Medien-Websites holen unwirksame Einwilligungen ein – (vorerst) ohne Konsequenzen

Die Datenschutzaufsichtsbehörden in 11 Bundesländern haben insgesamt 49 Websites von Medienunternehmen in Bezug auf den Einsatz von Cookies und die Einbindung von externen Tracking-Diensten untersucht. Wir hatten über den Start dieser Untersuchung berichtet („Tracking im Fokus der Aufsichtsbehörden: länderübergreifende Prüfung von Medien-Websites“). Bei der Prüfung wurde ein Schwerpunkt auf das Tracking von Nutzern zu Werbezwecken gelegt. Die meisten der geprüften Webseiten entsprachen im Ergebnis nicht den rechtlichen Anforderungen.

Rechtlicher Hintergrund

Nach § 15 Abs. 3 Telemediengesetz (TMG) (der ab dem 1. Dezember durch den inhaltlich gleich laufenden § 25 TTDSG ersetzt wird) – bedarf das Setzen von Cookies einer Einwilligung (es sei denn, ein Cookie ist für den Betrieb der Website „unbedingt erforderlich“).

Diese Einwilligung muss bestimmte, in der Datenschutzgrundverordnung (DSGVO) definierte Anforderungen erfüllen: Die Einwilligung muss freiwillig, informiert, unmissverständlich und in Bezug auf eine bestimmte Datenverarbeitung zu einem bestimmten Zweck abgegeben werden.

Überprüfung durch die Datenschutzaufsichtsbehörden

In einer gemeinsamen Aktion überprüften nun die Datenschutzbehörden in Baden-Württemberg, Bayern, Brandenburg, Bremen, Hamburg, Hessen, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz, im Saarland, Sachsen und Schleswig-Holstein, ob die Websites großer Medienanbieter diesen Anforderungen entsprachen. Hierfür war im August 2020 zunächst ein Fragebogen an die Betreiber verschickt worden.

Ein besonderer Augenmerk wurde dabei auf reichweitenstarke Onlineangebote gelegt, welche eine hohe Anzahl Tracking-Diensten verwenden, die überwiegend der Finanzierung durch nutzerspezifische Werbung dienen. Die dabei erhobenen personenbezogenen Daten werden von den Betreibern zur Erstellung und Anreicherung umfassender und seitenübergreifender Persönlichkeitsprofile weitergegeben. 

Ergebnis der Überprüfung: Regelmäßig keine wirksamen Einwilligungen

Die Datenschutzbehörden stellten bei Ihrer Überprüfung fest, dass die Websites zwar in der Regel differenzierte Einwilligungen ihrer Nutzer für die Verwendung Tracking-Diensten abfragen. In der Mehrheit der Fälle wurden die Einwilligungen allerdings nicht wirksam eingeholt.

Im Rahmen der Prüfung wurden vor allem die folgenden Mängel festgestellt:

  • Tracking bereits vor der Einwilligung: Häufig wurden einwilligungsbedürftige Dienste bereits beim Laden der Website eingebunden und so Tracking-Cookies gesetzt – bevor der Nutzer eine Einwilligung gegeben hatte. Diese Praxis ist stets unzulässig! Erst nach der wirksamen Einwilligung dürfen Tracking-Dienste und vergleichbare Technologien aktiviert werden.
  • fehlende Informationen: Auf der ersten Ebene der Einwilligungs-Banner wurden nur unzureichende oder falsche Informationen über das Tracking der Nutzer gegeben.
  • unzureichender Umfang der Einwilligung: Wenn der Nutzer keine Einwilligung erteilte, blieben dennoch zahlreiche Tracking-Dienste aktiv.
  • keine einfache Ablehnung: Während bei allen Einwilligungs-Bannern auf der ersten Ebene eine Schaltfläche vorhanden war, mit der eine Zustimmung zu sämtlichen Tracking-Diensten erteilt werden konnte, fehlte auf dieser Ebene häufig eine ebenso einfache Möglichkeit, das einwilligungsbedürftige Nutzertracking abzulehnen oder das Banner ohne Entscheidung schließen zu können (ob das Gesetz eine solche Schaltfläche erfordert, ist umstritten).
  • „Manipulation“ der Nutzer: Die Ausgestaltung der Einwilligungs-Banner wies zahlreiche Formen des so genannten „Nudging“ auf. Das bedeutet, Nutzer wurden unterschwellig zur Abgabe einer Einwilligung beeinflusst, indem die Schaltfläche für die Zustimmung beispielsweise durch eine farbliche Hervorhebung deutlich auffälliger gestaltet war als die Schaltfläche zum Ablehnen oder indem die Verweigerung der Einwilligung verkompliziert wurde (wo hier die Grenze des rechtlich Zulässigen verläuft, ist ebenfalls umstritten).

Konsequenzen

Nach Feststellung einer Vielzahl von Mängeln wirken die beteiligten Landesdatenschutzbehörden nun auf die Unternehmen in ihrem Zuständigkeitsbereich ein, um datenschutzkonforme Zustände herzustellen. Nach Angaben der Datenschutzaufsichtsbehörden (Pressemitteilung des Hamburgischen Datenschutzbeauftragen vom 30. Juni 2021) konnten auch erste Anpassungen bei einigen Verantwortlichen die rechtlichen Defizite bislang nicht vollständig beseitigen. Zwar wurden noch keine Bußgelder verhängt, es wurde jedoch bereits angekündigt, dass nötigenfalls weitere aufsichtsbehördliche Maßnahmen ergriffen werden.

Was bedeutet das für Sie?

Auch wenn bislang noch keine Bußgelder verhängt wurden, machen die Aufsichtsbehörden jetzt mit der Umsetzung „Planet49“-Entscheidung des Europäischen Gerichtshofs ernst. Wir empfehlen unseren Mandanten, die Ausgestaltung ihrer Einwilligungs-Banner (erneut) zu überprüfen. Nach unserer Erfahrung warten viele Website-Betreiber damit, bis es zu spät ist und die Aufsichtsbehörde „vor dem Haus steht“.

Es nur sehr eingeschränkt möglich, die nötigen Nachbesserungen zur Einholung von wirksamen Einwilligungen erst während einer Überprüfung zu ergreifen: Bereits vor Versendung der Fragebögen waren die ausgewählten Websites durch die Aufsichtsbehörden technisch gesichert und analysiert worden. So war ein Abgleich der technischen Ausgestaltung vor und nach den Antworten der Website-Betreiber möglich.

Für eine rechtliche Überprüfung Ihrer Einwilligungspraxis sind wir gern für Sie da.