Startseite   ›   Ressourcen   ›   Artikel   ›   Vorgekreuzte DSGVO Kontrollkästchen für Cookies...

Vorgekreuzte DSGVO Kontrollkästchen für Cookies sind nicht erlaubt

von: Masha Komnenic CIPP/E, CIPM, CIPT, FIP Masha Komnenic CIPP/E, CIPM, CIPT, FIP | Aktualisiert am: Januar 6, 2022

Cookie Consent Manager
Vorgekreuzt-DSGVO-Checkboxen-für-Cookies-sind-nicht-erlaubt-01

Die Allgemeine Datenschutzverordnung der EU (DSGVO ) wurde 2016 verabschiedet und wird seit 2018 umgesetzt. Obwohl die meisten Unternehmen Cookie-Banner eingeführt haben, um die DSGVO einzuhalten, erfüllen viele Cookie-Meldungen nicht die strengen Anforderungen der DSGVO.

Einer der Hauptgründe, warum diese Lösungen nicht DSGVO-konform sind, liegt darin, dass sie angekreuzte DSGVO Kontrollkästchen verwenden. Gemäß DSGVO ist es Organisationen nicht gestattet, Opt-out- oder implizite Methoden der Zustimmung zu verwenden, einschließlich Schweigen, Inaktivität und angekreuzte Kästchen.

Lesen Sie weiter, um mehr darüber zu erfahren, warum vorgefertigte DSGVO Kontrollkästchen im Allgemeinen nicht zulässig sind, um die Zustimmung für Cookies einzuholen, wann sie zulässig sind und wie Sie eine DSGVO konforme Cookie-Richtlinie erstellen können.

Inhaltsübersicht
  1. DSGVO Überblick über die Zustimmungsanforderungen
  2. Erfordern alle Cookies die Zustimmung des Benutzers?
  3. Warum sind vorausgefüllte Kontrollkästchen nicht erlaubt?
  4. Wann sind vorausgekreuzte Kästchen in Ordnung?
  5. Was passiert, wenn Sie angekreuzte Kontrollkästchen für Cookies verwenden?
  6. Schlussfolgerung

Im Vergleich zu anderen Datenschutzgesetzen hat die DSGVO eine enge Definition der Einwilligung. Wie in Artikel 7 festgelegt, ist es Organisationen untersagt, stillschweigende Einwilligungen oder Opt-outs zu verwenden.

Stattdessen muss die Zustimmung erfolgen:

  • Eine eindeutige Bejahung
  • Freigegeben
  • Spezifische
  • Informiert
  • Unzweideutig

Darüber hinaus müssen Unternehmen den Nutzern eine einfache Möglichkeit bieten, ihre Einwilligung zu widerrufen, nachdem sie sie erteilt haben. Lesen Sie weiter, um zu erfahren, warum angekreuzte Kontrollkästchen nicht der Definition der DSGVOfür eine gültige Einwilligung entsprechen.

Die DSGVO erwähnt Cookies auf ihren 88 Seiten nur einmal. Für mehr Orientierung müssen wir uns eine andere EU-Verordnung ansehen: die ePrivacy-Richtlinie - auch bekannt als das Cookie-Gesetz.

Liest man die DSGVO in Verbindung mit der Datenschutzrichtlinie für elektronische Kommunikation, so erfordern Internet-Cookies im Allgemeinen die Zustimmung der Nutzer. Der Grund dafür ist, dass der Zweck der Datenschutzrichtlinie für elektronische Kommunikation darin besteht, die Nutzer vor Eingriffen in ihre "Privatsphäre" zu schützen. Dazu gehören auch die Risiken, die mit versteckten Kennungen und ähnlichen Dateien verbunden sind, die ohne das Wissen der Nutzer zusätzlich zu ihren persönlichen Daten auf deren Geräten gespeichert werden.

Es gibt jedoch zwei Arten von Internet-Cookies, für die keine Zustimmung des Nutzers erforderlich ist.

