DSGVO: Google hilft bei der AMP Zustimmung durch User

Wer sich seit einiger Zeit im Bereich Online Marketing aufhält, wird erfahren haben, dass Datenschutz eine wichtige Rolle spielt und dass er sogar über den Erfolg oder Miserfolg eines Projektes bestimmen kann (wie bei einem Projekt der Bundespolizei). Datenschutz wird in Deutschland groß geschrieben und damit Webseitenbetreiber nicht unbeabsichtigt gegen die Datenschutz-Grundverordnung (DSGVO) verstoßen und bestraft werden, hilft Google nun bei der Umsetzung. Es geht hierbei spezifisch um die Zustimmung des Users auf AMP Seiten.

EU Flagge mit Schild in der Mitte

Bis zur Wirksamkeit des neuen Gesetzes bleibt nicht mehr viel Zeit. Erst ab dem 25.05.2018 wird jedes Vergehen gegen das Gesetz mit Strafzahlungen geahndet. Streng genommen, handelt es sich nicht um das deutsche Gesetz, dass sich verändert, sondern lediglich um ein neues EU Gesetz, das in Kraft tritt und das deutsche an einigen Stellen ersetzt. Zunächst wollen wir die allgemeinen Anforderungen des deutschen Rechts an Einwilligungen erklären:

Einwilligungen im allgemeinen deutschen Recht

Die Einwilligung im Datenschutz

Eine gültige Einwilligung im Datenschutzrecht ist unglücklicherweise nicht ganz hürdenlos. Wenn der Antrag auf Einwilligung nicht bestimmten Vorlagen entspricht wird er mit großer Wahrscheinlichkeit nicht anerkannt und annulliert. Das Problem hierbei ist, dass Betreiber von Shops und anderen Webseiten oft unwissentlich gegen das Gesetz verstoßen, da die Anforderungen nicht immer einfach umzusetzen sind. Bußgelder oder Abmahnungen (zukünftig auch von Verbraucherverbänden zu erwarten) sind dann die Folgen.

Einwilligungen in Formularen

In der im März 2016 publizierten Orientierungshilfe stellen verschiedene Behörden dar, wie Einwilligungserklärungen in Formularen aussehen sollten.

Großen Wert legen sie darauf, dass für den Einzelnen in jedem Fall bemerkbar ist, dass eine Einwilligungserklärung abgegeben werde. Zu diesem Vorsatz müssen die Überschriften eindeutig sein (z.B. „Datenschutzrechtliche Einwilligungserklärung“), sowie wie die Formulierungen des Einwilligungsrechtes. Zusätzlich muss die Einwilligung nicht selten sichtbar hervorgehoben werden, bspw. vonseiten Fettdruck, farbliche Design oder Umrahmung. Es wird ebenfalls angeraten, die Einwilligung schnell vor der Unterschrift zu platzieren. Wissen über die Verarbeitung der Informationen und die Einwilligungserklärung sollten nicht vermengt werden.

Darüber hinaus ist es sehr wichtig, dass die zu sammelnden Daten (Name, Anschrift, E-Mail-Adresse, etc.), der Vorsatz der Datenverarbeitung und die datenverarbeitenden Stellen exakt bezeichnet werden. Von allzu pauschalen Formulierungen (z.B. „für die Vertragsdurchführung“), sollte abgesehen werden, um das Risiko einer unwirksamen Einwilligung gering zu halten.

Zusammenfassend lassen sich also folgende Richtlinien aufzählen:

  • Klare und eindeutige Formulierungen verwenden
  • Den Namen des Unternehmens als datenverarbeitende Stelle angeben und die Zwecke der Datenverarbeitung separat und möglichst exakt auflisten sowie auf das Widerrufsrecht hinweisen

Damit das in der Praxis funktioniert sollten klare Überschriften (wie z.B. „Datenschutzrechtliche Einwilligungserklärung“) und nur eindeutige Formulierungen verwenden (z.B. „Ich willige ein, dass …“).

Einwilligungen im Marketing

Eine wirksame Einwilligung ist besonders deswegen zu nutzen, um nicht während der Zusendung von Werbe-E-Mails gegen das Wettbewerbsrecht zu verstoßen. Auch in Formularen müssen Werbe-Einwilligungen für den Verbraucher verständlich, eindeutig und deutlich erkennbar sein. Bei den oben genannten Maßnahmen ist auch das Medium (E-Mail, Telefon, Post) zu benennen. Es muss eine separate Einwilligungserklärung für jedes Medium und für jede Art der Datenverarbeitung abgegeben werden (z.B. „Ich bin mit der telefonischen Kontaktaufnahme für Werbezwecke einverstanden“).

