Consent Management: Abmahnfalle „Cookie-Banner“?

Geschrieben am von Dr. Lukas Mezger

In der Folge der Entscheidung des Europäischen Gerichtshofs in Sachen „Planet49“ ist klar: Wer auf seiner Website Cookies setzt, muss dazu von seinen Website-Besuchern eine Einwilligung einholen. Davon ausgehend scheint sich jetzt eine „Abmahnfalle“ aufzutun.

Was ist passiert?

Wir sind kürzlich auf Abmahnungen in Bezug auf die Nutzung von Consent Management Plattformen (CMPs) gestoßen. Darin wurde die Ausgestaltung der Zustimmung und der entsprechenden Schaltflächen angegriffen.

Das abgemahnte Unternehmen bot beim Aufrufen der Website mit einer Schaltfläche „Akzeptieren“ die Zustimmung zur Verwendung von Cookies und ähnlichen Technologien an. Unter „Mehr Informationen“ konnten die Nutzer die Zustimmung ablehnen und Einstellungen verwalten.

Laut der Abmahnung verstieße dies schon gegen das Verbot des EuGH, vorangekreuzte Kästchen zu verwenden, da das Kästchen mit „Akzeptieren“ bereits „voreingestellt“ sei.

Was ist daraus zu folgern?

Ob solche Abmahnungen tatsächlich berechtigt sind, ist bislang nicht eindeutig geklärt.

Die Argumentation der Abmahner beruht auf der Kritik an der Praxis des so genannten Nudgings und dessen Auswirkung auf die Freiwilligkeit von Einwilligungen angelehnt sein. Mit Nudging wird eine unzulässige Einflussnahme auf die Entscheidung des Nutzers beschrieben. Dieser wird etwa durch die Gestaltung der Auswahlmöglichkeiten dahin geleitet, seine Zustimmung zu erteilen und die ablehnenden Alternativen nicht gleichwertig wahrzunehmen.

Die Landesbeauftragte für den Datenschutz in Niedersachsen (LfD NI) hat bekanntlich im November 2020 eine Handreichung zu „datenschutzkonformen Einwilligungen auf Webseiten“ veröffentlicht, wonach Nudging je nach konkreter Ausgestaltung zur Unwirksamkeit der eingeholten Einwilligungen führen kann:

  • Demnach müssen Website-Besucher bei der Abgabe ihrer Einwilligung über eine CMP eine echte Wahl haben und dürfen nicht in unzulässiger Weise beeinflusst werden. Eine unzulässige Einflussnahme kann beispielsweise darin liegen, dass die „Zustimmen“-Option im Vergleich zur „Ablehnen“-Option durch Farbe, Schriftschnitt und sonstige Hervorhebungen auffälliger gestaltet wird oder für das Ablehnen mehr Klicks erforderlich sind als für das Zustimmen.

Nachdem EuGH und BGH entschieden haben, dass vorangekreuzte Kästchen, die der Nutzung zur Verweigerung einer Einwilligung abwählen muss grundsätzlich keine Einwilligung darstellen, entschied das LG Rostock Ende letzten Jahres (Az. 3 O 762/19), dass auch eine entsprechende Gestaltung des Cookie-Banners wie vorangekreuzte Kästchen als unzulässig zu bewerten sein kann:

  • Sofern sämtliche Cookies vorausgewählt und etwa mit einer grün unterlegten Schaltfläche „Cookies zulassen“ aktiviert werden, sei dies wie die vom BGH entschiedene Konstellation der vorangekreuzten Kästchen zu bewerten. Der Nutzer würde regelmäßig den Aufwand des Abwählens scheuen und deshalb die Cookies bestätigen. Dies gelte jedenfalls, wenn der Nutzer keine echte Wahlmöglichkeit zum Ablehnen hat, etwa weil diese nicht als gleichwertige Schaltfläche zu erkennen sei.

Inwieweit das so genannte Nudging damit noch zulässig ist, lässt sich aktuell vor dem Hintergrund der gegenwärtigen Lage nicht abschließend bewerten. Eine höchstrichterliche Klärung bezogen auf die Darstellung eines Banners und der Schaltflächen sowie der damit verbundene Beurteilung des Nudgings steht noch aus. Zwar scheint es nicht zwingend, dass jede vergleichbare Konstellation mit bereits vorangekreuzten Kästchen gleichzusetzen ist. Aufgrund der Äußerungen von Behörden und nun zumindest auch erster Gerichte, die die Gestaltungsmöglichkeiten einschränken, dürften bestimmte Gestaltungen jedenfalls mit einem Risiko behaftet sein.

Auch aufgrund dieser Unklarheit wird von vielen Anbietern versucht, den bestehenden Rahmen weitestmöglich auszunutzen, um keine zu großen Nachteile bezüglich der Zustimmungsraten hinnehmen zu müssen.

Im Rahmen des geplanten neuem Gesetzes zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG, BT-Drs 19/27441) werden sogar Vorgaben wie eine „einfache Gestaltung beispielsweise mithilfe von nur zwei Buttons („Einwilligen“, „Ablehnen“)“ diskutiert, die somit in Zukunft(!) verpflichtend werden könnten.

Zu aktuell verwendeten Gestaltungen:

In aktuell häufig eingesetzten Gestaltungen könnte so z.B. kritisiert werden, dass der Nutzer keine freie Auswahl über die zuzulassenden Cookies trifft, sondern mit einem Klick auf „OK“ oder „einverstanden“ alle Cookies ohne deren Kenntnis zulässt bzw. sich erwartungsgemäß regelmäßig keine Kenntnis darüber verschafft. Dafür würde sprechen, dass er in der ersten Schicht der CMP auch keine direkte Abwahlmöglichkeit angeboten bekommt. Die Schaltfläche für die Einwilligung ist häufig deutlich gegenüber der Ablehnungsmöglichkeit hervorgehoben und besser als solche zu erkennen.

