Cookie Banner und Consent Tools im Focus

Österreichische Datenschutzorganisation kündigt automatisierte Überprüfungen von Websites an

Die österreichische Datenschutzorganisation noyb des Aktivisten Max Schrems, der bereits zwei mal erfolgreich gegen die Praxis des nach europäischen Recht nicht zulässigen Datentransfers in die USA geklagt hatte, kündigt Ende Mai 21 die automatisierte Überprüfung von Websites auf Datenschutzverstöße an.

Hintergrund der Aktivitäten ist die Feststellung, dass fast alle Websites zu europäischem Recht im Widerspruch stehen und das Recht von Besuchern, zustimmungspflichtige Elemente der Verarbeitung abzulehnen, mit diversen Tricks unterlaufen und konterkarieren. 90% der User würden (genervt) eine Zustimmung zu Verarbeitungen erteilen, die nur von 3% wirklich gewünscht wird, so das Fazit der Organisation.

Beschwerden und Bußgelder drohen

Dass die meisten Cookie Banner und Consent Tools nicht wirklich dem Willen des Gesetzgebers entsprechen, können wir aus eigener Anschauung und diverse Audits durchaus bestätigen. Hinzu kommen weitere Verstöße, beispielsweise in Form irreführender und falscher Datenschutzerklärungen. Kommt es zu den angekündigten Serien automatisierter Überprüfungen, werden sich viele Firmen auf Post von noyb einstellen müssen. Ihnen bleibt dann ein Monat, die monierten Verstöße dauerhaft zu beseitigen, andernfalls drohen Verfahren der zuständigen Aufsichtsbehörden.

Regelmäßige Prüfungen der eigenen Website sind sinnvoll und vermeiden unnötige Konflikte

Soweit wir als bestellte Datenschutzbeauftragte für Unternehmen tätig sind, haben wir in der Vergangenheit ohnehin von uns aus in unregelmäßigen Abständen zumindest Sichtprüfungen der uns bekannten Websites unserer Kunden vorgenommen.

Grundsätzlich empfehlen wir allen Betreibern eines Telemediendienstes, diese regelmäßig auf die Einhaltung datenschutzrechtlicher Bestimmungen zu prüfen. Wobei diese Prüfung sich keineswegs nur auf die genannten Aspekte der Einwilligungspflicht bezieht, sondern auch die weiteren Gewährleistungsziele des Datenschutzes einbeziehen sollte.

1. Schritt: Wissen was läuft

Als Verantwortlicher und Betreiber eines Telemediendienstes sind Sie in der Pflicht, sich über sämtliche Verarbeitungsprozesse ihres Dienstes zu informieren. Dazu gehören insbesondere:

  • die Erfassung von Cookies, local storage und andere Verarbeitungsprozessen, wie beispielsweise die Einbindung von Drittanbieterdiensten
  • Prüfung der Kontaktangebote auf Sicherheit, Zweckbestimmung und Datenminimierung
  • Prüfung der Datenschutzerklärung auf Richtigkeit und Vollständigkeit
  • Überwachung des Einwilligungsmanagements, sofern erforderlich

2. Schritt: Identifizieren nach Notwendigkeit und Funktion

Im zweiten Schritt erfolgt die Zuordnung der identifizierten Verarbeitungsprozesse nach Funktion. Zunächst einmal werden alle Verarbeitungsprozesse, die für die Erbringung des angefragten Dienstes identifiziert. Sämtliche Verarbeitungen, die notwendig sind, um den angefragten Dienst zu erbringen, gehören in die Datenschutzerklärung, benötigen aber keine Einwilligung in Form eines Banners oder Consent Tools.

3. Schritt: Prüfung der Rechtsgrundlagen

Unabdingbar für alle nicht zwingenden Verarbeitungen ist die Prüfung der Rechtsgrundlage der Verarbeitung. Besteht diese in der informierten Einwilligung des Users, muss ein Consent Tool eingesetzt werden, das den rechtlichen Vorgaben entspricht. Bei dieser Prüfung ist zudem darauf zu achten, ob die Verarbeitung innerhalb der EU oder aber in Drittstaaten stattfindet. Ist letzteres der Fall, muss auch die Rechtsgrundlage für die Datenübermittlung in Drittstaaten geprüft werden.

4. Schritt: Implementierung eines Managementprozesses zur Prüfung

Zur Vermeidung künftiger Beschwerden und Verfahren lohnt es sich, einen Managementprozess zur regelmäßigen Überprüfung der Verarbeitungsprozesse zu implementieren. Auch die Rechtsprechung entwickelt sich und Verarbeitungen, die heute noch legal sind, können morgen unter Umständen schon als nicht legitim bewertet werden.

In Deutschland werden sich beispielsweise die Rahmenbedingungen mit Inkrafttreten des TTDSG Ende dieses Jahres noch einmal ändern.

Update: Auch deutsche Behörden kündigen umfassende Prüfungen im Bereich des internationalen Datenverkehrs an.

Weitere Informationen zu den angekündigten Prüfungen finden Sie hier.

Datenschutzaudit für Ihre Website

Ein Datenschutzaudit für die Website oder den Shop kostet in der Regel zwischen 250,- und 450,- Euro, je nach Umfang. Lediglich bei großen Websites ist mit einem höheren Betrag zu rechnen. Gern geben wir auf Anfrage ein verbindliches Angebot ab. Details zu den erwartbaren Kosten finden Sie hier.


Diese Seite verwendet die Shariff-Lösung der Ct.
Ihre Daten werden erst dann an Dritte übertragen, wenn Sie auf den entsprechenden Button klicken.

Herzlichen Dank fürs Teilen und Bekanntmachen dieser Seite.