Cookie Consent Management

Habe soeben an einem Webinar eines großen Datenschutz-Verbandes teilgenommen. Dort ging es um das Consent Management und konkret um Tools, mit denen die Einwilligung für das Setzen von Cookies eingeholt werden soll.

Ein Referent (Vertreter eines Tool-Anbieters) vertrat hier - auch nach einer Rückfrage meinerseits - die Ansicht, dass ein rechtskonformes Tool detailliert protokollieren muss, wer wann zu welchen Cookies seine Einwilligung erteilt hat. Dabei bezieht er sich auf Art. 7 Abs. 1 DSGVO, wonach der Verantwortliche die Einwilligung nachweisen muss.

So verständlich diese Einstellung für einen Tool-Anbieter ist, der eine derartige Protokollierung mit großem Aufwand in sein Produkt integriert hat (ähnliche Stellungnahmen hatte ich bereits von anderen Anbietern erhalten), vertrete ich doch eine etwas andere Meinung: O.g. Vorschrift schreibt lediglich vor, dass (!) nachgewiesen wird, aber nicht wie (!). Von einer detaillierten Protokollierung ist hier nicht die Rede.

Wenn aber durch „Technikgestaltung“ und „datenschutzfreundliche Voreinstellungen“ gem. DSGVO sichergestellt ist (und genau das leisten ja diese Consent-Tools), dass ein Cookie nur gesetzt werden kann, wenn man vorher eingewilligt hat, dann ist der Nachweis hiermit erbracht. Es muss lediglich belegt werden, dass das Consent-Tool „scharf geschaltet“ war.

Im Gegenteil: Wenn zum erforderlichen Einwilligungs-Nachweis die Speicherung der detaillierten Daten nicht erforderlich ist, dann handelt es sich strenggenommen hier um eine Verarbeitung personenbezogener Daten, die nicht mehr dem eigentlichen Zweck des Nachweises dient - und somit dem Datenminimierungs-Postulat widerspricht und illegal ist.

Kommentare sehr willkommen! :slight_smile:

Hallo,

bin vollkommen Deiner Meinung! Eine Speicherung und detaillierte Vorhaltung dieser Daten ist in meinen Augen ein Verstoß gegen die DSGVO. Ich kann somit einer Person genau nachweisen, wann Sie die Webseite besucht hat und bei einem Auskunftsersuchen muss ich eine eineindeutige Kennung des Nutzers vorhalten, damit ich ich ihm diese Daten zu Verfügung stellen kann, nach Auslegung der Firma. Der User ist somit eineindeutig identifizierbar. Für mich totaler Quark …

1 „Gefällt mir“

Sehe ich auch so. Das gleich ist ja auch bei Löschvorgängen: wer nach dem Löschen dokumentiert, von wem er welche Daten gelöscht hat, hat die Sache nicht verstanden.

Zu den Consent-Tools im Allgemeinen: das witzige ist ja, dass die Tools selber einen Pixetracker o. ä. verwenden, um die Consentinfo einzublenden und zu speichern. Frage wäre: sind die Informationen die ein solcher Anbieter speichert (zB Website)in Summer DSFA-fähig?

1 „Gefällt mir“