Zur weiteren Verringerung des damit verbundenen Risikos wäre zu empfehlen, dass

  1. neben den Schaltflächen „Zustimmung“ und „Einstellungen“ eine dritte Möglichkeit angeboten wird, mit einem Button, der z. B. „nur notwendige Cookies“ zulässt und eine Ablehnung der sonstigen Cookies mit einem Klick ermöglicht. (Der Nutzer sollte somit auf der ersten Ebene eine echte Wahl haben zwischen Zustimmen und Ablehnen),
  2. die Buttons in Farbe, Schriftschnitt gleichberechtigt nebeneinander stehen und leicht als Buttons/Auswahlmöglichkeiten zu erkennen sind und dass
  3. schon aus dem Informationstext stets eindeutig hervorgeht, wozu im Falle des Zustimmens die Einwilligung erteilt wird.

Dass noch darüber hinaus gehende Gestaltungen nötig sind, bei denen die Einwilligung für jeden Anbieter bzw. jedes Cookie einzeln angeklickt werden muss, erscheint zumindest praktisch kaum vorstellbar (wobei auch dies nach der Entscheidung des LG Rostock zumindest möglich wäre).

Insgesamt ist zu bedenken, dass aktuell die rechtliche Bewertung der Gestaltung von Cookie-Einwilligungen u.ä. noch im Fluss ist und vielmals sehr unterschiedlich ausfällt und dass es aktuell wegen unterschiedlicher Interpretationen der geltenden Gesetze und Rechtsprechung, noch keine vollständig sichere Lösung gibt. Darüber hinaus gelten natürlich die weiteren Hinweise zur Nutzung von Cookies und ähnlichen Technologien, auf die wir hier nicht gesondert eingehen.

Für Rückfragen oder konkrete Einschätzungen im Einzelfall stehen wir natürlich gern zur Verfügung.

Neues aus Frankreich – die CNIL hat (schon wieder) ein Rundschreiben versandt

Geschrieben am von Dr. Frank Eickmeier

Die CNIL (die französische Datenschutzbehörde) hat am 4. Februar 2021 angekündigt, dass sie Briefe und E-Mails an etwa 300 Organisationen, sowohl private als auch öffentliche, verschickt hat, um sie an die neuen Cookie-Regeln und die Notwendigkeit zu erinnern, Websites und Apps bis zum 31. März 2021 auf die Einhaltung dieser Regeln zu überprüfen.

Was hatte die CNIL gesagt ?

Am 1. Oktober 2020 veröffentlichte die CNIL eine überarbeitete Version ihrer Richtlinien zu Cookies und ähnlichen Technologien (die „Richtlinien“), ihre endgültigen Empfehlungen zu den praktischen Modalitäten für die Einholung der Zustimmung der Nutzer zur Speicherung oder zum Auslesen nicht wesentlicher Cookies und ähnlicher Technologien auf ihren Geräten (die „Empfehlungen“) sowie eine Reihe von Fragen und Antworten zu den Empfehlungen. Auch wir hatten auf diesem Blog berichtet.  Die CNIL hatte beschlossen, eine Übergangsfrist von sechs Monaten für die Einhaltung der Empfehlungen einzuräumen (d. h. bis zum 31. März 2021) und kündigte an, dass sie nach dieser Übergangsfrist Inspektionen zur Durchsetzung der Empfehlungen durchführen wird.

Die CNIL hatte im Rahmen ihrer Untersuchungen festgestellt, dass eine Vielzahl von Unternehmen  diese Vorgaben die CNIL immer noch nicht einhält. Sie machte daher in Rundschreiben auf Folgendes aufmerksam:

Das Cookie-Banner muss zum einen detailliert angeben, für welche Zwecke Cookies auf den Geräten der Nutzer gesetzt werden. Allgemeine Informationen wie „diese Seite verwendet Cookies“ oder „Cookies werden verwendet, um die Effizienz der Dienste, die wir Ihnen anbieten, zu verbessern“ sind nicht ausreichend.

Die Benutzer müssen zum anderen die Möglichkeit haben, Cookies mit der gleichen Leichtigkeit zu akzeptieren oder abzulehnen. Wenn der Cookie-Banner eine Schaltfläche „Alle akzeptieren“ enthält, müssen Webbetreiber eine Schaltfläche „Alle ablehnen“ auf derselben Ebene und im selben Format wie die Schaltfläche „Alle akzeptieren“ hinzufügen. Alternativ können Web-Betreiber den Nutzern die Möglichkeit geben, Cookies abzulehnen, indem sie den Cookie-Banner schließen, aber dies muss den Nutzern deutlich gemacht werden, z. B. durch die Aufnahme eines Links „Fortfahren ohne zu akzeptieren“ in den Cookie-Banner. Die CNIL erinnerte Organisationen daran, dass das bloße Vorhandensein von „Alle akzeptieren“- und „Cookie-Einstellungen“-Schaltflächen nicht ausreichend ist.

Die CNIL analysiert in regelmäßigen Abständen die Cookie-Praktiken der beliebtesten 1.000 Websites in Frankreich. Basierend auf den Ergebnissen ihrer bisherigen Analyse hat die CNIL beschlossen, Briefe an etwa 100 Betreiber der beliebtesten Websites in Frankreich zu senden, die Cookies von mehr als sechs Drittanbieter-Domains setzen, ohne die vorherige Zustimmung der Nutzer einzuholen. Die CNIL erinnerte die Unternehmen an die Notwendigkeit, ihre Cookie-Zustimmungsschnittstellen für die Verwendung von Tracking-Technologien auf ihren Websites oder Apps anzupassen, z. B. wenn sie Inhalte aus externen Quellen wie Social-Media-Plug-ins hinzufügen.

