Die italienische Datenschutzaufsichtsbehörde Garante per
la protezione dei dati personali (kurz „Garante“)
hat am 10. Juni eine neue Version ihrer „Leitlinien zu Cookies und anderen
Tracking-Technologien“ veröffentlicht. Diese sollen den mit dem Inkrafttreten
der DSGVO überholten Beschluss der Garante von 2014 ergänzen.
Die Leitlinien bieten eine praktische Orientierungshilfe bei
der Einholung von Tracking-Einwilligungen. In ihrem Papier macht die Garante außerdem
Vorschläge für eine interessengerechtere Gestaltung von Cookie-Bannern (consent managment plattforms, CMPs).
Wir fassen die zentralen Aussagen für Sie zusammen:
„technische Erforderlichkeit“ bei Cookies und vergleichbaren Tracking-Technologien
Die Garante bezieht sich in ihren Leitlinien sowohl auf
Cookies als auch auf eine Vielzahl anderer Tracking-Technologien (Fingerprinting,
RFID etc.) und ist dabei ebenso wie die französische
Datenschutzaufsichtsbehörde CNIL der Ansicht, dass die Anforderungen an das
Tracking als „technologieneutrale Regelungen“ zu verstehen sind. Die deutschen
Datenschutzaufsichtsbehörden haben sich zu dieser Frage bislang nicht klar positioniert,
das Papier der Garante ist jedoch ein Fingerzeig, in welche Richtung es auch
bei uns gehen könnte.
Dabei unterscheidet die Garante zwischen solchen Cookies und
vergleichbaren Tracking-Technologien, die ausschließlich dazu dienen, das Funktionieren
einer Website zu ermöglichen und damit „technisch erforderlich“ sind und solchen,
die für eine Vielzahl von Zwecken verwendet werden („nicht technisch erforderliche“).
Nur „technisch erforderliche“ Cookies und vergleichbare Tracker
dürfen demnach ohne die Zustimmung des Nutzers genutzt werden. In allen
anderen Fällen muss eine informierte Einwilligung des Betroffenen eingeholt
werden. Die Garante bestätigt insofern, dass man sich nach der
ePrivacy-Richtlinie nicht auf ein berechtigtes Interesse berufen kann,
um die Verwendung von Cookies oder anderen Trackern zu rechtfertigen.
Scrolling und Cookie-Walls sind nur in Ausnahmefällen zulässig
Grundsätzlich teilt die Garante den Standpunkt der übrigen europäischen
Datenschutzbehörden, dass das bloße Scrollen
auf der Website allein nicht für eine wirksame Einwilligung ausreichen
kann. Nichtsdestotrotz kann es der Garante zufolge Ausnahmen von dieser Regel geben.
Ein solcher Fall kann vorliegen, wenn das Scrollen des
Nutzers Teil eines umfassenderen Prozesses ist, der es dem Nutzer ermöglicht,
seine informierte Einwilligung in einer Weise zum Ausdruck zu bringen, die auf
dem Server der Website dokumentiert und aufgezeichnet und als ausdrückliche Erklärung
des Nutzers eingestuft werden kann. Die Handlung des Nutzers muss also
unmissverständlich den Willen zum Ausdruck bringen, in die Verarbeitung
einzuwilligen. Das setzt vor allem voraus, dass der Verantwortliche den Nutzer
vorab dergestalt informieren muss, dass sich dieser über die Wirkung seines
Verhaltens im Klaren ist.
Anders als die CNIL im Oktober letzten Jahres bezieht die Garante recht eindeutig Stellung zu so genannten Cookie-Walls, die den Nutzer dazu zwingen, seine Zustimmung zur Nutzung von Cookies und anderen Tracking-Mechanismen zu geben oder andernfalls den Zugang zu einer Website sperren. Solche Lösungen sind in Deutschland auf Presse-Websites bereits recht verbreitet.
Nach Ansicht der Garante ist eine solche Vorgehensweise grundsätzlich
nicht zulässig, da es hier an der notwendigen Freiwilligkeit der Einwilligung
mangele. Auch hier gibt es jedoch einen Ausnahmefall: Cookie-Walls sind zulässig, wenn der Verantwortliche dem Nutzer eine
„gleichwertige Alternative“ einräumt, den Dienst (die Website) auch ohne
Erteilung einer Einwilligung in die Verwendung von Cookies zu nutzen (zum
Beispiel bei so genannten „Pur-Abos“). Hier bedarf es nach Ansicht der Garante einer
Einzelfallprüfung.
Wiederholte Aufforderung zur Einwilligung, obwohl die Einwilligung zunächst
nicht erteilt wurde
Diese, wie es die Garante in ihrem Papier ausdrückt, „redundante
und aufdringliche Praxis“, bei der der Nutzer bei jedem Aufrufen der Website
erneut mit einer CMP konfrontiert wird, obwohl er beim erstmaligen Besuch der
Website seine Einwilligung in die Nutzung von Cookies und anderen Trackern zunächst
nicht erteilt hat, kann die Freiheit des Nutzers übermäßig beeinträchtigen,
indem sie den Nutzer dazu bringt, letztlich doch der Verarbeitung seiner
Daten zuzustimmen, um die Website in Ruhe nutzen zu können. Sie ist daher unzulässig.
