Frankreich: Die Nutzung von Google Analytics verstößt gegen die DSGVO

Die französische Datenschutzbehörde CNIL gab am 10. Februar bekannt, dass sie gegen einen ungenannten französischen Website-Betreiber eine Anordnung zur Einhaltung der DSGVO erlassen hat, nachdem sie festgestellt hat, dass die Übermittlung personenbezogener Daten in die USA durch die Nutzung von Google Analytics nicht mit Art. 44 DSGVO vereinbar ist. Dies geschah im Lichte des Urteils des Europäischen Gerichtshofs in Sachen „Schrems II“ und im Anschluss an eine von None of your business („NOYB“) an die CNIL gerichtete Beschwerde.

Hintergrund des Rechtsstreits

Am 17. August 2020 reichte NOYB 101 Beschwerden gegen EU-Webseitenbetreiber ein, die weiterhin Daten von Webseitenbesuchern an Google LLC und Facebook Inc. (jetzt Meta Platforms, Inc.) übermitteln und damit angeblich trotz des Urteils in der Rechtssache Schrems II weiterhin gegen die Datenschutz-Grundverordnung verstoßen. Am 13. Januar 2022 veröffentlichte NOYB bekanntlich die erste Entscheidung, die nach der Einreichung seiner Beschwerden erging – eine Entscheidung der österreichischen Datenschutzbehörde DSB, in der festgestellt wurde, dass die Verwendung von Google Analytics durch einen nicht genannten Website-Betreiber gegen die DSGVO verstößt. Die vorliegende Verfügung der CNIL ist die zweite Entscheidung, die von einer EU-Datenschutzbehörde als Reaktion auf die 101 Beschwerden von NOYB veröffentlicht wurde.

Zur weiteren Erläuterung führte die CNIL aus, dass Google Analytics, um die Anzahl der Besuche von Internetnutzern zu messen, jedem Besucher eine eindeutige Kennung zuweist, die, wie die CNIL hervorhob, ein personenbezogenes Datum darstelle, das anschließend zusammen mit weiteren dazugehörigen Daten in die USA übermittelt werde, was somit unter Kapitel V der Datenschutz-Grundverordnung falle. Darüber hinaus erklärte die CNIL, dass sie mit ihren europäischen Kollegen zusammengearbeitet habe, um die Rechtmäßigkeit der Bedingungen zu bewerten, unter denen die durch diesen Dienst gesammelten Daten an die USA übermittelt werden.

Feststellungen der CNIL

Die CNIL hob insbesondere hervor, dass nach der DSGVO die Übermittlung personenbezogener Daten in die USA nur dann erfolgen darf, wenn angemessene Garantien zur Gewährleistung der Datensicherheit gegeben sind und stellte fest, dass dies bei der Verwendung von Google Analytics durch den Website-Betreiber nicht der Fall war. Konkret wies die CNIL darauf hin, dass Google zwar zusätzliche Maßnahmen zur Regelung der Datenübermittlung im Zusammenhang mit der Google-Analytics-Funktionalität ergriffen habe, diese jedoch nicht ausreichten, um die Zugänglichkeit dieser Daten für US-Geheimdienste auszuschließen. Folglich stellte die CNIL fest, dass die Verwendung von Google Analytics in diesem Fall bedeutet, dass die Daten von Internetnutzern in die USA übermittelt werden, was einen Verstoß gegen die Art. 44 ff. DSGVO darstelle.

Deshalb wies die CNIL den Betreiber der Website an, seine Verarbeitung mit der DSGVO in Einklang zu bringen, gegebenenfalls durch Einstellung der Verwendung von Google Analytics (unter den derzeitigen Bedingungen) oder durch Verwendung eines Tools, das keine Übermittlung personenbezogener Daten in Länder außerhalb der EU beinhaltet. Darüber hinaus stellte die CNIL fest, dass der Website-Betreiber einen Monat Zeit habe, um der Richtlinie nachzukommen.

Darüber hinaus wies die CNIL darauf hin, dass sich die laufenden Untersuchungen der CNIL und ihrer EU-Kollegen auch auf andere Tools erstrecken, die von Websites verwendet werden, die zur Übermittlung von Daten von EU-Internetnutzern in die USA führen, und betonte, dass in naher Zukunft diesbezügliche Korrekturmaßnahmen ergriffen werden könnten.

Neues aus Frankreich – die CNIL hat (schon wieder) ein Rundschreiben versandt

Die CNIL (die französische Datenschutzbehörde) hat am 4. Februar 2021 angekündigt, dass sie Briefe und E-Mails an etwa 300 Organisationen, sowohl private als auch öffentliche, verschickt hat, um sie an die neuen Cookie-Regeln und die Notwendigkeit zu erinnern, Websites und Apps bis zum 31. März 2021 auf die Einhaltung dieser Regeln zu überprüfen.

