Viele Webseiten nutzen Cookies als Instrument zur Optimierung oder binden Dienste von Drittanbietern ein –zum Beispiel Analyse-, Karten- oder Wetterdienste. Da Cookies Daten am PC der Benutzer:innen speichern oder gar Personendaten der Benutzer:innen an Drittanbieter weiterleiten, benötigt der Betreiber der Seite eine datenschutzrechtliche Einwilligung der Benutzer:innen. Und hier sind einige Vorgaben zu beachten, damit diese Einwilligung den gesetzlichen Vorgaben entspricht und wirksam ist.

Sowohl für die Speicherung von Cookies als auch generell für die Einbindung von Dienstleistern auf Webseiten (wie Analyse-, Marketing-, Tracking-, Karten-, Wetter-, Chat-, Video-, Bildoptimierungs-, Push-Nachrichten- und Umfrage-Dienste) ist eine datenschutzrechtliche Einwilligung der Benutzer:innen erforderlich, sofern mit der Cookienutzung eine Weiterleitung der Daten der Benutzer:innen an die Diensteanbieter verbunden ist. Mittlerweile finden sich vermehrt aufwändige Fenster für eine Zustimmung der Benutzer:innen (auch Consent-Banner oder Consent-Layer oder Consent-Manager genannt). Diese sollen den Benutzer:innen detaillierte Informationen über den Einsatz von Cookies und die Einbindung von Drittdiensten und andererseits echte Entscheidungs- und Wahlmöglichkeiten geben. Entsprechend aufwändiger ist die Gestaltung und die Umsetzung von Consent-Layern geworden.

Zu einem umfassenden Consent-Management, wie es die DS-GVO fordert, gehört darüber hinaus, dass die Nutzerdaten auf Webseiten in genau der Weise verarbeitet werden, wie es die Benutzer:innen bestimmt haben. Damit muss sichergestellt werden, dass z. B. je nach Einwilligungserklärung gar nicht erst Daten z. B. an Google oder andere Dienstleister weitergeleitet werden. Schließlich müssen auch ein Widerruf von Einwilligungen und gegebenenfalls ein Widerspruch gegen einzelne Datenverarbeitungen korrekt umgesetzt werden. Dazu ist es dann erfordferlich, dass die individuellen Einstellung der Benutzer:innen auch widerum in einem Cookie gespeichert werden.

An diese abzugebenden Einwilligungserklärungen stellt der Gesetzgeber zahlreiche Anforderungen, die auch bei der Konfiguration und der Funktionalität eines solchen Consent-Layers berücksichtigt werden müssen. Dafür gelten die folgenden Regeln:

- Die Einwilligung muss vor Beginn jeder Verarbeitung von Daten erfolgen.
- Die Einwilligung muss erkärt werden, nachdem die Benutzer:innen sich informiert haben oder zumindest ohne Hürden und Aufwand informieren konnten.
- Der Akt der Einwilligung muss eine eindeutige, bestätigende Handlung sein, darf sich also nur auf jeweils eine bestimmte Form der Verarbeitung beziehen. Also darf z. B. der Verkauf bestimmter Produkte nicht an definierte Einwilligungen zum Start der Website geknüpft werden.
- Sie muss freiwillig sein und darf also nicht an bestimmte Bedingungen geknüpft werden.
- Es darf dementsprechende keine unzulässige Einflussnahme auf die Einwilligungsentscheidung genommen werden (Nudging).
- Die Einwilligung muss jederzeit widerrufbar sein und ab dem Moment des Widerrufs sofort wirken.
- Der Webseitenanbieter muss sicherstellen, dass Kinder bei einer Einwilligung mindestens 16 Jahre alt sind oder die Einwilligung mit Zustimmung der gesetzlichen Vertreter erfolgt.

Über den nachfolgenden Link finden Sie eine ausführliche beispielhafte Dokumentation der Landesbeauftragten für den Datenschutz Niedersachsen.