Die belgische Datenschutzbehörde kassiert das „Transparency & Consent Framework“ – wie geht es jetzt weiter?

Das Verfahren der belgischen Datenschutzbehörde APD gegen den Onlinemarketing-Branchenverband IAB Europe um das seit 2020 genutzte neue „Transparency & Consent Framework“ (TCF 2.0) ist um ein Kapitel reicher (wir berichteten): Anfang Februar hat die APD nach Anhörung der anderen europäischen Datenschutzbehörden Ihre Entscheidung zu den Untersuchungen gegen das IAB Europe veröffentlicht. Gegenstand dieses Verfahrens war die Frage der Konformität des TCF 2.0 mit der Datenschutzgrundverordnung. Dieser von der gesamten Onlinemarketing-Branche genutzte Standard soll es Unternehmen ermöglichen, Nutzerdaten im Internet unter anderem zu Werbezwecken datenschutzkonform zu erheben und zu nutzen.

Was ist das TCF 2.0?

Das TCF 2.0 standardisiert die Erfassung von Nutzerentscheidungen, die auf Websites und in Apps über eine Consent Management Platform (CMP, auch als „Cookie-Banner“ bezeichnet) abgefragt werden. Diese Nutzerentscheidungen werden kodiert und in einem „TC-String“ gespeichert, der an die beteiligten Unternehmen weitergegeben wird, damit diese wissen, inwieweit der Nutzer eine Einwilligung zur Verarbeitung seiner Daten zu bestimmten Zwecken gegeben beziehungsweise ob er dieser widersprochen hat.

Die CMP speichert dabei auch ein Cookie auf dem Gerät des Nutzers. Im Zusammenhang mit dem TC-String ist der Nutzer dadurch identifizierbar und seine Entscheidung kann von teilnehmenden Unternehmen berücksichtigt werden. Das TCF 2.0 spielt eine zentrale Rolle in der Architektur des heutigen Onlinemarketings, da es die Entscheidung der Nutzer in Bezug auf einzelne Anbieter und verschiedene Verarbeitungszwecke wie die Nutzung von individuellen Nutzerprofilen zu Werbezwecken zum Ausdruck bringt.

Was hat die belgische Aufsichtsbehörde entschieden?

Die jetzt vorliegende Entscheidung besagt, dass das IAB Europe bei der Bereitstellung des TCF 2.0 in mehrfacher hinsicht gegen die DSGVO verstößt, was grundsätzliche Fragen für die weitere Entwicklung des Onlinemarketings in Europa aufwirft.

Zunächst stellte die APD als Ausgangspunkt fest, dass das IAB Europe in Bezug auf die Erfassung der Einwilligungen und Widersprüche der Nutzer durch den TC-String als für die Verarbeitung gemeinsamer Verantwortlicher (joint controller) anzusehen ist – gerade dieser Punkt der Entscheidung ist übrigens in höchstem Maße zweifelhaft. Davon ausgehend soll das TCF 2.0 in folgender Weise gegen die DSGVO verstoßen:

  1. unwirksame Einwilligungen, kein ausreichendes berechtigtes Interesse: Das TCF 2.0 hole zum einen keine wirksamen Einwilligungen ein und berufe sich daneben auf ein berechtigtes Interesse, das aufgrund des hohen Risikos, das von Tracking-basierter „Real-Time Bidding“-Werbung ausgehe, nicht zulässig sei. Hier überwögen die berechtigten Interessen der Betroffenen.
  2. mangelnde Information der Nutzer: Die Informationen, die den Nutzern über die CMP zur Verfügung gestellt werden, seien zu allgemein und vage, um es den Betroffenen zu ermöglichen, die Art und den Umfang der Verarbeitung ihrer Daten zu verstehen, insbesondere angesichts der Komplexität des TCF 2.0.
  3. keine ausreichende Datensicherheit: Das TCF 2.0 treffe unter anderem keine ausreichenden organisatorischen und technischen Maßnahmen, gewährleiste den Betroffenen keine wirksame Ausübung ihrer Rechte und stelle die Einhaltung der Nutzerentscheidungen nicht ausreichend sicher.
  4. Verletzung von Dokumentationspflichten:Schließlich habe das IAB Europe seine Dokumentationspflichten als Verantwortlicher nicht erfüllt, wie ein Verzeichnis der Verarbeitungstätigkeiten zu führen, einen Datenschutzbeauftragten zu benennen und eine Datenschutzfolgenabschätzung durchzuführen.