Was hatte die CNIL gesagt ?

Am 1. Oktober 2020 veröffentlichte die CNIL eine überarbeitete Version ihrer Richtlinien zu Cookies und ähnlichen Technologien (die „Richtlinien“), ihre endgültigen Empfehlungen zu den praktischen Modalitäten für die Einholung der Zustimmung der Nutzer zur Speicherung oder zum Auslesen nicht wesentlicher Cookies und ähnlicher Technologien auf ihren Geräten (die „Empfehlungen“) sowie eine Reihe von Fragen und Antworten zu den Empfehlungen. Auch wir hatten auf diesem Blog berichtet.  Die CNIL hatte beschlossen, eine Übergangsfrist von sechs Monaten für die Einhaltung der Empfehlungen einzuräumen (d. h. bis zum 31. März 2021) und kündigte an, dass sie nach dieser Übergangsfrist Inspektionen zur Durchsetzung der Empfehlungen durchführen wird.

Die CNIL hatte im Rahmen ihrer Untersuchungen festgestellt, dass eine Vielzahl von Unternehmen  diese Vorgaben die CNIL immer noch nicht einhält. Sie machte daher in Rundschreiben auf Folgendes aufmerksam:

Das Cookie-Banner muss zum einen detailliert angeben, für welche Zwecke Cookies auf den Geräten der Nutzer gesetzt werden. Allgemeine Informationen wie „diese Seite verwendet Cookies“ oder „Cookies werden verwendet, um die Effizienz der Dienste, die wir Ihnen anbieten, zu verbessern“ sind nicht ausreichend.

Die Benutzer müssen zum anderen die Möglichkeit haben, Cookies mit der gleichen Leichtigkeit zu akzeptieren oder abzulehnen. Wenn der Cookie-Banner eine Schaltfläche „Alle akzeptieren“ enthält, müssen Webbetreiber eine Schaltfläche „Alle ablehnen“ auf derselben Ebene und im selben Format wie die Schaltfläche „Alle akzeptieren“ hinzufügen. Alternativ können Web-Betreiber den Nutzern die Möglichkeit geben, Cookies abzulehnen, indem sie den Cookie-Banner schließen, aber dies muss den Nutzern deutlich gemacht werden, z. B. durch die Aufnahme eines Links „Fortfahren ohne zu akzeptieren“ in den Cookie-Banner. Die CNIL erinnerte Organisationen daran, dass das bloße Vorhandensein von „Alle akzeptieren“- und „Cookie-Einstellungen“-Schaltflächen nicht ausreichend ist.

Die CNIL analysiert in regelmäßigen Abständen die Cookie-Praktiken der beliebtesten 1.000 Websites in Frankreich. Basierend auf den Ergebnissen ihrer bisherigen Analyse hat die CNIL beschlossen, Briefe an etwa 100 Betreiber der beliebtesten Websites in Frankreich zu senden, die Cookies von mehr als sechs Drittanbieter-Domains setzen, ohne die vorherige Zustimmung der Nutzer einzuholen. Die CNIL erinnerte die Unternehmen an die Notwendigkeit, ihre Cookie-Zustimmungsschnittstellen für die Verwendung von Tracking-Technologien auf ihren Websites oder Apps anzupassen, z. B. wenn sie Inhalte aus externen Quellen wie Social-Media-Plug-ins hinzufügen.

Was sagt die CNIL zu Analyse-Cookies ?

Die CNIL erinnerte  außerdem daran, dass Analytics-Cookies von der Einwilligung ausgenommen werden können, wenn

  • die Cookies nur zur Erstellung anonymer Statistiken verwendet werden,
  • die für das ordnungsgemäße Funktionieren des Dienstes unbedingt erforderlich sind und
  • ausschließlich für den Betreiber der betreffenden Website oder App bestimmt sind.

In den kommenden Wochen wird die CNIL weitere Informationen zu den Analyselösungen veröffentlichen, die von der Einwilligung ausgenommen sind.

Frankreich: neue Orientierungshilfe zum Online-Tracking veröffentlicht

Die französische Datenschutzaufsichtsbehörde CNIL hat Anfang des Monats unter dem Titel „Cookies und andere Tracker“ zwei Papiere verabschiedet, in denen sie ihre Sichtweise zur Frage der Einwilligung beim Online-Tracking darlegt. Beim ersten der beiden Dokumente handelt es sich um „Leitlinien“, also in etwa um eine „Orientierungshilfe“ in der Sprache der deutschen Datenschutzkonferenz, das zweite Papier beinhaltet dagegen praktische Umsetzungsempfehlungen für Publisher, die prinzipiell keinen rechtlichen Gehalt haben.