Eine erneute Einholung der Zustimmung soll nur
zulässig sein, wenn
- sich der Umfang der Datenverarbeitung wesentlich geändert hat,
so dass der Nutzer über die fraglichen Änderungen informiert werden muss, zum
Beispiel in Bezug auf den Einsatz neuer externer Dienste,
- der Betreiber der Website nicht wissen kann,
dass bereits ein Cookie gespeichert wurde,
- seit der letzten Abfrage mindestens sechs Monate vergangen sind.
Praktische Empfehlungen zur Einholung einer Einwilligung
Am Ende ihres Papiers gibt die Garante praktische Hinweise, wie
die Einwilligung ihrer Meinung noch „interessengerechter“ eingeholt werden kann,
insbesondere was die Ausgestaltung der CMP angeht. Diese Hinweise haben jedoch keinen(!)
rechtlichen Gehalt. Hier
hat sie insbesondere die Grundsätze der Datensparsamkeit und der Nutzerautonomie
im Blick.
Nach der Vorstellung der Garante soll der Nutzer, der die
Website zum ersten Mal besucht, eine CMP angezeigt bekommen, die sich in Größe
und Gestaltung deutlich vom Rest der Seite abhebt und auch von Menschen mit
Behinderung genutzt werden kann. Entscheidet sich der Nutzer gegen eine Einwilligung,
soll er das Banner mit einem einfachen Befehl (z.B. ein „X“ in der oberen
rechten Ecke des Banners) schließen können. Die Schaltfläche, mit der das
Weitersurfen ohne Zustimmung ermöglicht wird, soll also ebenso
benutzerfreundlich und zugänglich sein wie die für die Erteilung der Zustimmung
vorgesehene. Auch hier folgt die Garante also dem Ansatz der CNIL, die sich
wünscht, dass unmittelbar neben der Schaltfläche „alle Cookies akzeptieren“
auch ein Button „alle Cookies ablehnen“ angezeigt wird, der sich nicht
versteckt in einer Second Layer der CMP befindet.
Daneben sollten CMPs nach der Vorstellung der Garante Folgendes
enthalten:
- einen Hinweis,
dass beim Anklicken des „X“ die Standardeinstellungen unverändert bleiben und
das Surfen daher ohne Cookies oder andere Tracker fortgesetzt werden
kann;
- ein Hinweis
darauf, dass nur mit der Zustimmung des Nutzers Tracking-Cookies gesetzt
werden;
- einen Link
zur Datenschutzerklärung, die alle nach der DSGVO geforderten Informationen
insbesondere zu den verwendeten Cookies und Trackern enthält
- eine Schaltfläche, über die die Zustimmung zur Nutzung aller Cookies und
Tracker erteilt werden kann;
- einen Link
zu einem Bereich, in dem der Nutzer individuell und informiert die Funktionen,
Drittanbieter und Cookies auswählen kann, denen er zustimmen möchte.
- eine Schaltfläche auf oder in der Fußzeile der
Website, über den der Nutzer seine Cookie-Einwilligung für die Website anpassen
kann und der auf seinen Zweck ausdrücklich hinweist (z.B. „Passen Sie Ihre Cookie-Einstellungen an“).
Kein Einwilligungserfordernis bei Statistik-Cookies, wenn…
Wie schon in ihren Leitlinien vom Mai 2014 und wie auch die
CNIL in ihrem Papier vom Oktober 2020 ist die Garante weiterhin der Ansicht,
dass Analyse-Cookies als technisch erforderlich einzustufen sind und
dementsprechend ohne vorherige Zustimmung der betroffenen Nutzer gesetzt werden
können, soweit bestimmte Bedingungen erfüllt sind:
Damit Analyse-Cookies den technisch erforderlichen Cookies
gleichgestellt werden können, muss daher die direkte Identifizierung – also das
spezifische Herausfiltern – einzelner betroffener Personen verhindert werden.
Maßgeblich ist also das Identifizierungspotenzial von Analyse-Cookies, auch bei
der Nutzung durch Dritte.
Fazit
Es ist zu begrüßen, dass nach der CNIL auch die Garante zu
den gesetzlichen Anforderungen an das Online-Tracking Stellung bezieht. Die in
den Leitlinien der Garante vertretenen Ansichten könnten für die weitere
Entwicklung hier in Deutschland von Bedeutung sein. Es bleibt abzuwarten, ob
und wann sich die deutschen Aufsichtsbehörden hier endlich klar äußern. Gerade
deshalb ist es wichtig, dass sich die deutsche Onlinemarketing-Branche in die auseinandersetzung
einbringt – denn nicht jede Auslegung ist einfach so hinzunehmen. Wir beraten
Sie dazu gern.