Internationale Datentransfers: deutsche Aufsichtsbehörden kündigen Prüfungen nach „Schrems II“ an

Nach dem Urteil des Europäischen Gerichtshofs in Sachen „Schrems II“ im Juli 2020 war klar, dass das „Privacy Shield“-Abkommen nicht weiter zur vereinfachten Durchführung von Datentransfers aus der EU in die USA herangezogen werden darf. In der Folge standen Tausende Unternehmen in der gesamten EU vor der Aufgabe, ihre internationalen Datentransfers (nicht nur) in die USA rechtmäßig auszugestalten. Eine Übergangsfrist gab es nicht, bislang waren die Aufsichtsbehörden jedoch noch nicht tätig geworden.

Am 1. Juni haben die deutschen Datenschutzaufsichtsbehörden jedoch konzertierte Kontrollen zur korrekten Umsetzung der „Schrems   II“-Entscheidung angekündigt und hierzu Fragebögen veröffentlicht, die in den nächsten Wochen an Unternehmen versandt werden sollen – und den Ausgangspunkt für entsprechende Prüf- und gegebenenfalls auch Bußgeldverfahren bilden könnten.

Welche Anforderungen stellt die DSGVO an internationale Datentransfers?

Hinsichtlich der Anforderungen der DSGVO an internationale Datentransfers sind zwei so genannte „Stufen“ zu unterscheiden:

  1. Rechtsgrundlage für die Datenübertragung: Auf der „ersten Stufe“ bedarf es bei internationalen Datentransfers – wie bei jeder anderen Datenübertragung auch – einer Rechtsgrundlage nach Art. 6 DSGVO. Die praktisch relevantesten Rechtsgrundlagen sind dabei die Einwilligung des Betroffenen in die Übertragung, die Erforderlichkeit der Datenübertragung zur Erfüllung eines Vertrags mit dem Betroffenen sowie die Datenübertragung auf der Grundlage der berechtigten Interessen des Verantwortlichen.
  2. Garantien zur Gewährleistung des Datenschutzes: Zudem bedarf es für Datentransfers in Länder, für die kein Angemessenheitsbeschluss der EU-Kommission vorliegt (also zum Beispiel im Fall der USA oder auch Großbritannien ) auf der „zweiten Stufe“ nach Art. 46 DSGVO „angemessener Garantien“, die beim Datenempfänger ein mit der EU vergleichbares Datenschutzniveau sicherstellen. Hierzu werden in der Praxis in der Regel so genannte Standardvertragsklauseln zwischen Datenexporteur und -empfänger eingesetzt.

Dabei ist jedoch auf der „zweiten Stufe“ zusätzlich zu beachten, dass der EuGH im „Schrems II“-Urteil ausdrücklich betonte, dass dann in jedem Einzelfall in einer so genannten Risikoabschätzung abgewogen werden muss, ob darüber hinaus zusätzliche Schutzmaßnahmen erforderlich sind, um ein geeignetes Datenschutzniveau zu gewährleisten. Dies ist bei Datenübertragungen in die USA regelmäßig der Fall.

Der Europäische Datenschutzausschuss hat zu diesen „zusätzlichen Schutzmaßnahmen“ Empfehlungen veröffentlicht, die die Entscheidung im Einzelfall jedoch nur wenig erleichtern. Die heute veröffentlichte Neufassung der Standardvertragsklauseln löst diese Situation auch nicht auf.

Überprüfung internationaler Datentransfers durch die Aufsichtsbehörden

Nachdem die deutschen Datenschutzaufsichtsbehörden in Sachen „Schrems II“ bislang Zurückhaltung geübt haben, ist die „Schonfrist“ nun offensichtlich abgelaufen. Laut einer Pressemittelung des Berliner Beauftragten für Datenschutz und Informationsfreiheit vom 1. Juni planen die deutschen Aufsichtsbehörden, gemeinsam entwickelte Fragenkataloge an ausgewählte Unternehmen zu verschicken. Es ist daher ratsam, sich auf eine mögliche Überprüfung vorzubereiten. Nachfolgend zeigen wir auf, worauf Sie achten müssen.

Die Fragebögen

Die Aufsichtsbehörden der Länder haben gemeinsam eine Reihe von Fragebögen entworfen, um die Umsetzung der „Schrems II“-Entscheidung in Unternehmen zu überprüfen. Ob sich alle 19 deutschen Datenschutzaufsichtsbehörden an diesen Kontrollen beteiligen werden, ist derzeit nicht bekannt. Fest steht, dass sich die Aufsichtsbehörden der folgenden Länder an dem Projekt beteiligen:

  • Baden-Württemberg
  • Bayern
  • Berlin
  • Brandenburg
  • Hamburg
  • Niedersachsen
  • Reinland-Pfalz
  • Saarland

Jede Aufsichtsbehörde entscheidet dabei individuell, in welchen der nachstehend aufgelisteten Themenfelder sie Prüfungen vornimmt und ob der Fragenkatalog regional angepasst wird. Die in Hamburg verwendeten Varianten können Sie auf der Website des Hamburgischen Beauftragen für Datenschutz und Informationsfreiheit einsehen.