Was sagt die CNIL zu Analyse-Cookies ?

Die CNIL erinnerte  außerdem daran, dass Analytics-Cookies von der Einwilligung ausgenommen werden können, wenn

  • die Cookies nur zur Erstellung anonymer Statistiken verwendet werden,
  • die für das ordnungsgemäße Funktionieren des Dienstes unbedingt erforderlich sind und
  • ausschließlich für den Betreiber der betreffenden Website oder App bestimmt sind.

In den kommenden Wochen wird die CNIL weitere Informationen zu den Analyselösungen veröffentlichen, die von der Einwilligung ausgenommen sind.

Französische Datenschutzbehörde CNIL verhängt Rekord-Bußgelder gegen Google und Amazon wegen rechtswidriger Nutzung von Werbe-Cookies

Geschrieben am von Dr. Lukas Mezger

Mit dem „Planet49“-Urteil des Europäisches Gerichtshofs wurde 2019 höchstrichterlich entschieden, dass die Verwendung von Werbe-Cookies die vorherige Zustimmung des Nutzers in Form einer aktiven Einwilligung erfordert. Die 7. Dezember ergangene Entscheidung der französischen Datenschutzbehörde CNIL gegen Google und Amazon gleicht einem Paukenschlag: Während Google und Google Ireland zusammen 100 Millionen Euro Strafe zahlen sollen, ist die Amazon-Tochter Europe Core mit einem Bußgeld in Höhe von 35 Millionen Euro belegt worden.

Sanktionierung der bisherigen Cookie-Praxis

Gegenüber Google erhebt die CNIL den Vorwurf, „ohne vorherige Zustimmung und ohne angemessene Information Werbe-Cookies auf den Computern von Nutzern der Suchmaschine google.fr platziert“ zu haben. Im Rahmen der durch die CNIL beanstandeten Praxis hatte Google bei dem Aufruf der Seite google.fr ein Banner mit der Überschrift „Rappel concernant les règles de confidentialité de Google“ („Erinnerung bezüglich der Datenschutzeinstellungen“) angezeigt. Die darauf befindlichen zwei Schaltflächen waren mit „Me le rappeler plus tard“ („Erinnere mich später“) und „Consulter maintenant“ („Jetzt zugreifen“) beschriftet.

Den Rechtsverstoß sieht die CNIL darin, dass dieser Banner den Nutzern keinen Hinweis auf das Setzen von Cookies erteilte, zumal bereits Werbe-Cookies bereits gesetzt wurden, sobald die Nutzer die Seite google.fr aufgerufen hatten. Selbst wenn die Nutzer sich entschieden hätten, die Schaltfläche „Consulter maintenant“ („Jetzt zugreifen“)aufzurufen, seien sie nicht ausreichend über die Cookies aufgeklärt worden. Den Nutzern habe so die Information gefehlt, wie sie dem Einsatz der Cookies widersprechen können.

Auch gegenüber der zum Amazon-Konzern gehörigen Europe Core wurde das automatische Setzen von Cookies ohne eine vorherige Zustimmung des Nutzers beanstandet.

Auch Anpassungen genügen nicht

Google hat die beschriebene Praxis seit der Einleitung des Bußgeldverfahren zwar angepasst. So ist der Cookie-Banner von Google seit September wie folgt gestaltet: Personen, die google.fr besuchen, sehen nun ein Popup in der Mitte ihres Bildschirms, bevor sie auf die Suchmaschine zugreifen können, das den Titel „Avant de continuer“ („Bevor Sie fortfahren“) trägt und übersetzt den folgenden Hinweis enthält:

Google verwendet Cookies und andere Daten, um seine Dienste und Anzeigen bereitzustellen, zu verwalten und zu verbessern. Wenn Sie zustimmen, werden wir die Inhalte und Anzeigen, die Sie sehen, auf der Grundlage Ihrer Aktivitäten in Google-Diensten wie Suche, Karten und YouTube anpassen. Einige unserer Partner werten auch aus, wie unsere Dienste genutzt werden. Klicken Sie auf Weitere Informationen“, um mehr über Ihre Möglichkeiten zu erfahren, oder besuchen Sie jederzeit die Seite g.co/privacytools, wo Cookies, Partner und g.co/privacytools anklickbare Links sind.

Am unteren Rand des Popups befinden sich zwei Schaltflächen mit den Beschriftungen „Plus d’information“ („Mehr Informationen“) und „J’accepte“ („Ich akzeptiere“).

Auch wenn die CNIL diesen neuen Hinweis über die Nutzung von Werbe-Cookies als unbestreitbaren Fortschritt zur früheren Praxis wertet, sind die Informationen aus Sicht der Datenschützer nach wie vor nicht geeignet, den Nutzer über alle Zwecke der hinterlegten Cookes und die Möglichkeit des Widerspruchs aufzuklären. Google und Google Ireland wurde deshalb eine Dreimonatsfrist zur erneuten Anpassung gesetzt, um weitere Strafzahlungen zu vermeiden.

Ein ähnliches Ultimatum stellt die CNIL an Europe Core, denn auch bei der Amazon-Tochter wird ein bereits überarbeitetes Informationsbanner noch nicht als Lösung des Problems gesehen.