1. Cookies, die vorhanden sein müssen, damit eine Website grundlegende Funktionen bereitstellen kann

Sie brauchen keine Zustimmung der Nutzer, wenn Sie unbedingt notwendige Cookies verwenden. Dies sind Cookies, die vorhanden sein müssen, damit die Website wesentliche Funktionen bereitstellen kann, darunter:

  • Cookies, die es Ihrem Online-Shop ermöglichen, die Artikel eines Kunden in seinem Warenkorb zu speichern
  • Authentifizierungs-Cookies
  • Benutzerzentrierte Sicherheits-Cookies
  • Social-Media-Plugins für die Weitergabe von Inhalten, sofern sie nicht zur Nachverfolgung von Nutzern verwendet werden
  • Cookies zur UI-Anpassung

2. Cookies, die ausschließlich für die Kommunikation über ein elektronisches Kommunikationsnetz verwendet werden

Diese Arten von Cookies werden als Lastausgleichs-Cookies bezeichnet. Sie gelten ebenfalls als unbedingt notwendige Cookies und erfordern keine Zustimmung des Nutzers, solange sie für die Dauer der Sitzung auf dem Gerät des Nutzers gespeichert werden. Beispiele hierfür sind Cookies, die:

  • Daten in der vorgesehenen Reihenfolge austauschen
  • Informationen über ein Netzwerk senden
  • Erkennen von Datenverlusten oder Übertragungsfehlern

Alle anderen Cookies - in der Regel im Zusammenhang mit Analysen und Werbung - bedürfen der Zustimmung, da sie auf den Nutzen des Unternehmens und nicht auf den Nutzen der Nutzer ausgerichtet sind.

Warum sind vorausgefüllte Kontrollkästchen nicht erlaubt?

Einfach ausgedrückt: Vorgekreuzte DSGVO Kästchen sind nicht zulässig, da sie keine gültige Einwilligung darstellen.

Diese Frage wurde vom Gerichtshof der Europäischen Union (EuGH) in der Rechtssache Planet49 aus dem Jahr 2019 eingehend untersucht.

Um es kurz zu machen: Planet49 veranstaltete auf seiner Website ein Gewinnspiel, und um daran teilzunehmen, mussten die Nutzer ein Kästchen ankreuzen, in dem sie dem Erhalt von Werbung von Dritten zustimmten. Die Nutzer konnten auch ein bereits angekreuztes Kästchen mit der Zustimmung zu Cookies deaktivieren.

In seinem Urteil stellte der EuGH fest, dass Websites eine gültige Zustimmung der Nutzer zur Speicherung von Cookies auf ihren Geräten einholen müssen. Insbesondere müssen Websites den Nutzern die Möglichkeit geben, aktiv ihre Zustimmung zu erteilen , bevor sie Cookies auf ihren Computern speichern.

Da der Nutzer bei den vorgefertigten DSGVO Kontrollkästchen nichts tun muss, um seine Zustimmung zu geben, gelten sie nicht als gültige Zustimmung. Anstatt den Nutzer dazu zu bringen, ein Kästchen anzukreuzen, um seine Zustimmung zu signalisieren, verlangen angekreuzte Kästchen nichts vom Nutzer, sondern nur Schweigen und Passivität.

Der EuGH stellte außerdem fest, dass:

  • Die Zustimmung muss "eindeutig" erteilt werden, und nur aktives, bestätigendes Verhalten des Nutzers kann diese Anforderung erfüllen.
  • Es ist unmöglich, objektiv festzustellen, ob ein Nutzer seine Einwilligung in Kenntnis der Sachlage gegeben hat, indem er ein bereits angekreuztes Kästchen nicht angekreuzt hat. Dies liegt daran, dass der Nutzer möglicherweise die Informationen neben dem angekreuzten Kästchen nicht gelesen oder das Kästchen ganz übersprungen hat.
  • Sie können keine gültige Einwilligung für mehrere Zwecke über dieselbe Anfrage erhalten. Sie können zum Beispiel keine gültige Zustimmung von einem Nutzer erhalten, wenn er ein Kontrollkästchen aktiviert, um Informationen an Sponsoren weiterzugeben und die Verwendung von Cookies zu erlauben.

Der Nutzer sollte in der Lage sein, aktiv das Kästchen anzukreuzen, für das er seine Zustimmung geben möchte, wenn seine Zustimmung als eindeutig gelten soll.

Andere Erwägungen bei der Festlegung der Zustimmung

Gemäß den Leitlinien des Europäischen Datenschutzausschusses (EDPD) vom Mai 2020 zu DSGVO müssen Unternehmen auch die nach der vorherigen Rechtslage erteilten Einwilligungen erneuern.