Die Fragebögen erfassen die folgenden Themenfelder:

  • Dienste zum E-Mail-Versand
  • Hosting von Websites
  • Einsatz von Webtracking-Diensten
  • Verwaltung von Bewerberdaten
  • konzerninterner Austausch von Kundendaten und Beschäftigtendaten

Abgefragt wird dabei, abhängig von dem jeweiligen Themenfeld, vorrangig Folgendes:

  • Welche Dienstleister werden eingesetzt?
  • Ist der Dienstleister (unabhängig Verantwortlicher, gemeinsam Verantwortlicher oder Auftragsverarbeiter?
  • Wo befinden sich die eingesetzten Server?
  • Seit wann wird mit dem Dienstleister zusammengearbeitet?
  • Welche Kategorien personenbezogener Daten werden verarbeitet?
  • Auf welche Rechtsgrundlage wird die Datenverarbeitung gestützt („erste Stufe“)?
  • Findet eine Datenübertragung in einen Drittstaat statt?
  • Auf welche „Garantien“ (z.B. Standardvertragsklauseln) wird der internationale Datentransfer gestützt („zweite Stufe“)?
  • Wurde eine Risikoabschätzung für den internationalen Datentransfer vorgenommen?
  • Wurden zusätzliche Schutzmaßnahmen vereinbart?
  • Ist eine Umstellung auf eine andere (europäische) Lösung geplant?
  • Liegt ein vorschriftsmäßiges Verarbeitungsverzeichnis vor?

Der Knackpunkt: „zusätzliche Schutzmaßnahmen“ und „Risikoabschätzung“

Ein erstes Exempel wurde bereits statuiert: Am 10. März untersagte das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) einem Online-Händler die Nutzung des cloud-basierten und in den USA ansässigen Newsletter-Diensts Mailchimp. Nach Ansicht des BayLDA hätte das Unternehmen vor der Übertragung der E-Mail-Adressen seiner Newsletter-Empfänger im Rahmen einer Risikoabschätzung prüfen müssen, ob neben den (in den Mailchimp-AGB enthaltenen) Standardvertragsklauseln zusätzliche Schutzmaßnahmen für die Datensicherheit hätten ergriffen und mit dem Anbieter vertraglich vereinbart werden müssen. Dies war nicht geschehen, da das Unternehmen schlicht auf die Rechtmäßigkeit des viel genutzten Diensts vertraut hatte. Außerdem bietet Mailchimp nicht – wie manche anderen Online-Dienste – eine „europäische Lösung“ an, bei der die Daten in der EU verbleiben.

Dass jetzt jedes Unternehmen bei allen verwendeten Online-Diensten den Sitz des Anbieters und der Server prüfen und nach einer spezifischen Risikoabschätzung individuelle Zusatzmaßnahmen mit dem Anbieter vereinbaren und umsetzen muss, ist in der Praxis eigentlich nicht vorstellbar. Der mit diesem, auch „Standardvertragsklauseln Plus“ genannten – Modell verbundene bürokratische Aufwand ist enorm. Wer ihn scheut, muss auf eine europäische Lösung umstellen – oder das Risiko eines Bußgelds eingehen:

Mögliche Konsequenzen für Unternehmen

Der EuGH hat in der „Schrems II“-Entscheidung betont, dass die Aufsichtsbehörden unzulässige internationale Datentransfers zu untersagen haben. Es ist davon auszugehen, dass die Datenschutzbehörden bei Unklarheiten hinsichtlich der Zulässigkeit eines Datentransfers auf die Aussetzung der Übermittlung hinwirken werden. Darüber hinaus können jedoch auch weitere aufsichtsbehördliche Maßnahmen ergehen: Aufgrund der Zeit, die seit der Entscheidung des EuGH vergangen ist, während der Unternehmen die Möglichkeit hatten, ihre Datenübertragungen rechtskonform auszugestalten oder auszusetzen, ist davon auszugehen, dass es nicht bei bloßen Untersagungsverfügungen bleiben wird. Vielmehr ist damit zu rechnen, dass in naher Zukunft die ersten Bußgelder wegen der Nichtbeachtung der Schrems-II-Ent­schei­dung verhangen werden.

