Consent Management: Abmahnfalle „Cookie-Banner“?

Geschrieben am

In der Folge der Entscheidung des Europäischen Gerichtshofs in Sachen „Planet49“ ist klar: Wer auf seiner Website Cookies setzt, muss dazu von seinen Website-Besuchern eine Einwilligung einholen. Davon ausgehend scheint sich jetzt eine „Abmahnfalle“ aufzutun.

Was ist passiert?

Wir sind kürzlich auf Abmahnungen in Bezug auf die Nutzung von Consent Management Plattformen (CMPs) gestoßen. Darin wurde die Ausgestaltung der Zustimmung und der entsprechenden Schaltflächen angegriffen.

Das abgemahnte Unternehmen bot beim Aufrufen der Website mit einer Schaltfläche „Akzeptieren“ die Zustimmung zur Verwendung von Cookies und ähnlichen Technologien an. Unter „Mehr Informationen“ konnten die Nutzer die Zustimmung ablehnen und Einstellungen verwalten.

Laut der Abmahnung verstieße dies schon gegen das Verbot des EuGH, vorangekreuzte Kästchen zu verwenden, da das Kästchen mit „Akzeptieren“ bereits „voreingestellt“ sei.

Was ist daraus zu folgern?

Ob solche Abmahnungen tatsächlich berechtigt sind, ist bislang nicht eindeutig geklärt.

Die Argumentation der Abmahner beruht auf der Kritik an der Praxis des so genannten Nudgings und dessen Auswirkung auf die Freiwilligkeit von Einwilligungen angelehnt sein. Mit Nudging wird eine unzulässige Einflussnahme auf die Entscheidung des Nutzers beschrieben. Dieser wird etwa durch die Gestaltung der Auswahlmöglichkeiten dahin geleitet, seine Zustimmung zu erteilen und die ablehnenden Alternativen nicht gleichwertig wahrzunehmen.

Die Landesbeauftragte für den Datenschutz in Niedersachsen (LfD NI) hat bekanntlich im November 2020 eine Handreichung zu „datenschutzkonformen Einwilligungen auf Webseiten“ veröffentlicht, wonach Nudging je nach konkreter Ausgestaltung zur Unwirksamkeit der eingeholten Einwilligungen führen kann:

  • Demnach müssen Website-Besucher bei der Abgabe ihrer Einwilligung über eine CMP eine echte Wahl haben und dürfen nicht in unzulässiger Weise beeinflusst werden. Eine unzulässige Einflussnahme kann beispielsweise darin liegen, dass die „Zustimmen“-Option im Vergleich zur „Ablehnen“-Option durch Farbe, Schriftschnitt und sonstige Hervorhebungen auffälliger gestaltet wird oder für das Ablehnen mehr Klicks erforderlich sind als für das Zustimmen.

Nachdem EuGH und BGH entschieden haben, dass vorangekreuzte Kästchen, die der Nutzung zur Verweigerung einer Einwilligung abwählen muss grundsätzlich keine Einwilligung darstellen, entschied das LG Rostock Ende letzten Jahres (Az. 3 O 762/19), dass auch eine entsprechende Gestaltung des Cookie-Banners wie vorangekreuzte Kästchen als unzulässig zu bewerten sein kann:

  • Sofern sämtliche Cookies vorausgewählt und etwa mit einer grün unterlegten Schaltfläche „Cookies zulassen“ aktiviert werden, sei dies wie die vom BGH entschiedene Konstellation der vorangekreuzten Kästchen zu bewerten. Der Nutzer würde regelmäßig den Aufwand des Abwählens scheuen und deshalb die Cookies bestätigen. Dies gelte jedenfalls, wenn der Nutzer keine echte Wahlmöglichkeit zum Ablehnen hat, etwa weil diese nicht als gleichwertige Schaltfläche zu erkennen sei.

Inwieweit das so genannte Nudging damit noch zulässig ist, lässt sich aktuell vor dem Hintergrund der gegenwärtigen Lage nicht abschließend bewerten. Eine höchstrichterliche Klärung bezogen auf die Darstellung eines Banners und der Schaltflächen sowie der damit verbundene Beurteilung des Nudgings steht noch aus. Zwar scheint es nicht zwingend, dass jede vergleichbare Konstellation mit bereits vorangekreuzten Kästchen gleichzusetzen ist. Aufgrund der Äußerungen von Behörden und nun zumindest auch erster Gerichte, die die Gestaltungsmöglichkeiten einschränken, dürften bestimmte Gestaltungen jedenfalls mit einem Risiko behaftet sein.

