Auch wenn der europäische Datenschutzausschuss (EDSA) die vielen geläufige Art. 29 Datenschutzgruppe bereits mit Einführung der Datenschutzgrundverordnung im Mai 2018 abgelöst hat, ist er bislang in der Öffentlichkeit noch nicht besonders in Erscheinung getreten. Das hat sich Anfang Mai geändert, denn die aus Vertretern der nationalen Datenschutzbehörden und dem Europäischen Datenschutzbeauftragten (EDSB) bestehende Organisation hat am 4. Mai eine Richtlinie zum Umgang mit Einwilligungen nach der DSGVO veröffentlicht, mit der sie die Anforderungen an eine wirksame Einwilligung insbesondere im Zusammenhang mit dem Betrieb von Webseiten weiter konkretisiert.
In weiten Teilen entspricht die neue Richtlinie dabei dem früheren Arbeitspapier der Artikel-29-Datenschutzgruppe WP 259.01. Aufgrund aktueller Entwicklungen in der Onlinewelt sah sich der Ausschuss aber offensichtlich veranlasst, zwei Themen im Zusammenhang mit der Einwilligung genauer zu beleuchten: Zum einen die Zulässigkeit von so genannten „Cookie-Walls“, zum anderen die Frage, ob die bloße Weiternutzung einer Webseite zum Beispiel durch Scrollen eine Einwilligung darstellen kann.
1. „Cookie-Walls“
Neu sind die Ausführungen des EDSA zu so genannten „Cookie-Walls“ in den Rz. 38-41 der Richtlinie. In diesem Abschnitt geht es grundsätzlich um die Frage der Freiwilligkeit der Einwilligung und das Kopplungsverbot in Art. 7 Abs. 4 DSGVO.
Art. 7 Abs. 4 DSGVO sieht vor:
„Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.“
Der EDSA argumentiert zunächst, dass eine Einwilligung nicht freiwillig sein kann, wenn sie zur Voraussetzung für die Durchführung eines Vertrages oder die Erbringung einer Dienstleistung gemacht wird und die Daten nicht erforderlich für diesen Dienst sind. Anders sieht es hingegen aus, wenn der von der Datenverarbeitung Betroffene eine Auswahlmöglichkeit hat: Lässt der Verantwortliche ihn entscheiden, ob er (a) in eine Datenverarbeitung einwilligen möchte, die für die Erbringung des Dienstes nicht erforderlich ist, oder (b) er einen gleichwertigen Dienst ohne Einwilligung in die Datenverarbeitung nutzen kann, so ist von einer Freiwilligkeit auszugehen. Dies setzt jedoch voraus, dass die vom selben Verantwortlichen angebotenen Dienste wirklich gleichwertig sind.
Anders sieht es nach Ansicht des EDSA hingegen aus, wenn der Verantwortliche den Nutzer vor folgende Wahl stellt: (a) „Sie nutzen meinen Dienst und willigen in eine Datenverarbeitung ein, die für die Erbringung des Dienstes nicht erforderlich ist“, oder (b) „Sie nutzen einen vergleichbaren Dienst eines anderen Anbieters, der ohne Einwilligung in die Datenverarbeitung funktioniert“. Ein solches „Aussperren“ der Nutzer mit Verweis auf Fremdangebote stellt in den Augen des Ausschusses keine echte gleichwertige Wahlmöglichkeit für Nutzer da, weshalb die auf eine solche Auswahlmöglichkeit erteilte Einwilligung als unwirksam, weil nicht freiwillig, eingestuft wird.
Als Beispiel führt der EDSA folgenden Fall an (von uns frei übersetzt):
„Beispiel 6a: Ein Website-Anbieter setzt ein Skript ein, das die Sichtbarkeit von Inhalten blockiert, mit Ausnahme einer Aufforderung zur Annahme von Cookies und der Information, welche Cookies gesetzt werden und zu welchen Zwecken Daten verarbeitet werden. Es gibt keine Möglichkeit, auf den Inhalt zuzugreifen, ohne auf die Schaltfläche „Cookies akzeptieren“ zu klicken.