Wir raten dringend an, bestehende internationale Datentransfers auf ihre Rechtmäßigkeit hin zu überprüfen. Gerne stehen wir Ihnen hierbei beratend zur Seite und führen gegebenenfalls gemeinsam mit Ihnen die von den Aufsichtsbehörden geforderte dokumentierte Risikoabschätzung durch, wenn die aktuell einzige Alternative – ein Wechsel auf einen europäischen Anbieter – keine Option ist.

Consent Management: Abmahnfalle „Cookie-Banner“?

Geschrieben am

In der Folge der Entscheidung des Europäischen Gerichtshofs in Sachen „Planet49“ ist klar: Wer auf seiner Website Cookies setzt, muss dazu von seinen Website-Besuchern eine Einwilligung einholen. Davon ausgehend scheint sich jetzt eine „Abmahnfalle“ aufzutun.

Was ist passiert?

Wir sind kürzlich auf Abmahnungen in Bezug auf die Nutzung von Consent Management Plattformen (CMPs) gestoßen. Darin wurde die Ausgestaltung der Zustimmung und der entsprechenden Schaltflächen angegriffen.

Das abgemahnte Unternehmen bot beim Aufrufen der Website mit einer Schaltfläche „Akzeptieren“ die Zustimmung zur Verwendung von Cookies und ähnlichen Technologien an. Unter „Mehr Informationen“ konnten die Nutzer die Zustimmung ablehnen und Einstellungen verwalten.

Laut der Abmahnung verstieße dies schon gegen das Verbot des EuGH, vorangekreuzte Kästchen zu verwenden, da das Kästchen mit „Akzeptieren“ bereits „voreingestellt“ sei.

Was ist daraus zu folgern?

Ob solche Abmahnungen tatsächlich berechtigt sind, ist bislang nicht eindeutig geklärt.

Die Argumentation der Abmahner beruht auf der Kritik an der Praxis des so genannten Nudgings und dessen Auswirkung auf die Freiwilligkeit von Einwilligungen angelehnt sein. Mit Nudging wird eine unzulässige Einflussnahme auf die Entscheidung des Nutzers beschrieben. Dieser wird etwa durch die Gestaltung der Auswahlmöglichkeiten dahin geleitet, seine Zustimmung zu erteilen und die ablehnenden Alternativen nicht gleichwertig wahrzunehmen.

Die Landesbeauftragte für den Datenschutz in Niedersachsen (LfD NI) hat bekanntlich im November 2020 eine Handreichung zu „datenschutzkonformen Einwilligungen auf Webseiten“ veröffentlicht, wonach Nudging je nach konkreter Ausgestaltung zur Unwirksamkeit der eingeholten Einwilligungen führen kann:

  • Demnach müssen Website-Besucher bei der Abgabe ihrer Einwilligung über eine CMP eine echte Wahl haben und dürfen nicht in unzulässiger Weise beeinflusst werden. Eine unzulässige Einflussnahme kann beispielsweise darin liegen, dass die „Zustimmen“-Option im Vergleich zur „Ablehnen“-Option durch Farbe, Schriftschnitt und sonstige Hervorhebungen auffälliger gestaltet wird oder für das Ablehnen mehr Klicks erforderlich sind als für das Zustimmen.

Nachdem EuGH und BGH entschieden haben, dass vorangekreuzte Kästchen, die der Nutzung zur Verweigerung einer Einwilligung abwählen muss grundsätzlich keine Einwilligung darstellen, entschied das LG Rostock Ende letzten Jahres (Az. 3 O 762/19), dass auch eine entsprechende Gestaltung des Cookie-Banners wie vorangekreuzte Kästchen als unzulässig zu bewerten sein kann:

  • Sofern sämtliche Cookies vorausgewählt und etwa mit einer grün unterlegten Schaltfläche „Cookies zulassen“ aktiviert werden, sei dies wie die vom BGH entschiedene Konstellation der vorangekreuzten Kästchen zu bewerten. Der Nutzer würde regelmäßig den Aufwand des Abwählens scheuen und deshalb die Cookies bestätigen. Dies gelte jedenfalls, wenn der Nutzer keine echte Wahlmöglichkeit zum Ablehnen hat, etwa weil diese nicht als gleichwertige Schaltfläche zu erkennen sei.

