Endspurt bis Jahresende – die Standardvertragsklauseln

Was sind die Standardvertragsklauseln

Eine Übermittlung von personenbezogenen Daten in Drittländer, also NON-EU-Staaten, erfolgt in der Regel auf der Grundlage von Standardvertragsklauseln (SCCs) nach Art. 46 Abs. 2 lit. c der Datenschutzgrundverordnung (DSGVO). Die neuen Standardvertragsklauseln wurden am 4. Juni 2021 von der EU-Kommission veröffentlicht (Durchführungsbeschluss (EU) 2021/914 der EU-Kommission v. 04.06.2021 – Az. C(2021) 3972, ABl. EU Nr. L 199/31 vom 07.06.2021). Diese sind grundsätzlich modular aufgebaut und müssen im Einzelfall überprüft und in die Prozesse eines Unternehmens implementiert werden. Weiterhin ist individuell zu prüfen, ob für die geplante Übermittlung von personenbezogenen Daten zusätzliche Schutzmaßnahmen getroffen werden müssen. Der Datenexporteur muss bei Verwendung der neuen Standardvertragsklauseln weiterhin die Rechtslage des Drittlands prüfen und gegebenenfalls Schutzmaßnahmen ergreifen.

Wozu dienen die Standardvertragsklauseln?

Grundsätzlich werden mit den SCCs zwischen Datenexporteuren und Datenimporteuren europäische Datenschutzstandards vertraglich vereinbart. Durch die Nutzung der Vertragsmuster kann die Übermittlung personenbezogener Daten in Drittländer ohne eine zusätzliche Genehmigung der Datenschutzaufsichtsbehörden erfolgen. Die modular aufgebauten Standardvertragsklauseln können in verschiedenen Konstellationen eingesetzt werden. Hierzu zählen insbesondere Verantwortliche untereinander sowie Verantwortliche an Auftragsverarbeiter eines Unternehmens, Auftragsverarbeiter an Sub-Auftragsverarbeiter und Rückübermittlung des europäischen Auftragsverarbeiters an einen Verantwortlichen im Drittland.

Was ist noch zu beachten?

Datenexportierende Unternehmen müssen auch weiterhin sämtliche auf dieser Grundlage gestützte Übermittlungen von Daten in Drittländer im Einzelfall prüfen. Hierbei ist eine fundierte Risikoeinschätzung von wesentlicher Bedeutung. Bei dieser hat mitunter eine Prüfung des Datenschutzniveaus im Drittland, eine Bestandsaufnahme sowie eine Prüfung möglicher technischer Schutzmaßnahmen zu erfolgen.

Das Verarbeitungsverzeichnis

Mit Inkrafttreten der Datenschutzgrundverordnung wurden für Unternehmen besondere Dokumentations- und Rechenschaftspflichten eingeführt. Demnach muss nach Art. 30 DSGVO ein Verzeichnis von Verarbeitungstätigkeiten (VVT) erstellt werden, sobald es im Unternehmen zu einer Verarbeitung personenbezogenen Daten kommt. Durch die Dokumentation der Verarbeitungsprozesse kann eine höhere Transparenz sowie ein Bewusstsein für Verarbeitungsvorgänge geschaffen werden.

Was sind Verarbeitungstätigkeiten?

Zu den Verarbeitungstätigkeiten im Sinne der DSGVO zählen alle Prozesse und Abläufe eines Unternehmens, bei welchen personenbezogene Daten erhoben, gespeichert, verändert, übermittelt, gesperrt oder gelöscht werden. Die individuelle Definition der Verarbeitungstätigkeiten erstreckt sich auf sämtliche Bereiche und Abteilungen eines Unternehmens. Um den Vollständigkeitsanforderungen der DSGVO gerecht zu werden, müssen sämtliche Verarbeitungstätigkeiten im VVT geführt werden. Typische Verarbeitungsvorgänge können die Auftragsverwaltung, das Bewerber- und Beschwerdemanagement, die Bereiche Controlling, IT und Einkauf sowie die Kontaktverwaltung und Lohnbuchhaltung sein. Je nach Unternehmen und Ausgestaltung der Prozesse können sich noch in vielen weiteren Vorgängen Verarbeitungstätigkeiten ergeben.

Welche Anforderungen muss ein Verarbeitungsverzeichnis erfüllen?