Was muss das IAB Europe jetzt tun?

Die belgische Aufsichtsbehörde hat dem IAB Europe außerdem ein Bußgeld von 250.000 Euro sowie Handlungspflichten auferlegt, die darauf abzielen, die aktuelle Version des TCF 2.0 in Einklang mit der DSGVO zu bringen. Diese umfassen (unter anderem): 

  • die Sicherstellung einer gültigen Rechtsgrundlage (also einer wirksamen Einwilligung) für die Verarbeitung und Weitergabe von Daten zur Nutzerentscheidung im Rahmen des TCF 2.0 sowie das Verbot des berechtigten Interesses als Rechtsgrundlage für die Verarbeitung personenbezogener Daten durch die an der TCF teilnehmenden Organisationen;
  • die strenge(re) Überprüfung der teilnehmenden Unternehmen, um sicherzustellen, dass sie die Anforderungen der DSGVO erfüllen.

Es ist also davon auszugehen, dass das IAB Europe in den nächsten Monaten eine überarbeitete Fassung seines Branchenstandards vorlegen und der belgischen Aufsichtsbehörde zur Prüfung vorlegen wird – also quasi ein „TCF 2.1“.

Was bedeutet die Entscheidung für die Onlinemarketing-Branche?

Zunächst ist festzuhalten, dass sich die Entscheidung der APD gegen die konkrete derzeitige rechtliche Ausgestaltung des TCF 2.0 richtet und nicht gegen das dahinter liegende Prinzip (Teilnahme von Vendoren am OpenRTB-Verfahren). Außerdem richtet sich der Bescheid zunächst nur gegen das IAB Europe selbst und nicht gegen die das TCF 2.0 nutzenden Publisher und Marketing-Unternehmen (Vendoren). Für die Onlinemarketing-Branche sind mittelfristig zwei wesentliche Entwicklungen zu erwarten:

  1. Noch mehr Informationen für Nutzer: Das TCF 2.0 wird nun dergestalt überarbeitet werden müssen, dass die Informationen, die den betroffenen Personen über die CMP bereitgestellt werden, detaillierter und ausführlicher über Art und Umfang der Datenerhebung und -verarbeitung durch die am TCF 2.0 beteiligten Unternehmen aufklären, bevor die Nutzer eine Einwilligungsentscheidung treffen.
  2. Einwilligung als einzige Rechtsgrundlage: Eine weitere Konsequenz dieser Entscheidung – sollte sie Bestand haben – wäre, dass sich Unternehmen zukünftig nur noch schwer auf ein „berechtigtes Interesse“ als Rechtsgrundlage für die Datenverarbeitung berufen können. Einzig mögliche Rechtsgrundlage wäre dann nur noch die Einwilligung der Betroffenen. Inwieweit diese pauschale Absage an ein berechtigtes Interesse als Rechtsgrundlage wirklich mit der DSGVO vereinbar ist, kann durchaus bestritten werden.

Die weiteren Sanktionen und Maßnahmen (Verzeichnis der Verarbeitungstätigkeiten, Bestellung eines Datenschutzbeauftragten und Durchführung eines DPIA) betreffen ausschließlich das IAB Europe als für die Verarbeitung Verantwortlichen und können bei der Bewertung der Auswirkung der Entscheidung getrost ausgeblendet werden.

Was ist jetzt zu tun?

Nach strenger Lesart der Auffassung der belgischen Aufsichtsbehörde verstößt die derzeitige Verarbeitung von Nutzerdaten nach dem TCF 2.0 gegen die DSGVO, und zwar insbesondere, weil keine wirksamen Einwilligungen eingeholt werden. Da das IAB Europe selbst keine Kontrolle über die TC-Strings hat, wäre es daher prinzipiell Aufgabe der Publisher, sicherzustellen, dass personenbezogene Daten, die womöglich rechtswidrig erhoben werden, nicht weiter verarbeitet und dementsprechend gelöscht werden.

