Digital Services Act: neue Kennzeichnungspflichten für das Onlinemarketing

Mit dem Digital Services Act (DSA) möchte die EU die Regeln in der Digitalbranche grundlegend neu fassen und weiter vereinheitlichen. Insbesondere steht beim DSA die Bekämpfung von „hate speech“ und der Umgang mit illegalen Inhalten im Fokus. Doch auch im Bereich der Online-Werbung sind wesentliche Änderungen geplant. Dies betrifft insbesondere neue Transparenzpflichten für Online-Werbung.

Jetzt hat die EU-Kommission ein neues FAQ-Dokument veröffentlicht, das die wesentlichen geplanten Neuerungen skizziert. Gerade über die zukünftige Regulierung von Online-Werbung wurde im Gesetzgebungsverfahren hitzig debattiert, insbesondere vor dem Hintergrund des Vorschlags einiger EU-Abgeordneter, personalisierte Werbung vollständig zu verbieten. Letztlich ging dieser Vorschlag nicht durch – die EU zieht die Zügel dennoch merklich an.

Wenngleich sich das EU-Parlament und der Rat im April 2022 auf die neuen Vorschriften geeinigt haben: Noch ist nicht alles in trockenen Tüchern – die finale Version ist noch nicht veröffentlicht, Änderungen sind also noch möglich. Dennoch zeichnet sich jetzt schon ab, was vom DSA in diesem Bereich zu erwarten ist.

Publisher werden zu mehr Transparenz bei nutzerspezifischer Online-Werbung verpflichtet

Personalisierte Werbung soll also zwar weiterhin erlaubt bleiben, doch sind neue Regeln zu beachten: Neben einem ausdrücklichen Verbot personalisierter Werbung in Bezug auf Minderjährige oder auf Grundlage sensibler Daten (z.B. ethnische Herkunft, sexuelle Orientierung) sollen Anbieter bei nutzerspezifischer Online-Werbung zusätzliche Transparenzpflichten erfüllen, die den Nutzern mehr Informationen zu der ihnen angezeigten Werbung zur Verfügung stellen.

So sollen Nutzer klar erkennen können, ob und warum eine Werbeanzeige gerade auf sie abzielt und wer sie finanziert hat. Ebenfalls soll für den Nutzer erkennbar sein, wann Inhalte gesponsert sind oder originär und ungesteuert auf einer Plattform veröffentlicht werden oder wenn Influencer Werbung verbreiten. Weiterhin soll für potenziell illegale Werbung Meldepflichten gelten.

Dabei ist klar: Diese Pflichten können die Publisher selbst nicht erfüllen – sie müssen dazu auf die Infrastruktur ihrer Werbedienstleister zurückgreifen können. Entsprechend müssen diese Unternehmen Vorkehrungen treffen, zukünftig mit dem Werbemittel zuverlässig die entsprechenden Informationen auszuliefern.

Geplant sind zudem erweiterte Pflichten für sehr große Online-Plattformen mit mehr als 45 Millionen Nutzern. Hierzu zählt die Einrichtung von öffentlich zugänglichen (Werbe-)Archiven. In diesen sollen Werbeanzeigen archiviert werden und es ermöglichen zu überprüfen, wie Werbung angezeigt und gezielt ausgerichtet wurde. Außerdem sollen sehr große Online-Plattformen dazu verpflichtet werden, ihre Werbesysteme dahingehend zu überprüfen, ob und wie sie manipuliert werden oder anderweitig zu gesellschaftlichen Risiken beitragen und wie diesen begegnet werden kann.

Ausblick

Auf Online-Plattformen und Werbetreibende kommen damit erhebliche Veränderungen zu. Ob hiermit aber, wie der EU-Binnenmarktkommissar Thierry Breton markant auf Twitter verlauten ließ, ein neuer Sheriff in der Stadt ist, der Ordnung in den „Digitalen Wilden Westen“ bringt, wird sich zeigen.

Sobald die finale Version veröffentlicht ist, werden wir Sie selbstverständlich informieren.

CNIL untersagt Nutzung von Google Analytics

Geschrieben am

Die französische Datenschutzbehörde CNIL legt in Sachen Google Analytics und DSGVO nach: Offenbar wurden bereits mehrere Untersagungsverfügungen gegen Website-Betreiber versandt, die den Analyse-Dienst nutzen. Auf der Website der Behörde findet sich eine Seite mit Fragen und Antworten zum Thema – bislang nur auf Französisch, weshalb wir hier die wesentlichen Aussagen wiedergeben und in den nötigen Kontext setzen.