In einem Verarbeitungsverzeichnis müssen sämtliche Verarbeitungstätigkeiten erfasst werden, welche im Zusammenhang mit personenbezogenen Daten stehen. Die genauen Anforderungen an den Inhalt des VVT sind in Art. 30 DSGVO definiert. Grundsätzlich wird dabei zwischen dem von datenschutzrechtlich Verantwortlichen geführten VVT und dem Verzeichnis für Auftragsverarbeiter unterschieden. Die DSGVO beschreibt zwingende Inhalte des VVT, welche in klarer Sprache enthalten sein müssen. Hierzu zählen der Zweck der Verarbeitung, die Kategorie der jeweiligen Daten, eine Auflistung der Betroffenen sowie der Datenempfänger und zur Einsicht befugten Personen, sämtliche getroffene technische und organisatorische Maßnahmen sowie Löschfristen und der Name sowie die Kontaktdaten des Verantwortlichen. Im VVT kann zudem auf ergänzende Dokumente verwiesen werden. Hierzu kann beispielsweise ein Datenschutz- oder Löschkonzept zählen. Eine kleine Ausnahme kann  für Unternehmen gelten, welche weniger als 250 Arbeitnehmer beschäftigen. Diese müssten nach Art. 30 Abs. 5 DSGVO  kein VVT zu führen, solange personenbezogene Daten nur gelegentlich verarbeitet werden. In der Praxis spielt diese Ausnahmevorschrift aber kaum eine Rolle.

Schmerzensgeld bei Datenschutzverstößen

Die Aufsichtsbehörden können bei Verstößen gegen die Datenschutz-Grundverordnung hohe Bußgelder verhängen. Daneben gibt es immer wieder Klagen auf immateriellen Schadensersatz für die Folgen dieser Verstöße. Derartige Klagen kommen von einzelnen Betroffenen, Datenschutzaktivisten sowie Verbraucherverbänden. Für Unternehmen bestehen insbesondere aufgrund der hohen Forderungen besondere Risiken. Die aktuelle Rechtsprechung sowie die Nutzung von Legal Tech fördern zusätzlich das Risiko, einer Vielzahl von Schadensersatzforderungen ausgesetzt zu sein.

Rechtliche Grundlage

Nach Art. 82 DSGVO hat jede Person, welche aufgrund eines DSGVO-Verstoßes einen materiellen oder immateriellen Schaden erlitten hat, einen Anspruch auf Schmerzensgeld. Als „Schmerzensgeld“ wird der Schadensersatz wegen immaterieller Schäden bezeichnet. Wie bei einem materiellen Schadensersatzanspruch muss der Verstoß gegen Pflichten aus der DSGVO kausal, also ursächlich, für einen eingetretenen Schaden sein. Die Pflichtverletzung muss von dem Schädiger auch zu verantworten sein, wobei das Verschulden gesetzlich vermutet wird. Der Anspruchssteller muss einen tatsächlich erlittenen Schaden darlegen, allerdings wird den Begriff des Schadens weit ausgelegt. Ob eine bestimmte Schadenshöhe erreicht sein muss, ist derzeit noch umstritten (Bagatellschäden). Bei der Höhe des Schmerzensgeldes ist der konkrete Einzelfall maßgeblich. Grundsätzlich kann festgestellt werden, dass je tiefer der Eingriff in das Persönlichkeitsrecht des Betroffenen eingreift, desto höher fällt der immaterielle Schaden aus.

Compliance-Maßnahmen

Unternehmen sollten sich auf regulierte Prozesse und Kontrollen konzentrieren, um Verstöße bestmöglich zu vermeiden.

Google Webfonts

Google Fonts ist ein beliebtes Verzeichnis von Schriftarten, welches auf Websites importiert werden kann. Dieses wird durch Google LCC gebührenfrei zur Verfügung gestellt. Das Verzeichnis kann auf die eigene Website geladen werden, womit automatisch Zugriff auf die darin enthaltenen Schriftarten gewährt wird.