Einwilligung auch beim Fingerprinting und im Mobile Tracking erforderlich

In Deutschland ist nach wie vor nicht geklärt, ob nach dem „Planet49“-Urteil des Europäischen Gerichtshofs das Erfordernis einer Einwilligung nach Art. 5 Abs. 3 der ePrivacy-Richtlinie nur für Cookies oder auch für „cookieless“-Technologien wie Fingerprinting und Mobile Tracking gilt. Denn bei diesen Technologien erfolgt im Vergleich zum Tracking mit Cookies kein Zugriff auf Daten im Endgerät des Nutzers, sondern es werden lediglich Informationen genutzt, die das Endgerät ohnehin an den Server des Publishers überträgt. Ohne weitere Diskussion folgt die CNIL in ihrem Papier derjenigen Ansicht, die für alle Tracking-Technologien eine Einwilligung für erforderlich hält – wohl dem ursprünglichen Ansinnen des Gesetzgebers aus dem Jahr 2009 entsprechend, „technologieneutrale“ Regeln aufzustellen. Es bleibt abzuwarten, ob diese Position auch in Deutschland Schule macht.

Cookie Walls: die CNIL bleibt skeptisch

Obwohl das höchste französische Verwaltungsgericht, der Conseil d’État, das von der CNIL ursprünglich erlassene Verbot von Cookie Walls aufgehoben hatte, bleibt die Behörde in ihrer neuen Verlautbarung skeptisch: Consent-Management-Plattformen (CMPs), die Nutzern den Zugriff zu verweigern, wenn sie keine Einwilligung abgeben, führen für die CNIL zumindest „in bestimmten Fällen“ zur „Beeinträchtigung der Freiwilligkeit“ – und damit zur Unwirksamkeit – der Einwilligung. In Deutschland sind Cookie Walls bereits weit verbreitet, unseres Wissens auch mit dem Segen der hiesigen Aufsichtsbehörden. Auch die CNIL wird sich dieser Entwicklung nicht versperren können, zumal ihr bei diesem Thema nunmehr gerichtlich die Hände gebunden sind.

In ähnlicher Form findet sich die Problematik an anderer Stelle des Papiers erneut wieder: Die CNIL fordert, dass Publisher es (wie in der „Second Layer“ der CMP nach dem TCF 2.0 vorgesehen) Nutzern ermöglichen müssen, ihre Einwilligung in Bezug auf einzelne Verarbeitungszwecke oder eingesetzte Dienste zu beschränken oder diese auszuschließen.

Transparenzpflichten

Hinsichtlich der Transparenzpflichten des Publishers beim Einsatz von Tracking-Technologien macht die Stellungnahme der CNIL zunächst den erfreulichen Eindruck, als folge man im Wesentlichen der Linie des TCF 2.0. Problematisch ist jedoch, dass eine vollständige Liste aller Verantwortlichen gefordert wird, die einwilligungspflichtige Tracker verwenden. Dies stellt ein Problem für Publisher dar, die Nutzerdaten für die Weitergabe an Dritte erheben (Data Broker oder Data Enrichment genannt). Hier kann der Publisher unmöglich wissen, wer die Daten letzten Endes erhält und nutzt. Die CNIL stellt hier also eine Bedingung auf, die für einen großen Teil der Branche praktisch nicht umsetzbar ist. Auch in Deutschland tritt dieses Problem auf – und wird auch vom TCF 2.0 nicht zufriedenstellend gelöst.

Publisher und Dienstleister als Joint Controller

Ohne konkret zu werden, bläst auch die CNIL in das bei allen Aufsichtsbehörden so beliebte Horn der gemeinsamen Verantwortlichkeit: Nach dem „Fashion-ID“-Urteil des Europäischen Gerichtshofs sind Publisher beim Einsatz von Tracking-Skripten wie dem Facebook-Pixel zumindest für den Vorgang der Datenerhebung gemeinsam verantwortlich, was den Abschluss einer gesonderten Vereinbarung erforderlich macht und entsprechende Transparenzpflichten auslöst.

Kein Einwilligungserfordernis für Analytics

Die erfreulichste Nachricht der CNIL findet sich ganz am Ende ihres Papiers: Für den Einsatz von Analytics-Diensten benötige man keine Einwilligung – auch dann nicht, wenn dazu Cookies gesetzt werden. Zu diesem Ergebnis kommt die Behörde über eine kreative Auslegung einer Ausnahmevorschrift der ePrivacy-Richtlinie: Der Einsatz von Webanalyse-Diensten sei für die Arbeit der Publisher in den Augen der CNIL „unbedingt erforderlich“. Dies gilt jedoch nicht, wenn die dabei erhobenen Daten für über die strikte Messung der Besucherzahlen hinaus gehende Zwecke genutzt werden – dann braucht es doch wieder eine Einwilligung.

