Datenschutzerklärung

Allgemeine Information

Für Anbieter von Diensten der Informationsgesellschaft (z.B. Betreiber von Webshops) gelten zusätzlich die Bestimmungen des Telekommunikationsgesetzes (§ 96 TKG). Diese Bestimmungen stammen nicht aus der DSGVO, sondern aus der E-Privacy-Richtlinie, die derzeit auf EU-Ebene überarbeitet wird und in eine eigene "E-Datenschutzverordnung" (E-DSVO) münden soll. Da derzeit noch nicht absehbar ist, wie die Änderungen im Detail aussehen werden und wann sie in Kraft treten werden, werden hier noch die derzeit geltenden Bestimmungen des TKG dargestellt.

Verarbeitung personenbezogener Daten

In jedem Webshop werden personenbezogene Daten verarbeitet; dies auch dann, wenn “bloß“ Cookies gesetzt werden. Auch eine IP-Adresse (egal ob statisch oder dynamisch) wird als personenbezogenes Datum gesehen. In diesen Fällen sind die Bestimmungen der DSGVO sowie die diesbezüglichen datenschutzrechtlichen Bestimmungen des TKG einzuhalten.

 

Datenschutzverordnung nach DSGVO

1. Die Bestimmungen der DSGVO

Bei der Verarbeitung von Daten, wie etwa die Speicherung von Kundendaten, hat der dafür „Verantwortliche“ (z.B. der Betreiber eines Webshops) im ersten Schritt die allgemeinen Grundsätze für Datenverarbeitungen einzuhalten. In einem zweiten Schritt hat er zu prüfen, auf welcher Rechtsgrundlage er eine Datenverarbeitung rechtmäßig durchführen kann. Zusätzlich ist stets darauf zu achten, dass die Informationspflichten erfüllt werden („Datenschutzerklärung“). Dies wird im dritten Schritt erläutert.

1.1 Die allgemeinen Grundsätze der DSGVO (Schritt 1)

Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz

Personenbezogene Daten müssen auf rechtmäßige Weise (siehe dazu weiter unten), nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden. Dies setzt voraus, dass alle Informationen und Mitteilungen zur Verarbeitung der personenbezogenen Daten leicht zugänglich und verständlich in klarer und einfacher Sprache abgefasst sind. Der Grundsatz betrifft insbesondere die Informationen über die Identität des Verantwortlichen und die Zwecke der Verarbeitung sowie die Auskunft darüber, welche betreffenden personenbezogenen Daten verarbeitet werden.

Zweckbindung

Personenbezogene Daten müssen für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden. Als nicht unvereinbar gilt eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Zwecke oder für statistische Zwecke.

Datenminimierung

Personenbezogene Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein. Dazu zählt auch, dass Verantwortliche durch technische Voreinstellungen sicherzustellen haben, dass grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich sind, verarbeitet werden.

Richtigkeit

Personenbezogene Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein. Es sind alle angemessenen Maßnahmen zu treffen, damit unrichtige personenbezogene Daten gelöscht oder berichtigt werden.

Speicherbegrenzung

Personenbezogene Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Dies erfordert insbesondere, dass die Speicherfrist für personenbezogene Daten auf das unbedingt erforderliche Mindestmaß beschränkt bleibt. Daher sollte der Verantwortliche Fristen für die Löschung oder regelmäßige Überprüfungen vorsehen. Eine längere Speicherung ist vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen für ausschließlich im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke zulässig.

Integrität und Vertraulichkeit

Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet. Durch geeignete technische und organisatorische Maßnahmen soll insbesondere auch gewährleistet werden, dass Unbefugte keinen Zugang zu den Daten haben und weder die Daten noch die Geräte, mit denen diese verarbeitet werden, benutzen können.

1.2 Rechtmäßigkeit der Datenverarbeitung: Die Einwilligung und andere Rechtsgrundlagen (Schritt 2)

Rechtmäßig ist eine Datenverarbeitung dann, wenn sie neben der Einhaltung der oben beschriebenen Grundsätze auch auf Basis einer Rechtsgrundlage erfolgt.

Die Einwilligung durch den Betroffenen (des Nutzers der Webseite bzw des Kunden) ist eine Rechtsgrundlage.