Inwieweit das so genannte Nudging damit noch zulässig ist, lässt sich aktuell vor dem Hintergrund der gegenwärtigen Lage nicht abschließend bewerten. Eine höchstrichterliche Klärung bezogen auf die Darstellung eines Banners und der Schaltflächen sowie der damit verbundene Beurteilung des Nudgings steht noch aus. Zwar scheint es nicht zwingend, dass jede vergleichbare Konstellation mit bereits vorangekreuzten Kästchen gleichzusetzen ist. Aufgrund der Äußerungen von Behörden und nun zumindest auch erster Gerichte, die die Gestaltungsmöglichkeiten einschränken, dürften bestimmte Gestaltungen jedenfalls mit einem Risiko behaftet sein.

Auch aufgrund dieser Unklarheit wird von vielen Anbietern versucht, den bestehenden Rahmen weitestmöglich auszunutzen, um keine zu großen Nachteile bezüglich der Zustimmungsraten hinnehmen zu müssen.

Im Rahmen des geplanten neuem Gesetzes zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG, BT-Drs 19/27441) werden sogar Vorgaben wie eine „einfache Gestaltung beispielsweise mithilfe von nur zwei Buttons („Einwilligen“, „Ablehnen“)“ diskutiert, die somit in Zukunft(!) verpflichtend werden könnten.

Zu aktuell verwendeten Gestaltungen:

In aktuell häufig eingesetzten Gestaltungen könnte so z.B. kritisiert werden, dass der Nutzer keine freie Auswahl über die zuzulassenden Cookies trifft, sondern mit einem Klick auf „OK“ oder „einverstanden“ alle Cookies ohne deren Kenntnis zulässt bzw. sich erwartungsgemäß regelmäßig keine Kenntnis darüber verschafft. Dafür würde sprechen, dass er in der ersten Schicht der CMP auch keine direkte Abwahlmöglichkeit angeboten bekommt. Die Schaltfläche für die Einwilligung ist häufig deutlich gegenüber der Ablehnungsmöglichkeit hervorgehoben und besser als solche zu erkennen.

Zur weiteren Verringerung des damit verbundenen Risikos wäre zu empfehlen, dass

  1. neben den Schaltflächen „Zustimmung“ und „Einstellungen“ eine dritte Möglichkeit angeboten wird, mit einem Button, der z. B. „nur notwendige Cookies“ zulässt und eine Ablehnung der sonstigen Cookies mit einem Klick ermöglicht. (Der Nutzer sollte somit auf der ersten Ebene eine echte Wahl haben zwischen Zustimmen und Ablehnen),
  2. die Buttons in Farbe, Schriftschnitt gleichberechtigt nebeneinander stehen und leicht als Buttons/Auswahlmöglichkeiten zu erkennen sind und dass
  3. schon aus dem Informationstext stets eindeutig hervorgeht, wozu im Falle des Zustimmens die Einwilligung erteilt wird.

Dass noch darüber hinaus gehende Gestaltungen nötig sind, bei denen die Einwilligung für jeden Anbieter bzw. jedes Cookie einzeln angeklickt werden muss, erscheint zumindest praktisch kaum vorstellbar (wobei auch dies nach der Entscheidung des LG Rostock zumindest möglich wäre).

Insgesamt ist zu bedenken, dass aktuell die rechtliche Bewertung der Gestaltung von Cookie-Einwilligungen u.ä. noch im Fluss ist und vielmals sehr unterschiedlich ausfällt und dass es aktuell wegen unterschiedlicher Interpretationen der geltenden Gesetze und Rechtsprechung, noch keine vollständig sichere Lösung gibt. Darüber hinaus gelten natürlich die weiteren Hinweise zur Nutzung von Cookies und ähnlichen Technologien, auf die wir hier nicht gesondert eingehen.

Für Rückfragen oder konkrete Einschätzungen im Einzelfall stehen wir natürlich gern zur Verfügung.

Neues aus Frankreich – die CNIL hat (schon wieder) ein Rundschreiben versandt

Die CNIL (die französische Datenschutzbehörde) hat am 4. Februar 2021 angekündigt, dass sie Briefe und E-Mails an etwa 300 Organisationen, sowohl private als auch öffentliche, verschickt hat, um sie an die neuen Cookie-Regeln und die Notwendigkeit zu erinnern, Websites und Apps bis zum 31. März 2021 auf die Einhaltung dieser Regeln zu überprüfen.

Was hatte die CNIL gesagt ?

Am 1. Oktober 2020 veröffentlichte die CNIL eine überarbeitete Version ihrer Richtlinien zu Cookies und ähnlichen Technologien (die „Richtlinien“), ihre endgültigen Empfehlungen zu den praktischen Modalitäten für die Einholung der Zustimmung der Nutzer zur Speicherung oder zum Auslesen nicht wesentlicher Cookies und ähnlicher Technologien auf ihren Geräten (die „Empfehlungen“) sowie eine Reihe von Fragen und Antworten zu den Empfehlungen. Auch wir hatten auf diesem Blog berichtet.  Die CNIL hatte beschlossen, eine Übergangsfrist von sechs Monaten für die Einhaltung der Empfehlungen einzuräumen (d. h. bis zum 31. März 2021) und kündigte an, dass sie nach dieser Übergangsfrist Inspektionen zur Durchsetzung der Empfehlungen durchführen wird.