Da der betroffenen Person keine echte Wahlmöglichkeit geboten wird, wird ihre Zustimmung nicht frei gegeben. Dies stellt keine gültige Einwilligung dar, da die Bereitstellung des Dienstes davon abhängt, dass die betroffene Person auf die Schaltfläche „Cookies akzeptieren“. Es wird keine echte Wahlmöglichkeit angeboten.“
Für „Cookie-Walls“ bedeutet dies zukünftig:
- Die Einwilligung des Nutzers ist nur freiwillig, wenn es eine Möglichkeit gibt, das Webangebot eines Webseitenbetreibers auch ohne Einwilligung in eine nicht für den Betrieb der Webseite erforderliche Datenverarbeitung (beispielsweise der Einsatz von Marketing-Cookies) zu nutzen.
- Der Webseitenbetreiber darf dabei nicht auf ein Drittangebot als Alternative verweisen.
- Erlaubt bleibt demnach ein „Abo-oder-Tracking-Modell“, wie es ursprünglich derstandard.at in Österreich entwickelte und das nun auch auf deutschen Nachrichtenwebseiten anzutreffen ist, unter anderem bei spiegel.de oder zeit.de. Hier wird dem Nutzer vom selben Anbieter eine echte Wahlmöglichkeit gegeben, das Webseitenangebot entweder mit der (nicht erforderlichen) Datenverarbeitung zu nutzen, oder aber ein Abo abzuschließen und die (nicht erforderlichen) Datenverarbeitung zu vermeiden. Wichtig ist in diesem Zusammenhang jedoch, dass die angebotenen Dienste gleichwertig sein müssen. Wann von einer Gleichwertigkeit ausgegangen werden kann, wird vom EDSA leider nicht erwähnt. Aus unserer Sicht ist dieser Punkt alles andere als unproblematisch, insbesondere im Zusammenhang mit Presse-Webseiten: Wie der Fall derstandard.at zeigt, in dem sich ein Nutzer über das Abo-Modell bei der zuständigen Datenschutzbehörde beschwert hatte, werden die Aufsichtsbehörden die Gleichwertigkeit der Dienste im Wesentlichen danach bewerten, wie hoch der Preis für das Abo-Modell ist. So entschied auch die österreichische Datenschutzbehörde im Fall derstandard.at (den Beschluss gibt es hier zum Nachlesen): „Das O**-Abo ist mit einem Preis von 6 Euro monatlich ab dem zweiten Monat auch keine unverhältnismäßig teure Alternative.“ Dass sich nun Datenschutzaufsichtsbehörden dazu aufschwingen, ohne explizite gesetzliche Grundlage über die Preiskalkulation von Presseorganen zu entscheiden, muss rechtlich – insbesondere vor dem Hintergrund, dass die Pressefreiheit nach dem Grundgesetz auch eine „Pressefinanzierungsfreiheit“ beinhaltet – als zweifelhaft bewertet werden.
2. Weiterscrollen ist keine Einwilligung
Nach Art. 4 Nr. 11 DSGVO muss die Einwilligung unmissverständlich zum Ausdruck gebracht werden. Es bedarf also einer ausdrücklichen Erklärung oder einer anderen, eindeutig bestätigenden Handlung. In diesem Zusammenhang stellt sich die Frage, ob nicht auch dann von einer eindeutig bestätigenden Handlung ausgegangen werden kann, wenn der Webseitenbetreiber den Nutzer darauf hinweist Durch weiterscrollen/weitersurfen willigen Sie in die Datenverarbeitung ein“ und der Nutzer anschließend genau solche Handlungen vornimmt.