Zum Hintergrund: Die Datenschutzorganisation NOYB hatte 2020 insgesamt 101 Beschwerden gegen Website-Betreiber in der gesamten EU erhoben, die über Google Analytics angeblich Daten ihrer Nutzer in die USA übertrugen. Auf diesem Wege wollen die Aktivisten dazu beitragen, das Schrems-II-Urteil des Europäischen Gerichtshofs durchzusetzen – auch bekannt als „Projekt 101 Dalmatiner“.

Rechtlich sieht das Ganze so aus: Für eine Datenübertragung aus der EU heraus gibt es die DSGVO-Standardvertragsklauseln (SCCs), deren hohe Anforderungen zur Datensicherheit nach dem Europäischen Datenschutzausschuss aber in der Praxis aktuell quasi nicht erfüllt werden können.

Die Kernaussage der CNIL: Googles Datensicherheitsmaßnahmen erfüllen diese Anforderungen nicht. Die in die USA übertragenen Nutzerdaten seien nicht ausreichend geschützt. In der Konsequenz heißt das: Die Nutzung von Google Analytics ist DSGVO-widrig!

Die von der Untersagungsverfügung der CNIL betroffenen Unternehmen erhielten eine Frist von einem Monat (in Einzelfällen auch länger), um den DSGVO-Verstoß abzustellen. Auch wer nicht angeschrieben wurde, sei aufgefordert, Google Analytics bei sich abzuschalten.

Im Dezember 2021 hatte die österreichische Datenschutzbehörde bereits ebenso entschieden. Anfang 2022 war die CNIL dem gefolgt (wir hatten dazu berichtet). Eine Entscheidung zu den 101-Dalmatiner-Verfahren aus Deutschland steht derweil aus. Die europäischen Datenschutzbehörden stehen dabei aber im Austausch – zum Beispiel hat sich die niederländische Aufsichtsbehörde bereits gleichlautend geäußert.

Die CNIL wiederholt dabei zwei wichtige Punkte:

  • eine Verschlüsselung hilft nur, wenn die Daten verschlüsselt bleiben, was sie in der Regel nutzlos macht (so schon der EDPB)
  • eine Einwilligung der betroffenen Nutzer ist für diese Zwecke nicht möglich (so schon die deutsche Datenschutzkonferenz)

Die CNIL betont außerdem: Es gibt aktuell keine Möglichkeit, durch Einstellungen im Backend von Google Analytics für DSGVO-Konformität zu sorgen. (Insbesondere reicht die so genannte „IP-Anonymisierung“ nicht aus, da trotzdem personenbezogene Daten erhoben und in die USA übertragen werden.)

Die nach der CNIL einzige Lösung: Einen Proxy-Server zwischenschalten, um die Daten vor der Übertragung an Google wirksam zu anonymisieren. Die CNIL-Website erklärt, wie das geht (leider nur auf Französisch). Außerdem gibt es eine Liste mit Alternativ-Diensten, die DSGVO-konform genutzt werden können.

Zum aktuellen Update auf Google Analytics 4 äußert sich die CNIL nicht. Google selbst schweigt bislang – und auch das geplante neue EU-US-Datenschutzabkommen wird trotz der Ankündigung der EU-Kommission im März nicht so bald kommen.

Spanien: 3 Millionen Euro Bußgeld gegen Bank wegen Erstellung von Marketing-Profilen

Foto: jcorrius, CC BY 2.0 (cropped)

Die spanische Datenschutzbehörde AEPD hat in einer Entscheidung vom September 2021 einer Bank ein Bußgeld in Höhe von 3 Millionen Euro auferlegt, weil diese Marketing-Profile ihrer Kunden erstellt hatte, ohne von diesen zuvor eine DSGVO-konforme Einwilligung eingeholt zu haben.

Hintergrund der Entscheidung

Ausgangspunkt des Verfahrens war eine Beschwerde eines Kunden bei der Datenschutzbehörde. Dieser gab an, die Bank habe seine Daten an ein anderes Unternehmen weitergegeben, obwohl er seit Jahren keinerlei Geschäftsbeziehungen mehr zu der Bank unterhalte. Diese erklärte daraufhin, sie lege Profile ihrer Kunden an, um einerseits deren Kreditwürdigkeit zu ermitteln und andererseits, um diese Daten für Marketingzwecke zu nutzen. Hinsichtlich der Nutzung der Profile zu Marketingzwecken beruft sich die Bank auf eine Einwilligung ihrer Kunden. Bei den für diese Zwecke verarbeiteten personenbezogenen Daten handelte es sich konkret um Angaben zur Identität wie Ausweisnummer und Geburtsdatum, soziodemografische Daten wie Postleitzahl, Geburtsland, Staatsangehörigkeit, Art der Wohnung, Alter und Personenstand, wirtschaftliche Daten wie Einkommen, Beruf, Dauer der Kundenbeziehung sowie eine Risikobewertung. Die Daten stammten von den Betroffenen selbst, von Kreditbewertungsunternehmen sowie von der Bank und ihren Schwesterunternehmen.