Auch aufgrund dieser Unklarheit wird von vielen Anbietern versucht, den bestehenden Rahmen weitestmöglich auszunutzen, um keine zu großen Nachteile bezüglich der Zustimmungsraten hinnehmen zu müssen.

Im Rahmen des geplanten neuem Gesetzes zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG, BT-Drs 19/27441) werden sogar Vorgaben wie eine „einfache Gestaltung beispielsweise mithilfe von nur zwei Buttons („Einwilligen“, „Ablehnen“)“ diskutiert, die somit in Zukunft(!) verpflichtend werden könnten.

Zu aktuell verwendeten Gestaltungen:

In aktuell häufig eingesetzten Gestaltungen könnte so z.B. kritisiert werden, dass der Nutzer keine freie Auswahl über die zuzulassenden Cookies trifft, sondern mit einem Klick auf „OK“ oder „einverstanden“ alle Cookies ohne deren Kenntnis zulässt bzw. sich erwartungsgemäß regelmäßig keine Kenntnis darüber verschafft. Dafür würde sprechen, dass er in der ersten Schicht der CMP auch keine direkte Abwahlmöglichkeit angeboten bekommt. Die Schaltfläche für die Einwilligung ist häufig deutlich gegenüber der Ablehnungsmöglichkeit hervorgehoben und besser als solche zu erkennen.

Zur weiteren Verringerung des damit verbundenen Risikos wäre zu empfehlen, dass

  1. neben den Schaltflächen „Zustimmung“ und „Einstellungen“ eine dritte Möglichkeit angeboten wird, mit einem Button, der z. B. „nur notwendige Cookies“ zulässt und eine Ablehnung der sonstigen Cookies mit einem Klick ermöglicht. (Der Nutzer sollte somit auf der ersten Ebene eine echte Wahl haben zwischen Zustimmen und Ablehnen),
  2. die Buttons in Farbe, Schriftschnitt gleichberechtigt nebeneinander stehen und leicht als Buttons/Auswahlmöglichkeiten zu erkennen sind und dass
  3. schon aus dem Informationstext stets eindeutig hervorgeht, wozu im Falle des Zustimmens die Einwilligung erteilt wird.

Dass noch darüber hinaus gehende Gestaltungen nötig sind, bei denen die Einwilligung für jeden Anbieter bzw. jedes Cookie einzeln angeklickt werden muss, erscheint zumindest praktisch kaum vorstellbar (wobei auch dies nach der Entscheidung des LG Rostock zumindest möglich wäre).

Insgesamt ist zu bedenken, dass aktuell die rechtliche Bewertung der Gestaltung von Cookie-Einwilligungen u.ä. noch im Fluss ist und vielmals sehr unterschiedlich ausfällt und dass es aktuell wegen unterschiedlicher Interpretationen der geltenden Gesetze und Rechtsprechung, noch keine vollständig sichere Lösung gibt. Darüber hinaus gelten natürlich die weiteren Hinweise zur Nutzung von Cookies und ähnlichen Technologien, auf die wir hier nicht gesondert eingehen.

Für Rückfragen oder konkrete Einschätzungen im Einzelfall stehen wir natürlich gern zur Verfügung.

Französische Datenschutzbehörde CNIL verhängt Rekord-Bußgelder gegen Google und Amazon wegen rechtswidriger Nutzung von Werbe-Cookies

Mit dem „Planet49“-Urteil des Europäisches Gerichtshofs wurde 2019 höchstrichterlich entschieden, dass die Verwendung von Werbe-Cookies die vorherige Zustimmung des Nutzers in Form einer aktiven Einwilligung erfordert. Die 7. Dezember ergangene Entscheidung der französischen Datenschutzbehörde CNIL gegen Google und Amazon gleicht einem Paukenschlag: Während Google und Google Ireland zusammen 100 Millionen Euro Strafe zahlen sollen, ist die Amazon-Tochter Europe Core mit einem Bußgeld in Höhe von 35 Millionen Euro belegt worden.

Sanktionierung der bisherigen Cookie-Praxis

Gegenüber Google erhebt die CNIL den Vorwurf, „ohne vorherige Zustimmung und ohne angemessene Information Werbe-Cookies auf den Computern von Nutzern der Suchmaschine google.fr platziert“ zu haben. Im Rahmen der durch die CNIL beanstandeten Praxis hatte Google bei dem Aufruf der Seite google.fr ein Banner mit der Überschrift „Rappel concernant les règles de confidentialité de Google“ („Erinnerung bezüglich der Datenschutzeinstellungen“) angezeigt. Die darauf befindlichen zwei Schaltflächen waren mit „Me le rappeler plus tard“ („Erinnere mich später“) und „Consulter maintenant“ („Jetzt zugreifen“) beschriftet.