Die CNIL hatte im Rahmen ihrer Untersuchungen festgestellt, dass eine Vielzahl von Unternehmen  diese Vorgaben die CNIL immer noch nicht einhält. Sie machte daher in Rundschreiben auf Folgendes aufmerksam:

Das Cookie-Banner muss zum einen detailliert angeben, für welche Zwecke Cookies auf den Geräten der Nutzer gesetzt werden. Allgemeine Informationen wie „diese Seite verwendet Cookies“ oder „Cookies werden verwendet, um die Effizienz der Dienste, die wir Ihnen anbieten, zu verbessern“ sind nicht ausreichend.

Die Benutzer müssen zum anderen die Möglichkeit haben, Cookies mit der gleichen Leichtigkeit zu akzeptieren oder abzulehnen. Wenn der Cookie-Banner eine Schaltfläche „Alle akzeptieren“ enthält, müssen Webbetreiber eine Schaltfläche „Alle ablehnen“ auf derselben Ebene und im selben Format wie die Schaltfläche „Alle akzeptieren“ hinzufügen. Alternativ können Web-Betreiber den Nutzern die Möglichkeit geben, Cookies abzulehnen, indem sie den Cookie-Banner schließen, aber dies muss den Nutzern deutlich gemacht werden, z. B. durch die Aufnahme eines Links „Fortfahren ohne zu akzeptieren“ in den Cookie-Banner. Die CNIL erinnerte Organisationen daran, dass das bloße Vorhandensein von „Alle akzeptieren“- und „Cookie-Einstellungen“-Schaltflächen nicht ausreichend ist.

Die CNIL analysiert in regelmäßigen Abständen die Cookie-Praktiken der beliebtesten 1.000 Websites in Frankreich. Basierend auf den Ergebnissen ihrer bisherigen Analyse hat die CNIL beschlossen, Briefe an etwa 100 Betreiber der beliebtesten Websites in Frankreich zu senden, die Cookies von mehr als sechs Drittanbieter-Domains setzen, ohne die vorherige Zustimmung der Nutzer einzuholen. Die CNIL erinnerte die Unternehmen an die Notwendigkeit, ihre Cookie-Zustimmungsschnittstellen für die Verwendung von Tracking-Technologien auf ihren Websites oder Apps anzupassen, z. B. wenn sie Inhalte aus externen Quellen wie Social-Media-Plug-ins hinzufügen.

Was sagt die CNIL zu Analyse-Cookies ?

Die CNIL erinnerte  außerdem daran, dass Analytics-Cookies von der Einwilligung ausgenommen werden können, wenn

  • die Cookies nur zur Erstellung anonymer Statistiken verwendet werden,
  • die für das ordnungsgemäße Funktionieren des Dienstes unbedingt erforderlich sind und
  • ausschließlich für den Betreiber der betreffenden Website oder App bestimmt sind.

In den kommenden Wochen wird die CNIL weitere Informationen zu den Analyselösungen veröffentlichen, die von der Einwilligung ausgenommen sind.

Französische Datenschutzbehörde CNIL verhängt Rekord-Bußgelder gegen Google und Amazon wegen rechtswidriger Nutzung von Werbe-Cookies

Mit dem „Planet49“-Urteil des Europäisches Gerichtshofs wurde 2019 höchstrichterlich entschieden, dass die Verwendung von Werbe-Cookies die vorherige Zustimmung des Nutzers in Form einer aktiven Einwilligung erfordert. Die 7. Dezember ergangene Entscheidung der französischen Datenschutzbehörde CNIL gegen Google und Amazon gleicht einem Paukenschlag: Während Google und Google Ireland zusammen 100 Millionen Euro Strafe zahlen sollen, ist die Amazon-Tochter Europe Core mit einem Bußgeld in Höhe von 35 Millionen Euro belegt worden.

Sanktionierung der bisherigen Cookie-Praxis

Gegenüber Google erhebt die CNIL den Vorwurf, „ohne vorherige Zustimmung und ohne angemessene Information Werbe-Cookies auf den Computern von Nutzern der Suchmaschine google.fr platziert“ zu haben. Im Rahmen der durch die CNIL beanstandeten Praxis hatte Google bei dem Aufruf der Seite google.fr ein Banner mit der Überschrift „Rappel concernant les règles de confidentialité de Google“ („Erinnerung bezüglich der Datenschutzeinstellungen“) angezeigt. Die darauf befindlichen zwei Schaltflächen waren mit „Me le rappeler plus tard“ („Erinnere mich später“) und „Consulter maintenant“ („Jetzt zugreifen“) beschriftet.