Personenbezogene Daten bei Google Fonts

Bei der Nutzung ist zu beachten, dass die Implementierung von Google Fonts datenschutzrechtlichen Vorschriften unterliegt. Google Fonts setzt zwar keine Cookies, erfasst aber dennoch Daten, wenn durch einen Websitebesucher gleichzeitig noch eine Google-Schriftart geladen werden muss. Durch Google wird beispielsweise die IP-Adresse erfasst und zur Erstellung von Statistiken verwendet. Die Erfassung von IP-Adressen zählt zur Erhebung personenbezogener Daten und bedarf einer Rechtsgrundlage, welche der Betreiber einer Website vorhalten können muss.

Als Rechtsgrundlage zur rechtmäßigen Datenverarbeitung kommen in diesem Fall entweder ein berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO oder eine Einwilligung des Websitebesuchers gemäß Art. 6 Abs. 1 lit. a DSGVO in Betracht. Als berechtigtes Interesse kann beispielsweise eine reine Reichweitenmessung für statistische Daten zählen. Allerdings werden im Fall von Google personenbezogene Daten auf Server von Drittanbietern übertragen. Das Verhältnis von berechtigtem Interesse auf der einen Seite und grundrechtlichen Ansprüchen des Besuchers auf der anderen Seite ist in diesem Fall schwer abzuwägen. Außerdem sehen die Datenschutzaufsichtsbehörden die mögliche Datenübertragung in die USA derzeit generell als nicht zulässig an.

Google Fonts datenschutzkonform einsetzen

Zur datenschutzkonformen Einbindung von Google Fonts auf einer Website bestehen aber grundsätzlich zwei datenschutzkonforme Möglichkeiten. Als datenschutzrechtlich einfachste Lösung kann Google Fonts lokal auf dem eigenen (europäischen) Server gehostet werden. Die Schriften werden hierbei vom eigenen Server und nicht von Google-Servern geladen. Dadurch entsteht auch keine Weiterleitung von Daten an Drittanbieter. Als weitere Möglichkeit kann Google Fonts mithilfe eines Consent Tools oder einer CMP integriert werden. Mithilfe eines solchen Tools kann das zuvorige Einverständnis eines Besuchers eingeholt werden, bevor die Google-Schriftart angezeigt wird. In diesem Fall wäre die Datenübermittlung an Google aufgrund der Einwilligung ebenso rechtmäßig. Zu beachten ist aber, dass für eine wirksame Einwilligung eine ausreichend detaillierte Aufklärung des Nutzers über die Datenverarbeitung erforderlich ist.

Datenschutz als Wettbewerbsvorteil

Die Datenschutz-Grundverordnung (DSGVO) vereinheitlicht das europäische Datenschutzrecht und hat einige Änderungen mit sich gebracht. Die Auswirkungen dieser Änderungen sind auch im Hinblick auf Marketing Analytics erkennbar. Studien zufolge ist einer Mehrheit der europäischen Verbraucher und Unternehmer der Schutz der personenbezogenen Daten wichtig. Verbraucher möchten von den neu zugesprochenen Rechten Gebrauch machen und ihre Vorteile nutzen. Unternehmen, welche die Regelungen der DSGVO konsequent einhalten, sorgen bei ihren Kunden und Partnern für Vertrauen und wecken zudem Kaufanreize.

Die DSGVO als Chance für Unternehmen

Durch die Einführung der DSGVO sind viele Internetnutzer darauf aufmerksam geworden, was eigentlich mit ihren Daten passiert oder auch nur passieren könnte. Unternehmen haben einen entscheidenden Einfluss auf die Verwendung der Daten und können mit entsprechenden Maßnahmen den Schutz der personenbezogenen Daten gewährleisten. In nahezu jeder Branche liegen zwischen einzelnen Unternehmen nur Nuancen, welche sie von ihren Wettbewerbern unterscheiden. Besondere Vorteile oder einzigartige Produkte können die Beliebtheit auf dem Markt steigern. Zu einem solchen Vorteil kann auch der gelebte Datenschutz zählen. Für Unternehmen bedeutet dies, dass sie neben einer angemessenen Ausgestaltung der Prozesse und Kontrollen auch deren Wirksamkeit sicherstellen müssen. Hierfür ist eine Sensibilisierung der Mitarbeiter von essenzieller Bedeutung. Mit Datenschutz-Siegeln oder Auszeichnungen kann die Einhaltung der DSGVO werbend eingesetzt werden.

