Was gibt es bei datenschutzkonformen Einwilligungen für Online-Trackings zu beachten?
Viele Unternehmen werben online mit Zielgenauigkeit – und schießen dabei übers datenschutzrechtliche Ziel hinaus. Vor allem bei Einwilligungen wird gerne geschludert.
Daher nehmen Datenschutzaufsichtsbehörden Onlinewerbeunternehmen häufiger unter die Lupe – und stoßen manchmal auf Mängel bei den Einwilligungen für Tracking-Technologien, die beispielsweise für gezielte Werbeausspielungen im Einsatz sind.
Unverständliche Texte, unklare Zwecke oder keine echte Ablehnmöglichkeit: Solche Defizite gefährden nicht nur die Rechtmäßigkeit der Datenverarbeitung, sondern auch das Vertrauen der Nutzerinnen und Nutzer.
Hintergrund: Einwilligung unter der DSGVO – kein Formalakt
Eine zentrale Herausforderung für viele Online-Marketing-Unternehmen besteht offenbar darin, datenschutzkonforme Einwilligungen korrekt einzuholen und zu dokumentieren – auch ohne direkten Kontakt zu den betroffenen Personen.
Doch genau das verlangt die DSGVO: Wer personenbezogene Daten verarbeitet, muss deren Rechtmäßigkeit jederzeit nachweisen können. Das bedeutet insbesondere: Die Einwilligung muss freiwillig, informiert, spezifisch, eindeutig und jederzeit widerrufbar sein.
Was Unternehmen jetzt konkret tun sollten
- Klare, verständliche Texte verwenden: Einwilligungserklärungen müssen leicht verständlich und in einfacher Sprache formuliert sein – juristischer Fachjargon hat hier keinen Platz.
- Zwecke konkret benennen: Allgemeine Aussagen wie „zur Verbesserung unserer Dienste“ reichen nicht. Der Zweck der Verarbeitung – etwa personalisierte Werbung oder Reichweitenmessung – muss klar benannt werden.
- Echte Wahl ermöglichen: Ein „Ja“ darf nicht vorausgewählt sein. Nutzerinnen und Nutzer müssen sich aktiv entscheiden können – und eine Ablehnung muss ebenso einfach möglich sein wie die Zustimmung.
- Einwilligungen protokollieren: Unternehmen müssen jederzeit nachweisen können, dass eine wirksame Einwilligung vorliegt – etwa durch ein Consent-Management-System.
- Partner und Dienstleister kontrollieren: Auch wenn die Datenerhebung durch Dritte erfolgt, bleibt das werbende Unternehmen verantwortlich.
- Datensätze prüfen: Die Qualität von Daten spielt eine wichtige Rolle, denn wer Fake-Informationen im System hat, riskiert, dass diese unnötig weiterverwendet werden. Das Ergebnis: unsaubere Datensätze.
Wer Nutzungsdaten verarbeitet, braucht richtige Einwilligung
Auch bei komplizierten Datentransfers zwischen vielen Stakeholdern müssen Einwilligungen für Online-Trackings nach den Regeln der DSGVO durchgeführt werden. Da führt kein Weg dran vorbei. Ganz einfach, weil mit Online-Trackings personenbezogene Daten wie Interessenanalysen oder Dauer der Websitebesuche erhoben sowie verarbeitet werden.
Miriam Harringer, ist Medien- und Kulturmanagerin (M.A.) und Redakteurin für Datenschutz, Informationssicherheit und Künstliche Intelligenz.
Weitere Artikel des Autoren
- Koalitionsvertrag: Das plant die Regierung für IT-Sicherheit und Datenschutz
- KI-Verordnung in Behörden: Neuer Leitfaden vom Bundestag schafft Klarheit
- Ein Blick auf die Ausnahmen verbotener KI-Praktiken
- Registrierungspflicht für hochriskante KI-Systeme in der EU-Datenbank gem. Art. 49 KI-VO
- Verhaltenskodizes auf freiwilliger Basis: Art. 95 KI-VO und Erwägungsgrund 165
- KI-Regeln mit Kompass: Wie Leitlinien und Kodex Orientierung schaffen
Verwandte Artikel
- KI-Transkription bei Videocalls: Das müssen Sie beachten
- Ohne Einheit droht Chaos: Warum KI-Regeln transatlantisch werden müssen
- KI-Verordnung in Behörden: Neuer Leitfaden vom Bundestag schafft Klarheit
- EU‑Mustervertragsklauseln für die KI‑Beschaffung
- Von der Theorie zur Praxis: Beispiele für die Umsetzung des EU AI Act
- KI-Regeln mit Kompass: Wie Leitlinien und Kodex Orientierung schaffen