Die Datenschutzrichtlinie für elektronische Kommunikation ( DSGVO) erlaubte beispielsweise das Ankreuzen von Kontrollkästchen, sofern diese zur Einholung der Zustimmung verwendet wurden.

Das bedeutet, dass Sie, wenn Sie vor dem Inkrafttreten von DSGVO ein bereits angekreuztes Kontrollkästchen verwendet haben, die Zustimmung erneut auf eine gültige Weise einholen müssen.

Wann sind vorausgekreuzte Kästchen in Ordnung?

Kurz gesagt: Vorgekreuzte Kästchen sind für nicht wesentliche Cookies nicht OK, da sie nicht den Anforderungen der DSGVOentsprechen, aber Sie können sie für wesentliche Cookies anzeigen.

Sind angekreuzte Kontrollkästchen für essentielle Cookies in Ordnung?

Für "wesentliche" Cookies, die keine Zustimmung erfordern, müssen keine Kontrollkästchen angeklickt werden. Da sie keine Zustimmung des Nutzers erfordern, ist es nicht notwendig, den Nutzern die Möglichkeit zu geben, wesentliche Cookies abzulehnen.

Wenn Sie möchten, können Sie jedoch ein Kontrollkästchen für wichtige Cookies einfügen, das bereits angekreuzt ist. Die Verwendung eines voraktivierten Kontrollkästchens für wesentliche Cookies kann dem Publikum helfen, den Unterschied zwischen wesentlichen und nicht-wesentlichen Cookies zu verstehen und dass sie die Möglichkeit haben, sich für nicht-wesentliche Cookies zu entscheiden.

Sind vorausgefüllte Kontrollkästchen für andere Cookies in Ordnung?

Nein, vorausgefüllte Kontrollkästchen sind für nicht wesentliche Cookies nicht zulässig. Wie bereits erwähnt, erfordern nicht wesentliche Cookies eine gültige Zustimmung. Das bedeutet, dass Sie ein angekreuztes Kästchen nicht verwenden können, um diese Zustimmung zu erhalten.

Was passiert, wenn Sie angekreuzte Kontrollkästchen für Cookies verwenden?

Die EU ist stets auf der Suche nach Unternehmen, die gegen die strengen Normen der DSGVO und der Datenschutzrichtlinie für elektronische Kommunikation verstoßen. Hier sind zwei aktuelle Beispiele, die zeigen, was passieren kann, wenn Sie die EU-Bestimmungen zu Cookies nicht befolgen.

Googles 121 Millionen Dollar Strafe für Cookies

Am 10. Dezember 2020 verhängte die französische Datenschutzbehörde Commission Nationale de l'Informatique et des Libertés (CNIL) eine Geldstrafe in Höhe von 121 Millionen Dollar (100 Millionen Euro) gegen Google, weil das Unternehmen es versäumt hatte, eine vorherige Zustimmung einzuholen, bevor es nicht benötigte Cookies in den Browsern der Nutzer platzierte.

Die CNIL entdeckte, dass bei jedem Besuch von Google.fr automatisch Werbe-Cookies in den Browsern der Nutzer platziert wurden, ohne dass diese etwas unternehmen mussten. Google benutzte kein vorgefertigtes Kästchen, aber es gab den Nutzern auch keine Möglichkeit, sich dagegen zu entscheiden.

Google.fr hatte nur ein Informationsbanner am unteren Rand der Seite, das einen Datenschutzhinweis von Google und zwei Schaltflächen enthielt: "Jetzt zugreifen" und "Später erinnern".

Es gab auch keine Informationen über die nicht-essentiellen Werbe-Cookies, die bereits auf den Computern der Nutzer platziert waren, als sie auf Google.fr kamen.

Amazons 42 Millionen Dollar Strafe für Cookies

Am selben Tag, an dem Google zu einer Geldstrafe verurteilt wurde, verhängte die CNIL auch gegen Amazon eine Geldstrafe von 42 Millionen Dollar (35 Millionen Euro).

Wie Google.fr platzierte auch Amazon.fr automatisch Cookies auf den Computern der Nutzer, ohne dass diese ihr Einverständnis geben mussten. Auch die Informationen über die Cookies waren "weder klar noch vollständig".