Den Rechtsverstoß sieht die CNIL darin, dass dieser Banner den Nutzern keinen Hinweis auf das Setzen von Cookies erteilte, zumal bereits Werbe-Cookies bereits gesetzt wurden, sobald die Nutzer die Seite google.fr aufgerufen hatten. Selbst wenn die Nutzer sich entschieden hätten, die Schaltfläche „Consulter maintenant“ („Jetzt zugreifen“)aufzurufen, seien sie nicht ausreichend über die Cookies aufgeklärt worden. Den Nutzern habe so die Information gefehlt, wie sie dem Einsatz der Cookies widersprechen können.

Auch gegenüber der zum Amazon-Konzern gehörigen Europe Core wurde das automatische Setzen von Cookies ohne eine vorherige Zustimmung des Nutzers beanstandet.

Auch Anpassungen genügen nicht

Google hat die beschriebene Praxis seit der Einleitung des Bußgeldverfahren zwar angepasst. So ist der Cookie-Banner von Google seit September wie folgt gestaltet: Personen, die google.fr besuchen, sehen nun ein Popup in der Mitte ihres Bildschirms, bevor sie auf die Suchmaschine zugreifen können, das den Titel „Avant de continuer“ („Bevor Sie fortfahren“) trägt und übersetzt den folgenden Hinweis enthält:

Google verwendet Cookies und andere Daten, um seine Dienste und Anzeigen bereitzustellen, zu verwalten und zu verbessern. Wenn Sie zustimmen, werden wir die Inhalte und Anzeigen, die Sie sehen, auf der Grundlage Ihrer Aktivitäten in Google-Diensten wie Suche, Karten und YouTube anpassen. Einige unserer Partner werten auch aus, wie unsere Dienste genutzt werden. Klicken Sie auf Weitere Informationen“, um mehr über Ihre Möglichkeiten zu erfahren, oder besuchen Sie jederzeit die Seite g.co/privacytools, wo Cookies, Partner und g.co/privacytools anklickbare Links sind.

Am unteren Rand des Popups befinden sich zwei Schaltflächen mit den Beschriftungen „Plus d’information“ („Mehr Informationen“) und „J’accepte“ („Ich akzeptiere“).

Auch wenn die CNIL diesen neuen Hinweis über die Nutzung von Werbe-Cookies als unbestreitbaren Fortschritt zur früheren Praxis wertet, sind die Informationen aus Sicht der Datenschützer nach wie vor nicht geeignet, den Nutzer über alle Zwecke der hinterlegten Cookes und die Möglichkeit des Widerspruchs aufzuklären. Google und Google Ireland wurde deshalb eine Dreimonatsfrist zur erneuten Anpassung gesetzt, um weitere Strafzahlungen zu vermeiden.

Ein ähnliches Ultimatum stellt die CNIL an Europe Core, denn auch bei der Amazon-Tochter wird ein bereits überarbeitetes Informationsbanner noch nicht als Lösung des Problems gesehen.

Website-Betreiber sollten die Ausgestaltung ihrer Cookies-Banner überprüfen

In Anbetracht des drastischen Vorgehens der französischen Datenschützer ist beim Einsatz von Werbe-Cookies ein besonderes Augenmerk auf die rechtskonforme Ausgestaltung der Einwilligung und der dazu erforderlichen Information der Nutzer zu legen. Die Landesbeauftragte für den Datenschutz Niedersachsen hat dazu eine Handreichung erstellt, mit deren Hilfe die korrekte Cookie-Einwilligung auf Webseiten erleichtert werden soll. Diese ist als erste Orientierung für die Überprüfung der Datenschutzkonformität durchaus geeignet.