Website-Betreiber sollten die Ausgestaltung ihrer Cookies-Banner überprüfen

In Anbetracht des drastischen Vorgehens der französischen Datenschützer ist beim Einsatz von Werbe-Cookies ein besonderes Augenmerk auf die rechtskonforme Ausgestaltung der Einwilligung und der dazu erforderlichen Information der Nutzer zu legen. Die Landesbeauftragte für den Datenschutz Niedersachsen hat dazu eine Handreichung erstellt, mit deren Hilfe die korrekte Cookie-Einwilligung auf Webseiten erleichtert werden soll. Diese ist als erste Orientierung für die Überprüfung der Datenschutzkonformität durchaus geeignet.

Danach sind kurz zusammengefasst insbesondere folgende Punkte für die Beurteilung der Wirksamkeit der Abgabe einer Einwilligung im Zusammenhang mit der Verwendung von Cookies von Bedeutung:

  1. Cookie-Einsatz erst nach erteilter Einwilligung
    Vor dem Setzen nicht notwendiger Cookies muss eine Einwilligungeingeholt werden.
  2. Informiertheit der Einwilligung
    Im Rahmen der Einwilligungsabfrage müssen die Nutzer mit den erforderlichen Informationen ausgestattet werden, insbesondere hinsichtlich der Identität des Verantwortlichen, der Verarbeitungszwecke, der verarbeiteten Daten und über das Bestehen eines Widerrufsrechts.
  3. Eindeutige und freiwillige Einwilligung
    Die Abgabe der Einwilligung bedarf einer eindeutigen bestätigenden Handlung. Die Nutzer müssen die Einwilligung auch verweigern können.
  4. Keine unzulässige Einflussnahme auf die Nutzerentscheidung
    Die Verweigerung der Einwilligung darf nicht unnötig kompliziert sein („Nudging“). Unzulässig sind auch Ansätze, die darauf abzielen, Nutzer, nachdem sie die Einwilligung abgelehnt haben, wiederholt nach dieser zu fragen, um diese „mürbe“ zu machen. 
  5. Widerruflichkeit der Einwilligung
    Der Widerruf der Einwilligung muss auf demselben Weg und so einfach wie die Erteilung der Einwilligung möglich sein.

Gern unterstützen wir Sie bei der Prüfung Ihrer Cookie-Nutzung und einer gegebenenfalls nötigen Überarbeitung Ihrer Plattform.

Frankreich: neue Orientierungshilfe zum Online-Tracking veröffentlicht

Geschrieben am von Dr. Lukas Mezger

Die französische Datenschutzaufsichtsbehörde CNIL hat Anfang des Monats unter dem Titel „Cookies und andere Tracker“ zwei Papiere verabschiedet, in denen sie ihre Sichtweise zur Frage der Einwilligung beim Online-Tracking darlegt. Beim ersten der beiden Dokumente handelt es sich um „Leitlinien“, also in etwa um eine „Orientierungshilfe“ in der Sprache der deutschen Datenschutzkonferenz, das zweite Papier beinhaltet dagegen praktische Umsetzungsempfehlungen für Publisher, die prinzipiell keinen rechtlichen Gehalt haben.

Einwilligung auch beim Fingerprinting und im Mobile Tracking erforderlich

In Deutschland ist nach wie vor nicht geklärt, ob nach dem „Planet49“-Urteil des Europäischen Gerichtshofs das Erfordernis einer Einwilligung nach Art. 5 Abs. 3 der ePrivacy-Richtlinie nur für Cookies oder auch für „cookieless“-Technologien wie Fingerprinting und Mobile Tracking gilt. Denn bei diesen Technologien erfolgt im Vergleich zum Tracking mit Cookies kein Zugriff auf Daten im Endgerät des Nutzers, sondern es werden lediglich Informationen genutzt, die das Endgerät ohnehin an den Server des Publishers überträgt. Ohne weitere Diskussion folgt die CNIL in ihrem Papier derjenigen Ansicht, die für alle Tracking-Technologien eine Einwilligung für erforderlich hält – wohl dem ursprünglichen Ansinnen des Gesetzgebers aus dem Jahr 2009 entsprechend, „technologieneutrale“ Regeln aufzustellen. Es bleibt abzuwarten, ob diese Position auch in Deutschland Schule macht.

Cookie Walls: die CNIL bleibt skeptisch

Obwohl das höchste französische Verwaltungsgericht, der Conseil d’État, das von der CNIL ursprünglich erlassene Verbot von Cookie Walls aufgehoben hatte, bleibt die Behörde in ihrer neuen Verlautbarung skeptisch: Consent-Management-Plattformen (CMPs), die Nutzern den Zugriff zu verweigern, wenn sie keine Einwilligung abgeben, führen für die CNIL zumindest „in bestimmten Fällen“ zur „Beeinträchtigung der Freiwilligkeit“ – und damit zur Unwirksamkeit – der Einwilligung. In Deutschland sind Cookie Walls bereits weit verbreitet, unseres Wissens auch mit dem Segen der hiesigen Aufsichtsbehörden. Auch die CNIL wird sich dieser Entwicklung nicht versperren können, zumal ihr bei diesem Thema nunmehr gerichtlich die Hände gebunden sind.

In ähnlicher Form findet sich die Problematik an anderer Stelle des Papiers erneut wieder: Die CNIL fordert, dass Publisher es (wie in der „Second Layer“ der CMP nach dem TCF 2.0 vorgesehen) Nutzern ermöglichen müssen, ihre Einwilligung in Bezug auf einzelne Verarbeitungszwecke oder eingesetzte Dienste zu beschränken oder diese auszuschließen.

