Der Europäische Datenschutzausschuss hat die Leitlinien zur Einwilligung in die Nutzung von Websites aktualisiert und konkretisiert. Die Neufassung zielt darauf ab, den grassierenden Wildwuchs bei der Gestaltung von Cookie-Banners mit nicht datenschutzkonformen Einwilligungen zum Tracking von Internet-Nutzern sowie rechtswidrige Vermeidungsstrategien einzudämmen.
Der Europäische Datenschutzausschuss (EDSA) hat am 5. Mai 2020 die Leitlinien zur Einwilligung in die Nutzung von Websites aktualisiert. Die Änderungen zur ursprünglichen Leitlinie betreffen im Wesentlichen die Ausführungen zu den Themen „Freiwilligkeit“ und „Eindeutige Angabe von Wünschen“. Der EDSA gibt mit dieser Aktualisierung insbes. zu zwei Aspekten rechtliche Klarstellungen.
- Die Gültigkeit der Einwilligung, die von der betroffenen Person bei der Interaktion mit Cookie-Consent-Banners (inkl. der sog. „Cookie-Walls“) gegeben wird.
- Die vermeintliche Einwilligung durch die Nutzung oder das Scrollen auf einer Website.
Keine einheitliche Praxis im Internet
Internet-Nutzern fällt auf, dass die früher üblichen, schmalen Cookie-Hinweise auf Websites, die sich meistens mit einem „OK“ wegklicken bzw. bestätigen ließen, mittlerweile durch Einverständniserklärungen (sog. Cookie-Consent-Banners) weichen. Dieser Paradigmenwechsel ist insbes. der DSGVO-Auslegung durch die Aufsichtsbehörden sowie der EuGH-Rechtsprechung geschuldet, wonach (entgegen § 15 Abs. 3 TMG) für das Nutzer-Tracking ein Opt-Opt nicht ausreichend ist.
Ebenfalls auffällig ist, dass seit dem Inkrafttreten der DSGVO die Cookie-Banner-Landschaft im Internet extrem heterogen ausgeprägt ist. Es gibt unzählige windige Gestaltungsvarianten, die es dem Nutzer schwer oder sogar unmöglich machen, die Einwilligung zu verweigern. Denn für Website- und Netzwerk-Betreiber ist das gezielte Tracking ihrer Nutzer bares Geld wert.
„Einstellungen speichern“ anstatt „Nein“
Eine häufige anzutreffende Form von rechtlich problematischen Cookie-Banners ist z.B. die Frage, ob der Nutzer mit dem Tracking zur Verbesserung der Nutzererfahrung einverstanden ist – ergänzt mit einem Ja- oder OK-Button und keinem Nein- oder Ablehnen-Button. Stattdessen kann der widerwillige Nutzer nur einen Einstellungen-Button anklicken, hinter dem sich umfangreiche Erklärungen und Checkboxen verbergen. Dort kann er dann am Ende der Einstellungsoptionen, nach der Beschreibung einer Vielzahl von Tracking-Tools oder -Kategorien, seine individuellen Einstellungen speichern. Diese Auswahl hat er allerdings weder selbst getroffen, noch hat er sich mit diesen inhaltlich auseinandergesetzt.
Eine solche Gestaltung ist mit der Vorgabe des Art. 7 Abs. 3 DSGVO unvereinbar, wonach gilt, dass der Widerruf der Einwilligung so einfach wie die Erteilung der Einwilligung sein muss.
Klarstellung der Cookie-Politik
Die EDSA-Leitlinie ist nicht als Korrektur der bisherigen, ebenfalls auf der DSGVO basierenden Cookie-Politik zu verstehen. Letztlich hat aber eben diese dazu geführt, dass Internet-Nutzer jetzt häufig mit mehrdeutigen, unverständlichen oder verwirrenden Cookie-Bannern konfrontiert sind. Im Kern enthalten die neuen Leitlinien kaum inhaltliche Neuerungen, sondern sind eine Zusammenfassung bereits bekannter Erfordernisse, die jedoch von vielen Website-Betreibern missachtet werden. Der Leitfaden soll also nochmals Klarheit für die Gestaltung von Cookie-Bannern bringen und phantasievolle Umgehungstatbestände der DSGVO-Vorgaben unterbinden.