Den Rechtsverstoß sieht die CNIL darin, dass dieser Banner den Nutzern keinen Hinweis auf das Setzen von Cookies erteilte, zumal bereits Werbe-Cookies bereits gesetzt wurden, sobald die Nutzer die Seite google.fr aufgerufen hatten. Selbst wenn die Nutzer sich entschieden hätten, die Schaltfläche „Consulter maintenant“ („Jetzt zugreifen“)aufzurufen, seien sie nicht ausreichend über die Cookies aufgeklärt worden. Den Nutzern habe so die Information gefehlt, wie sie dem Einsatz der Cookies widersprechen können.

Auch gegenüber der zum Amazon-Konzern gehörigen Europe Core wurde das automatische Setzen von Cookies ohne eine vorherige Zustimmung des Nutzers beanstandet.

Auch Anpassungen genügen nicht

Google hat die beschriebene Praxis seit der Einleitung des Bußgeldverfahren zwar angepasst. So ist der Cookie-Banner von Google seit September wie folgt gestaltet: Personen, die google.fr besuchen, sehen nun ein Popup in der Mitte ihres Bildschirms, bevor sie auf die Suchmaschine zugreifen können, das den Titel „Avant de continuer“ („Bevor Sie fortfahren“) trägt und übersetzt den folgenden Hinweis enthält:

Google verwendet Cookies und andere Daten, um seine Dienste und Anzeigen bereitzustellen, zu verwalten und zu verbessern. Wenn Sie zustimmen, werden wir die Inhalte und Anzeigen, die Sie sehen, auf der Grundlage Ihrer Aktivitäten in Google-Diensten wie Suche, Karten und YouTube anpassen. Einige unserer Partner werten auch aus, wie unsere Dienste genutzt werden. Klicken Sie auf Weitere Informationen“, um mehr über Ihre Möglichkeiten zu erfahren, oder besuchen Sie jederzeit die Seite g.co/privacytools, wo Cookies, Partner und g.co/privacytools anklickbare Links sind.

Am unteren Rand des Popups befinden sich zwei Schaltflächen mit den Beschriftungen „Plus d’information“ („Mehr Informationen“) und „J’accepte“ („Ich akzeptiere“).

Auch wenn die CNIL diesen neuen Hinweis über die Nutzung von Werbe-Cookies als unbestreitbaren Fortschritt zur früheren Praxis wertet, sind die Informationen aus Sicht der Datenschützer nach wie vor nicht geeignet, den Nutzer über alle Zwecke der hinterlegten Cookes und die Möglichkeit des Widerspruchs aufzuklären. Google und Google Ireland wurde deshalb eine Dreimonatsfrist zur erneuten Anpassung gesetzt, um weitere Strafzahlungen zu vermeiden.

Ein ähnliches Ultimatum stellt die CNIL an Europe Core, denn auch bei der Amazon-Tochter wird ein bereits überarbeitetes Informationsbanner noch nicht als Lösung des Problems gesehen.

Website-Betreiber sollten die Ausgestaltung ihrer Cookies-Banner überprüfen

In Anbetracht des drastischen Vorgehens der französischen Datenschützer ist beim Einsatz von Werbe-Cookies ein besonderes Augenmerk auf die rechtskonforme Ausgestaltung der Einwilligung und der dazu erforderlichen Information der Nutzer zu legen. Die Landesbeauftragte für den Datenschutz Niedersachsen hat dazu eine Handreichung erstellt, mit deren Hilfe die korrekte Cookie-Einwilligung auf Webseiten erleichtert werden soll. Diese ist als erste Orientierung für die Überprüfung der Datenschutzkonformität durchaus geeignet.

Danach sind kurz zusammengefasst insbesondere folgende Punkte für die Beurteilung der Wirksamkeit der Abgabe einer Einwilligung im Zusammenhang mit der Verwendung von Cookies von Bedeutung:

  1. Cookie-Einsatz erst nach erteilter Einwilligung
    Vor dem Setzen nicht notwendiger Cookies muss eine Einwilligungeingeholt werden.
  2. Informiertheit der Einwilligung
    Im Rahmen der Einwilligungsabfrage müssen die Nutzer mit den erforderlichen Informationen ausgestattet werden, insbesondere hinsichtlich der Identität des Verantwortlichen, der Verarbeitungszwecke, der verarbeiteten Daten und über das Bestehen eines Widerrufsrechts.
  3. Eindeutige und freiwillige Einwilligung
    Die Abgabe der Einwilligung bedarf einer eindeutigen bestätigenden Handlung. Die Nutzer müssen die Einwilligung auch verweigern können.
  4. Keine unzulässige Einflussnahme auf die Nutzerentscheidung
    Die Verweigerung der Einwilligung darf nicht unnötig kompliziert sein („Nudging“). Unzulässig sind auch Ansätze, die darauf abzielen, Nutzer, nachdem sie die Einwilligung abgelehnt haben, wiederholt nach dieser zu fragen, um diese „mürbe“ zu machen. 
  5. Widerruflichkeit der Einwilligung
    Der Widerruf der Einwilligung muss auf demselben Weg und so einfach wie die Erteilung der Einwilligung möglich sein.

