Habe soeben an einem Webinar eines großen Datenschutz-Verbandes teilgenommen. Dort ging es um das Consent Management und konkret um Tools, mit denen die Einwilligung für das Setzen von Cookies eingeholt werden soll.
Ein Referent (Vertreter eines Tool-Anbieters) vertrat hier - auch nach einer Rückfrage meinerseits - die Ansicht, dass ein rechtskonformes Tool detailliert protokollieren muss, wer wann zu welchen Cookies seine Einwilligung erteilt hat. Dabei bezieht er sich auf Art. 7 Abs. 1 DSGVO, wonach der Verantwortliche die Einwilligung nachweisen muss.
So verständlich diese Einstellung für einen Tool-Anbieter ist, der eine derartige Protokollierung mit großem Aufwand in sein Produkt integriert hat (ähnliche Stellungnahmen hatte ich bereits von anderen Anbietern erhalten), vertrete ich doch eine etwas andere Meinung: O.g. Vorschrift schreibt lediglich vor, dass (!) nachgewiesen wird, aber nicht wie (!). Von einer detaillierten Protokollierung ist hier nicht die Rede.
Wenn aber durch „Technikgestaltung“ und „datenschutzfreundliche Voreinstellungen“ gem. DSGVO sichergestellt ist (und genau das leisten ja diese Consent-Tools), dass ein Cookie nur gesetzt werden kann, wenn man vorher eingewilligt hat, dann ist der Nachweis hiermit erbracht. Es muss lediglich belegt werden, dass das Consent-Tool „scharf geschaltet“ war.
Im Gegenteil: Wenn zum erforderlichen Einwilligungs-Nachweis die Speicherung der detaillierten Daten nicht erforderlich ist, dann handelt es sich strenggenommen hier um eine Verarbeitung personenbezogener Daten, die nicht mehr dem eigentlichen Zweck des Nachweises dient - und somit dem Datenminimierungs-Postulat widerspricht und illegal ist.
Kommentare sehr willkommen! 