Logo Logo
Cookiebot

Die Allgemeine Datenschutz-Grundverordnung (DSGVO) und die ePrivacy-Richtlinie (ePR) haben Einfluss darauf, wie Sie als Website-Eigentümer die Zustimmung Ihrer Besucher aus der EU zu Cookies einholen und speichern müssen.

Nutzen Sie unseren kostenlosen Compliance-Test, um zu prüfen, ob die Verwendung von Cookies und Online-Tracking auf Ihrer Website DSGVO/ePR-konform ist.

EDPB-Guidelines zur gültigen Zustimmung, Einhaltung mit Cookiebot

Veröffentlicht am 17. Juni 2020.


Das European Data Protection Board (EDPB) hat Richtlinien zur Einhaltung der DSGVO verabschiedet, die klarstellen, was eine gültige Zustimmung auf Websites darstellt und die Verwendung von "Cookie-Walls" für illegal erklären.

Das EDPB ist die höchste Aufsichtsbehörde für die DSGVO in der EU, und ihre Richtlinien bilden die Grundlage für die Durchsetzung durch die nationalen Datenschutzbehörden in jedem EU-Mitgliedstaat.

In diesem Artikel erläutern wir Ihnen die wichtigsten Dinge, die Sie über die EDPB-Guidelines wissen sollten, damit Sie sicherstellen können, dass Ihre Website ein sicherer und konformer Bereich für Ihre Besucher ist.


Kurze Zusammenfassung


EDPB Guidelines in Kürze

Am 4. Mai 2020 verabschiedete das European Data Protection Board (EDPB) (dt. Europäischer Datenschutzausschuss) Richtlinien zur DSGVO-Konformität, die klarstellen, was eine gültige Zustimmung zur Verarbeitung personenbezogener Daten in der EU darstellt, und bestätigen, dass die Verwendung von "Cookie Walls" als Mittel zur Einholung der Einwilligung nicht konform ist.

Diese EDPB-Guidelines festigen als einheitliche Anwendung der DSGVO, was mehrere nationale Datenschutzbehörden und das EuGH-Urteil Planet49 unabhängig voneinander entschieden haben. Da die EDPB-Guidelines bestimmen, wie die Datenschutzbehörden in jedem EU-Mitgliedsstaat die DSGVO durchsetzen sollen, ist es sehr wichtig, diese Richtlinien zu beachten.

Lesen Sie hier die EDPB-Richtlinien 05/2020 zur gültigen Zustimmung (Link in Englisch).

Testen Sie kostenlos, ob Ihre Website den EDPB-Richtlinien und DSGVO entspricht.

Testen Sie Cookiebot 30 Tage lang kostenlos... oder für immer, wenn Sie eine kleine Website haben.


EDPB-Guidelines zu gültiger Zustimmung

Damit eine Zustimmung nach der DSGVO gültig ist, muss sie:

Das EDPB stellt in seinen Richtlinien klar, dass "ein eindeutiger Hinweis auf die Zustimmung des Nutzers" (eigene Übersetzung) mit einer klaren und bestätigenden Handlung des Nutzers erfolgen muss.

Benutzerhandlungen wie das Scrollen oder Streichen durch eine Website oder ähnliche Nutzeraktivitäten (auch als implizite Zustimmung bekannt) erfüllen nicht das Erfordernis einer gültigen Zustimmung nach der DSGVO.

Mit den EDPB-Guidelines bedeutet dies, dass der Cookie-Banner Ihrer Website nicht angeben darf, dass das fortgesetzte Browsen oder Scrollen auf Ihrer Domain als Zustimmung zur Verwendung von Cookies, die personenbezogene Daten verarbeiten, angesehen wird, da dies keine gültige Form der Zustimmung nach der DSGVO ist.

Stattdessen muss der Cookie-Banner auf Ihrer Website interaktiv sein, und die Website darf keine Cookies aktivieren, die personenbezogene Daten sammeln, bis der Benutzer ausgewählt hat, welche Kategorien von Cookies sie in Betrieb nehmen dürfen (die so genannte vorherige Zustimmung).

Die EDPB-Guidelines stellen auch klar, dass die Verwendung von vorgekreuzten Opt-in-Boxen nicht DSGVO-konform ist, da auch dies nicht dem Erfordernis der klaren und bestätigenden Handlung entspricht.

