Die Diskussion um die rechtlichen Anforderungen an „Cookie-Einwilligungen“ geht weiter: Am 11. Januar hat die belgische Datenschutzaufsichtsbehörde APD nun die Entscheidung veröffentlicht, dass sie den „action plan“ des Branchenverbands der Online-Werbebranche, IAB Europe, in Bezug auf den TCF 2.0-Standard „akzeptieren“ wird.

Was bedeutet die Entscheidung für Unternehmen aus der Online-Werbebranche?

Es geht um die Frage, ob der mittlerweile auf den meisten Websites genutzte Branchenstandard TCF 2.0 rechtswirksam für die Einholung von Einwilligung für die Nutzung von Cookies und Nutzerdaten zu Werbezwecken genutzt werden kann. Aus Belgien waren daran zuletzt grundsätzliche Zweifel zu hören:

Die Erstellung eines „action plan“ war eine Auflage der Entscheidung der APD vom 2. Februar 2022 an IAB Europe, neben der Zahlung eines Bußgelds das TCF 2.0 mit ihrer Auslegung der DSGVO in Einklang zu bringen (wir hatten berichtet).

Der am 1. April 2022 von IAB Europe bei der APD eingereichte „action plan“ zur Anpassung der TCF Policies an die Entscheidung der APD wurde bislang vom IAB Europe (bewusst) nicht veröffentlicht.

Gleichzeitig zur Erstellung des „action plan“ war das IAB Europe nämlich gegen die Entscheidung der APD vor das zuständige Gericht in Belgien gezogen, welches wiederum bestimmte Rechtsfragen dem EuGH zur Vorabentscheidung vorgelegt hat. Streitig ist hier, (1) ob das IAB Europe bei der Verarbeitung der Nutzerdaten tatsächlich gemeinsamer Verantwortlicher ist (unsere Meinung: nein) und (2) ob das TCF-Signal (auch „consent string“) ein personenbezogenes Datum darstellt (unsere Meinung: zusammen mit einer Nutzer-ID ja, sonst nein). Dieses Verfahren läuft zunächst weiter.

Mit der Entscheidung, den „action plan“ von IAB Europe zu „akzeptieren“, macht die APD den Weg dafür frei, dass das TCF in überarbeiteter Form von der Branche weiterhin zum Einholen von Nutzer-Einwilligungen zur Verarbeitung von personenbezogenen Daten in der Online-Werbung genutzt werden kann. Andere europäische Aufsichtsbehörden waren an dieser Entscheidung jedoch nicht beteiligt und sie ist weder für diese noch für die Gerichte bindend.

IAB Europe soll den „action plan“ nun binnen sechs Monaten umsetzen. Aus dem TCF 2.0 würde dann ein „TCF 2.1“.

Weder die APD noch IAB Europe haben bislang den Inhalt des „action plan“ veröffentlicht, um das parallel weiter laufende Gerichtsverfahren nicht zu beeinflussen. Es ist unklar, ob IAB Europe die Klage nun möglicherweise zurücknimmt, wenn es mit dem „action plan“ zufrieden ist.

Erst mit dieser Umsetzung, also der Veröffentlichung einer neuen Fassung der komplexen TCF Policies, die dem TCF-Standard zu Grunde liegen, ändern sich die Anforderungen für an das TCF angeschlossene Publisher und Vendoren.

Es kann aber auch sein, dass der „action plan“ nie umgesetzt wird, wenn die Klage des IAB Europe gegen die ursprüngliche Entscheidung der APD Erfolg hat.

Damit ist zu hoffen, dass die Rechtsunsicherheit hinsichtlich der DSGVO-Konformität bei Einhaltung des TCF 2.0 endlich abnimmt. Insbesondere die Frage, ob ein Nutzer über eine TCF-CMP angesichts der Masse an Beteiligten und der gleichzeitig sowohl vagen als auch überbordenden Informationen überhaupt eine wirksame Einwilligung abgeben kann, ist weiterhin offen – das Landgericht München I hat sie kürzlich in Sachen focus.de verneint (wir berichteten).

Bis dahin sollten Unternehmen sich bemühen, den aktuell geltenden Branchenstandard so gut wie möglich einzuhalten – wir beraten unsere Mandanten dazu laufend.

Cookie-Banner – ein Dauerbrenner im Datenschutz

Cookie-Banner sind im Internet allgegenwärtig: Fast jede Website fragt ihre Besucher nach einer Einwilligung für die Nutzung von Tracking-Cookies und die Verarbeitung von personenbezogenen Nutzerdaten zu Werbezwecken. An diese Einwilligung stellen DSGVO und TTDSG hohe Anforderungen. Aufgrund ihrer Verbreitung und datenschutzrechtlichen Relevanz überrascht es daher nicht, dass Cookie-Banner regelmäßig im Fokus der Aufsichtsbehörden stehen, was etwa die länderübergreifende und koordinierte Prüfung von Websites reichweitenstarker Verlage vor zwei Jahren zeigt (wir berichteten).