Transparenzpflichten

Hinsichtlich der Transparenzpflichten des Publishers beim Einsatz von Tracking-Technologien macht die Stellungnahme der CNIL zunächst den erfreulichen Eindruck, als folge man im Wesentlichen der Linie des TCF 2.0. Problematisch ist jedoch, dass eine vollständige Liste aller Verantwortlichen gefordert wird, die einwilligungspflichtige Tracker verwenden. Dies stellt ein Problem für Publisher dar, die Nutzerdaten für die Weitergabe an Dritte erheben (Data Broker oder Data Enrichment genannt). Hier kann der Publisher unmöglich wissen, wer die Daten letzten Endes erhält und nutzt. Die CNIL stellt hier also eine Bedingung auf, die für einen großen Teil der Branche praktisch nicht umsetzbar ist. Auch in Deutschland tritt dieses Problem auf – und wird auch vom TCF 2.0 nicht zufriedenstellend gelöst.

Publisher und Dienstleister als Joint Controller

Ohne konkret zu werden, bläst auch die CNIL in das bei allen Aufsichtsbehörden so beliebte Horn der gemeinsamen Verantwortlichkeit: Nach dem „Fashion-ID“-Urteil des Europäischen Gerichtshofs sind Publisher beim Einsatz von Tracking-Skripten wie dem Facebook-Pixel zumindest für den Vorgang der Datenerhebung gemeinsam verantwortlich, was den Abschluss einer gesonderten Vereinbarung erforderlich macht und entsprechende Transparenzpflichten auslöst.

Kein Einwilligungserfordernis für Analytics

Die erfreulichste Nachricht der CNIL findet sich ganz am Ende ihres Papiers: Für den Einsatz von Analytics-Diensten benötige man keine Einwilligung – auch dann nicht, wenn dazu Cookies gesetzt werden. Zu diesem Ergebnis kommt die Behörde über eine kreative Auslegung einer Ausnahmevorschrift der ePrivacy-Richtlinie: Der Einsatz von Webanalyse-Diensten sei für die Arbeit der Publisher in den Augen der CNIL „unbedingt erforderlich“. Dies gilt jedoch nicht, wenn die dabei erhobenen Daten für über die strikte Messung der Besucherzahlen hinaus gehende Zwecke genutzt werden – dann braucht es doch wieder eine Einwilligung.

Wird die „alles ablehnen“-Schaltfläche Pflicht?

Die CNIL wird nicht müde, es zu betonen: Für den Nutzer muss die Verweigerung der Einwilligung genauso einfach sein wie ihre Erteilung. Sie empfiehlt(!) daher, Nutzern bereits in der so genannten First Layer der CMP die Möglichkeit zu geben, mit einem Klick alle Cookies abzulehnen. Anders ausgedrückt: Die CNIL wünscht sich, dass Publisher unmittelbar neben der Schaltfläche “alle Cookies akzeptieren” auch direkt einen Button „alle Cookies ablehnen“ anzuzeigen – und ihn nicht in der Second Layer über die Schaltfläche „Einstellungen“ zu verstecken:

So wünscht es sich die CNIL: Direkt neben der Schaltfläche „alles akzeptieren“ bietet die CMP einen „alle ablehnen“-Button.

Geltungsdauer der Einwilligung

Hinsichtlich der Geltungsdauer der Einwilligung sieht es die CNIL schließlich als „gute Praxis“, die Abgabe oder Verweigerung der Einwilligung sechs Monate lang zu speichern. Aus Sicht der Publisher ist diese Äußerung als praktischer Anhaltspunkt einerseits erfreulich, andererseits wäre hier mehr Flexibilität wünschenswert: Die CNIL möchte aber verhindern, dass die CMP bei jedem Besuch einer Website erneut angezeigt wird und Nutzer so zur Einwilligung gedrängt werden.

Fazit

Es ist zu begrüßen, dass die CNIL – gerade im Vergleich zu den deutschen Aufsichtsbehörden – ihre Auslegung der gesetzlichen Anforderungen auf diese Weise klarstellt und sich darum bemüht, praktische Hinweise zu ihrer Umsetzung zu geben. Es ist gut möglich, dass die in den beiden Papieren vertretenen Ansichten auch hierzulande Schule machen. Um so mehr ist es wichtig, dass sich auch die deutsche Onlinemarketing-Branche mit ihnen auseinandersetzt und frühzeitig den Austausch mit den Aufsichtsbehörden sucht – und im Zuge der geplanten Novelle des deutschen Telemediengesetzes durch das „Telekommunikations-Telemedien-Datenschutz-Gesetz“ („TTDSG“) auch mit dem Gesetzgeber. Dabei lohnt es sich auch, Haltung zu zeigen und nicht jede veröffentlichte Auslegung einfach hinzunehmen. Das beste Beispiel dafür ist die erfolgreiche Klage gegen das französische Verbot von Cookie-Walls. Besonders spannend wird dabei sein, welche CMP-Gestaltungen zukünftig von den Behörden und letztlich von den Gerichten akzeptiert werden – wir beraten Sie dazu gern.

Tracking im Fokus der Aufsichtsbehörden: Länderübergreifende Prüfung von Medien-Websites

Geschrieben am von Dr. Frank Eickmeier

Es war abzusehen, dass in Folge der Entscheidungen des EuGH und des BGH in Sachen „Planet 49“ (Urteil vom 28.5.2020, Az. I ZR 7/16; wir berichteten) auch die Aufsichtsbehörden beim Thema Tracking und Cookies aktiv werden würden. Nun ist es so weit: In einer koordinierten länderübergreifenden Aktion gehen elf deutsche Datenschutzaufsichtsbehörden gegen größere Medienhäuser vor (konkret handelt es sich um die Aufsichtsbehörden in Baden-Württemberg, Brandenburg, Bremen, Hamburg, Hessen, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz, Sachsen, Sachsen-Anhalt und Schleswig-Holstein). Eine erste öffentliche Ankündigung ist der Pressemitteilung des LfDI Baden-Württemberg vom 19.08.2020 zu entnehmen.