Allerdings ist die Geschichte damit noch nicht zu Ende erzählt. Das IAB Europe hat nun wie erwähnt zwei Monate Zeit, um einen Aktionsplan zur Behebung der fesgestellten Mängel vorzulegen, der anschließend innerhalb eines Zeitraums von höchstens sechs Monaten umzusetzen ist („TCF 3.0“). Darüber hinaus kann das IAB Europe gegen die Entscheidung der belgischen Aufsichtsbehörde gerichtlich vorgehen – was es sehr wahrscheinlich auch tun wird. Erst nach einer die Rechtsauffassung der APD bestätigenden, rechtskräftigen gerichtlichen Entscheidung würde der Bescheid dann wirksam.

Für den Moment lautet unsere Schlussfolgerung, dass nach Ansicht der APD (und anderer europäischer Datenschutzbehörden) die derzeitige Ausgestaltung von Tracking-Einwilligungen über das TCF 2.0 nicht DSGVO-konform und damit unzulässig ist. Ob diese Auffassung allerdings wirklich am Ende auch durch die Gerichte, insbesondere den europäischen Gerichtshof, bestätigt wird, bleibt abzuwarten. Die derzeitige einzige Alternative zum TCF 2.0 als etabliertem Branchenstandard, nämlich „handgestrickte“ Einwilligungslösungen, ist wenig praktikabel und leidet womöglich an denselben Problemen.

Bis dahin sollten sich insbesondere Publisher bemühen, ihre CMPs möglichst rechtskonform auszugestalten, wie in der Orientierungshilfe der deutschen Datenschutzkonferenz vom Dezember 2021 beschrieben (wir berichteten dazu in unserer vorletzten Mandanteninformation). Onlinemarketing-Dienstleister sollten sich mit der Frage beschäftigten, ob ein völliger Umstieg auf ein einwilligungsbasiertes Geschäftsmodell für sie praktikabel ist.

Wie immer stehen wir Ihnen selbstverständlich in allen Fragen diesbezüglich zur Verfügung und beraten Sie gern.

Uferlose Schadensersatzforderungen bei DSGVO-Verstößen trotz anstehender Entscheidung des EuGH nicht zu erwarten

Bisher konnten Betroffene einer Datenpanne vor deutschen Gerichten nicht auf hohen immateriellen Schadensersatz auf Grundlage der DSGVO hoffen. Das könnte sich nun ändern: Vor kurzem bat das Bundesarbeitsgericht den Europäischen Gerichtshof (EuGH) um Klärung der Frage, ob immaterieller Schadensersatz in „abschreckender“ Höhe auch ohne Verschulden des Verantwortlichen auf Grundlage von Art. 82 Abs. 1 DSGVO an den Betroffenen zu leisten ist.

Dem Gericht ist dabei zuzustimmen, wenn es für die Bemessung des immateriellen Schadensersatzes die Berücksichtigung aller Umstände des Einzelfalls fordert, um einen vollständigen und wirksamen Schadensersatz zu erreichen. Indes verkennt es jedoch, dass eine Sanktionswirkung über den Schadensausgleich hinaus – wie auch bekannt aus anderen Bereichen des Unionsrechts – im Datenschutzrecht über das Instruments des Bußgelds nach Art. 83 DSGVO erreicht wird.

Die Aufsichtsbehörden haben sicherzustellen, dass Verstöße gegen die DSGVO in jedem Einzelfall wirksam, verhältnismäßig und abschreckend mittels Geldbußen geahndet werden. Die Höhe richtet sich dabei auch nach dem Verschulden sowie erschwerenden oder mildernden Umständen im jeweiligen Fall. Weshalb das Gericht dennoch davon ausgeht, dass eine verschuldensunabhängige und über den Ausgleich hinausgehende Schadensersatzzahlung von der DSGVO gefordert werden könnte, ist unklar, erfüllen doch bereits die Aufsichtsbehörden diese Funktion.

Von Vergleichbarem geht auch der österreichische Oberste Gerichtshof aus, wenn er in seinen ebenfalls kürzlich eingereichten Vorlagefragen an den EuGH davon ausgeht, dass für die Zahlung eines immateriellen Schadensersatzes zumindest ein „Verstoß einigen Gewichts“ vorliegen muss, der über eine gewöhnliche Verletzung von Bestimmungen der DSGVO hinausgeht.