Hier ergänzen die EDPB-Guidelines den Präzedenzfall, den der Gerichtshof der Europäischen Union (EuGH) im Oktober 2019 im Fall Planet 49 geschaffen hat.

Diese EuGH-Entscheidung urteilte, dass vorgekreuzte Kästchen auf Cookie-Bannern nicht erlaubt sind, da sie auch nicht der Anforderung entsprechen, dass die Zustimmung eine frei gegebene, positive Handlung sein muss.

Erfahren Sie mehr über den CJEU und den Fall von Planet49

Testen Sie Cookiebot heute kostenlos… oder für immer, wenn Sie eine kleine Website haben.



EDPB-Guidelines klären DSGVO-Konformität in der EU.

EDPB-Guidelines klären, wie die DSGVO in der EU zu interpretieren und durchzusetzen ist.



EDPB-Guidelines zu "Cookie Walls"

Die EDPB-Guidelines stellen auch klar, dass eine "Cookie-Wall" ein nicht konformer Weg ist, um die Zustimmung für Websites zu erhalten.

Cookie-Walls funktionieren, indem sie den Zugang zu Websites von der Zustimmung des Benutzers zur Verarbeitung seiner persönlichen Daten abhängig machen, und die EDPB-Guidelines besagen sehr deutlich, dass dies keine gültige Zustimmung darstellt.

Da eine Cookie-Wall funktioniert, indem sie die Zustimmung der Benutzer zur Speicherung von Cookies erzwingt oder im Austausch gegen den Zugang zu Diensten und Funktionalitäten auf bereits gespeicherte Cookies zugreift, erfüllen Cookie-Walls als Mittel zur Einholung der Zustimmung nicht die Anforderung der DSGVO, dass eine gültige Zustimmung frei und auf der Grundlage einer echten Wahl gegeben werden muss.

Möchten Sie noch mehr über Cookie Walls wissen?


Was bedeuten die EDPB-Guidelines für meine Website?

Die EDPB-Guidelines bekräftigen, was die Absicht der DSGVO von Anfang an war: die Nutzer mit echten, durchsetzbaren Rechten in Bezug auf ihre eigenen Daten und ihre Privatsphäre auszustatten.

In ihren Richtlinien zur Zustimmung macht das EDPB sehr deutlich, dass jeder Versuch, zu verhindern, dass den Benutzern echte Macht über ihre eigenen persönlichen Daten eingeräumt wird (wie das Erzwingen der Zustimmung oder das Vertrauen auf schlecht informierte implizite Zustimmungen), nicht toleriert wird.

Mit anderen Worten: Ihre Website darf keine Cookies aktivieren, die personenbezogene Daten verarbeiten, es sei denn, der Benutzer hat dem klar und deutlich zugestimmt.

Für Ihre Website bedeutet dies –

Wenn Ihre Website eine Zustimmungs-Lösung verwendet, die Cookies auf der Basis von fortgesetztem Scrollen, Klicken oder Browsen auf Ihrer Website aktiviert (d.h. jede andere Aktivität als die direkte, explizite Interaktion mit dem Zustimmungs-Banner), vorgekreuzte Kontrollkästchen oder Cookie-Walls verwendet, müssen Sie dies ändern.

Die EDPB-Guidelines bilden die Grundlage für die gesamte DSGVO-Durchsetzung auf nationaler Ebene durch die jeweiligen Datenschutzbehörden in jedem EU-Mitgliedstaat. Wenn Ihre Website also von einem EU-Land aus betrieben wird oder wenn Ihre Website personenbezogene Daten von Personen aus einem EU-Land verarbeitet, müssen Sie die EDPB-Guidelines zu DSGVO-Compliance einhalten.


EDPB-Guidelines und DSGVO Konformitätstest

Sind Sie unsicher, ob Ihre Website die DSGVO-Anforderungen für die rechtmäßige Verwendung von Cookies und Trackern erfüllt? Haben Sie Zweifel, ob Ihre Domain die EDPB-Guidelines für eine gültige Zustimmung erfüllt?

Prüfen Sie, ob Ihre Website den EDPB-Richtlinien und DSGVO-Anforderungen entspricht, indem Sie den kostenlosen Compliance-Test von Cookiebot verwenden.