Es gibt aber darüber hinaus auch weitere Rechtsgrundlagen, wobei zwischen „nicht sensiblen Daten“ und „sensiblen Daten“ zu unterscheiden ist:

1.2.1 Weitere Rechtsgrundlagen bei „nicht sensiblen Daten"

Bei „nicht sensiblen Daten“ kann diese andere Rechtsgrundlage eine der folgenden Punkte sein.

Im Webshop typischerweise zur Anwendung kommende Rechtsgrundlagen:

  • Die Verarbeitung ist für die Erfüllung eines Vertrages, dessen Vertragspartei die be­troffene Person ist (z.B. Kaufvertrag im Webshop), oder zur Durchführung vorvertraglicher Maßnahmen (z.B. Befüllen des virtuellen Einkaufswagens vor dem Vertragsabschluss) erforderlich (soweit die vorvertraglichen Maßnahmen auf Anfrage der betroffenen Personen er­folgen).
  • Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt (z.B. arbeitsrechtliche oder steuerrechtliche Verpflichtungen).
  • Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen (Letzteres ist insbesondere bei Kindern anzunehmen).

Im Webshop voraussichtlich seltener zur Anwendung kommende Rechtsgrundlagen:

  • Die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.
  • Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.

Weiterverarbeitung für andere Zwecke:

Eine Datenverarbeitung zu anderen Zwecken als zu denjenigen, für den sie ursprünglich (rechtmäßig) verarbeitet wurden (Bsp: Kundendaten, die für eine Vertragsabwicklung erhoben wurden, sollen für Marketingzwecke verwendet werden), ist unter folgenden Voraussetzungen zulässig:

  • Ohne Rücksicht auf die Vereinbarkeit der Zwecke der Verarbeitung ist eine Weiterverarbeitung ausschließlich zulässig, wenn:
    • eine Einwilligung dafür vorliegt, oder
    • eine gesetzliche Grundlage die Weiterverarbeitung vorsieht.
  • In allen sonstigen Fällen muss die Weiterverarbeitung mit den Zwecken, für die die personenbezogenen Daten ursprünglich erhoben worden sind, vereinbar sein. Um diese Vereinbarkeit festzustellen ist Folgendes zu berücksichtigen:
    • jede Verbindung zwischen den ursprünglichen und neu beabsichtigten Zwecken
    • der Zusammenhang, in dem die Daten erhoben wurden
    • die Art der Daten (insbesondere ob sensible oder strafrechtlich relevante Daten vorliegen)
    • mögliche Folgen der Weiterverarbeitung für betroffene Personen
    • das Vorhandensein angemessener Garantien (z.B. Pseudonymisierung)

Liegt eine solche Vereinbarkeit mit den ursprünglichen Zwecken vor, ist keine andere gesonderte Rechtsgrundlage erforderlich, als diejenige für die (ursprüngliche) Erhebung der personenbezogenen Daten.

Die Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt als vereinbarter und rechtmäßiger Verarbeitungsvorgang.

Beabsichtigt der Verantwortliche die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten, so muss er der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen zur Verfügung stellen.

1.2.2 Weitere Rechtsgrundlagen bei „sensiblen Daten“

Bei „sensiblen Daten“ (personenbezogene Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten, Gesundheitsdaten oder Daten zum Sexualleben/sexuelle Orientierung) kann diese andere Rechtsgrundlage folgende sein:

  • Die Verarbeitung sensibler Daten ist aus Gründen des Arbeitsrechts oder des Sozialrechts erforderlich, damit der Verantwortliche oder die betroffene Person den arbeitsrechtlichen oder sozialrechtlichen Verpflichtungen nachkommen kann.
  • Die Verarbeitung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich und die betroffene Person ist aus körperlichen oder rechtlichen Gründen außer Stande, ihre Einwilligung zu geben.
  • Die Verarbeitung erfolgt auf der Grundlage geeigneter Garantien (z.B. verbindliche interne Datenschutzvorschriften, Zertifizierungen) durch eine politisch, weltan­schaulich, religiös oder gewerkschaftlich ausgerichtete Stiftung, Vereinigung oder sonstige Organisation ohne Gewinnerzielungsabsicht im Rahmen ihrer rechtmäßigen Tätigkeiten und unter der Voraussetzung, dass sich die Verarbeitung ausschließlich auf die Mitglieder oder ehemaligen Mitglieder der Organisation oder auf Personen, die im Zusammenhang mit deren Tätigkeitszweck regelmäßig Kontakt mit ihr unterhalten, bezieht und die personenbezogenen Daten nicht ohne Einwilligung der betroffenen Personen nach außen offengelegt werden.
  • Die Verarbeitung bezieht sich auf personenbezogene Daten, die die betroffene Person offensichtlich öffentlich gemacht hat (aus einem Größenschluss ist wohl anzunehmen, dass auch nicht-sensible Daten bei offensichtlicher Veröffentlichung durch die betroffene Person selbst ebenfalls rechtmäßig verarbeitet werden dürfen).
  • Die Verarbeitung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder bei Handlungen der Gerichte im Rahmen ihrer justiziellen Tätigkeit erforderlich.
  • Die Verarbeitung sensibler Daten ist auf Grundlage gesetzlicher Vorgaben aus Gründen eines erheblichen öffentlichen Interesses erforderlich.
  • Die Verarbeitung ist für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Di­agnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich auf der Grundlage von Gesetzen oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs erforderlich.
  • Die Verarbeitung ist aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden, grenzüberschrei­tenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten, auf der Grundlage von europarechtlichen oder nationalen Gesetzen erforderlich.
  • Die Verarbeitung ist auf gesetzlicher Grundlage für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke erforderlich.

1.2.3 Weitere Rechtsgrundlagen bei strafrechtsrelevanten Daten

Die Verarbeitung von Daten (gerichtlich oder verwaltungs-)strafrechtlicher Verurteilungen und Straftaten unterliegt einer gesonderten Regelung. Die Verarbeitung solcher Daten ist nur unter folgenden Voraussetzungen zulässig:

  • es besteht eine ausdrückliche gesetzliche Ermächtigung oder Verpflichtung zur Datenverarbeitung oder
  • die Datenverarbeitung ergibt sich aus gesetzlichen Sorgfaltspflichten oder zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen. In diesen Fällen ist die Art und Weise der Verarbeitung so vorzunehmen, dass die Wahrung der Interessen der betroffenen Person gewährleistet wird. 

1.2.4 Die Einwilligungserklärung

Sind keine der unter 1.2.1 bis 1.2.3 genannten Rechtsgrundlagen vorhanden, ist von der betroffenen Person eine Einwilligung einzuholen.

Unter einer „Einwilligung“ versteht die DSGVO jede freiwillig, für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung durch die be­troffene Person in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.

Daraus folgt, dass eine Einwilligungserklärung etwa schriftlich, elektronisch (z.B. durch aktives Anklicken einer vorformulierten Einwilligungserklärung), aber auch in konkludenter Form (schlüssig) erfolgen kann.

Ein bloßes Schweigen oder Untätigkeit der betroffenen Person kann keine Einwilligung darstellen, sofern nicht andere sonstige Begleitumstände eindeutig auf ein Zustimmen zur Datenverarbeitung hinweisen.

1.2.4.1 Wann ist eine Einwilligung „freiwillig“?

„Freiwillig“ ist eine Einwilligungserklärung dann, wenn der Betroffene seine Einwilligung insbesondere ohne Zwang und nach freier Entscheidungsmöglichkeit abgegeben hat.

Freiwilligkeit ist insbesondere dann zweifelhaft:

  • wenn zu verschiedenen Verarbeitungsvorgängen von personenbezogenen Daten nicht gesondert Einwilligungserklärungen erteilt werden können, obwohl es im Einzelfall angebracht ist;
  • wenn die Erfüllung eines Vertrages, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung abhängig ist, obwohl diese Einwilligung für die Erfüllung des Vertrages nicht erforderlich ist (Koppelungsverbot);
  • wenn zwischen der betroffenen Person und dem Verantwortlichen ein klares Ungleichgewicht besteht (z.B. wenn es sich bei dem Verantwortlichen um eine Behörde handelt).

1.2.4.2 Was ist mit „bestimmten Fällen" gemeint?

Eine weitere Voraussetzung für eine gültige Einwilligungserklärung ist, dass sie sich auf „bestimmte Fälle“ beziehen muss. Daraus folgt, dass die betroffene Person im Rahmen der Einwilligungserklärung in Kenntnis gesetzt werden muss, welche Datenarten für welche konkreten Zwecke verarbeitet werden sollen.