Entscheidung der Behörde

Die AEPD prüfte daraufhin die Art und Weise, wie die Bank die erforderlichen Einwilligungen eingeholt hatte und stellte fest, dass die Betroffenen nicht ausreichend über die Verarbeitung ihrer Daten informiert waren, um wirksam einwilligen zu können. Konkret konnten die Betroffenen aus den bereitgestellten Informationen nicht entnehmen, welche Daten genau wozu verarbeitet wurden und wie detailliert das Profil war. Weiterhin war es den Betroffenen nicht möglich, in jeden der Zwecke getrennt einzuwilligen.

In der Konsequenz waren die Einwilligungen insgesamt unwirksam, die Verarbeitung der Daten durch die Bank verstieß daher gegen die DSGVO und war somit rechtswidrig. Die AEPD verhängte deshalb das erwähnte Bußgeld und verpflichtete die Bank, innerhalb von sechs Monaten sicherzustellen, die genannten Fehler zu beheben.

Hohe Anforderungen an die Einwilligung

Die Entscheidung der spanischen Datenschutzbehörde verdeutlicht ein weiteres Mal, wie hoch die Anforderungen der DSGVO an eine wirksame Einwilligung sind. Erforderlich ist insbesondere eine für die Adressaten der Einwilligung verständliche und klare Beschreibung der Zwecke, für die die Daten verarbeitet werden, sodass diese für den Betroffenen genau nachvollziehbar sind. Allgemeine oder beschönigende Floskeln genügen dem nicht. Die Argumentation der AEPD liegt damit auf einer Linie mit den übrigen europäischen Datenschutzbehörden ein – insbesondere zur jüngsten Entscheidung zum TCF 2.0 aus Belgien.

CNIL: Weiterverarbeitung von Daten des Auftragsverarbeiters für eigene Zwecke?

Um dem gesteigerten Interesse des Auftragsverarbeiters an einer eigenen Verarbeitung personenbezogener Daten – wie zur Produktverbesserungen oder Entwicklung neuer Dienstleistungen – zu begegnen, hat die französische Datenschutzbehörde CNIL im Januar Richtlinien veröffentlicht, nach denen eine solche Weiterverarbeitung rechtmäßig erfolgen kann.

Nach Ansicht der CNIL kann der Verantwortliche dem Auftragsverarbeiter unter bestimmten Voraussetzungen die Weiterverarbeitung für eigene Zwecke erlauben. Dafür muss der Verantwortliche im Rahmen eines „Kompatibilitätstests“ für jede konkrete Datenweiterverarbeitung überprüfen, ob die Weiterverarbeitung mit dem Zweck vereinbar ist, für den die Daten ursprünglich erhoben wurden. Die Erlaubnis muss analog zur Auftragsverarbeitungsvereinbarung schriftlich erfolgen. Die Informationspflicht hinsichtlich der geplanten Weiterverarbeitung trifft den ursprünglichen Verantwortlichen, der diese aber auch an den Auftragsverarbeiter (und nunmehr „Verantwortlicher für die Weiterverarbeitung“) delegieren kann. Letztlich wird dieser für die Weiterverarbeitung der Daten selbst zum Verantwortlichen und hat die Einhaltung der DSGVO für diese Verarbeitung sicherzustellen.

Die CNIL stützt die Erlaubnis der Weiterverarbeitung hauptsächlich auf die selten zitierte Regelung zur so genannten Zweckänderung in Art. 6 Abs. 4 DSGVO. Als Begründung knüpft die CNIL hier lediglich an den Wortlaut der Norm an, der eine Weiterverarbeitung von Daten grundsätzlich nach einem „Kompatibilitätstest“ gestattet. Im Übrigen verlangt sie die Einhaltung der weiteren Normen zur Auftragsdatenverarbeitung wie Textform der Vereinbarung nach Art. 28 Abs. 9 DSGVO, aber auch die Einhaltung der Informationspflicht gegenüber den Betroffenen nach den Artt. 13 f. DSGVO.