Gern unterstützen wir Sie bei der Prüfung Ihrer Cookie-Nutzung und einer gegebenenfalls nötigen Überarbeitung Ihrer Plattform.

Frankreich: neue Orientierungshilfe zum Online-Tracking veröffentlicht

Die französische Datenschutzaufsichtsbehörde CNIL hat Anfang des Monats unter dem Titel „Cookies und andere Tracker“ zwei Papiere verabschiedet, in denen sie ihre Sichtweise zur Frage der Einwilligung beim Online-Tracking darlegt. Beim ersten der beiden Dokumente handelt es sich um „Leitlinien“, also in etwa um eine „Orientierungshilfe“ in der Sprache der deutschen Datenschutzkonferenz, das zweite Papier beinhaltet dagegen praktische Umsetzungsempfehlungen für Publisher, die prinzipiell keinen rechtlichen Gehalt haben.

Einwilligung auch beim Fingerprinting und im Mobile Tracking erforderlich

In Deutschland ist nach wie vor nicht geklärt, ob nach dem „Planet49“-Urteil des Europäischen Gerichtshofs das Erfordernis einer Einwilligung nach Art. 5 Abs. 3 der ePrivacy-Richtlinie nur für Cookies oder auch für „cookieless“-Technologien wie Fingerprinting und Mobile Tracking gilt. Denn bei diesen Technologien erfolgt im Vergleich zum Tracking mit Cookies kein Zugriff auf Daten im Endgerät des Nutzers, sondern es werden lediglich Informationen genutzt, die das Endgerät ohnehin an den Server des Publishers überträgt. Ohne weitere Diskussion folgt die CNIL in ihrem Papier derjenigen Ansicht, die für alle Tracking-Technologien eine Einwilligung für erforderlich hält – wohl dem ursprünglichen Ansinnen des Gesetzgebers aus dem Jahr 2009 entsprechend, „technologieneutrale“ Regeln aufzustellen. Es bleibt abzuwarten, ob diese Position auch in Deutschland Schule macht.

Cookie Walls: die CNIL bleibt skeptisch

Obwohl das höchste französische Verwaltungsgericht, der Conseil d’État, das von der CNIL ursprünglich erlassene Verbot von Cookie Walls aufgehoben hatte, bleibt die Behörde in ihrer neuen Verlautbarung skeptisch: Consent-Management-Plattformen (CMPs), die Nutzern den Zugriff zu verweigern, wenn sie keine Einwilligung abgeben, führen für die CNIL zumindest „in bestimmten Fällen“ zur „Beeinträchtigung der Freiwilligkeit“ – und damit zur Unwirksamkeit – der Einwilligung. In Deutschland sind Cookie Walls bereits weit verbreitet, unseres Wissens auch mit dem Segen der hiesigen Aufsichtsbehörden. Auch die CNIL wird sich dieser Entwicklung nicht versperren können, zumal ihr bei diesem Thema nunmehr gerichtlich die Hände gebunden sind.

In ähnlicher Form findet sich die Problematik an anderer Stelle des Papiers erneut wieder: Die CNIL fordert, dass Publisher es (wie in der „Second Layer“ der CMP nach dem TCF 2.0 vorgesehen) Nutzern ermöglichen müssen, ihre Einwilligung in Bezug auf einzelne Verarbeitungszwecke oder eingesetzte Dienste zu beschränken oder diese auszuschließen.

Transparenzpflichten

Hinsichtlich der Transparenzpflichten des Publishers beim Einsatz von Tracking-Technologien macht die Stellungnahme der CNIL zunächst den erfreulichen Eindruck, als folge man im Wesentlichen der Linie des TCF 2.0. Problematisch ist jedoch, dass eine vollständige Liste aller Verantwortlichen gefordert wird, die einwilligungspflichtige Tracker verwenden. Dies stellt ein Problem für Publisher dar, die Nutzerdaten für die Weitergabe an Dritte erheben (Data Broker oder Data Enrichment genannt). Hier kann der Publisher unmöglich wissen, wer die Daten letzten Endes erhält und nutzt. Die CNIL stellt hier also eine Bedingung auf, die für einen großen Teil der Branche praktisch nicht umsetzbar ist. Auch in Deutschland tritt dieses Problem auf – und wird auch vom TCF 2.0 nicht zufriedenstellend gelöst.