Danach sind kurz zusammengefasst insbesondere folgende Punkte für die Beurteilung der Wirksamkeit der Abgabe einer Einwilligung im Zusammenhang mit der Verwendung von Cookies von Bedeutung:

  1. Cookie-Einsatz erst nach erteilter Einwilligung
    Vor dem Setzen nicht notwendiger Cookies muss eine Einwilligungeingeholt werden.
  2. Informiertheit der Einwilligung
    Im Rahmen der Einwilligungsabfrage müssen die Nutzer mit den erforderlichen Informationen ausgestattet werden, insbesondere hinsichtlich der Identität des Verantwortlichen, der Verarbeitungszwecke, der verarbeiteten Daten und über das Bestehen eines Widerrufsrechts.
  3. Eindeutige und freiwillige Einwilligung
    Die Abgabe der Einwilligung bedarf einer eindeutigen bestätigenden Handlung. Die Nutzer müssen die Einwilligung auch verweigern können.
  4. Keine unzulässige Einflussnahme auf die Nutzerentscheidung
    Die Verweigerung der Einwilligung darf nicht unnötig kompliziert sein („Nudging“). Unzulässig sind auch Ansätze, die darauf abzielen, Nutzer, nachdem sie die Einwilligung abgelehnt haben, wiederholt nach dieser zu fragen, um diese „mürbe“ zu machen. 
  5. Widerruflichkeit der Einwilligung
    Der Widerruf der Einwilligung muss auf demselben Weg und so einfach wie die Erteilung der Einwilligung möglich sein.

Gern unterstützen wir Sie bei der Prüfung Ihrer Cookie-Nutzung und einer gegebenenfalls nötigen Überarbeitung Ihrer Plattform.

Frankreich: neue Orientierungshilfe zum Online-Tracking veröffentlicht

Die französische Datenschutzaufsichtsbehörde CNIL hat Anfang des Monats unter dem Titel „Cookies und andere Tracker“ zwei Papiere verabschiedet, in denen sie ihre Sichtweise zur Frage der Einwilligung beim Online-Tracking darlegt. Beim ersten der beiden Dokumente handelt es sich um „Leitlinien“, also in etwa um eine „Orientierungshilfe“ in der Sprache der deutschen Datenschutzkonferenz, das zweite Papier beinhaltet dagegen praktische Umsetzungsempfehlungen für Publisher, die prinzipiell keinen rechtlichen Gehalt haben.

Einwilligung auch beim Fingerprinting und im Mobile Tracking erforderlich

In Deutschland ist nach wie vor nicht geklärt, ob nach dem „Planet49“-Urteil des Europäischen Gerichtshofs das Erfordernis einer Einwilligung nach Art. 5 Abs. 3 der ePrivacy-Richtlinie nur für Cookies oder auch für „cookieless“-Technologien wie Fingerprinting und Mobile Tracking gilt. Denn bei diesen Technologien erfolgt im Vergleich zum Tracking mit Cookies kein Zugriff auf Daten im Endgerät des Nutzers, sondern es werden lediglich Informationen genutzt, die das Endgerät ohnehin an den Server des Publishers überträgt. Ohne weitere Diskussion folgt die CNIL in ihrem Papier derjenigen Ansicht, die für alle Tracking-Technologien eine Einwilligung für erforderlich hält – wohl dem ursprünglichen Ansinnen des Gesetzgebers aus dem Jahr 2009 entsprechend, „technologieneutrale“ Regeln aufzustellen. Es bleibt abzuwarten, ob diese Position auch in Deutschland Schule macht.

Cookie Walls: die CNIL bleibt skeptisch

Obwohl das höchste französische Verwaltungsgericht, der Conseil d’État, das von der CNIL ursprünglich erlassene Verbot von Cookie Walls aufgehoben hatte, bleibt die Behörde in ihrer neuen Verlautbarung skeptisch: Consent-Management-Plattformen (CMPs), die Nutzern den Zugriff zu verweigern, wenn sie keine Einwilligung abgeben, führen für die CNIL zumindest „in bestimmten Fällen“ zur „Beeinträchtigung der Freiwilligkeit“ – und damit zur Unwirksamkeit – der Einwilligung. In Deutschland sind Cookie Walls bereits weit verbreitet, unseres Wissens auch mit dem Segen der hiesigen Aufsichtsbehörden. Auch die CNIL wird sich dieser Entwicklung nicht versperren können, zumal ihr bei diesem Thema nunmehr gerichtlich die Hände gebunden sind.

In ähnlicher Form findet sich die Problematik an anderer Stelle des Papiers erneut wieder: Die CNIL fordert, dass Publisher es (wie in der „Second Layer“ der CMP nach dem TCF 2.0 vorgesehen) Nutzern ermöglichen müssen, ihre Einwilligung in Bezug auf einzelne Verarbeitungszwecke oder eingesetzte Dienste zu beschränken oder diese auszuschließen.