Offen bleibt, wie die CNIL den hier entstehenden Konflikt mit der Systematik der DSGVO löst, die eine Anwendung des Art. 6 Abs. 4 DSGVO auf Auftragsverarbeiter eigentlich nicht vorsieht. Folgt man den Richtlinien, so ist das Endergebnis ein ehemaliger Auftragsverarbeiter, der zwar mit Erlaubnis, aber dennoch weisungsfrei als neuer Verantwortlicher gegenüber den Betroffenen auftritt.

Das verstößt einerseits gegen den Grundsatz des Art. 28 Abs. 3 S. 2 DSGVO, nachdem Auftragsverarbeiter nur unter Aufsicht und auf Weisung tätig werden dürfen und verwundert andererseits und insbesondere im Hinblick auf Art. 28 Abs. 10 DSGVO. Hiernach gilt es wörtlich als „Verstoß gegen die Verordnung“, wenn ein Auftragsverarbeiter die Zwecke und Mittel der Verarbeitung selbst bestimmt.

Dem kann eigentlich auch kaum entgegengehalten werden, dass der ursprüngliche Verantwortliche hierfür seine Erlaubnis erteilt hat und der neue Verantwortliche (Ex-Auftragsverarbeiter) im Rahmen einer Weisung handelt. Hierbei handelt es sich um eine Vertragsgestaltung, die dem Auftragsverarbeiter Rechte einräumt, die in der DSGVO so nicht vorgesehen wurden. Die eigentliche Folge wäre demnach ein Verstoß gegen die DSGVO.

Es bleibt abzuwarten, wie weitere europäische Aufsichtsbehörden auf diesen Lösungsvorschlag der CNIL reagieren. Jedenfalls besteht ein großes und wohl auch berechtigtes Interesse der Auftragsverarbeiter an einer Verarbeitung personenbezogener Daten zum eigenen Zweck – im Hinblick auf die eher schwache dogmatische Begründung sind die Richtlinien der CNIL wohl zunächst mit etwas Vorsicht zu genießen.

Wird die „alles ablehnen“-Schaltfläche doch Pflicht? Neue Orientierungshilfe zur Tracking-Einwilligung

Bereits kurz vor Weihnachten hat es sich die deutsche Datenschutzkonferenz (DSK) nicht nehmen lassen, erneut für ordentlich Wirbel im Datenschutz zu sorgen und „beschenkte“ uns mit einer neuen „Orientierungshilfe für Anbieter*innen von Telemedien“, die sich mit der Rechtslage nach der Einführung des Telekommunikations-Telemedien-Datenschutz-Gesetzes (TTDSG) am 1. Dezember 2021 befasst.

Wir wollen Ihnen das für die Onlinemarketing-Branche Wesentliche näherbringen, insbesondere die Ausführungen der DSK zum Einsatz von Cookies und anderen Technologien, speziell zur Frage des Einwilligungsmanagements.

Wichtig: Bei der Orientierungshilfe handelt es sich bisher nur um einen Entwurf. Es wird noch ein öffentliches Konsultationsverfahren stattfinden, nach dem sich der Text noch ändern kann. Nähere Informationen dazu sollen laut DSK noch in diesem Monat folgen.

Ebenfalls erwähnenswert ist, dass Bezahlmodelle (auch „Pur-Modelle“, wie sie zum Beispiel bei Spiegel Online oder mittlerweile auch auf bild.de zum Einsatz kommen), von der Orientierungshilfe ausdrücklich nicht behandelt werden.

Einwilligungen nach TTDSG und DSGVO können zusammen eingeholt werden

Wenig überraschend: Die nach TTDSG und DSGVO erforderlichen Tracking-Einwilligungen können nach Ansicht der DSK durch ein und dieselbe Handlung zusammen eingeholt werden. Das setzt jedoch voraus, dass den Nutzern deutlich gemacht wird, dass sich ihre Einwilligungserklärung sowohl auf Speicherung auf und Auswertung von Informationen von der Endeinrichtung als auch auf die darauf folgende Datenverarbeitung bezieht. Außerdem ist über beide Rechtsgrundlagen se­parat zu informieren. Das bedeutet: In den Einwilligungsbannern sind zukünftig noch mehr und deutlichere Informationen bereitzustellen.