Cookiebot führt einen kostenlosen Scan Ihrer Website durch, der alle Cookies und Tracker erkennt, die auf Ihrer Domain in Betrieb sind.

Sie könnten feststellen, dass Ihre Website viel mehr Cookies aufweist, als Ihnen bekannt ist, da –

72% der Cookies heimlich durch Tracker von Drittanbietern geladen werden, was es fast unmöglich macht, sie ohne geeignete Scan-Technologie zu erkennen.

18% der Cookies auf Websites trojanische Pferde sind, d.h. Tracker, die bis in die Tiefe von acht anderen Cookies laden.

50 % aller Trojanischen Pferde zwischen Besuchen wechseln, so dass Benutzer riskieren, dass ihre persönlichen Daten von verschiedenen Dritten auf Ihrer Website erfasst werden, wenn sie Ihre Domain erneut besuchen.

Quelle: Beyond the Front Page, eine Studie von 2020 über Website-Cookies.

Testen Sie kostenlos die Einhaltung der DSGVO und EDPB-Richtlinien Ihrer Website

Erfahren Sie mehr über DSGVO und Cookie-Zustimmung

Besuchen Sie die EDPB-Website

Testen Sie Cookiebot noch heute kostenlos


Cookiebot und die EDPB-Guidelines


Cookiebot ist die weltweit führende Consent Management-Plattform, die Ihre Website mit allen wichtigen Datenschutzgesetzen konform macht.

Die Lösung von Cookiebot ist ein Plug and Play-System, das weder eine manuelle Implementierung noch eine Vor-Ort-Integration in Ihre Domain erfordert.

Implementieren Sie Cookiebot einfach aus der Cloud, um die Privatsphäre Ihrer Benutzer vor Datenmissbrauch durch Dritte zu schützen.

Cookiebot führt Deep-Scans Ihrer gesamten Website durch, um alle aktiven Cookies und Tracker aufzuspüren – sogar die versteckten Trojaner – und blockiert alles automatisch, bis Ihre Nutzer ihre vorherige Zustimmung gegeben haben, in voller Übereinstimmung mit der DSGVO.

Cookiebot's Zustimmungslösung ist in voller Übereinstimmung mit den EDPB-Richtlinien über gültige Zustimmung:





Cookiebot CMP ermöglicht die Einhaltung der EDPB-Richtlinien

Cookiebot's interaktiver Banner mit detaillierter Zustimmung in Übereinstimmung mit den EDPB-Guidelines zu DSGVO.



Testen Sie Cookiebot 30 Tage lang kostenlos... oder für immer, wenn Sie eine kleine Website haben.



Cookiebot CMP für die Einhaltung der DSGVO- und EDPB-Richtlinien



EDPB-Guidelines im Detail


Die EDPB-Guidelines 05/2020 zur gültigen Zustimmung ist ein detailliertes 33-seitiges Dokument, das am 4. Mai 2020 verabschiedet wurde.

Im weiteren Verlauf dieses Artikels werden wir einen genaueren Blick auf jeden der wesentlichen Abschnitte der EDPB-Guidelines werfen, die Klarheit über die gültige Zustimmung nach der DSGVO schaffen:

Lesen Sie hier die Richtlinien des EDPB im vollen Wortlaut. (Dokument in Englisch)


Wer ist das EDPB?

Das European Data Protection Board (EDPB) ist die führende Aufsichtsbehörde, die für die einheitliche Anwendung der Allgemeinen Datenschutz-Grundverordnung (DSGVO) in der EU verantwortlich ist.

Das EDPB wurde mit der Verabschiedung der DSGVO im Jahr 2018 eingerichtet und besteht aus Vertretern der nationalen Datenschutzbehörden der einzelnen EU-Mitgliedstaaten.

Die Aufgabe des EDPB besteht darin, allgemeine Richtlinien zu verabschieden und Entscheidungen zu treffen, die klarstellen, wie die DSGVO von Websites, Unternehmen und Organisationen zur vollständigen Einhaltung interpretiert werden soll.

Die Richtlinien und Entscheidungen des EDPB sind der Eckpfeiler bei der Durchsetzung der DSGVO in den EU-Mitgliedstaaten, wobei jede nationale Datenschutzbehörde für die Anwendung der DSGVO verantwortlich ist.