Mit dem gewonnenen Vertrauen von Kunden kann eine wertvolle Loyalität zum Unternehmen hergestellt werden. Durch ein modernes und digitales Datenschutzmanagement wird die Thematik sowohl intern als extern greifbarer und interessanter. Jeder Mitarbeiter kann seinen Teil zur Umsetzung der DSGVO beitragen. Ein funktionierender Prozess ist besonders wichtig, weil bereits kleine und einzelne Verstöße bei öffentlichem Bekanntwerden in den Medien unkontrollierbare Auswirkungen annehmen können. Mit dem effizienten und zuverlässigen Schutz personenbezogener Daten wird daher auch das Vertrauen der Kunden nachhaltig gestärkt.

Was ist eigentlich eine Datenpanne?

In der Datenschutz-Grundverordnung (DSGVO) wird auch der Umgang mit einer sog. Datenpanne geregelt. Eine Datenpanne ist die Verletzung des Schutzes personenbezogener Daten. Eine Verletzung von personenbezogenen Daten liegt nach Art. 4 Nr. 12 DSGVO immer dann vor, wenn diese Daten verlorengegangen, vernichtet, verändert oder ohne rechtliche Grundlage offengelegt wurden.

Sobald ein Unternehmen eine Datenpanne feststellt, ist ein unverzügliches Handeln erforderlich. Eine Datenpanne muss von Unternehmen gemäß Art. 33 Abs. 1 DSGVO innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde gemeldet werden. Ergeben sich aus der Datenpanne sogar hohe Risiken für Betroffene, sind diese nach Art. 34 zwingend ebenfalls zu informieren. Eine Datenpanne kann ein Hackerangriff oder ein Missbrauch von Zugriffsrechten sein. Zudem zählen unverschlüsselte E-Mails oder unbewusste sowie versehentliche Veröffentlichungen von personenbezogenen Daten zu den möglichen Datenpannen. Ein sehr klassisches Beispiel für eine Datenpanne ist das Versenden einer E-Mail an den falschen Empfänger.

Was müssen Unternehmen bei einer Datenpanne tun?

Sobald eine Datenpanne in einem Unternehmen festgestellt wurde, ist eine entsprechende Analyse anzustellen. Hierbei werden zunächst die Ursache sowie der Umfang der Auswirkungen festgestellt. An dieser Stelle sind insbesondere auch die sich ergebenen Risiken zu betrachten. Je nach Art und Umfang der Datenpanne ist zu entscheiden, ob die Aufsichtsbehörde oder mögliche betroffenen Personen darüber zu informieren sind. Diese Risikoanalyse ist sorgfältig aufzustellen und zu dokumentieren. Im Rahmen der Meldung kann sie ein wichtiger Nachweis sein.

Meldung der Datenpanne

Die Meldung einer Datenpanne an die Aufsichtsbehörde sollte schriftlich erfolgen. Notwenige Informationen sind hierbei die Beschreibung der Verletzung der personenbezogenen Daten sowie die Anzahl der betroffenen Datensätze und Personen. Zudem müssen Name und Kontaktdaten des Datenschutzbeauftragten und die Ergebnisse der durchgeführten Risikoanalyse enthalten sein. Ein Verstoß gegen die Meldepflicht bei Datenpannen wird grundsätzlich mit teilweise hohen Bußgeldern geahndet.

Neue Orientierungshilfe der Datenschutzkonferenz zur Direktwerbung veröffentlicht

Die Datenschutzkonferenz (DSK) hat am 18. Februar 2022 die bereits vor längerer Zeit angekündigte Neufassung der Orientierungshilfe der Datenschutzkonferenz zur Direktwerbung veröffentlicht. Mit der Orientierungshilfe gibt die DSK Anhaltspunkte für die Auslegung der Anforderungen der DSGVO bei der Verarbeitung personenbezogener Daten für die Zwecke der Direktwerbung. Interessant ist die neue Orientierungshilfe für alle Unternehmen und Selbstständige, die selbst Werbung betreiben.

Regelungen der DSGVO

Als Direktwerbung wird die unmittelbare Ansprache einer Zielperson definiert, welche in unterschiedlicher Form erfolgen kann. In der DSGVO finden sich keine detaillierten Regelungen zu Werbung und Direktwerbung. Eine Grundlage wird jedoch durch die Artikel 6 i.V.m. Erwägungsgrund 47 der DSGVO geboten, wonach die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden kann.