Diesem Ansatz schiebt der EDSA einen deutlichen Riegel vor (Beispiel 16 der Richtlinie):
„Aktionen wie das Scrollen oder Streichen durch eine Webseite oder ähnliche Benutzeraktivitäten genügen unter keinen Umständen dem Erfordernis einer eindeutigen und bestätigenden Handlung“ (Rz. 86 der Richtlinie)
Als Begründung führt der Ausschuss an, dass solche Aktionen sich nur schwer von anderen Aktivitäten oder Interaktionen eines Benutzers unterscheiden ließen. Auch könne nicht davon ausgegangen werden, dass Nutzer den Hinweis auf die Einwilligung durch Weiterscrollen wirklich vor der Interaktion zur Kenntnis nehmen würden, weil die Vielzahl von Cookie- und Consent-Bannern mittlerweile dazu führe, dass eine gewisse Müdigkeit der Nutzer entstehe und Hinweise nicht mehr wirklich gelesen würden. Darüber hinaus sei es in einem solchen Fall für den Nutzer kaum möglich, die Einwilligung auf eine Art und Weise zu widerrufen, die so einfach ist wie die Erteilung der Einwilligung (Art. 7 Abs. 3 S. 4 DSGVO).
Dass das bloße Weitersurfen keine aktive Einwilligung mehr darstellt, hatten wir bereits in unserer Besprechung des EuGH-Planet-49-Urteils hier im Blog dargestellt (Link). Insofern ist diese Klarstellung des europäischen Datenschutzausschusses für Eingeweihte nichts Neues – insbesondere in Italien und Spanien wurde diese Rechtsauffassung aber noch vertreten.
Trotzdem können Verantwortliche in anderen Zusammenhängen weiterhin auf einen Consent-Flow setzen, bei dem auch physische Bewegungen als eindeutige bestätigende Handlungen akzeptiert werden. Die für die Verarbeitung Verantwortlichen müssen dafür Mehrdeutigkeiten vermeiden und sicherstellen, dass die Handlung, durch die die Einwilligung erteilt wird, von anderen Handlungen klar unterschieden werden kann.
Als Beispiel nennt der EDSA (frei übersetzt):
„Beispiel 15: Streichen eines Balkens auf einem Bildschirm, Winken vor einer smarten Kamera oder Drehen eines Smartphones etwa im Uhrzeigersinn oder in einem Achter-Bewegung können Optionen sein, um eine Einwilligung wirksam zu erteilen, solange vorab eindeutige Informationen zur Verfügung gestellt werden, dass mit dieser Bewegung die Zustimmung zu einer bestimmten Anfrage erteilt wird (zum Beispiel „wenn Sie diesen Balken nach links streichen, erklären Sie sich mit der Verwendung von Information X für den Zweck Y einverstanden. Wiederholen Sie die Bewegung zur Bestätigung.“).“
Praktische Folgen kurz zusammengefasst:
- Sofern Sie bislang auf das Einholen einer Einwilligung durch bloßes Weitersurfen des Nutzers gesetzt haben, sollten Sie dies spätestens jetzt dringend umstellen. Entsprechende Texte sind aus Consent-Bannern zu löschen.
- Abseits von Webseiten können physische Bewegungen auch weiterhin zur Einholung einer Einwilligung (bspw. in Apps durch Swipen eines Balkens) eingesetzt werden, sofern sich die Bewegung klar von üblichen Bewegungen bei der Nutzung des Dienstes unterscheidet und der Nutzer vorab informiert wird.
Insgesamt ist abschließend darauf hinzuweisen, dass es sich bei den Vorgaben in den Richtlinie des EDSA nicht um verbindliche rechtliche Vorgaben handelt, sondern nur um die bloße Auffassung der nationalen europäischen Aufsichtsbehörden. Insofern haben die Ausführungen keinen bindenden Charakter und deuten nur an, in welche Richtung sich die Aufsichtsbehörden in ihrer Aufsichtspraxis wohl entwickeln werden. Letztlich werden die Gerichte entscheiden.