Einwilligungen im Online-Bereich

Anbieter von Websites oder Smartphone-Apps müssen gleichermaßen Einwilligungen einholen, wenn sie personenbezogenes Wissen für Werbezwecke erheben oder verarbeiten. Da das Gesetz eine schriftliche Einwilligungserklärung fordert, ist größtenteils fraglich, wie eine elektrische Erklärung bewiesen werden kann. In der Umgebung der Einwilligung für E-Mail-Newsletter hat sich demnach das Double-Opt-In-Verfahren etabliert, bei dem die E-Mail-Adresse vonseiten den Besteller anfangs verifiziert werden muss.

Die Einwilligungserklärung muss unter anderem protokolliert werden, obendrein, weil es im Falle einer gerichtlichen Auseinandersetzung dem Firmen obliegt, die Einwilligung zu beweisen. Dem User muss es weiterhin wahrscheinlich sein, zu jedem Zeitpunkt die Einwilligung zu widerrufen. Aber gleichwohl abseits von Newsletter muss das Datenschutzrecht beachtet werden.

Auch bei Cookies braucht die Webseite die Einwilligung der User, dasselbe gilt für Social Media Plugins (wie dem Like-Button von Facebook). Laut Gesetz müssen Lieferanten ihre Benutzer vor Erklärung der Einwilligung auf das Recht zum Widerruf nach § 13 Absatz 2 Nr. 4 TMG aufmerksam machen.

Tipps zur Umstellung und Vorbereitung auf die DSGVO Gesetze gibt es in diesem Artikel des niedersächsischen Landesbeauftragten für Datenschutz.

Achtung: Es sind nicht alle deutschen Gesetze bezüglich der DSGVO überschrieben worden. Nur die Gesetze, die vom EU Recht überschrieben wurden, haben sich geändert. Die restlichen Regeln greifen aber immer noch (z.B. zur Handhabung von Cookies).

Google und AMP

Kommen wir nun zum eigentlichen Thema: Google hat ein neues Modul veröffentlicht, mit dem die Einwilligung auf AMP Seiten schnell und problemlos geregelt werden soll. Das offizielle Statement dazu:

„Eine neue Komponente wird derzeit entwickelt und wird in Kürze für die Integration in AMP-Seiten verfügbar sein. Dadurch können Publisher die für ihre Websites notwendigen Benachrichtigungs-, Auswahl- und Einwilligungsflüsse einfacher implementieren.“

Der Name des Moduls lautet…

<amp-consent>

…, mit dem man die Zustimmung oder Ablehnung des Users erfassen und an andere Bereiche der Webseite/App weiterleiten kann. Die Konfiguration des Moduls ist recht simpel, muss aber von einem erfahrenen Programmierer umgesetzt werden. Ein Auszug aus GitHub zeigt, wie das Modul aufgebaut ist:

<amp-consent>
   <script type='application/json'>{
     “consents”: {
        “consentInstanceABC”: {
           “checkConsentHref”: “endpointABC.com”,
           “promptUI”: “template1”
         },
        “consentInstanceDEF”: {
           “checkConsentHref”: “endpointDEF.com”,
           “promptUI”: “template2”
         }
      },
     “policy”: {
         “policyABC”: {
             “waitFor”: {
                “consentInstanceABC”: [],
              }
           }
     }
   }</script>
   <div id=”template1”>
     Collect consent for instance ABC
     <button on="tap:consentInstanceABC.dismiss">Dismiss</button>
     <button on="tap:consentInstanceABC.accept">Accept</button>
     <button on="tap:consentInstanceABC.decline">Decline</button>
   </div>
   <div id=”template2”>
     Can we use your cookie?
     <button on="tap:consentInstanceDEF.accept">Dismiss</button>
   </div>
 </amp-consent>

Plugins für die gängigsten CMS und Shopsysteme sollten in Kürze auf den Markt kommen und somit die Umsetzung bei AMP noch einfacher gestalten. Wir werden uns melden, sobald diese zur Verfügung stehen.