Anderenfalls wäre mit einer Welle von Klagen auf immateriellen Schadensersatz bei bereits kleinsten Verstößen gegen die DSGVO zu rechnen, die sowohl die Justiz als auch die einzelnen Unternehmen deutlich über die Gebühr belasten würde. Neben dem zu zahlenden Schadensersatz käme zudem das erwähnte Bußgeld nach Maßgabe des Art. 83 DSGVO von bis zu 20 Millionen Euro, so dass eine doppelte „Bestrafung“ das Resultat wäre. Vorzugswürdig wäre daher allenfalls, dass die Aufsichtsbehörden ihre Sanktionsaufgabe künftig ernster nehmen und der Art. 82 Abs. 1 DSGVO weiter seiner grundsätzlichen Bedeutung – dem Ausgleich eines entstandenen Schadens dient. Ob dies auch so entschieden wird, bleibt abzuwarten.

Fraglich ist überdies, ob die Entscheidung des EuGH nicht dennoch eine großzügigere Bemessung des immateriellen Schadens im Einzelfall vorgibt. Sicherlich wird die anstehende Entscheidung erneut den Fokus auf den Datenschutz in Unternehmen intensivieren, sodass eine sorgfältige datenschutzrechtliche Aufstellung spätestens nun Thema sein sollte.

Fazit: Es ist aufgrund der wachsenden Aufmerksamkeit wichtiger denn je, ein Unternehmen datenschutzrechtlich sauber aufzustellen, um hohe Zahlungen vermeiden. Es bleibt zu hoffen, dass der EuGH einem vermittelnden Ansatz folgt und die in der DSGVO angelegte Aufgabenverteilung zwischen Aufsichtsbehörde und Gerichten entsprechend würdigt.

Französische Aufsichtsbehörde setzt ihre Cookie-Kampagne fort und kündigt Bußgelder an

Die französische Datenschutzbehörde CNIL hat in einer Pressemitteilung vom 14. September 2021 angekündigt, ihre Cookie-Überwachungs-Kampagne fortzusetzen und dabei wie bisher sowohl nationale wie auch internationale Akteure aus dem Privatsektor aber auch öffentliche Einrichtungen, deren Websites einen erheblichen Datenverkehr generieren, in den Blick zu nehmen, sofern sie auf französische Nutzer abzielen.

Im Zentrum ihrer Überprüfung steht dabei weiterhin, ob dem Nutzer das Ablehnen von Cookies genauso einfach gemacht wird, wie das Akzeptieren. Ebenso will sie aber auch die tatsächliche Einhaltung dieser Wahl überprüfen.

Im Zuge dieser Mitteilung verkündet die CNIL außerdem die Ergebnisse einer Aufforderung an 38 Website-Betreiber, ihre Cookie-Banner entsprechend anzupassen. Davon kamen 30 dieser Aufforderung nach und vier beantragten wegen technischer oder organisatorischer Einschränkungen eine Fristverlängerung, die derzeit geprüft wird. Die vier Betreiber, die nicht reagiert haben, müssen laut der CNIL mit finanziellen Sanktionen von bis zu 2 % ihres Umsatzes rechnen.

Fazit: Die Einhaltung der Cookie-Vorschriften, insbesondere die Gestaltung der Cookie-Banner, steht nicht nur bei der CNIL, sondern fast allen Datenschutzbehörden weiterhin sehr weit oben auf der Agenda. Der Standpunkt der CNIL kann als erste Orientierung angesehen werden. Es bleibt abzuwarten, ob andere Aufsichtsbehörden ihr folgen und ebenfalls in ähnlicher Weise Stellung beziehen.

LDI NRW: Newsletter-Einwilligung darf Teilnahmevoraussetzung bei Gewinnspielen sein

Das Thema „Newsletter-Einwilligung“ steht bei unseren Mandanten immer wieder auf der Tagesordnung – denn die rechtlichen Hürden in DSGVO und UWG stellen das E-Mail-Marketing vor große Herausforderungen.