Frei gegebene Zustimmung


Bei der Einholung der Zustimmung der Nutzer zur Aktivierung von Cookies, die personenbezogene Daten verarbeiten, muss Ihre Website sicherstellen, dass sie frei gegeben wird – ein Grundpfeiler für eine gültige Zustimmung im DSGVO.

Wenn der Benutzer keine wirkliche Wahl hat, sich zur Zustimmung gezwungen fühlt oder negative Folgen hinnehmen muss, wenn er nicht einwilligt (z.B. eingeschränkte Dienste oder verweigerter Zugang), dann ist die Zustimmung nicht gültig.

Ihre Website darf die Zustimmung nicht bündeln, d.h. wenn die Zustimmung als nicht verhandelbarer Teil der Geschäftsbedingungen dargestellt wird, wird davon ausgegangen, dass sie nicht frei gegeben wurde.

Dementsprechend wird die Zustimmung nicht als gültig betrachtet, wenn der Nutzer nicht in der Lage ist, die Zustimmung ohne Konsequenzen (wie z.B. verminderte Qualität der Dienste oder Zugangsverweigerung) zu verweigern oder zurückzuziehen.


Bedingtheit der Zustimmung


Wie oben kurz angesprochen, ist das Bündeln von Zustimmungen nicht konform, wie in den EDPB-Guidelines klargestellt wird.

Die Zustimmung z.B. von der Annahme von Geschäftsbedingungen oder der Erbringung einer Dienstleistung abhängig zu machen, für die personenbezogene Daten, die durch Cookies und Tracker verarbeitet werden, nicht erforderlich sind, wird als ungültige Form der Zustimmung angesehen.

Die DSGVO enthält sechs Rechtsgrundlagen für die Verarbeitung personenbezogener Daten, von denen die erste die Zustimmung des Nutzers und die zweite die Ausübung eines Vertrags betrifft.

Die EDPB-Richtlinien machen sehr deutlich, dass diese beiden Rechtsgrundlagen nicht zusammengeführt oder vermischt werden dürfen, d.h. wenn sich Ihre Website auf die Zustimmung des Nutzers zur Verwendung von Cookies und Trackern stützt, die personenbezogene Daten verarbeiten, kann diese Zustimmung nicht von der Erbringung einer Dienstleistung abhängig gemacht werden, für die die personenbezogenen Daten nicht erforderlich sind (siehe dazu DSGVO Artikel 7, 4).

Dies ist der Teil der EDPB-Guidelines, der die Verwendung von Cookie Walls als eine konforme Form der Einholung von Einwilligungen faktisch ausschließt, da eine erzwungene Einwilligung nicht frei gegeben wird.

Der Zwang zur Einwilligung in die nicht notwendige Erhebung personenbezogener Daten steht der freien Zustimmung im Wege, stellen die EDPB-Guidelines klar.

Erfahren Sie hier mehr über Cookie Walls


Detaillierte Zustimmung


Auf den meisten Websites weltweit sind viele verschiedene Cookies in Betrieb, die von verschiedenen Anbietern unterschiedliche Daten für unterschiedliche Zwecke sammeln.

Die EDPB-Guidelines stellen klar, dass, wenn Ihre Website personenbezogene Daten für mehr als einen Zweck verarbeitet, die Benutzer in der Lage sein müssen, frei zu wählen, welchen Zweck sie akzeptieren – anstatt einem Bündel von Verarbeitungszwecken zustimmen zu müssen.

Dies bedeutet für Ihre Website, dass Sie alle Cookies und ihre verschiedenen Zwecke kennen und den Benutzern die Möglichkeit bieten müssen, die Aktivierung einiger Cookies auszuwählen und anderer nicht, was auch als detaillierte Zustimmung bekannt ist.




Cookiebot für die Einhaltung der EDPB-Guidelines

Detaillierte Zustimmung durch Cookiebot in voller Übereinstimmung mit den EDPB-Guidelines 05/2020.



Spezifische Zustimmung


Eine gültige Zustimmung, so stellen die EDPB-Guidelines klar, muss spezifisch sein, d.h. es muss ein spezifischer, expliziter und legitimer Zweck für die beabsichtigte Verarbeitungstätigkeit eindeutig festgelegt werden.