Wird die „alles ablehnen“-Schaltfläche Pflicht?

Die CNIL wird nicht müde, es zu betonen: Für den Nutzer muss die Verweigerung der Einwilligung genauso einfach sein wie ihre Erteilung. Sie empfiehlt(!) daher, Nutzern bereits in der so genannten First Layer der CMP die Möglichkeit zu geben, mit einem Klick alle Cookies abzulehnen. Anders ausgedrückt: Die CNIL wünscht sich, dass Publisher unmittelbar neben der Schaltfläche “alle Cookies akzeptieren” auch direkt einen Button „alle Cookies ablehnen“ anzuzeigen – und ihn nicht in der Second Layer über die Schaltfläche „Einstellungen“ zu verstecken:

So wünscht es sich die CNIL: Direkt neben der Schaltfläche „alles akzeptieren“ bietet die CMP einen „alle ablehnen“-Button.

Geltungsdauer der Einwilligung

Hinsichtlich der Geltungsdauer der Einwilligung sieht es die CNIL schließlich als „gute Praxis“, die Abgabe oder Verweigerung der Einwilligung sechs Monate lang zu speichern. Aus Sicht der Publisher ist diese Äußerung als praktischer Anhaltspunkt einerseits erfreulich, andererseits wäre hier mehr Flexibilität wünschenswert: Die CNIL möchte aber verhindern, dass die CMP bei jedem Besuch einer Website erneut angezeigt wird und Nutzer so zur Einwilligung gedrängt werden.

Fazit

Es ist zu begrüßen, dass die CNIL – gerade im Vergleich zu den deutschen Aufsichtsbehörden – ihre Auslegung der gesetzlichen Anforderungen auf diese Weise klarstellt und sich darum bemüht, praktische Hinweise zu ihrer Umsetzung zu geben. Es ist gut möglich, dass die in den beiden Papieren vertretenen Ansichten auch hierzulande Schule machen. Um so mehr ist es wichtig, dass sich auch die deutsche Onlinemarketing-Branche mit ihnen auseinandersetzt und frühzeitig den Austausch mit den Aufsichtsbehörden sucht – und im Zuge der geplanten Novelle des deutschen Telemediengesetzes durch das „Telekommunikations-Telemedien-Datenschutz-Gesetz“ („TTDSG“) auch mit dem Gesetzgeber. Dabei lohnt es sich auch, Haltung zu zeigen und nicht jede veröffentlichte Auslegung einfach hinzunehmen. Das beste Beispiel dafür ist die erfolgreiche Klage gegen das französische Verbot von Cookie-Walls. Besonders spannend wird dabei sein, welche CMP-Gestaltungen zukünftig von den Behörden und letztlich von den Gerichten akzeptiert werden – wir beraten Sie dazu gern.

Die „Planet49“-Entscheidung des Bundesgerichtshofs – warum die Frage nach den Cookies immer noch nicht geklärt ist

Mit dem heutigen Urteil des Bundesgerichtshofs ging das Verfahren zwischen dem Bundesverband der Verbraucherzentralen und der Planet49 GmbH, einer Anbieterin von Online-Gewinnspielen, zu Ende. Der Prozess hatte insbesondere die Frage nach der rechtlichen Wirksamkeit der Einwilligung von Website-Besuchern in die Speicherung von Marketing-Cookies zum Gegenstand. Diese Frage wurde dadurch aufgeworfen, dass die Beklagte im Jahre 2013 ein Gewinnspiel auf ihrer Website veranstaltet hatte. Hierfür gelangte der Nutzer auf eine Seite mit einem Webformular, auf dem er Namen und Anschrift angeben musste, wobei sich unter den Eingabefeldern für die Anschrift zwei Einverständniserklärungen mit Ankreuzfeldern befanden. Das erste Ankreuzfeld war nicht mit einem voreingestellten Häkchen versehen. Das hier zu erteilende Einverständnis bezog sich auf Werbung durch Sponsoren und Kooperationspartner der Beklagten per Post, Telefon, E-Mail oder SMS. Die Nutzer konnten die Sponsoren und Kooperationspartner selbst auswählen und ihr Einverständnis jederzeit widerrufen.