Informationspflichten

Im zweiten Kapitel der Orientierungshilfe der Datenschutzkonferenz zur Direktwerbung werden die Informationspflichten nach Artikel 13 DSGVO näher betrachtet. Demnach müssen Kunden grundsätzlich bereits bei Erhebung der Daten über den Zweck der Verwendung unterrichtet werden.

Neben den Informationspflichten werden in der neuen Orientierungshilfe noch weitere praxisnahe Tipps gegeben. Das dritte Kapitel widmet sich der Einwilligung in die Verarbeitung personenbezogener Daten für Zwecke der Direktwerbung. Im vierten Kapitel werden spezielle Sachverhalte bei der Verarbeitung personenbezogener Daten für Zwecke der Direktwerbung beschrieben. Im fünften und letzten Kapitel werden Hinweise zum Widerspruchsrecht gegen Direktwerbung gemäß Art. 21 Abs. 2 bis 4 DSGVO gegeben. Insgesamt hat die Datenschutzkonferenz mit der Orientierungshilfe eine praktische Hilfestellung für Unternehmen zur Verfügung gestellt. Die in der Vergangenheit unklaren Regelungen zur Direktwerbung konnten nun konkretisiert werden und haben an Transparenz gewonnen.

Die Datenschutzfolgenabschätzung

Mit der Datenschutz-Folgenabschätzung (DSFA) hat der Gesetzgeber eine Regelung zur Risikoanalyse für den Umgang mit personenbezogenen Daten geschaffen. Diese Analyse soll Risiken bewerten, die aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung entstehen und voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben können. Das Ziel liegt darin, diese Risiken zu erkennen und zu bewerten und Maßnahmen zum Schutz dieser Daten zu treffen. Unternehmen mit einem Zugang zu sensiblen personenbezogenen Daten sind dazu verpflichtet, eine DSFA zu machen. Betroffene Unternehmen sollen mithilfe der DSFA individuelle Strategien entwickeln, um das Risiko für betroffene Personen und deren Daten auf ein Minimum zu reduzieren.

Weiterhin soll in diesem Rahmen sichergestellt und auch nachgewiesen werden, dass gesetzliche Regelungen zum Datenschutz eingehalten werden. Die bisherige Vorabkontrolle, welche im alten Bundesdatenschutzgesetz verankert war, wurde durch die DSFA ersetzt. Sie stellt eine der wichtigsten Änderungen in der Datenschutz-Grundverordnung dar. Ob ein Unternehmen eine DSFA machen muss, ergibt sich entweder aus der Datenschutz-Grundverordnung, den Leitlinien der Artikel-29-Gruppe, eines Beratergremiums auf europäischer Ebene oder aus den Blacklists der Aufsichtsbehörden.

Was können Mitarbeiter tun?

Zunächst können in Abstimmung mit dem Verantwortlichen Listen und Berichte von Mitarbeitern, welche Umgang mit sensiblen Daten haben, strukturiert gemeldet werden. Dies minimiert den Aufwand, den das Zusammentragen aller relevanten Daten mit sich bringt und verhindert darüber hinaus, dass eventuell relevante Datenbestände nicht berücksichtigt werden. Weiterhin kann jeder Mitarbeiter unterstützen, indem er Ideen einbringt, die zum Schutz der sensiblen Daten beitragen.

Google Analytics verboten?

Die österreichische Datenschutzbehörde hat festgestellt, dass die Nutzung des Webanalyse-Dienstes Google Analytics aufgrund der Datenübermittlung in die USA als rechtswidrig anzusehen ist. Google verstößt nach Auffassung der Datenschutzbehörde insbesondere gegen die allgemeinen Grundsätze der Datenübertragung nach Art. 44 DSGVO. Auch die deutschen Aufsichtsbehörden äußern sich entsprechend. In den Niederlanden laufen ebenfalls zwei Verfahren, um diese Frage auf nationaler Ebene zu klären. Die Datenschutzbehörden warnen derzeit davor, dass der Statistikdienst Google Analytics bald nicht mehr erlaubt sein könnte. Der Grund hierfür ist, dass der Einsatz des Tools auf Webseiten in der Europäischen Union nicht mit der Datenschutz-Grundverordnung (DSGVO) vereinbar ist.