Ein wichtiger Ankerpunkt in dieser Diskussion war dabei eine Entscheidung des Oberlandesgerichts Frankfurt aus dem Jahr 2019, nach der die Einwilligung in den Erhalt eines Newsletters zur Teilnahmevoraussetzung eines kostenlosen Gewinnspiels gemacht werden darfohne, dass dies einen Verstoß gegen die Voraussetzungen einer wirksamen Einwilligung darstellt. Diese Ausnahme vom „Kopplungsverbot“ nach Art. 7 Abs. 4 DSGVO hatten auch Gerichte in Österreich und Italien bestätigt (wir hatten darüber informiert).

Jetzt sorgt ein kurzer Abschnitt im kürzlich veröffentlichten aktuellen Jahresbericht der Landesbeauftragten für Datenschutz und Informationsfreiheit NRW (LDI NRW) einerseits für Erleichterung, aber auch für Verwirrung: Zum ersten Mal äußert sich eine einflussreiche Datenschutzaufsichtsbehörde zu dieser für die Praxis so wichtige Frage – und bestätigt im Ergebnis, dass die Newsletter-Einwilligung zur Teilnahmevoraussetzung für ein kostenloses Gewinnspiel gemacht werden darf.

Leider argumentiert die LDI NRW jedoch rechtlich völlig anders als das OLG Frankfurt: Rechtsgrundlage für die Datenverarbeitung im Rahmen des Newsletterversands soll nicht die Einwilligung der Empfänger sein, sondern der Gewinnspiel-Vertrag. Das bedeutet, dass nach Ansicht der Behörde mit der Preisgabe seiner E-Mail-Adresse quasi für die Teilnahmemöglichkeit „bezahlt“. Dies müsse in den Teilnahmebedingungen entsprechend kommuniziert werden.

Der Lösungsweg der LDI NRW ist einerseits etwas umständlich und außerdem befremdlich – denn in unserer Rechtsordnung stehen die Gerichte über den Aufsichtsbehörden. Die Behörde bleibt die Antwort auf die Frage schuldig, warum sie sich in ihrer Stellungnahme nicht mit der Rechtsauffassung des OLG Frankfurt auseinandergesetzt hat.

Im Ergebnis ist jedoch erfreulich, dass das Konzept „Newsletter-Einwilligung gegen Gewinnspielteilnahme“ jedenfalls als zulässig erachtet wird. In der Praxis wird derselbe Rechtsgedanke auch bei anderen kostenlosen Angeboten wie Whitepaper-Downloads und bei der Anmeldung zu Webinaren angewandt. Hierzu gibt es jedoch bislang weder Gerichtsurteile noch Stellungnahmen der Aufsichtsbehörden.

Wir werden die Rechtsansicht des LDI NRW in der Beratung unserer Mandanten berücksichtigen. Wichtig wird in jedem Fall sein, für ausreichende Transparenz zu sorgen. Bei Fragen zu diesem und weiteren Aspekten des E-Mail-Marketings stehen wir Ihnen gern zur Verfügung.

Italien: neue Tracking-Leitlinien veröffentlicht

Die italienische Datenschutzaufsichtsbehörde Garante per la protezione dei dati personali (kurz „Garante“) hat am 10. Juni eine neue Version ihrer „Leitlinien zu Cookies und anderen Tracking-Technologien“ veröffentlicht. Diese sollen den mit dem Inkrafttreten der DSGVO überholten Beschluss der Garante von 2014 ergänzen.

Die Leitlinien bieten eine praktische Orientierungshilfe bei der Einholung von Tracking-Einwilligungen. In ihrem Papier macht die Garante außerdem Vorschläge für eine interessengerechtere Gestaltung von Cookie-Bannern (consent managment plattforms, CMPs).

Wir fassen die zentralen Aussagen für Sie zusammen:

„technische Erforderlichkeit“ bei Cookies und vergleichbaren Tracking-Technologien

Die Garante bezieht sich in ihren Leitlinien sowohl auf Cookies als auch auf eine Vielzahl anderer Tracking-Technologien (Fingerprinting, RFID etc.) und ist dabei ebenso wie die französische Datenschutzaufsichtsbehörde CNIL der Ansicht, dass die Anforderungen an das Tracking als „technologieneutrale Regelungen“ zu verstehen sind. Die deutschen Datenschutzaufsichtsbehörden haben sich zu dieser Frage bislang nicht klar positioniert, das Papier der Garante ist jedoch ein Fingerzeig, in welche Richtung es auch bei uns gehen könnte.