Das weitere Ankreuzfeld war bereits mit einem voreingestellten Häkchen versehen. Dieser voreingestellte Haken konnte zwar entfernt werden, eine Teilnahme am Gewinnspiel war allerdings nur möglich, wenn der Nutzer mindestens eines der beiden Felder mit einem Haken versah. Der Nutzer sollte im Rahmen dieser Erklärung dahin gehend einwilligen, dass ein mit einer Tracking-ID versehenes Cookie auf dem Endgerät gespeichert werden sollte:

„Ich bin einverstanden, dass der Webanalysedienst Remintrex bei mir eingesetzt wird. Das hat zur Folge, dass der Gewinnspielveranstalter, die [Beklagte], nach Registrierung für das Gewinnspiel Cookies setzt, welches [die Beklagte] eine Auswertung meines Surf- und Nutzungsverhaltens auf Websites von Werbepartnern und damit interessengerichtete Werbung durch Remintrex ermöglicht. Die Cookies kann ich jederzeit wieder löschen. Lesen Sie Näheres hier [Link zur Datenschutzerklärung].“

Der Nutzer wurde ferner darauf hingewiesen, dass mittels der gespeicherten ID jeder Besuch auf den Websites eines für Remintrex registrierten Werbepartners festgehalten würde und darüber hinaus erfasst würde, für welche Produkte sich der Nutzer interessiert und welche er kauft.

Während das Landgericht Frankfurt am Main die Beklagte zur Unterlassung beider Einverständniserklärungen verurteilte, erzielte der Kläger im Rahmen der Berufung lediglich mit dem Antrag bezüglich der Nutzung von Cookies bei voreingestellten Einwilligungserklärungen Erfolg. Nachdem das OLG Frankfurt die Revision zum Bundesgerichtshof zuließ, strengte der BGH ein Vorabentscheidungsverfahren vor dem Europäischen Gerichtshof an, um insbesondere die Frage nach der Wirksamkeit von Einwilligungen in die Setzung von Cookies unionsrechtlich klären zu lassen. Im rechtlichen Fokus standen hierbei Auslegungsfragen zu Art. 5 Abs. 3 und Art. 2 lit. f der ePrivacy-Richtlinie 2002/58/EG (in Deutschland umgesetzt in § 15 Abs. 3 Telemediengesetz) in Verbindung mit Art. 2 lit. h der Datenschutz-Richtlinie 95/46/EG sowie Art. 6 Abs. 1 lit. a der Datenschutzgrundverordnung 2016/679. Am 1. Oktober 2019 verkündete der EuGH das so genannte Planet49-Urteil und stellte fest, dass für eine wirksame Einwilligung eine aktive Handlung des Einwilligenden zu verlangen ist wofür vorausgewählte Checkboxen nicht ausreichen (siehe unseren Beitrag im Blog). Der EuGH begründete dies damit, dass eine voraktivierte Checkbox keine Aktivität des Nutzers darstelle. Vielmehr bestünde die Handlung des Nutzers bei voreingestellten Kästchen lediglich darin, die Voreinstellung abzuwählen.

Der BGH übernahm mit seinem heutigen Urteil diese Rechtsauslegung des EuGH und brachte das Gerichtsverfahren zum Abschluss. Bislang ist lediglich die Pressemitteilung öffentlich, die ausführlichen Entscheidungsgründe werden erst in den nächsten Tagen veröffentlicht. Der wichtigste Satz in der Pressemitteilung lautet wie folgt:

„§ 15 Abs. 3 Satz 1 TMG ist mit Blick auf Art. 5 Abs. 3 Satz 1 der Richtlinie 2002/58/EG in der durch Art. 2 Nr. 5 der Richtlinie 2009/136/EG geänderten Fassung dahin richtlinienkonform auszulegen, dass für den Einsatz von Cookies zur Erstellung von Nutzerprofilen für Zwecke der Werbung oder Marktforschung die Einwilligung des Nutzers erforderlich ist.“

Die ersten Reaktionen auf das Urteil und insbesondere auf diesen Kernsatz sind sehr unterschiedlich – und der Teufel liegt im Detail. Korrekt formuliert es aus unserer Sicht zum Beispiel der ARD-Rechtsexperte Frank Bräutigam:

Die Betonung liegt hier auf dem Wort Wenn. Denn die grundsätzliche Frage, Ob eine Einwilligung für das Setzen von Marketing-Cookies erforderlich ist, hatte der BGH (ebensowenig wie der EuGH im Vorabentscheidungsverfahren) nicht zu entscheiden. Anders ausgedrückt: Die eigentlich spannende, in der Onlinemarketing-Branche seit Jahren diskutierte Frage, ob man sich für die Verarbeitung pseudonymer Nutzerdaten zu Werbezwecken statt einer Einwilligung auch auf ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO stützen kann (wie es der Erwägungsgrund 47 der DSGVO auch ausdrücklich erwähnt), dazu findet sich – zumindest in der Pressemitteilung – keine Silbe. Der BGH stellt lediglich fest, dass das Inkrafttreten der DSGVO die deutsche Umsetzung der ePrivacy-Richtlinie im Telemediengesetz unberührt lasse. Die derzeitige parallele Regelung in DSGVO und TMG wird also nicht aufgelöst.