Mehr Informationen über den Einsatz von Cookies und ähnlichen Technologien

Die Nutzer sollen über das Einwilligungsbanner außerdem transparent und nachvollziehbar darüber informiert werden, wer in welcher Form zu welchem Zweck für wie lange auf seine Endeinrichtung zugreift und wer die Informationen auslesen kann. Ebenso muss der Nutzer erfahren, in­wieweit die ausgelesenen Informationen für weitere Datenverarbeitungszwecke verarbeitet werden. Es reicht nicht aus, nur vage über die Zwecke zu informieren (wie zum Beispiel „Marketingzwecke“ oder „Verbesserung der Nutzererfahrung“).

Zwar können entsprechende Informationen auch weiterhin auf einer zweiten Ebene des Einwil­li­gungsbanners erfolgen, wenn jedoch auf der ersten Ebene die Möglichkeit besteht, in verschie­dene Zwecke einzuwilligen, sollen Sie auch auf dieser Ebene hinreichend informieren. Wie das praktikabel und übersichtlich umzusetzen sein soll, lässt die DSK offen.

Wie wichtig der DSK die informierte Einwilligung des Endnutzers ist, wird auch in den weiteren Ausführungen deutlich. So stellt die DSK klar, dass ein „OK“-Button in keinem Fall eine unmissverständliche Willenserklärung im Sinne einer Einwilligung darstellt. Selbst „akzeptieren“ oder „ich stimme zu“ ist nur dann für eine wirksame Einwilligung ausreichend, sofern aus dem Einwilligungstext deutlich hervorgeht, wozu eingewilligt wird.

Es müssen zwei gleichwertige Handlungsmöglichkeiten angeboten werden

Das Einwilligungsbanner soll so gestaltet sein, dass dem Endnutzer zwei gleichwertige Handlungs­möglichkeiten mit demselben Kommunikationseffekt offenstehen. Kann der Nutzer eine freiwillige und informierte Entscheidung nur mit einem Mehraufwand an Klicks und/oder Aufmerk­samkeit treffen, steht das nach Ansicht der DSK einer wirksamen Einwilligung entgegen

Zwei gleichwertige Handlungsmöglichkeiten sind daher regelmäßig nur dann anzunehmen, wenn bereits auf der ersten Ebene der Einwilligungsplattform eine „alles akzeptieren“ und eine „ablehnen“- oder „jetzt nicht akzeptieren“-Schaltfläche als Optionen angeboten werden.

Die DSK fordert darüber hinaus ein Einwilligungsmanagement, dass dem Nutzer granulare Teil-Einwilligungen nach dem Vorbild des IAB TCF 2.0 ermöglicht. Gleiches gilt für den Widerruf. Auch dieser muss auf die gleiche Art und Weise möglich sein, wie die Erteilung der Einwilligung (zum Beispiel per Schaltfläche auf der Website).

Analytics-Cookies als „unbedingt erforderlich“?

Für die Ausnahme für „unbedingt erforderliche“ Cookies nach § 25 Abs. 2 Nr. 2 TTDSG muss laut der DSK zwischen der Bereitstellung eines Basisdienstes, zusätzlichen Funktionen und allgemeinen Funktionen unterschieden werden. Eine rein wirtschaftliche Erforderlichkeit ist nicht ausreichend.

Die DSK möchte sich aus diversen Gründen ausdrücklich nicht dazu äußern, ob Analyse-Cookies, die der Reichweitenmessung dienen (sowie andere spezielle Kategorien von Cookies), unter bestimmten Bedingungen als „unbedingt erforderlich“ zu klassifizieren und damit nach § 25 Abs. 2 Nr. 2 TTDSG von der Einwilligungspflicht ausgenommen sind. Dies wird damit begründet, wdass es zum Beispiel für den Fall der Analytics-Cookies immer vor allem auf den konkreten Zweck, für den die Reichweitenmessung im Einzelfall eingesetzt wird ankommt.

Hier folgt die DSK also nicht dem Vorbild anderer Aufsichtsbehörden, wie zum Beispiel der französischen Aufsichtsbehörde CNIL, die den Standpunkt vertritt, dass Analytics-Cookies von der Einwilligung ausgenommen werden können, wenn

  • die Cookies nur zur Erstellung anonymer Statistiken verwendet werden,
  • die für das ordnungsgemäße Funktionieren des Dienstes unbedingt erforderlich und
  • ausschließlich für den Betreiber der betreffenden Website oder App bestimmt sind.