Publisher und Dienstleister als Joint Controller

Ohne konkret zu werden, bläst auch die CNIL in das bei allen Aufsichtsbehörden so beliebte Horn der gemeinsamen Verantwortlichkeit: Nach dem „Fashion-ID“-Urteil des Europäischen Gerichtshofs sind Publisher beim Einsatz von Tracking-Skripten wie dem Facebook-Pixel zumindest für den Vorgang der Datenerhebung gemeinsam verantwortlich, was den Abschluss einer gesonderten Vereinbarung erforderlich macht und entsprechende Transparenzpflichten auslöst.

Kein Einwilligungserfordernis für Analytics

Die erfreulichste Nachricht der CNIL findet sich ganz am Ende ihres Papiers: Für den Einsatz von Analytics-Diensten benötige man keine Einwilligung – auch dann nicht, wenn dazu Cookies gesetzt werden. Zu diesem Ergebnis kommt die Behörde über eine kreative Auslegung einer Ausnahmevorschrift der ePrivacy-Richtlinie: Der Einsatz von Webanalyse-Diensten sei für die Arbeit der Publisher in den Augen der CNIL „unbedingt erforderlich“. Dies gilt jedoch nicht, wenn die dabei erhobenen Daten für über die strikte Messung der Besucherzahlen hinaus gehende Zwecke genutzt werden – dann braucht es doch wieder eine Einwilligung.

Wird die „alles ablehnen“-Schaltfläche Pflicht?

Die CNIL wird nicht müde, es zu betonen: Für den Nutzer muss die Verweigerung der Einwilligung genauso einfach sein wie ihre Erteilung. Sie empfiehlt(!) daher, Nutzern bereits in der so genannten First Layer der CMP die Möglichkeit zu geben, mit einem Klick alle Cookies abzulehnen. Anders ausgedrückt: Die CNIL wünscht sich, dass Publisher unmittelbar neben der Schaltfläche “alle Cookies akzeptieren” auch direkt einen Button „alle Cookies ablehnen“ anzuzeigen – und ihn nicht in der Second Layer über die Schaltfläche „Einstellungen“ zu verstecken:

So wünscht es sich die CNIL: Direkt neben der Schaltfläche „alles akzeptieren“ bietet die CMP einen „alle ablehnen“-Button.

Geltungsdauer der Einwilligung

Hinsichtlich der Geltungsdauer der Einwilligung sieht es die CNIL schließlich als „gute Praxis“, die Abgabe oder Verweigerung der Einwilligung sechs Monate lang zu speichern. Aus Sicht der Publisher ist diese Äußerung als praktischer Anhaltspunkt einerseits erfreulich, andererseits wäre hier mehr Flexibilität wünschenswert: Die CNIL möchte aber verhindern, dass die CMP bei jedem Besuch einer Website erneut angezeigt wird und Nutzer so zur Einwilligung gedrängt werden.

Fazit

Es ist zu begrüßen, dass die CNIL – gerade im Vergleich zu den deutschen Aufsichtsbehörden – ihre Auslegung der gesetzlichen Anforderungen auf diese Weise klarstellt und sich darum bemüht, praktische Hinweise zu ihrer Umsetzung zu geben. Es ist gut möglich, dass die in den beiden Papieren vertretenen Ansichten auch hierzulande Schule machen. Um so mehr ist es wichtig, dass sich auch die deutsche Onlinemarketing-Branche mit ihnen auseinandersetzt und frühzeitig den Austausch mit den Aufsichtsbehörden sucht – und im Zuge der geplanten Novelle des deutschen Telemediengesetzes durch das „Telekommunikations-Telemedien-Datenschutz-Gesetz“ („TTDSG“) auch mit dem Gesetzgeber. Dabei lohnt es sich auch, Haltung zu zeigen und nicht jede veröffentlichte Auslegung einfach hinzunehmen. Das beste Beispiel dafür ist die erfolgreiche Klage gegen das französische Verbot von Cookie-Walls. Besonders spannend wird dabei sein, welche CMP-Gestaltungen zukünftig von den Behörden und letztlich von den Gerichten akzeptiert werden – wir beraten Sie dazu gern.

„Schrems II“: Der Europäische Gerichtshof kippt das „Privacy Shield“-Abkommen – sind damit bald sämtliche Datentransfers in die USA tabu?