Dennoch verstehen viele die vom Bundesgerichtshof jetzt vorgegebene richtlinienkonforme Auslegung des § 15 Abs. 3 TMG als klare Marschroute, dass Online-Publisher für das Setzen von Marketing-Cookies zukünftig eine ausdrückliche Einwilligung ihrer Nutzer einholen müssen. (Damit widerspricht das Urteil übrigens der im März 2019 veröffentlichten Auffassung der deutschen Datenschutzaufsichtsbehörden, die deutsche Vorschrift sei als europarechtswidrig anzusehen und daher überhaupt nicht mehr anwendbar.) Bereits in den letzten Wochen war zu beobachten, dass große Online-Medien wie Spiegel Online auf Einwilligungsmodelle umstiegen.

Dabei bringt die Einwilligung als Rechtsgrundlage für das Onlinemarketing einen Strauß neuer Probleme mit sich: Wie können Online-Publisher Einwilligungen wirksam einholen, auf die sich alle am Onlinemarketing beteiligten Unternehmen stützen können, ohne ihren Nutzern völlig überfrachtete Popups anzeigen zu müssen? Wie kann die nach der DSGVO jederzeitige Widerrufbarkeit der Einwilligung in dieser Kette praktisch umgesetzt werden? Was geschieht, wenn Nutzer die Einwilligung massenhaft verweigern und so das Geschäftsmodell werbefinanzierter Online-Angebote unterlaufen? Viele Branchenmitglieder setzen ihre Hoffnungen derzeit in das Transparency and Consent Framework 2.0 des Branchenverbands IAB, dass die Verarbeitung von Nutzerdaten auf der Grundlage von Einwilligungen standardisieren soll.

Eigentlich liegt das Problem aber ganz woanders: Denn der europäische Gesetzgeber hatte ursprünglich beabsichtigt, die Frage des Onlinemarketings in der geplanten ePrivacy-Verordnung – als Nachfolgerin der alten ePrivacy-Richtlinie und Schwestergesetz zur Datenschutzgrundverordnung – neu zu regeln. Weil jedoch im Europäischen Rat keine Einigkeit über die Frage erzielt werden konnte, wie der Schutz der Privatsphäre der betroffenen Nutzer mit dem bestehenden Geschäftsmodell werbefinanzierter Onlineangebote zu vereinbaren ist, liegt der Plan seit Jahren auf Eis. Vielleicht gibt das heutige Urteil des Bundesgerichtshof der deutschen Ratspräsidentschaft in der zweiten Jahreshälfte 2020 jetzt den entscheidenden Impuls. Zumindest auf nationaler Ebene hat die deutsche Bundesregierung bereits eine Anpassung des Telemediengesetzes angekündigt.

Europäischer Datenschutzausschuss: Richtlinie zu den Anforderungen an die Einwilligung unter der DSGVO

Auch wenn der europäische Datenschutzausschuss (EDSA) die vielen geläufige Art. 29 Datenschutzgruppe bereits mit Einführung der Datenschutzgrundverordnung im Mai 2018 abgelöst hat, ist er bislang in der Öffentlichkeit noch nicht besonders in Erscheinung getreten. Das hat sich Anfang Mai geändert, denn die aus Vertretern der nationalen Datenschutzbehörden und dem Europäischen Datenschutzbeauftragten (EDSB) bestehende Organisation hat am 4. Mai eine Richtlinie zum Umgang mit Einwilligungen nach der DSGVO veröffentlicht, mit der sie die Anforderungen an eine wirksame Einwilligung insbesondere im Zusammenhang mit dem Betrieb von Webseiten weiter konkretisiert.

In weiten Teilen entspricht die neue Richtlinie dabei dem früheren Arbeitspapier der Artikel-29-Datenschutzgruppe WP 259.01. Aufgrund aktueller Entwicklungen in der Onlinewelt sah sich der Ausschuss aber offensichtlich veranlasst, zwei Themen im Zusammenhang mit der Einwilligung genauer zu beleuchten: Zum einen die Zulässigkeit von so genannten „Cookie-Walls“, zum anderen die Frage, ob die bloße Weiternutzung einer Webseite zum Beispiel durch Scrollen eine Einwilligung darstellen kann.

1. „Cookie-Walls“

Neu sind die Ausführungen des EDSA zu so genannten „Cookie-Walls“ in den Rz. 38-41 der Richtlinie. In diesem Abschnitt geht es grundsätzlich um die Frage der Freiwilligkeit der Einwilligung und das Kopplungsverbot in Art. 7 Abs. 4 DSGVO.