Um die DSGVO-Anforderung zu erfüllen, dass eine Zustimmung spezifisch sein muss, muss Ihre Website Folgendes gewährleisten –

  1. Zweckdefinition als Schutz gegen "Function Creep" (d.h., dass personenbezogene Daten für mehrere Zwecke verwendet werden, ohne dass für jeden einzelnen Zweck die spezifische Zustimmung des Benutzers vorliegt).
  2. Detailliertheit bei Zustimmungsanfragen
  3. Klare Trennung der Informationen bezüglich der Zustimmung zu Datenverarbeitungsaktivitäten von Informationen zu sonstigen Angelegenheiten


Informierte Zustimmung


Die EDPB-Guidelines stellen klar, dass eine gültige Zustimmung informiert sein muss, d.h. die Benutzer müssen wissen und verstehen, worauf sie sich einlassen.

Ihre Website muss diese inhaltlichen Mindestanforderungen erfüllen, damit eine informierte Zustimmung erteilt werden kann –

  1. Sie und die Identität Ihrer Website,
  2. Zweck der einzelnen Verarbeitungsvorgänge, für die auf Ihrer Website um Zustimmung gebeten wird,
  3. welche Art von Daten auf Ihrer Website gesammelt und verwendet werden,
  4. das Recht auf Widerruf der Zustimmung,
  5. Informationen über die Verwendung der Daten für automatisierte Entscheidungsfindung,
  6. mögliche Risiken von Datenübermittlung auf Grundlage eines Angemessenheitsbeschlusses, wie in DSGVO Artikel 46 beschrieben wird.

Ihre Informationen für Ihre Nutzer müssen in klarer und verständlicher Sprache verfasst sein und für den Durchschnittsbürger (und nicht nur für Juristen) leicht verständlich sein.




EDPB Guidelines klären die DSGVO-Compliance. Testen Sie Cookiebot kostenlos.

Cookiebot's Cookie-Banner mit klarem und leicht verständlichem Text in Übereinstimmung mit den EDPB-Richtlinien zur informierten Zustimmung.




Rücknahme der Zustimmung


Wenn sich Ihre Website auf die Zustimmung zur Verarbeitung personenbezogener Daten durch die Verwendung von Cookies und Trackern stützt, müssen Sie bereit sein, die Entscheidungen der Nutzer zu respektieren, wenn diese Zustimmung zurückgezogen wird. Dies ist eine DSGVO-Anforderung.

Die Nutzer müssen ihre Einwilligung genauso einfach widerrufen können, wie sie sie erteilt haben. Tatsächlich ist es eine Bedingung für die Gültigkeit der Zustimmung, dass der Benutzer sie im Nachhinein auf ebenso einfache Weise widerrufen kann.

Die Benutzer müssen die Möglichkeit haben, ihre Zustimmung frei und ohne Konsequenzen zu widerrufen, etwa indem ihnen der Zugang zu einer Website verweigert wird oder sie eine Einschränkung der Dienstleistungen erfahren.

Jede Verarbeitung personenbezogener Daten, die nach der Zustimmung durch den Nutzer und vor dem Widerruf dieser Zustimmung erfolgte, ist rechtmäßig.


Zusätzliche Bedingungen für die Einholung einer gültigen Zustimmung


Die Beweispflicht zum Nachweis der Zustimmung des Benutzers zur Verarbeitung personenbezogener Daten liegt beim Eigentümer und/oder Betreiber der Website.

Das bedeutet, dass Sie in der Lage sein müssen nachzuweisen, dass der Benutzer seine Zustimmung dazu gegeben hat, dass Ihre Website Cookies und Tracker setzt, die persönliche Daten sammeln. Die Dokumentation der Einverständniserklärung muss sicher gespeichert werden.

Das EDPB empfiehlt als bewährte Praxis, dass die Einverständniserklärungen in angemessenen Abständen erneuert werden sollten.


Rechte des Datensubjekts


Zu guter Letzt sollten Sie daran denken, dass Ihre Benutzer durch die DSGVO gesicherte Rechte haben, die Sie stets respektieren müssen, um konform zu sein.