Wie bei Google.fr bot das cookie banner von Amazon den Nutzern keine Möglichkeit, sich für die Cookies zu entscheiden, und die Website platzierte Cookies auf den Geräten der Nutzer, bevor diese die Möglichkeit hatten, die Cookie-Richtlinie von Amazon zu lesen oder sich dagegen zu entscheiden. Stattdessen hieß es, dass die Nutzer durch die Nutzung der Website die Verwendung von Cookies durch die Website akzeptiert hätten.

Schlussfolgerung

Die EU hat hohe Standards für die Zustimmung der Nutzer festgelegt. Vorgefertigte Kästchen sind keine gültige Methode mehr, um die Zustimmung zu Cookies einzuholen.

Gemäß DSGVO und der Datenschutzrichtlinie für elektronische Kommunikation muss die Einwilligung frei, in Kenntnis der Sachlage, spezifisch und unzweideutig gegeben werden, und sie muss durch eine klare und bestätigende Handlung erteilt werden. Websites müssen ihren Nutzern auch eine einfache Möglichkeit bieten, ihre Zustimmung jederzeit zu widerrufen, und die Organisationen müssen den Nachweis erbringen, dass die Zustimmung erteilt wurde.

Masha Komnenic CIPP/E, CIPM, CIPT, FIP
Mehr über die Autorin

Geschrieben von Masha Komnenic CIPP/E, CIPM, CIPT, FIP

Masha ist Spezialistin für Informationssicherheit und Datenschutz und zertifizierte Datenschutzbeauftragte. In den letzten sechs Jahren war sie als Datenschutzbeauftragte tätig und half kleinen und mittleren Unternehmen bei der Einhaltung von Rechtsvorschriften. Außerdem war sie Mentorin für die Einhaltung von Datenschutzbestimmungen bei vielen internationalen Business Accelerators. Sie ist spezialisiert auf die Umsetzung, Überwachung und Prüfung der Einhaltung von Datenschutzvorschriften (HIPAA, PIPEDA, ePrivacy-Richtlinie, DSGVO, CCPA, POPIA, LGPD). Masha hat an der Universität Belgrad Jura studiert und 2016 die Anwaltsprüfung abgelegt. Mehr über die Autorin

Verwandte Artikel

  1. Was-ist-Google-Konsens-Modus-01
    Was ist der Google-Zustimmungsmodus v2?
    Artikel

    7. Mai 2025
    Masha Komnenic CIPP/E, CIPM, CIPT, FIP
  2. Was-ist-Google-Konsens-Modus-01
    Was ist der Google-Zustimmungsmodus?
    Artikel

    6. Mai 2025
    Masha Komnenic CIPP/E, CIPM, CIPT, FIP
  3. Was-ist-Datenschutz-Komplett-Leitfaden-für-Unternehmen-01
    Was ist Datenschutz? Vollständiger Leitfaden für Unternehmen
    Artikel

    2. Mai 2025
    Etienne Cussol CIPP/E, CIPM
  4. Website-Checkliste für Datenschutz und Datensicherheit-01
    Website-Checkliste für Datenschutz und Datensicherheit
    Checklisten

    1. Mai 2025
    James Ó Nuanáin, CIPP/E, CIPM, CIPT
  5. Termly
    Termly vs. Enzuzo: Funktionen und Dienstleistungen im Vergleich
    Vergleiche

    1. Mai 2025
    Ali Talip Pınarbaşı, CIPP/E, & LLM
  6. Termly
    Bereiten Sie sich mit Termly auf den UET-Zustimmungsmodus von Microsoft vor
    Termly Updates und Presse

    23. April 2025
    Masha Komnenic CIPP/E, CIPM, CIPT, FIP
  7. Microsoft-Konsens-Mode-01
    Was ist der Microsoft UET-Zustimmungsmodus und wie kann er aktiviert werden?
    Leitfäden

    18. April 2025
    Masha Komnenic CIPP/E, CIPM, CIPT, FIP
  8. Cookie-Richtlinie-Template-01
    Cookie Richtlinien Vorlage
    Vorlagen

    7. April 2025
    Masha Komnenic CIPP/E, CIPM, CIPT, FIP
  9. Termly
    Termly vs. Axeptio: Funktionen und Dienstleistungen im Vergleich
    Vergleiche

    4. April 2025
    Ali Talip Pınarbaşı, CIPP/E, & LLM

Weitere Artikel ansehen