Die Aufsichtsbehörden haben demnach an die reichweitenstärksten Verlage in Ihrem Zuständigkeitsbereich ein förmliches Auskunftsverlangen versandt, auf das die Verlage innerhalb einer recht kurzen Frist von wenigen Wochen antworten müssen. Dabei haben die Behörden Ihren Schreiben einen umfangreichen Fragebogen beigefügt, der auszufüllen ist.

Sowohl der Fragebogen, als auch die dazugehörigen Erläuterungen und Anschreiben wurden mittlerweile bei fragdenstaat.de veröffentlicht:

Es deutet sich an, dass dies nur der erste Schritt der Aufsichtsbehörden ist. Offenbar geht man dort davon aus, dass „das Problem mit den Cookies“ in der Medienbranche ganz besonders ausgeprägt ist, weshalb diese Branche ein guter Startpunkt für die eigenen Regulierungsbemühungen ist. Man wird damit rechnen müssen, dass nach Abschluss des Verfahrens der Blick auch in Richtung anderer Branchen gehen wird.

Bis dahin stellt sich die Frage welche Erkenntnisse sich aus diesem Verfahren für den Einsatz von Tracking-Technologien gewinnen lassen.

Welche Erkenntnisse kann man aus den Anschreiben erlangen?

Los geht es mit den Anschreiben der Behörden (derzeit liegen uns Fassungen aus Rheinland-Pfalz und Baden-Württemberg vor). Das erste was hier auffällt ist, dass diese – anders als der Fragebogen und die dazugehörigen Dokumente – unter den Behörden nicht abgestimmt sind und unterschiedlich ausfallen. Dabei ist nicht nur die Formulierung unterschiedlich, auch der rechtliche Gehalt der Schreiben ist ein anderer.

Zwar sagt sowohl die Behörde aus Baden-Württemberg als auch die aus Rheinland-Pfalz, für den Einsatz von Tracking-Technologien benötige man pauschal eine Einwilligung des Nutzers. Die rechtliche Begründung ist jedoch anders. So verweist der LfDI Baden-Württemberg allein auf die „Orientierungshilfe Telemedien“, die die Aufsichtsbehörden im letzten Frühjahr herausgegeben haben. Konkret heißt es:

„Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder(DSK) hat in verschiedenen Veröffentlichungen dargelegt, welche datenschutzrechtlichen Anforderungen beim Einsatz von Diensten gelten, die der Bildung von Nutzerprofilen – vor allem zu Werbezwecken – dienen. Insbesondere mit der Orientierungshilfe für Anbieter von Telemedien vom März 2019 (https://www.datenschutzkonferenzonline.de/media/oh/20190405_oh_tmg.pdf) wurden diese ausführlich erläutert. So sind die Einbindung von Drittdienstleistern, die das Verhalten von Nutzern im Internet nachvollziehbar machen, sowie das Erstellen von Nutzerprofilen auf Webseiten in der Regel nur zulässig, wenn die Nutzer darin ausdrücklich eingewilligt haben.“

Dies ist insofern fragwürdig, als dass die Ausführungen in der angesprochenen Orientierungshilfe lange vor den (für den Einsatz von Cookies) wichtigen Urteilen des EuGH und BGH in der Rechtssache „Planet 49“ erfolgten und nach diesen Urteilen quasi unbrauchbar sind, weil sie auf der Annahme fußen, dass eine richtlinienkonforme Auslegung des § 15 Abs. 3 S. 1 TMG nicht möglich und die Norm daher nicht anwendbar sei (Orientierungshilfe Telemedien, S. 2-6). Stattdessen befasst sich die Orientierungshilfe lang und breit mit der Anwendung der Rechtsgrundlage der berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO). Ein Rückgriff auf die Rechtsgrundlagen der DSGVO ist im Anwendungsbereich des – vom BGH für wirksam erachteten § 15 Abs. 3 S. 1 TMG – jedoch nicht möglich. Kurzum: Die rechtlichen Ausführungen des LfDI Baden-Württemberg hinken der rechtlichen Entwicklung des letzten Jahres bedenklich hinterher. Es wirkt hier fast so, als habe man das ganze Projekt vor dem aufsehenerregenden Urteil des BGH bereits angestoßen und wollte es trotz des Urteils nun nicht mehr stoppen.

Etwas aktueller wirkt das Schreiben des LfDI Rheinland-Pfalz. Dieser geht zwar zunächst auch auf die veraltete Orientierungshilfe ein, schwenkt dann aber über und erwähnt zumindest das Urteil des BGH. Allerdings ist die Auseinandersetzung mit dem Urteil dann auch wenig differenziert. Die pauschale Feststellung lautet sinngemäß: „Der BGH erklärt zwar § 15 Abs. 3 TMG für anwendbar, es bleibt aber beim selben Ergebnis wie in der Orientierungshilfe: Für Cookies braucht man eine Einwilligung“.

Obwohl der LfDI Rheinland-Pfalz hier in recht apodiktischem Ton das Urteil des BGH in seinem Umfang und seinen Konsequenzen mit der Orientierungshilfe Telemedien gleichstellt, sollten Verantwortliche dies nicht sofort für bare Münze nehmen. In der Fachwelt wird das BGH-Urteil derzeit sehr kontrovers diskutiert. Es ist noch lange nicht klar, ob und wie die wenigen inhaltlichen Aussagen des BGH zu § 15 Abs. 3 TMG zu verstehen sind.