Diese sind –


Cookiebot und DSGVO-Konformität


Die Consent Management-Plattform von Cookiebot kümmert sich um alle Anforderungen zur Einhaltung der DSGVO, die Ihre Website erfüllen muss, wenn Sie Cookies verwenden, die persönliche Daten von Benutzern innerhalb der EU verarbeiten.

Cookiebot

Erfahren Sie mehr über DSGVO-Konformität

Funktionen von Cookiebot ansehen

Preise & Pläne von Cookiebot ansehen

Machen Sie den kostenlosen DSGVO-Konformitätstest von Cookiebot

Testen Sie Cookiebot noch heute kostenlos


FAQ


Was ist das EDPB?

Das European Data Protection Board (EDPB) (dt. Europäischer Datenausschuss) ist das höchste Kontrollorgan, das für die Anwendung und Durchsetzung der Allgemeinen Datenschutz-Grundverordnung (DSGVO) in der EU zuständig ist. Das EDPB setzt sich aus Vertretern der Datenschutzbehörden der einzelnen EU-Mitgliedstaaten zusammen. Seine Hauptaufgabe besteht darin, allgemeine Richtlinien zu verabschieden und Entscheidungen darüber zu treffen, wie die DSGVO auszulegen und durchzusetzen ist.

Testen Sie Cookiebot 30 Tage lang kostenlos... oder für immer, wenn Sie eine kleine Website haben..


Was beinhalten die EDPB-Guidelines?

Die EDPB-Guidelines zur gültigen Zustimmung von Mai 2020 stellen klar, was eine gültige Zustimmung ist, wenn man sich bei der Verarbeitung personenbezogener Daten auf die Benutzereinwilligung stützt, z.B. durch die Verwendung von Cookies und Trackern auf Websites. Die EDPB-Guidelines schließen die Verwendung von Cookie Walls (erzwungene Einwilligung) aus und legen fest, was Websites tun müssen, um eine gültige Einwilligung in die Verarbeitung personenbezogener Daten zu erhalten.

Prüfen Sie die Konformität Ihrer Website mit dem kostenlosen DSGVO-Compliance-Test von Cookiebot


Was ist nach dem EDPB eine gültige Zustimmung?

Die EDPB-Guidelines 05/2020 stellen klar, dass eine gültige Zustimmung ein frei gegebener, informierter, spezifischer und eindeutiger Ausdruck der Nutzerwünsche ist. Dies bedeutet, dass Ihre Website den Benutzern eine echte Wahlmöglichkeit der Einwilligung zwischen allen verschiedenen Cookies und Trackern geben muss, bevor diese aktiviert und personenbezogene Daten verarbeitet werden können. Das Scrollen und fortgesetzte Browsen auf Websites ist keine gültige Zustimmung, und Cookie-Banner dürfen keine vorgekreuzten Kontrollkästchen enthalten.

Erfahren Sie mehr über DSGVO-Konformität mit Cookiebot


Wie kann meine Website DSGVO-konform werden?

Zunächst müssen Sie alle Cookies und Tracker kennen, die auf Ihrer Website in Betrieb sind, damit Sie die Benutzer über deren Art, Zweck, Dauer und Anbieter informieren können. Zweitens müssen Sie alle Cookies (mit Ausnahme der notwendigen Cookies) blockieren, bis die Benutzer ihre klare und positive Zustimmung gegeben haben, deren Aktivierung zuzulassen. Drittens müssen Sie alle Einverständniserklärungen sicher dokumentieren und jährlich erneuern. Viertens müssen Sie es den Benutzern so einfach machen, ihre Einwilligung zu widerrufen, wie sie sie von Anfang an gegeben haben.

Lesen Sie mehr über die DSGVO und Cookie-Zustimmung.


Ressourcen


European Data Protection Board (EDPB)

EDPB-Guidelines 05/2020 zu gültiger Zustimmung (in Englisch)

Was ist die DSGVO?

DSGVO und Cookie-Zustimmung

Beyond the Front Page, eine Studie zu Website-Tracking von 2020 (in Englisch) 

New Google Consent Mode 

Cookiebot integrates perfectly with the new Google Consent Mode.

Machen Sie heute die Verwendung von Cookies und Online-Tracking auf Ihrer Website konform

Jetzt kostenlos testen