Art. 7 Abs. 4 DSGVO sieht vor:

„Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.“

Der EDSA argumentiert zunächst, dass eine Einwilligung nicht freiwillig sein kann, wenn sie zur Voraussetzung für die Durchführung eines Vertrages oder die Erbringung einer Dienstleistung gemacht wird und die Daten nicht erforderlich für diesen Dienst sind. Anders sieht es hingegen aus, wenn der von der Datenverarbeitung Betroffene eine Auswahlmöglichkeit hat: Lässt der Verantwortliche ihn entscheiden, ob er (a) in eine Datenverarbeitung einwilligen möchte, die für die Erbringung des Dienstes nicht erforderlich ist, oder (b) er einen gleichwertigen Dienst ohne Einwilligung in die Datenverarbeitung nutzen kann, so ist von einer Freiwilligkeit auszugehen. Dies setzt jedoch voraus, dass die vom selben Verantwortlichen angebotenen Dienste wirklich gleichwertig sind.

Anders sieht es nach Ansicht des EDSA hingegen aus, wenn der Verantwortliche den Nutzer vor folgende Wahl stellt: (a) „Sie nutzen meinen Dienst und willigen in eine Datenverarbeitung ein, die für die Erbringung des Dienstes nicht erforderlich ist“, oder (b) „Sie nutzen einen vergleichbaren Dienst eines anderen Anbieters, der ohne Einwilligung in die Datenverarbeitung funktioniert“. Ein solches „Aussperren“ der Nutzer mit Verweis auf Fremdangebote stellt in den Augen des Ausschusses keine echte gleichwertige Wahlmöglichkeit für Nutzer da, weshalb die auf eine solche Auswahlmöglichkeit erteilte Einwilligung als unwirksam, weil nicht freiwillig, eingestuft wird.

Als Beispiel führt der EDSA folgenden Fall an (von uns frei übersetzt):

„Beispiel 6a: Ein Website-Anbieter setzt ein Skript ein, das die Sichtbarkeit von Inhalten blockiert, mit Ausnahme einer Aufforderung zur Annahme von Cookies und der Information, welche Cookies gesetzt werden und zu welchen Zwecken Daten verarbeitet werden. Es gibt keine Möglichkeit, auf den Inhalt zuzugreifen, ohne auf die Schaltfläche „Cookies akzeptieren“ zu klicken.

Da der betroffenen Person keine echte Wahlmöglichkeit geboten wird, wird ihre Zustimmung nicht frei gegeben. Dies stellt keine gültige Einwilligung dar, da die Bereitstellung des Dienstes davon abhängt, dass die betroffene Person auf die Schaltfläche „Cookies akzeptieren“. Es wird keine echte Wahlmöglichkeit angeboten.“

Für „Cookie-Walls“ bedeutet dies zukünftig:

  • Die Einwilligung des Nutzers ist nur freiwillig, wenn es eine Möglichkeit gibt, das Webangebot eines Webseitenbetreibers auch ohne Einwilligung in eine nicht für den Betrieb der Webseite erforderliche Datenverarbeitung (beispielsweise der Einsatz von Marketing-Cookies) zu nutzen.
  • Der Webseitenbetreiber darf dabei nicht auf ein Drittangebot als Alternative verweisen.
  • Erlaubt bleibt demnach ein „Abo-oder-Tracking-Modell“, wie es ursprünglich derstandard.at in Österreich entwickelte und das nun auch auf deutschen Nachrichtenwebseiten anzutreffen ist, unter anderem bei spiegel.de oder zeit.de. Hier wird dem Nutzer vom selben Anbieter eine echte Wahlmöglichkeit gegeben, das Webseitenangebot entweder mit der (nicht erforderlichen) Datenverarbeitung zu nutzen, oder aber ein Abo abzuschließen und die (nicht erforderlichen) Datenverarbeitung zu vermeiden. Wichtig ist in diesem Zusammenhang jedoch, dass die angebotenen Dienste gleichwertig sein müssen. Wann von einer Gleichwertigkeit ausgegangen werden kann, wird vom EDSA leider nicht erwähnt. Aus unserer Sicht ist dieser Punkt alles andere als unproblematisch, insbesondere im Zusammenhang mit Presse-Webseiten: Wie der Fall derstandard.at zeigt, in dem sich ein Nutzer über das Abo-Modell bei der zuständigen Datenschutzbehörde beschwert hatte, werden die Aufsichtsbehörden die Gleichwertigkeit der Dienste im Wesentlichen danach bewerten, wie hoch der Preis für das Abo-Modell ist. So entschied auch die österreichische Datenschutzbehörde im Fall derstandard.at (den Beschluss gibt es hier zum Nachlesen): „Das O**-Abo ist mit einem Preis von 6 Euro monatlich ab dem zweiten Monat auch keine unverhältnismäßig teure Alternative.“ Dass sich nun Datenschutzaufsichtsbehörden dazu aufschwingen, ohne explizite gesetzliche Grundlage über die Preiskalkulation von Presseorganen zu entscheiden, muss rechtlich – insbesondere vor dem Hintergrund, dass die Pressefreiheit nach dem Grundgesetz auch eine „Pressefinanzierungsfreiheit“ beinhaltet – als zweifelhaft bewertet werden.