Der EDSA führt auf und erläutert nochmals konkret, welche Voraussetzungen an eine wirksame Cookie-Einwilligung geknüpft sind; nämlich
- freiwillig
- spezifisch
- informiert
- eindeutige Angabe von Wünschen
- Nachweisbarkeit und Widerruflichkeit
Die im Leitfaden im Besonderen thematisierten „Cookie-Walls“ und „Einwilligung durch Nutzung / Scrolling“ stellen zwei häufig anzutreffende Gestaltungsvarianten dar, bei denen Website-Betreiber eine vermeintliche Einwilligung des Nutzers einholen, um das Tracking zu legitimieren.
Keine freiwillige Einwilligung durch Cookie-Walls
Eine signifikante Änderung zur alten EDSA-Leitlinie ist die explizite Feststellung, dass es nicht möglich ist, durch sog. „Cookie-Walls“ wirksame Einwilligungen einzuholen. Als Cookie-Walls werden Cookie-Consent-Banners bezeichnet, die das Betrachten von Inhalten von der Zustimmung abhängig machen, dass das Nutzerverhalten nachverfolgt werden kann.
Der EDSA stellt fest, dass es unzulässig ist, den Zugang zu einem Web-Service von der Erlaubnis zum Setzen von Cookies abhängig zu machen. Hier fehlt eindeutig die Freiwilligkeit einer solchen Einwilligung, welche im Erwägungsgrund 43 der DSGVO näher beschrieben wird.
Die Leitlinie geht nicht näher auf die bei Publikationsmedien mittlerweile häufig anzutreffende Praxis ein, dem Nutzer beim Aufruf der Website ganzseitige Cookie-or-Pay-Walls vorzuschalten. Diese lassen die Möglichkeiten zu, entweder das Tracking zu akzeptieren oder ein Abonnement abzuschließen.
Diese Praxis wurde in der Vergangenheit durch die Österreichische und niederländische Datenschutzaufsicht für zulässig erachtet. Anknüpfungspunkt ist hier, dass dem Leser trotz Verweigerung einer Einwilligung eine Möglichkeit bleibt, das Angebot in Anspruch zu nehmen – dann eben gegen ein entgeltliches Abo. Somit kann die Einwilligung noch als freiwillig angesehen werden. Nach Ansicht der österreichischen Aufsichtsbehörde setzt diese freiwillige Einwilligung zumindest voraus, dass die Abo-Alternative nicht unverhältnismäßig teuer ist.
Keine konkludente Einwilligung durch Nutzung oder Scrolling
Zu einer vermeintlichen Einwilligung durch die Nutzung einer Website oder durch Scrolling, wie sie sich häufig in Cookie-Hinweisen findet, stellt der EDSA fest, dass Handlungen wie das Scrollen, das Überstreichen einer Website oder ähnliche Nutzeraktivitäten unter keinen Umständen das Erfordernis einer eindeutigen und bestätigenden Handlung erfüllen.
Hier mangelt es an der Erfordernis einer eindeutig bestätigenden Handlung sowie der Regelung, dass Stillschweigen oder Untätigkeit keine Einwilligung darstellen und im Erwägungsgrund 32 der DSGVO näher beschrieben wird.
Vollzugsdefizite bei Websites
Die derzeitige Situation, wonach viele Cookie-Consent-Banner – trotz eindeutiger gesetzlicher Vorgaben und Hinweise der Behörden zur Ausgestaltung von Einwilligungen – rechtswidrig sind, rührt mitunter auch daher, dass viele Website-Betreiber nicht willens sind, eine datenschutzkonforme Einwilligung einzuholen. Weil eine einfache, rechts- und datenschutzkonforme Umsetzung (z.B. durch die Möglichkeit das Tracking mit einem Klick vollständig abzulehnen) die Nachverfolgung für Marketing-Zwecke sowie potentielle Gewinneinbußen zur Folge hat, liegt es im Interesse der verantwortlichen Website-Betreiber diese Maßnahme so gut es geht zu vermeiden.
Die Vielzahl datenschutzwidriger Cookie-Consent-Banners wird durch das offenkundige Vollzugsdefizit bei den Aufsichtsbehörden begünstigt. Es ist jedoch sicher, dass sich die deutschen Aufsichtsbehörden an den EDSA-Leitlinien orientieren werden.
Quelle: Europäische Datenschutzausschuss, Brüssel
Link: www.edpb.europa.eu/news
13.05.2020
Photo by Christina Branco on Unsplash