Geschrieben am

Am vergangenen Donnerstag entschied der Europäische Gerichtshof, dass das „Privacy Shield“-Abkommen zwischen der Europäischen Union und den USA nicht weiter zur Privilegierung von Datentransfers in die USA herangezogen werden darf. Wir möchten die kurz- und mittelfristigen Folgen für Unternehmen in der EU und in den USA kurz zusammenfassen und auch einen Blick auf Datentransfers in andere Nicht-EU-Staaten werfen.

Internationale Datentransfers nach der DSGVO

Zunächst allgemein zu den Voraussetzungen des internationalen Datentransfers: Wann immer Daten aus der EU an einen Empfänger in einem Drittland versendet werden sollen, hängt die Rechtmäßigkeit dieses Transfers von zwei Fragen ab (auch „Zwei-Stufen-Modell“ genannt).

  • Auf der ersten Stufe bedarf die Übertragung an einen Dritten als Datenverarbeitungsvorgang natürlich immer einer Rechtsgrundlage nach Art. 6 DSGVO. (Dies wird häufig beim Drittlandstransfer übersehen, wenn man nur auf die zweite Stufe schaut.)
  • Auf der zweiten Stufe stellt sich die Frage, ob eine „Datenübermittlung in ein Drittland“ nach Art. 44 S. 1 DSGVO vorliegt und wenn ja, ob diese nach den Vorschriften des 5. Kapitels der DSGVO gerechtfertigt ist. Der Gedanke dabei ist, dass das Schutzniveau der Daten durch den Transfer ins Drittland nicht gegenüber dem Schutzniveau in der EU absinken darf. Um dies sicherzustellen, sieht das 5. Kapitel der DSGVO im Wesentlichen drei Mechanismen vor, wie eine solche Absicherung erfolgen kann: Entweder durch einen Angemessenheitsbeschlusses der EU-Kommission nach Art. 45 DSGVO, durch geeignete Garantien gem. Art. 46 DSGVO oder aufgrund einer Ausnahme nach Art. 49 DSGVO.

Das EU-US Privacy Shield

Beim Privacy Shield handelt es sich um eine Vereinbarung zwischen den USA und der EU, die verschiedene Zusicherungen der USA für EU-Bürger beinhaltet. Aufgrund dieser Absprache fasste die EU-Kommission einen Angemessenheitsbeschluss (2016/1250) nach Art. 45 DSGVO in Bezug auf diejenigen Unternehmen, die unter dem Privacy Shield zertifiziert waren.

Mit seiner heutigen Entscheidung im Vorabentscheidungsverfahren hat der EuGH festgestellt, dass dieser konkrete Angemessenheitsbeschluss ungültig ist. Das hat unmittelbar zur Folge, das Datentransfers in die USA auf der zweiten Stufe nicht mehr auf das Privacy Shield gestützt werden können.

Als Argument führt der EuGH an, dass in diesem Beschluss (ebenso wie schon in der Entscheidung zum Vorgängerprogramm „Safe Harbour“) den Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses und der Einhaltung des amerikanischen Rechts Vorrang eingeräumt wird, was zu nicht gerechtfertigten Grundrechtseingriffen für EU-Bürger führt. Insbesondere da die amerikanischen Rechtsvorschriften staatliche Überwachung in einem aus EU-Sicht unverhältnismäßigen Ausmaß erlauben, haben die USA auch unter Berücksichtigung des Privacy Shield kein der EU vergleichbares Datenschutzniveau. Darüber hinaus stellt auch die Einrichtung einer Datenschutzombudsperson keine Maßnahme dar, mit der EU-Bürgern ein effektiver Rechtsschutz gegenüber US-Behörden und -Gerichten gewährt wird.

Zukunft der Standarddatenschutzklauseln

Jetzt wo das Privacy Shield als Absicherungsmechanismus ausscheidet, stellt sich natürlich die Frage, wie ein Datentransfer in die USA stattdessen abgesichert werden kann. Der erste Blick geht dann auf das wichtigste Werkzeug für den internationalen Datentransfer, die Standarddatenschutzklauseln (SCC, auch „model clauses“) nach Art. 46 Abs. 2 lit. c DSGVO. Der EuGH hat sich in seiner heutigen Entscheidung auch mit den SCC auseinandergesetzt und (glücklicherweise) festgestellt, dass diese zumindest für sich genommen mit der Charta der Grundrechte der EU vereinbar sind und weiterhin gültig bleiben.