Insbesondere zur Zuständigkeit der Aufsichtsbehörden bereitet die vom BGH beschlossene Anwendbarkeit von § 15 Abs. 3 TMG viele Schwierigkeiten, denn dass die Datenschutzaufsichtsbehörden sowohl für die Aufsicht als auch die Verhängung von Bußgeldern zuständig sind, ist alles andere als klar.

An dieser Stelle ein kurzer Exkurs:

Selbstverständlich sind die Datenschutzaufsichtsbehörden für die Überwachung der Einhaltung und Ahndung von Verstößen in Bezug auf die DSGVO zuständig (geregelt in Art. 58 Abs. 1 und 2 DSGVO sowie Art. 83 DSGVO). Ist die DSGVO allerdings aufgrund des beschriebenen Vorrangverhältnisses nicht anwendbar, stellt sich die Frage, wer solche Sachverhalte aus aufsichtsrechtlicher Sicht dann überwacht.

Das TMG selbst enthält keine Zuständigkeitsregelung. Stattdessen kommt an dieser Stelle der Rundfunkstaatsvertrag ins Spiel. Dort ist in § 1 Abs. 1 Hs. 2 RStV geregelt, dass für Telemedien (der juristische Begriff für Webangebote) die Abschnitte IV. bis VI. sowie § 20 Abs. 2 des RStV gelten. Im VI. Abschnitt findet sich sodann unter der Überschrift „Aufsicht“ der § 59 RStV, in dem es in Abs. 1 S. 1 heißt:

„Die nach den allgemeinen Datenschutzgesetzen des Bundes und der Länder zuständigen Aufsichtsbehörden überwachen für ihren Bereich die Einhaltung der allgemeinen Datenschutzbestimmungen und des § 57.“

Weiter heißt es in § 59 Abs. 2 RstV:

„Die Einhaltung der Bestimmungen für Telemedien einschließlich der allgemeinen Gesetze und der gesetzlichen Bestimmungen zum Schutz der persönlichen Ehre mit Ausnahme des Datenschutzes wird durch nach Landesrecht bestimmte Aufsichtsbehörden überwacht.“

Daraus folgt zunächst einmal: Geht es um speziell datenschutzrechtliche Belange, sind die Datenschutzaufsichtsbehörden für die Aufsicht zuständig. Für die Aufsicht über die Einhaltung anderer als datenschutzrechtlicher Bestimmungen für Telemedien sind hingegen die jeweiligen Landesmedienanstalten zuständig.

Da der § 15 TMG im Telemediengesetz in Abschnitt „4. Datenschutz“ steht, kann davon ausgegangen werden, dass somit die Datenschutzaufsichtsbehörden deshalb für die Aufsicht zuständig sind. Dieser Meinung ist offenbar auch das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), wie hier nachzulesen ist.

Nicht ausdrücklich geregelt in § 59 RStV ist jedoch eine Regelung zur Zuständigkeit für die Verteilung von Bußgeldern. Wären die Datenschutzaufsichtsbehörden hierfür nicht zuständig, wären sie beim Thema Cookies und Tracking ein zahnloser Tiger, denn sie könnten zwar wie jetzt Auskunft verlangen, jedoch Verstöße nicht per Bußgeld ahnden. (Ende Exkurs)

Vor diesem Hintergrund wirkt es mutig, dass die Aufsichtsbehörden sich in dieser noch recht unklaren Gesamtgemengelage in einer so umfassenden Aktion auf das Thema Tracking und Cookies stürzen, offenbar ohne eine ausgefeilte rechtliche Argumentation an der Hand zu haben.

Was offenbart der Fragebogen?

Der elfseitige Fragebogen enthält eine Reihe von Fragen, von denen inhaltlich viele wohl erwartbar waren, bei dem jedoch insgesamt die Detailtiefe überrascht.

Der Fragebogen ist in sechs Abschnitte aufgeteilt. Am Anfang steht eine Bestandsaufnahme. Webseitenbetreiber müssen die eingesetzten Dienste sowie die damit verarbeiteten Daten benennen. Schon hier geht es sehr in die Tiefe: Nicht nur muss der Fragebogen ausgefüllt werden – die Dienste müssen auch in den beigefügten Tabellendokumenten minutiös mit vielen technischen Details aufgelistet werden. Viele Anbieter werden dabei wohl Schwierigkeiten bekommen. Obendrauf lässt der Fragebogen an dieser Stelle auch erkennen, dass die Behörden ganz offensichtlich nicht nur den Einsatz von Cookies im Blick haben, sondern sämtliche Tracking-Technologien (wie z. B. Web Storage, Flash-Objekte, Fingerprinting, Tracking mittels TLS SessionIDs, TLS Session Tickets) von der Prüfung erfasst sind. Auch dies ist nicht ganz unproblematisch, da vom BGH bislang nur geklärt wurde, dass der Einsatz von Cookies unter § 15 Abs. 3 TMG fällt. Wie es um andere Technologien bestellt ist, wurde gerichtlich noch nicht geklärt. Neben der Nennung aller Tracking-Technologien müssen auch die jeweiligen Rechtsgrundlagen nebst Erläuterungen angegeben werden.

Im nächsten Abschnitt des Fragebogens geht es um die Art und Weise der Einholung von Einwilligungen. Interessant hierbei: Besonders die Abfrage, wie der Nutzer seine Einwilligung widerrufen kann, ist extrem detailliert (Änderung der Cookie-Einstellungen auf der Website, E-Mail, Kontaktformular, Verweis auf Website des Drittdienstleisters, Verweis auf Browsers-Einstellungen, Sonstige). Offenbar wollen die Behörden wissen, ob sich die Verantwortlichen auch konzeptionelle Gedanken zum Widerruf gemacht haben, wenn sie schon ein Consent-Management-Tool für die Einholung der Einwilligung eingeführt haben.