Dabei unterscheidet die Garante zwischen solchen Cookies und vergleichbaren Tracking-Technologien, die ausschließlich dazu dienen, das Funktionieren einer Website zu ermöglichen und damit „technisch erforderlich“ sind und solchen, die für eine Vielzahl von Zwecken verwendet werden („nicht technisch erforderliche“).

Nur „technisch erforderliche“ Cookies und vergleichbare Tracker dürfen demnach ohne die Zustimmung des Nutzers genutzt werden. In allen anderen Fällen muss eine informierte Einwilligung des Betroffenen eingeholt werden. Die Garante bestätigt insofern, dass man sich nach der ePrivacy-Richtlinie nicht auf ein berechtigtes Interesse berufen kann, um die Verwendung von Cookies oder anderen Trackern zu rechtfertigen.

Scrolling und Cookie-Walls sind nur in Ausnahmefällen zulässig

Grundsätzlich teilt die Garante den Standpunkt der übrigen europäischen Datenschutzbehörden, dass das bloße Scrollen auf der Website allein nicht für eine wirksame Einwilligung ausreichen kann. Nichtsdestotrotz kann es der Garante zufolge Ausnahmen von dieser Regel geben.

Ein solcher Fall kann vorliegen, wenn das Scrollen des Nutzers Teil eines umfassenderen Prozesses ist, der es dem Nutzer ermöglicht, seine informierte Einwilligung in einer Weise zum Ausdruck zu bringen, die auf dem Server der Website dokumentiert und aufgezeichnet und als ausdrückliche Erklärung des Nutzers eingestuft werden kann. Die Handlung des Nutzers muss also unmissverständlich den Willen zum Ausdruck bringen, in die Verarbeitung einzuwilligen. Das setzt vor allem voraus, dass der Verantwortliche den Nutzer vorab dergestalt informieren muss, dass sich dieser über die Wirkung seines Verhaltens im Klaren ist.

Anders als die CNIL im Oktober letzten Jahres bezieht die Garante recht eindeutig Stellung zu so genannten Cookie-Walls, die den Nutzer dazu zwingen, seine Zustimmung zur Nutzung von Cookies und anderen Tracking-Mechanismen zu geben oder andernfalls den Zugang zu einer Website sperren. Solche Lösungen sind in Deutschland auf Presse-Websites bereits recht verbreitet.

Nach Ansicht der Garante ist eine solche Vorgehensweise grundsätzlich nicht zulässig, da es hier an der notwendigen Freiwilligkeit der Einwilligung mangele. Auch hier gibt es jedoch einen Ausnahmefall: Cookie-Walls sind zulässig, wenn der Verantwortliche dem Nutzer eine „gleichwertige Alternative“ einräumt, den Dienst (die Website) auch ohne Erteilung einer Einwilligung in die Verwendung von Cookies zu nutzen (zum Beispiel bei so genannten „Pur-Abos“). Hier bedarf es nach Ansicht der Garante einer Einzelfallprüfung.

Wiederholte Aufforderung zur Einwilligung, obwohl die Einwilligung zunächst nicht erteilt wurde

Diese, wie es die Garante in ihrem Papier ausdrückt, „redundante und aufdringliche Praxis“, bei der der Nutzer bei jedem Aufrufen der Website erneut mit einer CMP konfrontiert wird, obwohl er beim erstmaligen Besuch der Website seine Einwilligung in die Nutzung von Cookies und anderen Trackern zunächst nicht erteilt hat, kann die Freiheit des Nutzers übermäßig beeinträchtigen, indem sie den Nutzer dazu bringt, letztlich doch der Verarbeitung seiner Daten zuzustimmen, um die Website in Ruhe nutzen zu können. Sie ist daher unzulässig.

Eine erneute Einholung der Zustimmung soll nur zulässig sein, wenn

  • sich der Umfang der Datenverarbeitung wesentlich geändert hat, so dass der Nutzer über die fraglichen Änderungen informiert werden muss, zum Beispiel in Bezug auf den Einsatz neuer externer Dienste,
  • der Betreiber der Website nicht wissen kann, dass bereits ein Cookie gespeichert wurde,
  • seit der letzten Abfrage mindestens sechs Monate vergangen sind.