Allerdings hat der EuGH auch deutlich gemacht, dass mit den SCC nicht jeder Transfer in ein beliebiges Drittland abgesichert werden kann. Vielmehr können die SCC nur dann eingesetzt werden, wenn der Datenexporteur und der Empfänger im Drittland gewährleisten, dass die Regelungen der SCC in diesem Drittland auch eingehalten werden können. Können die SCC dagegen nicht eingehalten werden, müssen die beteiligten Parteien den Datentransfer beenden. Letztlich läuft es also auf die Frage hinaus, ob es im Drittland rechtliche Möglichkeiten für (staatliche) Institutionen gibt, einen umfangreichen Zugriff auf die Daten zu erhalten, der die Datenschutzgrundsätze der EU untergräbt.

Für die USA hat der EuGH mit dieser Entscheidung im Grunde schon vorgegeben, dass die rechtlichen Rahmenbedingungen dort das Einhalten der SCC aufgrund der Überwachungsgesetze eigentlich unmöglich machen. Damit im Zusammenhang steht der Auftrag an die Aufsichtsbehörden in den Rz. 106-121 der Entscheidung, dass diese den Datentransfer aufgrund von SCC zu unterbinden haben, wenn sich herausstellt, dass die Klauseln im Empfängerland nicht eingehalten werden können.

Fazit

Nach der EuGH-Entscheidung kann ein Datentransfer in die USA nicht mehr auf Basis des Privacy Shields erfolgen. Stattdessen werden viele jetzt wohl auf die SCC zurückgreifen (wenn nicht ohnehin schon SCC vereinbart wurden), da diese verhältnismäßig schnell neu abgeschlossen werden können. Allerdings ist absehbar, dass ein Transfer auf Basis der SCC im Grunde auch nicht haltbar ist und von den europäischen Datenschutzbehörden höchstwahrscheinlich bald untersagt werden wird, da die Einhaltung der damit vertraglich zugesicherten Datenschutzstandards in den USA nicht möglich ist. Der deutsche Bundesdatenschutzbeauftragte lässt in einer ersten Pressemitteilung schon erkennen, dass die Behörden hier offenbar schnell handeln wollen, ebenso verstehen wir die Pressemitteilung der Berliner Datenschutzbeauftragten.

Für Unternehmen beiderseits des Atlantiks bedeutet dies selbstverständlich eine wenig zufriedenstellende Situation. Als letzter Ausweg weist der EuGH in Rz. 202 der Entscheidung darauf hin, dass ein „rechtliches Vakuum“ durch die Anwendung der Ausnahmetatbestände in Art. 49 DSGVO verhindert werden könnte. In Art. 49 DSGVO sind Ausnahmen für den Fall geregelt, dass ein Datentransfer nicht auf einen Angemessenheitsbeschluss nach Art. 45 oder geeignete Garantien nach Art. 46 DSGVO gestützt werden kann. Grundsätzlich werden diese Ausnahmeregelungen jedoch restriktiv ausgelegt – sie sollen gerade nicht massenhaft zur Umgehung des europäischen Datenschutzniveaus eingesetzt werden. Es handelt sich um Lösungen für sehr spezifische Einzelfälle, immer wieder genannt wird zum Beispiel die Buchung einer Reise bei einem ausländischen Reiseveranstalter. Wir empfehlen daher folgendes Vorgehen: Bis auf Weiteres sollten als erste Maßnahme bei allen internationalen Datentransfers in die USA, die derzeit allein vom Privacy Shield gesichert werden, stattdessen die Standardvertragsklauseln eingesetzt werden, um zumindest einen gesetzlich vorgesehenen Sicherungsmechanismus implementiert zu haben. Parallel dazu sollte geprüft werden, ob der jeweilige Datentransfer auf eine Ausnahme nach Art. 49 DSGVO gestützt werden kann oder ob die Datenverarbeitung insgesamt nach Europa verlagert wird, sofern möglich. Derzeit gehen wir nämlich davon aus, dass mit denselben Argumenten wie im heute verkündeten Urteil auch Datentransfers in die USA (und auch in andere Staaten wie zum Beispiel China) auf der Grundlage der Standarddatenschutzklauseln gekippt werden könnten.

„Voice Branding“ – Product Placement via Sprachassistent?

Sprachassistenten – sei es in Form von intelligenten Lautsprechern wie „Google Home“ oder „Amazon Echo“ im Wohnzimmer, „Siri“ auf dem Smartphone oder „Cortana“ auf dem PC – sind immer weiter verbreitet. Auch die Werbung hat diesen neuen Kanal längst für sich entdeckt und experimentiert mit neuen Formen für intelligente Markenbotschaften. Dabei stellt sich natürlich die Frage, wie diese rechtlich zu bewerten sind.