1.2.4.3 Was ist mit „in informierter Weise" gemeint?

Nach der Definition muss eine Einwilligung durch den Betroffenen auch in “informierter Weise“ erfolgen. So hat die (vorformulierte) Einwilligungserklärung vor allem in verständlicher und leicht zugänglicher Form sowie in einer klaren und einfachen Sprache zu erfolgen. Ist die Einwilligungserklärung z.B. in AGB eingebettet, die noch andere Sachverhalte mitumfassen (z.B. Regelungen über die Gewährleistung oder Zahlungsbedingungen) so muss sich die Einwilligungserklärung von den anderen Sachverhalten klar „unterscheiden“.

Die Einbettung in AGB kann entweder durch eine Separierung erfolgen oder durch eine optische Hervorhebung innerhalb der AGB (z.B. durch Fettdruck und dicke schwarze oder sonstige farbliche Umrahmung).

Das Kriterium „in informierter Weise“ setzt weiters voraus, dass spätestens zum Zeitpunkt der Einwilligung alle verpflichtenden Informationen der DSGVO zur Verfügung gestellt werden (z.B. entweder im Einwilligungstext selbst oder durch einen Link auf eine Datenschutzerklärung, die diese Informationen enthält).

Wird gegen dieses Transparenzgebot verstoßen, sind jene als intransparent zu wertenden Teile einer datenschutzrechtlichen Einwilligungserklärung nicht verbindlich.

Die betroffene Person hat jederzeit das Recht, ihre abgegebene Einwilligungserklärung zu widerrufen. Auf diese Möglichkeit ist die betroffene Person vor Abgabe der Einwilli­gung hinzuweisen.

1.2.5 Besonderheiten bei Einwilligungserklärungen von Kindern

Im Falle von Zustimmungserklärungen im Zusammenhang mit Angeboten von Diensten der Informationsgesellschaft (z.B. Webshop), die einem Kind direkt gemacht werden, ist eine Datenverarbeitung personenbezogener Daten von Kindern vor Vollendung des 14. Lebensjahres nur dann rechtmäßig, sofern die Einwillligung von Obsorgeberechtigten (vor allem Eltern) oder mit deren Zustimmung erteilt wurde.  

Um sich in solchen Fällen zur vergewissern, dass die Einwilligung durch die Obsorgeberechtigten für das Kind erteilt wurde, hat der Verantwortliche unter Berücksichtigung der verfügbaren Technik „angemessene“ Anstrengungen zu unternehmen. Was darunter zu verstehen ist, dazu schweigt die DSGVO. Eine Altersabfrage, gegebenenfalls mit einer Zustimmungserklärung des Obsorgeberechtigten, ist empfehlenswert.

1.2.6 Bestehende Einwilligungserklärungen

Datenverarbeitungen, die auf bereits bestehenden Einwilligungserklärungen nach der alten Rechtslage gemäß Datenschutzgesetz 2000 (DSG 2000) basieren, erfordern keine neuerliche Einwilligungserklärung, sofern die erteilten Einwilligungen den Bedingungen der neuen Rechtslage entsprechen.

1.3. Informationspflichten nach der DSGVO (Schritt 3: „Datenschutzerklärung“)

Nach der DSGVO sind die Betroffenen über die beim Verantwortlichen stattfindenden Datenverarbeitungen zu informieren. Diesen Informationspflichten kann durch Veröffentlichung einer „Datenschutzerklärung“ auf der Website des Verantwortlichen nachgekommen werden.

Zusätzlich zu den allgemeinen Informationspflichten nach der DSGVO bestehen auch spezielle Informationspflichten nach dem TKG, die vor allem bei der Setzung von „Cookies“ zu beachten sind.

2. Sonderbestimmungen für Cookies nach dem TKG

2.1 Informationspflichten

Cookies nennt man Informationen, die vom Informationsanbieter (z.B. einem Webshop-Betreiber) mit Hilfe des Browsers auf der Festplatte des PC des Kunden abgespeichert werden, um Daten mit dem Computer des Kunden zu verknüpfen. Diese Technik wird z.B. beim virtuellen Einkauf angewendet. Durch das Setzen von Cookies können aber auch Webanalysen und Benutzerprofile erstellt werden.

In Cookies können sowohl personenbezogene als auch nicht personenbezogene Daten gespeichert werden. Wenn mit den in den Cookies gespeicherten Informationen ein Personenbezug hergestellt werden kann, sind die datenschutzrechtlichen Pflichten zu beachten.

