenbezogener Daten;
• ein einfacherer Zugang der betroffenen Person zu ihren personenbezogenen Daten;
• weitere Rechte auf Berichtigung und auf Löschung („Recht auf Vergessenwerden“);
• ein Widerspruchsrecht, auch in Bezug auf die Verwendung personenbezogener Daten für die Zwecke der „Profilerstellung“; sowie
• das Recht auf Übertragbarkeit der Daten von einem Dienstleister an einen anderen.

Neuerungen im Datenschutzrecht weiterlesen