2. Weiterscrollen ist keine Einwilligung

Nach Art. 4 Nr. 11 DSGVO muss die Einwilligung unmissverständlich zum Ausdruck gebracht werden. Es bedarf also einer ausdrücklichen Erklärung oder einer anderen, eindeutig bestätigenden Handlung. In diesem Zusammenhang stellt sich die Frage, ob nicht auch dann von einer eindeutig bestätigenden Handlung ausgegangen werden kann, wenn der Webseitenbetreiber den Nutzer darauf hinweist Durch weiterscrollen/weitersurfen willigen Sie in die Datenverarbeitung ein“ und der Nutzer anschließend genau solche Handlungen vornimmt.

Diesem Ansatz schiebt der EDSA einen deutlichen Riegel vor (Beispiel 16 der Richtlinie):

„Aktionen wie das Scrollen oder Streichen durch eine Webseite oder ähnliche Benutzeraktivitäten genügen unter keinen Umständen dem Erfordernis einer eindeutigen und bestätigenden Handlung“ (Rz. 86 der Richtlinie)

Als Begründung führt der Ausschuss an, dass solche Aktionen sich nur schwer von anderen Aktivitäten oder Interaktionen eines Benutzers unterscheiden ließen. Auch könne nicht davon ausgegangen werden, dass Nutzer den Hinweis auf die Einwilligung durch Weiterscrollen wirklich vor der Interaktion zur Kenntnis nehmen würden, weil die Vielzahl von Cookie- und Consent-Bannern mittlerweile dazu führe, dass eine gewisse Müdigkeit der Nutzer entstehe und Hinweise nicht mehr wirklich gelesen würden. Darüber hinaus sei es in einem solchen Fall für den Nutzer kaum möglich, die Einwilligung auf eine Art und Weise zu widerrufen, die so einfach ist wie die Erteilung der Einwilligung (Art. 7 Abs. 3 S. 4 DSGVO).

Dass das bloße Weitersurfen keine aktive Einwilligung mehr darstellt, hatten wir bereits in unserer Besprechung des EuGH-Planet-49-Urteils hier im Blog dargestellt (Link). Insofern ist diese Klarstellung des europäischen Datenschutzausschusses für Eingeweihte nichts Neues – insbesondere in Italien und Spanien wurde diese Rechtsauffassung aber noch vertreten.

Trotzdem können Verantwortliche in anderen Zusammenhängen weiterhin auf einen Consent-Flow setzen, bei dem auch physische Bewegungen als eindeutige bestätigende Handlungen akzeptiert werden. Die für die Verarbeitung Verantwortlichen müssen dafür Mehrdeutigkeiten vermeiden und sicherstellen, dass die Handlung, durch die die Einwilligung erteilt wird, von anderen Handlungen klar unterschieden werden kann.

Als Beispiel nennt der EDSA (frei übersetzt):

„Beispiel 15: Streichen eines Balkens auf einem Bildschirm, Winken vor einer smarten Kamera oder Drehen eines Smartphones etwa im Uhrzeigersinn oder in einem Achter-Bewegung können Optionen sein, um eine Einwilligung wirksam zu erteilen, solange vorab eindeutige Informationen zur Verfügung gestellt werden, dass mit dieser Bewegung die Zustimmung zu einer bestimmten Anfrage erteilt wird (zum Beispiel „wenn Sie diesen Balken nach links streichen, erklären Sie sich mit der Verwendung von Information X für den Zweck Y einverstanden. Wiederholen Sie die Bewegung zur Bestätigung.“).“

Praktische Folgen kurz zusammengefasst:

  • Sofern Sie bislang auf das Einholen einer Einwilligung durch bloßes Weitersurfen des Nutzers gesetzt haben, sollten Sie dies spätestens jetzt dringend umstellen. Entsprechende Texte sind aus Consent-Bannern zu löschen.
  • Abseits von Webseiten können physische Bewegungen auch weiterhin zur Einholung einer Einwilligung (bspw. in Apps durch Swipen eines Balkens) eingesetzt werden, sofern sich die Bewegung klar von üblichen Bewegungen bei der Nutzung des Dienstes unterscheidet und der Nutzer vorab informiert wird.

Insgesamt ist abschließend darauf hinzuweisen, dass es sich bei den Vorgaben in den Richtlinie des EDSA nicht um verbindliche rechtliche Vorgaben handelt, sondern nur um die bloße Auffassung der nationalen europäischen Aufsichtsbehörden. Insofern haben die Ausführungen keinen bindenden Charakter und deuten nur an, in welche Richtung sich die Aufsichtsbehörden in ihrer Aufsichtspraxis wohl entwickeln werden. Letztlich werden die Gerichte entscheiden.