Praktische Empfehlungen zur Einholung einer Einwilligung

Am Ende ihres Papiers gibt die Garante praktische Hinweise, wie die Einwilligung ihrer Meinung noch „interessengerechter“ eingeholt werden kann, insbesondere was die Ausgestaltung der CMP angeht. Diese Hinweise haben jedoch keinen(!) rechtlichen Gehalt. Hier hat sie insbesondere die Grundsätze der Datensparsamkeit und der Nutzerautonomie im Blick.

Nach der Vorstellung der Garante soll der Nutzer, der die Website zum ersten Mal besucht, eine CMP angezeigt bekommen, die sich in Größe und Gestaltung deutlich vom Rest der Seite abhebt und auch von Menschen mit Behinderung genutzt werden kann. Entscheidet sich der Nutzer gegen eine Einwilligung, soll er das Banner mit einem einfachen Befehl (z.B. ein „X“ in der oberen rechten Ecke des Banners) schließen können. Die Schaltfläche, mit der das Weitersurfen ohne Zustimmung ermöglicht wird, soll also ebenso benutzerfreundlich und zugänglich sein wie die für die Erteilung der Zustimmung vorgesehene. Auch hier folgt die Garante also dem Ansatz der CNIL, die sich wünscht, dass unmittelbar neben der Schaltfläche „alle Cookies akzeptieren“ auch ein Button „alle Cookies ablehnen“ angezeigt wird, der sich nicht versteckt in einer Second Layer der CMP befindet.

Daneben sollten CMPs nach der Vorstellung der Garante Folgendes enthalten:

  • einen Hinweis, dass beim Anklicken des „X“ die Standardeinstellungen unverändert bleiben und das Surfen daher ohne Cookies oder andere Tracker fortgesetzt werden kann;
  • ein Hinweis darauf, dass nur mit der Zustimmung des Nutzers Tracking-Cookies gesetzt werden;
  • einen Link zur Datenschutzerklärung, die alle nach der DSGVO geforderten Informationen insbesondere zu den verwendeten Cookies und Trackern enthält
  • eine Schaltfläche, über die die Zustimmung zur Nutzung aller Cookies und Tracker erteilt werden kann;
  • einen Link zu einem Bereich, in dem der Nutzer individuell und informiert die Funktionen, Drittanbieter und Cookies auswählen kann, denen er zustimmen möchte.
  • eine Schaltfläche auf oder in der Fußzeile der Website, über den der Nutzer seine Cookie-Einwilligung für die Website anpassen kann und der auf seinen Zweck ausdrücklich hinweist (z.B. „Passen Sie Ihre Cookie-Einstellungen an“).

Kein Einwilligungserfordernis bei Statistik-Cookies, wenn…

Wie schon in ihren Leitlinien vom Mai 2014 und wie auch die CNIL in ihrem Papier vom Oktober 2020 ist die Garante weiterhin der Ansicht, dass Analyse-Cookies als technisch erforderlich einzustufen sind und dementsprechend ohne vorherige Zustimmung der betroffenen Nutzer gesetzt werden können, soweit bestimmte Bedingungen erfüllt sind:

Damit Analyse-Cookies den technisch erforderlichen Cookies gleichgestellt werden können, muss daher die direkte Identifizierung – also das spezifische Herausfiltern – einzelner betroffener Personen verhindert werden. Maßgeblich ist also das Identifizierungspotenzial von Analyse-Cookies, auch bei der Nutzung durch Dritte.

Fazit

Es ist zu begrüßen, dass nach der CNIL auch die Garante zu den gesetzlichen Anforderungen an das Online-Tracking Stellung bezieht. Die in den Leitlinien der Garante vertretenen Ansichten könnten für die weitere Entwicklung hier in Deutschland von Bedeutung sein. Es bleibt abzuwarten, ob und wann sich die deutschen Aufsichtsbehörden hier endlich klar äußern. Gerade deshalb ist es wichtig, dass sich die deutsche Onlinemarketing-Branche in die auseinandersetzung einbringt – denn nicht jede Auslegung ist einfach so hinzunehmen. Wir beraten Sie dazu gern.