Nach der Einwilligung geht der Fragebogen auf die andere wichtige Rechtsgrundlage ein, nämlich Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen). Hier müssen sich Verantwortliche darauf vorbereiten, eine dokumentierte Interessenabwägung vorlegen zu können. Etwas überraschend fragen die Behörden in diesem Zusammenhang auch konkret nach der Nutzung des Webangebots durch Minderjährige. Viele Verantwortliche werden hier Erklärungen finden müssen, warum ihr Angebot nicht an unter 16-Jährige gerichtet ist und wie sie deren Nutzung wirksam ausschließen.

Einen weiteren interessanten Abschnitt im Fragebogen gibt es noch zu Datenschutzfolgenabschätzungen (DSFA). Die Behörden wollen wissen, ob die Verantwortlichen in Bezug auf Trackingdienste solche DSFAs durchgeführt haben. Dabei handelt es sich um inhaltlich meist sehr umfangreiche Prüfungen der Risiken von Datenverarbeitungen. Die Behörden verlangen hier eine Begründung, falls man eine solche DSFA nicht durchgeführt hat. Ob daraus ersichtlich wird, dass die Behörden eine solche Folgenabschätzung bei Tracking generell für erforderlich halten, wird allerdings nicht ganz klar.

Was steckt in den zusätzlichen Erläuterungen?

Zusammen mit dem Fragebogen schicken die Behörden noch Erläuterungen an die Medienunternehmen. Besonders hervorzuheben ist dabei der Abschnitt zur Freiwilligkeit der Einwilligung. Dort heißt es:

„Dies setzt prinzipiell voraus, dass der Nutzer eine echte Auswahlentscheidung treffen kann, also eine Datenverarbeitung auch ablehnen kann oder eine vergleichbare Alternative zur Auswahl steht. Optionen wie „Verstanden“, „Alles klar“, „Ja und weiter“ oder „Einverstanden“ entsprechen in aller Regel keiner Einwilligung.“

Dieser Hinweis ist insbesondere für die Gestaltung von Consent-Management-Plattformen (CMPs) interessant. Denn derzeit tobt hier die Debatte, ob der Nutzer nur dann eine „freie Wahl“ hat, wenn ihm im Consent-Banner die Möglichkeiten „Ja / Nein“ als Buttons gegeben werden, oder ob auch Gestaltungen wie „Ja / Weitere Einstellungen“ rechtskonform sind.

Hier lässt der oben zitierte Passus zumindest vermuten, dass die Aufsichtsbehörden auch andere Gestaltungsmöglichkeiten als ein klares „Ja/Nein“ für rechtmäßig halten, da hiernach eine „Ablehnung oder vergleichbare Alternative“ zur Auswahl stehen muss und solche Gestaltungen ggf. als „vergleichbare Alternative“ angesehen werden können.

Fazit

Mit ihrer länderübergreifenden Aktion bringen die Aufsichtsbehörden Schwung in die Debatte rund um den Einsatz von Cookies und Tracking-Technologien. Grundsätzlich ist es zwar zu begrüßen, dass in diesem – von Unklarheiten geprägten – Rechtsbereich eine Klärung der für Verantwortliche wichtigen Fragen vorgenommen wird. Allerdings wirken die rechtlichen Inhalte in den Behördenschreiben so, als ob man hier die rechtliche Situation nach dem BGH-Urteil in Sachen „Planet 49“ nicht wirklich sauber durchdacht hat. Vielmehr wirkt es wie der etwas grobschlächtige Versuch, die alte Rechtsauffassung der DSK um jeden Preis auch unter Geltung von § 15 Abs. 3 TMG durchboxen zu wollen. Dass auf dieser wackeligen rechtlichen Grundlage der Fragebogen umso detaillierter ausfällt, wirkt fast ironisch.

Trotzdem sollten die Verantwortlichen in Unternehmen, die noch nicht von der Aktion der Behörden betroffen sind aber dennoch Trackingdienste betreiben, dies zum Anlass nehmen aktiv zu werden. Wichtige To-Dos für Unternehmen sind jetzt:

  • Sie sollten in jedem Fall eine umfassende Prüfung der eigenen Tracking-Dienste vornehmen. Dabei kann der hier vorgelegte Fragebogen als Orientierungshilfe dienen. Klären Sie für sich, ob Sie die dort aufgeworfenen Fragen ohne weitere Probleme beantworten könnten. In der Regel ist dies nicht ohne Zuhilfenahme der Drittanbieter möglich. Sollten Ihnen Informationen von Drittanbietern für eingesetzte Dienste fehlen, treten Sie bereits jetzt an diese heran und versuchen Sie sich die notwendigen Informationen zu beschaffen.
  • Klären Sie Ihre Rechtsgrundlagen. Setzen Sie auf Einwilligungen oder operieren Sie auf Basis berechtigter Interessen?
  • Wenn Sie mit Einwilligungen arbeiten, ist es von zentraler Bedeutung, dass diese wirksam eingeholt werden und der Nutzer eine effektive Widerrufsmöglichkeit hat.
  • Wenn sie sich auf berechtigte Interessen berufen, sollten Sie eine detaillierte Dokumentation der Interessenabwägung in der Schublade haben. Spielen Sie hier nicht auf Zeit: Wenn ein solches Auskunftsschreiben der Behörde wie oben dargestellt in Ihren Briefkasten flattert, ist es aufgrund der kurzen Fristen kaum bis sehr schwer möglich, die entsprechenden Dokumentationen noch „auf die Schnelle“ zu erstellen.

Sofern Sie Fragen zur Aktion der Aufsichtsbehörden haben oder Unterstützung bei den notwendigen Schritten benötigen, zögern Sie nicht, uns anzusprechen.