Consentmanager – Einwilligung zur Datenübermittlung in Drittstaaten

Seit ca. zwei Jahren gibt es ein neues Geschäftsmodell: Consentmanager. Mit Consentmanager sind diese aus Nutzer*innensicht häufig recht nervigen Banner, Fenster oder Overlays gemeint, in denen auf Webseiten um die Einwilligung in unterschiedlichste Dinge gebeten wird. Eingeführt wurden sie nach dem Planet49-Urteil des EuGH (siehe unsere Artikel hier und hier). In diesem Urteil wurde durch den EuGH festgestellt, dass für das Setzen von Cookies in den meisten Fällen eine Einwilligung benötigt wird und es wurden auch noch einmal die Anforderungen an eine solche Einwilligung klargestellt. Ergänzend möchten wir noch bemerken, dass sich das Urteil nicht ausschließlich auf Cookies bezog, sondern auf jegliche Speicherung und von Daten im Nutzerendgerät. Cookies sind hier nur eine technische Möglichkeit, die Regelung bezieht sich aber beispielsweise ebenso auf den „Local Storage“ des Browsers.

Die Regelung, auf deren Basis der EuGH sein Urteil fällte, befand (und befindet sich aktuell immer noch) in der ePrivacy-Richtlinie. Mit seinem Urteil hatte der EuGH die deutsche Umsetzung im TMG de facto für ungültig erklärt. Im TTDSG, welches am 01.12.2021 in Kraft trat, wurde in § 25 TTDSG eine Nachfolgeregelung aufgenommen (siehe auch diesen Artikel), welche vermutlich als Übergangsregelung zu sehen ist, bis sie voraussichtlich durch die aktuell immer noch in weiter Ferne scheinenden ePrivacy-Verordnung von einer EU-weit einheitlichen Regelung abgelöst werden wird.

Gerichte und Aufsichten: „USA == böse!“

Aktuell prasseln die Nachrichten zu Verboten oder einstweiligen Verfügungen bezüglich des Einsatzes von Diensten, die von Unternehmen mit Sitz in den USA angeboten werden, nur so auf uns ein. Ein aktuelles Beispiel finden Sie hier. Hintergrund sind die Folgen des sogenannten „Schrems-2“-Urteils des EuGH, welches zum heutigen Zeitpunkt ebenfalls bereits über 1,5 Jahre zurück liegt. Eine der Folgen dieses Urteils war, dass von Seiten der Aufsichtsbehörden für den Datenschutz nun (vermutlich zurecht) erwartet wird, dass bei Datentransfers in Drittstaaten und insbesondere in die USA ergänzende Maßnahmen zu den bisherigen (Standardvertragsklauseln abschließen und das war’s) getroffen werden. Begründet wird dies für uns recht nachvollziehbar mit dem praktisch unkontrollierbaren Zugriff der Ermittlungsbehörden und Geheimdienste der USA auf Basis des CLOUD Act und von FISA.

Was aber hat das nun bitte mit den Consentmanagern zu tun? Waren die nicht für Cookies gedacht?

Consentmanager werden nicht mehr primär für Cookies genutzt

Zu Beginn vor etwa zwei Jahren war das sicher so. Da ging es darum, für das Setzen von Cookies DSGVO-konforme und vor allem nachweisbare und rechtssichere (naja, auch das nicht immer, siehe hier) Einwilligungen einzuholen. Aber, das war einmal. Aktuell geht es um Cookies (und alles was so auf den Endgeräten der Nutzer*innen durch den Anbieter gespeichert wird) nur noch zum Teil. Die Einwilligungen werden sinnvollerweise nun darüber hinaus für den Einsatz bestimmter Technologien und Dienste auf den Webseiten eingeholt – alles wofür eine Einwilligung notwendig ist: Google Analytics, Facebook Pixel, Werbenetzwerke und noch unzählige weitere.

Dabei werden dann mehr oder weniger gute Texte angezeigt, welche die einzelnen Dienste erläutern und die Anforderungen des Art. 13 DSGVO bezüglich der Informationspflichten erfüllen sollen. Wir meinen: In zahlreichen Fällen werden diese nicht erfüllt. Darum soll es aber in diesem Artikel nicht gehen, denn diese Texte können von den Verantwortlichen in den meisten Fällen beeinflusst, beziehungsweise vollständig selbst erstellt werden. Die meisten scheuen allerdings diesen Aufwand und verlassen sich auf die von den Consentmanager-Herstellern gelieferten Texte.

Dienste aus Drittstaaten benötigen zusätzliche Garantien

Achtung, wir nähern uns dem eigentlichen Thema: Viele der genutzten Dienste werden von Anbietern bereitgestellt, die Ihren Sitz in einem sogenannten Drittstaat, also außerhalb des Geltungsbereichs der DSGVO haben. In einem solchen Fall wird von Datenexporteur und Datenimporteur (im Drittstaat) verlangt, entsprechende Garantien zu vereinbaren. Das hatten wir oben bereits. Auch dass diese Garantien aktuell ohne ergänzende Maßnahmen als nicht ausreichend angesehen werden hatten wir bereits.