Kritik der Datenschützer

Der Webanalyse-Dienst Google Analytics steht aufgrund mehrerer Faktoren in der Kritik. Insbesondere die Speicherung sowie Übermittlung von vollständigen IP-Adressen an die USA wird von Datenschützern kritisiert. Zudem wird bemängelt, dass Google seine Nutzer nur unzureichend über die eigenen Datenschutzbestimmungen und die erhobenen Daten aufklärt. In der Konsequenz wurde der Statistikdienst als nicht datenschutzkonform eingestuft.

Insbesondere im Hinblick auf die Cookie-Urteile des EuGHs wurden bereits mehrfach Bußgeldverfahren im Zusammenhang mit Google Analytics eingeleitet. Hierbei ging es vorwiegend um die fehlende ausdrückliche Einwilligung von Nutzern. Mit einem Consent-Tool kann der Nutzer der Datenübertragung und Speicherung von Daten explizit zustimmen.

Warum Google Analytics verboten ist

Laut einem Teilbescheid der österreichischen Datenschutzbehörde GZ. D155.027 vom 22. Dezember 2021 ist die Verwendung Google Analytics als rechtswidrig anzusehen, da der Statistikdienst personenbezogene Daten erhebt und an Google überträgt. Nach US-Recht unterliegt das Unternehmen Google der Überwachung durch US-Geheimdienste. Dieser Umstand schließt die zuverlässige Gewährleistung eines angemessenen Schutzniveaus nach Art. 44 DSGVO aus. Einige Unternehmen setzten auf Standardvertragsklauseln, welche mit Google geschlossen wurden. Diese helfen jedoch nicht, wie der EuGH in seiner Entscheidung im Jahr 2020 zum „Privacy Shield“ (Schrems II) feststellte.

Entscheidend für die rechtliche Beurteilung der Verwendung Google Analytics ist die Möglichkeit, ob sich US-Geheimdienst die personenbezogenen Daten besorgen könnte und ergänzende Maßnahmen zur Einhaltung des Schutzniveaus nicht ausreichend möglich sein sollen.

Cookies – Datenschutzbehörden geben Orientierungshilfe

Bereits drei Wochen nach Inkrafttreten des neuen TTDSG (Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien) hat die DSK eine Hilfestellung für Unternehmen herausgegeben. Die 33-seitige Orientierungshilfe wurde am 20. Dezember 2021 veröffentlicht und ist an die neuen Regelungen des TTDSG angepasst. Sie soll eine frühere Version aus dem Jahr 2019 in weiten Teilen ersetzen.

Orientierungshilfe als praktischer Ratgeber

Mit der Orientierungshilfe hat die DSK den betroffenen Unternehmen einen wertvollen Ratgeber zur Seite gestellt. Dieser soll die Unternehmen und Verantwortlichen dabei unterstützen, die TTDSG im Sinne des Gesetzgebers umzusetzen. Der Schwerpunkt dieser Ausarbeitung liegt auf dem Schutz der Privatsphäre in Endeinrichtungen gemäß § 25 TTDSG. Oftmals wird diese Vorschrift als zentrale Norm des TTDSG bezeichnet. Für die Gerichte dienen die Empfehlungen der DSK ebenfalls als Orientierungshilfe, welche bei Entscheidungen herangezogen werden kann. Die deutschen Datenschutzbehörden legen anhand der Orientierungshilfe fest, welche Maßstäbe bei der Prüfung der Einhaltung gesetzlicher Vorschriften gesetzt werden.

Anwendungsbereich der Orientierungshilfe

Der § 25 TTDSG findet nicht nur auf Cookies Anwendung, sondern betrifft auch beispielsweise Web-Storage-Objekte oder automatische Update-Funktionen. Die DSK stellt klar, dass ein Nichtstun und damit die Verwendung von vorangekreuzten Feldern keine Einwilligung darstellt. Es kommt bei der Beurteilung von Einwilligungen darauf an, wie die einzelnen Buttons in einem Cookie-Banner sowie weitere Handlungsoptionen beschriftet und gestaltet sind. Nach Ansicht der DSK muss die Ablehnung von Cookies zudem ebenso einfach wie die Zustimmung sein. Den Besuchern einer Website darf die Ablehnung der Cookies daher nicht durch zusätzliche oder unnötige Klicks erschwert werden.