Aufgrund der Judikatur des EuGH („Planet 49“) zur E-Privacy-Richtlinie sind auch bei der Verarbeitung von nicht-personenbezogenen Daten im Rahmen von Cookies (z.B. sehr verkürzte IP-Nummern ohne Möglichkeit, Rückschlüsse auf Personen zu erlangen, bspw. anonymisierte IP-Nummern) Informationen über den Vorgang der Verarbeitung dieser nicht-personenbezogenen Daten zu geben. Darüber hinaus sind zusätzlich auch Einwilligungen einzuholen, sofern nicht eine Ausnahme dafür besteht (siehe im Detail unten 2.3).

Das TKG sieht eigene Informationspflichten vor: es ist darüber zu informieren,

  • welche personenbezogenen Daten ermittelt, verarbeitet oder an Dritte übermittelt werden,
  • auf welcher Rechtsgrundlage (z.B. aufgrund eines Vertrages, eines speziellen Gesetzes),
  • für welche Zwecke dies erfolgt und
  • wie lange die Daten gespeichert werden.

Diese Informationspflichten decken sich großteils mit den allgemeinen Informationspflichten der DSGVO.

2.2 Datenschutzerklärung

Der Informationspflicht nach TKG kann – so erwähnen es die Erläuternden Bemerkungen zur Regierungsvorlage zum TKG – auch durch Aufnahme einer Datenschutzerklärung im verpflichtenden Impressum nachgekommen werden. Im Falle einer gemeinsamen Zurverfügungstellung mit den allgemeinen Informationspflichten nach der DSGVO muss dafür gesorgt werden, dass die Informationen jederzeit „klar und leicht zugänglich“ sind. Es empfiehlt sich deshalb keine Veröffentlichung bloß im Impressum, sondern im Rahmen einer eigenen Datenschutzrubrik (z.B. eines eigenen Buttons „Datenschutzerklärung“ oder „Privacy Policy“).

2.3 Einwilligungserklärungen (Sonderbestimmungen nach § 96 Abs 3 TKG)

Grundsätzlich hat der Verantwortliche bei der Verarbeitung (z.B. Speicherung) von personenbezogenen Daten (z.B. IP-Nummern) im Rahmen von Cookies nach dem TKG vor deren Verarbeitung eine Einwilligung einzuholen (z.B. bei Webtracking). Diese hat den Anforderungen für gültige Einwilligungserklärungen wie unter 1.2.4 beschrieben zu entsprechen. So ist vor allem darauf hinzuweisen, dass der Betroffene ein „aktives Verhalten“ setzen muss („Opt-in“-Lösung); vorangekreuzte Einwilligungserklärungen durch den Verantwortlichen (etwa in Kästchen) führen zur Unwirksamkeit der Einwilligungserklärung. Ebenso ist vor allem auf das „Koppelungsverbot“ hinzuweisen. Im Detail siehe die Ausführung unter 1.2.4.

Lediglich in jenen Fällen bedarf es keiner vorherigen Einwilligung des Betroffenen, in denen der Anbieter eines Informationsdienstes (etwa ein Webshop-Betreiber) einen vom Betroffenen ausdrücklich gewünschten Dienst nur unter der Bedingung zur Verfügung stellen kann, dass Daten verwendet werden müssen und dies auch unbedingt erforderlich ist (funktionale Notwendigkeit. Bei IP-Datenspeicherungen im Rahmen von Cookies zum Zwecke des virtuellen Einkaufs mit begrenzter Speicherdauer („Warenkorb“) könnte dies so gesehen werden. Hier ist lediglich der Informationspflicht nachzukommen. 

Ebenso keine Einwilligungserklärung muss eingeholt werden, wenn ein „Cookie“ technisch notwendig ist, eine Nachrichtenübertragung über ein Kommunikationsnetz durchzuführen und dies der alleinige Zweck ist.

2.4 Form der Einholung einer allenfalls erforderlichen Einwilligungserklärung bei Cookies

Die Erläuternden Bemerkungen zur Regierungsvorlage zum TKG erwähnen, dass die Einwilligung auch über die entsprechende Browser-Einstellung erfolgen kann (konkludente Einwilligung).  

Unzulässig ist auf jeden Fall eine „Opt-out“-Lösung (Vorkonfigurationen wie etwa vorangekreuzte Kästchen durch den Verantwortlichen).