Um nun in der Lage zu sein, beispielsweise Google Analytics zu nutzen, müssen die Webseitenbetreiber*innen nun zusätzlich zur Einwilligung, die sich auf Google Analytics bezieht, noch eine Einwilligung in den Transfer von Nutzer*innendaten in den Drittstaat USA einholen. Hierbei handelt es sich um eine Ausnahmeregelung des Art. 49 Abs. 1 lit. a DSGVO. Allerdings reicht es in diesem Fall nicht aus, einfach um Erlaubnis zu fragen. Art. 49 Abs. 1 lit. a DSGVO spricht vielmehr davon, dass die betroffene Person

in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt [haben muss], nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde

Wichtig ist dabei das kleine Wörtchen „ausdrücklich“. Dieses hat zur Folge, dass die Einwilligung nicht irgendwo zwischen anderen Einwilligungen versteckt werden darf.

Aufbau der Consentmanager ist das Problem

Wir müssen uns nun noch einmal kurz vor Augen führen, wie die meisten Consentmanager aufgebaut sind: Es wird ein „Startfenster“ angezeigt, in dem etwas Text möglichst schwammig erläutert, dass man kurz einwilligen soll. In was genau eingewilligt werden soll, wird meist nicht erläutert, stattdessen werden willkürliche Kategorien, wie etwa „Marketing“, „Funktional“ oder „Optimierung“ angezeigt. Welcher Dienst sich hinter welcher Kategorie versteckt, das ist von Webseite zu Webseite anders. Da wird auch gerne mal Google Analytics unter „Funktional“ oder Facebook Pixel unter „Optimierung“ gruppiert – warum auch immer. Dann werden üblicherweise zwei oder drei Schaltflächen angeboten, von denen einer nahezu immer „in alles blind einwilligen“ ist. Die anderen Schaltflächen heißen sinngemäß „ich möchte keine Einwilligung geben“ oder „ich möchte individuell konfigurieren“. Nur wenn man „ich möchte individuell konfigurieren“ wählt, werden einem überhaupt die zuvor erwähnten meist nicht optimalen Texte angezeigt, mit denen die Informationspflichten erfüllt werden sollen.

Ausdrückliche Einwilligung wird implizit eingeholt?

Bleibt man aber nun auf der Startseite des Consentmanagers und klickt dort „ich willige blind in alles ein“, dann gibt es aktuell in den Consentmanagern keine Möglichkeit für die Seitenbetreiber*innen, die notwendige „ausdrückliche“ Einwilligung für die Drittstaaten-Übermittlung gemäß Art. 49 Abs. 1 lit. a DSGVO einzuholen. Hierfür wäre es notwendig, dass die Nutzer*innen gesondert bestätigen, dass Sie mit diesem Transfer einverstanden sind. Dies könnte beispielsweise mit einer weiteren Checkbox recht einfach erledigt werden, ist aber aktuell leider maximal mit einem ergänzenden Text möglich, der auf der Startseite der Consentmanager platziert wird. Diese wird dann schon allein aufgrund der Länge dieses Texts unübersichtlich. Der Text lautet dann häufig sinngemäß ungefähr so: „Wenn Sie auf ‚alle akzeptieren‘ klicken, willigen Sie gleichzeitig ausdrücklich in die Übermittlung der Daten in die angegebenen Drittstaaten ein“. So ein Text erfüllt natürlich nicht die Anforderungen an eine ausdrückliche Einwilligung, auch wenn das im Text behauptet wird.

Darüber hinaus müsste dieser Text, um die Anforderungen an die ausdrückliche Einwilligung und an die Informationspflichten vielleicht etwas mehr zu erfüllen auch das Zielland beziehungsweise die Zielländer beinhalten. Da in unterschiedlichen Zielländern unter Umständen auch unterschiedliche Risiken bestehen, über die ebenfalls zu informieren ist (siehe den Auszug aus Art. 49 Abs. 1 lit. a DSGVO weiter oben), wird das ganze schnell sehr unübersichtlich. Und was ist, wenn ein*e Nutzer*in dem Transfer in Land A zustimmen möchte, dem Transfer in Land B jedoch nicht? Spätestens hier funktioniert das Verfahren mit dem Text im Startfenster nicht mehr. Ohne eine entsprechende im Startfenster des Consentmanagers verfügbare gesonderte Möglichkeit, ausdrücklich in den Drittstaaten-Transfer einzuwilligen, funktioniert die aktuelle Vorgehensweise mit dem „ich willige blind in alles ein“ Knopf nicht mehr.

Fazit

Wir hoffen, dass vielleicht der eine oder andere Anbieter von Consentmanagern hier mitliest und das eigene Produkt in dieser Richtung weiterentwickelt. Aktuell halten wir die verfügbaren (uns bekannten) Consentmanager für ein Risiko für die Webseitenbetreiber*innen, da eine nicht immer vorhandene Rechtssicherheit suggeriert wird.

Nutzen Sie auf Ihrer Webseite Dienste, die Daten in Drittstaaten übermitteln? Prüfen Sie, ob gegebenenfalls andere Anbieter (aus der EU) infrage kommen. Wir unterstützen Sie bei der Prüfung des Anpassungsbedarfs und beraten Sie gerne bezüglich der Umsetzung.