Transparenzpflichten

Hinsichtlich der Transparenzpflichten des Publishers beim Einsatz von Tracking-Technologien macht die Stellungnahme der CNIL zunächst den erfreulichen Eindruck, als folge man im Wesentlichen der Linie des TCF 2.0. Problematisch ist jedoch, dass eine vollständige Liste aller Verantwortlichen gefordert wird, die einwilligungspflichtige Tracker verwenden. Dies stellt ein Problem für Publisher dar, die Nutzerdaten für die Weitergabe an Dritte erheben (Data Broker oder Data Enrichment genannt). Hier kann der Publisher unmöglich wissen, wer die Daten letzten Endes erhält und nutzt. Die CNIL stellt hier also eine Bedingung auf, die für einen großen Teil der Branche praktisch nicht umsetzbar ist. Auch in Deutschland tritt dieses Problem auf – und wird auch vom TCF 2.0 nicht zufriedenstellend gelöst.

Publisher und Dienstleister als Joint Controller

Ohne konkret zu werden, bläst auch die CNIL in das bei allen Aufsichtsbehörden so beliebte Horn der gemeinsamen Verantwortlichkeit: Nach dem „Fashion-ID“-Urteil des Europäischen Gerichtshofs sind Publisher beim Einsatz von Tracking-Skripten wie dem Facebook-Pixel zumindest für den Vorgang der Datenerhebung gemeinsam verantwortlich, was den Abschluss einer gesonderten Vereinbarung erforderlich macht und entsprechende Transparenzpflichten auslöst.

Kein Einwilligungserfordernis für Analytics

Die erfreulichste Nachricht der CNIL findet sich ganz am Ende ihres Papiers: Für den Einsatz von Analytics-Diensten benötige man keine Einwilligung – auch dann nicht, wenn dazu Cookies gesetzt werden. Zu diesem Ergebnis kommt die Behörde über eine kreative Auslegung einer Ausnahmevorschrift der ePrivacy-Richtlinie: Der Einsatz von Webanalyse-Diensten sei für die Arbeit der Publisher in den Augen der CNIL „unbedingt erforderlich“. Dies gilt jedoch nicht, wenn die dabei erhobenen Daten für über die strikte Messung der Besucherzahlen hinaus gehende Zwecke genutzt werden – dann braucht es doch wieder eine Einwilligung.

Wird die „alles ablehnen“-Schaltfläche Pflicht?

Die CNIL wird nicht müde, es zu betonen: Für den Nutzer muss die Verweigerung der Einwilligung genauso einfach sein wie ihre Erteilung. Sie empfiehlt(!) daher, Nutzern bereits in der so genannten First Layer der CMP die Möglichkeit zu geben, mit einem Klick alle Cookies abzulehnen. Anders ausgedrückt: Die CNIL wünscht sich, dass Publisher unmittelbar neben der Schaltfläche “alle Cookies akzeptieren” auch direkt einen Button „alle Cookies ablehnen“ anzuzeigen – und ihn nicht in der Second Layer über die Schaltfläche „Einstellungen“ zu verstecken:

So wünscht es sich die CNIL: Direkt neben der Schaltfläche „alles akzeptieren“ bietet die CMP einen „alle ablehnen“-Button.

Geltungsdauer der Einwilligung

Hinsichtlich der Geltungsdauer der Einwilligung sieht es die CNIL schließlich als „gute Praxis“, die Abgabe oder Verweigerung der Einwilligung sechs Monate lang zu speichern. Aus Sicht der Publisher ist diese Äußerung als praktischer Anhaltspunkt einerseits erfreulich, andererseits wäre hier mehr Flexibilität wünschenswert: Die CNIL möchte aber verhindern, dass die CMP bei jedem Besuch einer Website erneut angezeigt wird und Nutzer so zur Einwilligung gedrängt werden.

Fazit

Es ist zu begrüßen, dass die CNIL – gerade im Vergleich zu den deutschen Aufsichtsbehörden – ihre Auslegung der gesetzlichen Anforderungen auf diese Weise klarstellt und sich darum bemüht, praktische Hinweise zu ihrer Umsetzung zu geben. Es ist gut möglich, dass die in den beiden Papieren vertretenen Ansichten auch hierzulande Schule machen. Um so mehr ist es wichtig, dass sich auch die deutsche Onlinemarketing-Branche mit ihnen auseinandersetzt und frühzeitig den Austausch mit den Aufsichtsbehörden sucht – und im Zuge der geplanten Novelle des deutschen Telemediengesetzes durch das „Telekommunikations-Telemedien-Datenschutz-Gesetz“ („TTDSG“) auch mit dem Gesetzgeber. Dabei lohnt es sich auch, Haltung zu zeigen und nicht jede veröffentlichte Auslegung einfach hinzunehmen. Das beste Beispiel dafür ist die erfolgreiche Klage gegen das französische Verbot von Cookie-Walls. Besonders spannend wird dabei sein, welche CMP-Gestaltungen zukünftig von den Behörden und letztlich von den Gerichten akzeptiert werden – wir beraten Sie dazu gern.