Die DSK gibt uns nur an die Hand, dass für die Frage, inwiefern Cookies „unbedingt erforderlich“ sind, neben dem „ob“ auch noch zeitliche, inhaltliche sowie personelle Dimensionen zu berücksichtigen sind und versorgt uns mit maßgeblichen Kriterien:

  • Zeitpunkt der Speicherung: Der Auslese- und Speichervorgang darf erst dann beginnen, wenn die konkrete Funktion tatsächlich in Anspruch genommen wird.
  • Inhalt der Information: Die Informationen, welche gespeichert und ausgelesen werden, müssen für die Funktion unbedingt erforderlich sein.
  • Dauer der Speicherung der Information: Die Informationen dürfen nur so lange gespeichert und ausgelesen werden, wie unbedingt erforderlich.
  • Auslesbarkeit der Informationen: Es muss technisch sichergestellt werden, dass die Informationen nur vom Anbieter ausgelesen werden können; bei Third-Party-Cookies, dass die Informationen nur für die vom Nutzer aufgerufene Website verwendet werden können.

Ablehnung des „Axel-Springer-Modells“ für internationale Datentransfers

Zum Schluss äußert sich die DSK auch dazu, dass nach ihrer Ansicht personenbezogene Daten, die im Zusammenhang mit der Nachverfolgung von Nutzerverhalten auf Websites oder in Apps verarbeitet werden, nicht auf Grundlage einer Einwilligung nach Art. 49 Abs. 1 lit. a DSGVO an Datenempfänger außerhalb der EU übermittelt werden können. Denn Umfang und Regelmäßigkeit solcher Datentransfers widersprächen regelmäßig dem Charakter des Art. 49 DSGVO als Ausnahmevorschrift.

Die DSK erteilt damit dem „Axel-Springer-Modell“ eine Absage. Ob sich diese Ansicht durchsetzen wird, insbesondere ob sie mit dem Wortlaut des Art. 49 Abs. 1 S. 2 DSGVO zu vereinbaren ist, kann zumindest angezweifelt werden.

Was ist nun zu tun?

Erst einmal können das Konsultationsverfahren und die endgültige Version der Orientierungshilfe abgewartet werden – auch wenn uns bereits aufsichtsbehördliche Prüfverfahren bekannt sind, die offenbar auf der Grundlage der hier beschriebenen Positionen angestoßen wurden.

Wie bereits erwähnt ist auch zu berücksichtigen, dass die Orientierungshilfe selbst keinen Gesetzescharakter hat. Es handelt sich nur um die unverbindliche Stellungnahme der Aufsichtsbehörden. Es bleibt insbesondere abzuwarten, wie sich die Gerichte dazu positionieren. Zu recht wird bei vielen Positionen der DSK seitens der Berufsverbände der Einwand erhoben, dass sich eine derart strenge Auslegung, wie sie in der Orientierungshilfe vorgenommen wurde, keineswegs aus dem Wortlaut der DSGVO ergäbe.

Viele Anforderungen, wie zum Beispiel gleichwertige Gestaltung der einzelnen Schaltflächen (insbesondere der Verzicht auf übermäßiges Nudging), keine voreingestellten Kästchen oder Opt-Outs oder die Möglichkeit, nicht notwendige Cookies einfach ablehnen zu können, wurden zudem bereits seit geraumer Zeit empfohlen und dürften daher für Sie nicht neu sein und keine Änderungen nötig machen.

Die DSK stellt in der neuen Orientierungshilfe jeodch teilweise noch einmal strengere Anforderungen an das Einwilligungsmanagement. Das TTDSG dient hier nur als Anlass – Unternehmen sollen dazu bewegt werden, den Umfang der zur Verfügung gestellten Informationen und die im Einwil­li­gungsbanner angezeigten Schaltflächen anzupassen.

Wollen Sie einem Verfahren durch die Aufsichtsbehörden entgehen, raten wir daher, Ihr Einwilligungsmanagement entsprechend unserer Ausführungen zu überprüfen und gegebenenfalls anzupassen.

Als ein mahnendes Beispiel können die vor wenigen Tagen Google und Facebook in Frankreich auferlegten Bußgelder in Höhe von 150 Mio. und 60 Mio. Euro dienen, weil diese ihren Nutzern die Ablehnung von Cookies nicht ebenso einfach machten wie die Einwilligung. Wir werden für Sie die weitere Entwicklung beobachten und Sie bei Bedarf informieren. Bei allen weiteren notwendigen Schritten, insbesondere der rechtskonformen Gestaltung Ihres Online-Angebots, beraten wir Sie wie immer gern.