Ein Amazon Echo Spot (Foto: Zebonaut, CC BY-SA 4.0)

Neuer Kanal, alte Fragen

Aus juristischer Sicht stellen sich im neuen Kanal der Sprachassistenten die altbekannten Fragen des Werberechts:

  • Wie sind die Informationspflichten aus dem Verbraucherschutz umzusetzen?
  • Wie kennzeichnet man Werbung korrekt und im Einklang mit den geltenden Vorgaben des Medienrechts?
  • Und was ist mit den Nutzerdaten, die es DSGVO-konform zu erheben und zu nutzen gilt?

Formen des Voice Branding

Relativ verbreitet sind insbesondere im Bereich intelligenter Lautsprecher so genannte „Branded Skills“: Der Nutzer kann hier wie eine Handy-App zum Beispiel eine Funktionalität seines Lieblings-Radiosenders installieren oder die Inhalte einer Content-Plattform leichter zugänglich machen. Dadurch reagiert der Sprachassistent auf bestimmte Befehle nicht mehr neutral, sondern „branded“, antwortet also mit der Stimme des Skill-Anbieters. Rechtlich besonders spannend sind andere Formen des „Voice Branding“, die darüber hinausgehen und sich in den Bereich der echten Produktplatzierung bewegen.

Das Thema wird bereits seit 2017 diskutiert, als ein Test des intelligenten Lautsprechers „Google Home“ mit nicht gekennzeichneter Werbung für die Neuverfilmung von „Die Schöne und das Biest“ die Runde machte. Dort spielte das Gerät unverhofft einen kurzen Werbeclip zum Kinostart ab, wenn der Nutzer das Gerät nach den Neuigkeiten des Tages fragte:

Rechtliche Grenzen des Voice Branding

Im Bereich des Wettbewerbsrechts sind insbesondere die Kennzeichnungspflichten ein Problem: Wie kann man ohne visuelle Hilfen wie „Sternchenangaben“ und „Kleingedrucktes“ die gesetzlich vorgegebenen Mindestangaben machen und redaktionelle Inhalte (also normale Suchergebnisse und objektive Empfehlungen) von „sponsored content“ trennen?

Medienrechtlich waren Sprachassistenten selbst bislang nicht als Presse und auch nicht als Rundfunk einzuordnen – der neue Medienstaatsvertrag möchte jedoch diese Grenze verschieben und die Vorgaben des bisherigen Rundfunkstaatsvertrags auch auf Sprachassistenten als „Benutzeroberflächen“ anwendbar machen. Die Regeln des Telemedienrechts gelten daneben sowieso.

Insbesondere muss Werbung medienrechtlich auch per Sprachassistenten erkennbar sein. Aufgrund der Neuartigkeit des Mediums ist davon auszugehen, dass die Aufsichtsbehörden und auch die Gerichte hier zunächst eher streng herangehen werden. Insbesondere das oben erwähnte Beispiel des Disney-Spots hätte auf jeden Fall recht deutlich gekennzeichnet werden müssen.

Die umfassenden verbraucherschutzrechtlichen Informationspflichten müssen ebenfalls eingehalten werden, auch wenn das im neuen Medium der Sprachassistenten insbesondere beim Abschluss von Verträgen sehr schwierig ist. Das kann unter Umständen dazu führen, dass der Sprachassistent eine ganze Menge an Informationen „abspulen“ muss, so wie man es zum Beispiel aus der Radiowerbung für Pharmazeutika kennt.

Datenschutzrechtlich stellt sich die Frage nach der Rechtsgrundlage für die Verarbeitung von Nutzerprofilen zu Werbezwecken. Hier ist zu beachten, dass die derzeit viel diskutierte „Planet49“-Rechtsprechung nicht greift, da keine Cookies gespeichert werden, sondern das Tracking auf der Grundlage einer Geräte-ID erfolgt. Das bedeutet, dass die Frage allein nach der Datenschutzgrundverordnung zu entscheiden ist und eine Verarbeitung auf der Grundlage berechtigter Interessen des Werbetreibenden (Art. 6 Abs. 1 lit. f DSGVO) in Frage kommt.

Wettbewerbsrechtich müssen die Anbieter von Sprachassistenten schließlich allen Werbetreibenden einen neutralen Zugang zu ihrer Plattform gewähren.

Fazit

Die rechtlichen Probleme sind hinlänglich bekannt – wie sie jedoch praktisch umgesetzt werden können, ohne den Nutzer nicht zu vergraulen, ist bislang offen. Abzwarten ist auch die weitere Entwicklung hinsichtlich des Medienstaatsvertrags, der immer noch nicht ratifiziert ist, und der weiterhin nur als Entwurf vorliegenden ePrivacy-Verordnung. Auch in technischer Hinsicht wird sich hier sicher noch viel verändern und zusätzlich zu den hier diskutierten Möglichkeiten sind sicherlich weitere neue Werbeformen denkbar.