Ein immer wiederkehrendes Thema ist die rechtskonforme Gestaltung von Cookie-Bannern, denn diese beeinflusst, ob eine Einwilligung wirksame eingeholt wird oder eben nicht. Insbesondere wird geprüft, ob das Cookie-Banner es dem Besucher erlaubt, eine informierte und freiwillige Entscheidung in Bezug auf das Setzen von Cookies oder der Verarbeitung seiner Daten zu treffen. Die Aufsichtsbehörden haben dazu Vorgaben gemacht. Erst kürzlich konkretisierte die deutsche Datenschutzkonferenz diese Vorgaben in der aktualisierten Orientierungshilfe für Telemedienanbieter.

Landgericht München I: keine wirksamen Einwilligungen über das Cookie-Banner auf „Focus Online“

Wie ein Cookie-Banner nicht auszusehen hat, zeigt kürzliches, noch unveröffentlichtes Urteil des Landgericht München I (Az. 33 O 14776/19) gegen den Betreiber von Focus Online. Geklagt hatte der Verbraucherzentrale Bundesverband, welcher auch gegen vier weitere Verlagshäuser Klage erhoben hat.

In seiner Entscheidung führt das Landgericht München I aus, dass das im Zeitpunkt der Klageerhebung 2019 eingesetzte Cookie-Banner auf Focus Online nicht dafür geeignet war, informierte und freiwillige Einwilligungen der Nutzer einzuholen. Die zwei wesentlichen Kritikpunkte:

1. zu viele (!) Informationen: Das Urteil enthält 141 (!) Seiten mit Screenshots der Cookie-Banner zum entscheidungserheblichen Zeitpunkt 2019. Eine solche Fülle an Informationen kann aus Sicht des Gerichts von einem durchschnittlichen Besucher vernünftigerweise nicht erfasst werden.
2. Aufwand der Ablehnung zu hoch (keine „alles ablehnen“-Schaltfläche): Der Betreiber hatte sich damit verteidigt, dass das Gesetz nicht ausdrücklich vorsieht, dass Besucher bereits auf der ersten Ebene eines Cookie-Banners alle Datenverarbeitungen mit einem Klick ablehnen können und sich stattdessen an die „Zweistufigkeit“ von Bannern gewöhnt hätten. Das Gericht entschied, dass es beim Banner auf Focus-Online zu viel Zeit des Besuchers in Anspruch nahm, die Einwilligung zu verweigern.

Kein Berufen auf „berechtigte Interessen“ für Analyse- und Werbezwecke

Des Weiteren äußerte sich das Landgericht München zu der Frage, ob das Tracking des Nutzerverhaltens zu Analyse- und Werbezwecken (alternativ) auf berechtigte Interessen gestützt werden kann – und damit gar keine Einwilligung erforderlich ist. Dies lehnte das Gericht jedoch ab. Das Finanzierungsinteresse journalistischer Inhalte, wie es der Betreiber vorgetragen hatte, reicht dafür nicht aus.

Ebenso entschied das Gericht, dass die Cookies, welche für ein derartiges Tracking verwendet werden, nicht als für den Betrieb der Website „unbedingt erforderlich“ eingestuft werden können – sie bedürfen daher der Einwilligung.

Auswirkungen des Urteils: Cookie-Banner auf Focus Online basiert auf dem TCF-Standard

Zu erwähnen ist schließlich, dass das Cookie-Banner von Focus Online auf dem weit verbreiteten Transparency and Consent Framework (TCF) der Branchenorganisation IAB Europe basiert. Dieser war von der zuständigen belgischen Datenschutzbehörde erst im Frühjahr dieses Jahres für unzulässig erklärt worden (wir berichteten).

Bezeichnend für das TCF ist unter anderem, dass mit einem Klick die Zustimmung eines Besuchers für dutzende oder teils mehr als hundert Werbedienstleister erhoben wird – was wohl in vorliegendem Urteil auch erklärt, weshalb das Cookie-Banner von Focus Online einen solch großen Informationsumfang hatte. Genau das sah das Gericht aber als problematisch an.

Ausblick

Zentral für die Gestaltung eines rechtskonformen Cookie-Banners bleibt die Einhaltung der Anforderungen an die Einwilligung nach DSGVO und TTDSG. Werden diese Anforderungen nicht erfüllt, kann insbesondere im Bereich des Besuchertrackings oder der personalisierten Werbung nicht auf berechtigte Interessen zurückgegriffen werden.

Der Betreiber hat bereits angekündigt, gegen das Urteil Rechtsmittel einzulegen. Bis zu einer rechtskräftigen Entscheidung bleibt die Erkenntnis, dass die eigene Datenschutz-Compliance auch das Thema Cookie-Banner nicht vernachlässigen sollte. So werden nach den großen Anbietern wie Google und Amazon zunehmend auch nationale Unternehmen von den Aufsichtsbehörden ins Auge gefasst.

Dies kann für Unternehmen mit einer Vielzahl an Datenverarbeitungsvorgängen auf der eigenen Website herausfordernd sein. Bedauerlicherweise helfen hierbei aber momentan Industriestandards wie das TCF nicht ab. Vielmehr zeigt das Urteil, dass das TCF in seiner jetzigen Beschaffenheit Datenschutz-Probleme eher schafft als löst. Jedenfalls kann mit der Nutzung des TCF nicht automatisch davon ausgegangen werden, dass man datenschutzkonform aufgestellt ist.

Bei Fragen zur Gestaltung Ihres Cookie-Banners, zum TCF und zu allen anderen datenschutzrelevanten Themen unterstützen wir Sie gern.