von RA Jan Lennart Müller

Dänische Datenschutzbehörde: Die meisten Cookie-Consent-Banner sind rechtswidrig!

News vom 04.03.2020, 09:36 Uhr | Keine Kommentare

Die dänische Datenschutzaufsichtsbehörde positionierte sich in einer aktuellen Entscheidung zur Frage, wann eine Einwilligung in das Setzen von Cookies den Erfordernissen der DSGVO genügt. Die dänische Behörde vertritt die Ansicht, dass die meisten aktuell implementierten Cookie-Consent-Banner in ihrer derzeitigen Form gegen die Datenschutzregeln der DSGVO verstoßen. Weshalb die dänische Datenschutzbehörde diese Ansicht vertritt und wie dies einzuordnen ist, erfahren Sie in unserem neuen Beitrag!

Dauerbrenner Cookie-Einwilligung

Erst kürzlich hat der EuGH (Urt. v. 01.10.2019, Az. C-673/17) entscheiden, dass der Einsatz von Cookies, die für den Betrieb einer Website nicht zwingend technisch erforderlich sind, immer eine ausdrückliche Nutzereinwilligung für jedes einzelne Cookie voraussetzt. Das gilt unabhängig davon, ob durch das jeweilige Cookie personenbezogene Daten verarbeitet werden oder nicht.

Des Weiteren ist für die Wirksamkeit solcher Cookie-Einwilligungen erforderlich, dass der Seitenbesucher über die Funktionsweise jedes Cookies bei der Einwilligungserteilung umfänglich informiert werden. Cookie-Banner, die generell über den Einsatz von Cookies informieren und sich über eine Bestätigungs-Schaltfläche etwa mit der Aufschrift „OK“ wegklicken lassen, genügen diesen Anforderungen aufgrund fehlender Freiwilligkeit der Einwilligung zur Datenverarbeitung nicht.

Auf Basis dieser Erwägungen hat sich die dänische Datenschutzaufsichtsbehörde eindeutig zum Thema positioniert, wie vor dem Hintergrund der neuesten Rechtsprechung des EuGH eine wirksame Cookie-Einwilligung eingeholt werden kann – und wie nicht.

Was ist geschehen?

Der Entscheidung der dänischen Datenschutzaufsichtsbehörde lag die Beschwerde über ein Cookie-Banner einer dänischen Website zugrunde. Bei erstmaligem Aufrufen der Website hatten die Besucher hinsichtlich der Cookie-Einwilligung zwei Möglichkeiten zur Auswahl. Entweder es wurde „OK“ oder die „Cookie Einstellungen“ ausgewählt. Bei einem Klick auf „OK“ wurde das Setzen der Cookies akzeptiert und man konnte weitersurfen:

"(…) [Wir] verwenden Cookies, um [die Website] benutzerfreundlicher zu machen, Ihnen eine bessere Erfahrung zu bieten und gezielt zu vermarkten. Wenn Sie hier auf OK klicken, stimmen Sie dem zu. Sie können Ihre Einwilligung jederzeit widerrufen. Lesen Sie mehr in unseren Datenschutzbestimmungen."

Lediglich nach Anklicken der Schaltfläche „Cookie Einstellungen“ wurde ein Menü eingeblendet, in welchem der Nutzer die Möglichkeit zur Konkretisierung seiner Cookie-Einstellungen hatte. So hatte er die Möglichkeit, Einstellungen diesbezüglich je nach Kategorie der Cookies (bspw. Kategorie „Marketing“) vorzunehmen.

Der Website-Betreiber sah in diesem Verfahren die rechtlichen Erfordernisse bzgl. des Einholens wirksamer Einwilligungen als erfüllt an. Insbesondere sei eine differenzierte Einwilligung möglich, da Nutzer durch Auswahl von „Cookie Einstellungen“ einigen Cookies zustimmen, und andere abwählen könne.

Starterpaket

Entscheidung der dänischen Datenschutzbehörde

Die dänische Datenschutzaufsichtsbehörde hat mit ihrem am 11.02.2020 veröffentlichen Beschluss entschieden, dass Cookie-Banner bzw. Cookie-Consent-Tools datenschutzrechtswidrig sind, die den Nutzer lediglich vor die Wahl zwischen „OK“ o.ä. und „Details anzeigen“ bzw. „Cookie Einstellungen“ o.ä. stellen.

Dies resultiere daraus, da es im Rahmen einer solchen Lösung an der nötigen Freiwilligkeit sowie Informiertheit der Einwilligung fehle und gleichzeitig ein Verstoß gegen den Grundsatz der Transparenz aus Art. 5 Abs. 1 lit. a DSGVO vorliege.

Einwilligung erfordert Freiwilligkeit

Die Behörde stellte zunächst fest, dass der Zweck der freiwilligen Bedingung darin bestehe, Transparenz für die betroffene Person zu schaffen und der betroffenen Person die Wahl und Kontrolle über ihre persönlichen Daten zu geben. Folglich sei die Zustimmung nicht als freiwillig zu klassifizieren, wenn die betroffene Person keine echte und freie Wahl treffen kann.

Ein wichtiges Element bei der Beurteilung, ob die Zustimmung freiwillig ist, sei das Prinzip der „Granularität“. Dieses Prinzip besage, dass eine Datenverarbeitung mehreren Zwecken dienen könne, sodass für jeden Zweck eine separate Zustimmung eingeholt werden müsse.

Nach der Einschätzung der dänischen Datenschutzbehörde stellten die Teilvorgänge, für die ein Besucher durch Auswahl von „OK“ seine Zustimmung erteilt, mehrere unterschiedliche Verarbeitungszwecke dar. So wurde durch Klick auf „OK“ zum einen in die „Erfassung personenbezogener Daten, um Statistiken darüber zu erstellen“ und zum anderen in „verhaltensbasiertes Marketing, bei dem die Erfassung personenbezogener Daten stattfindet, um Besucher über Websites hinweg zu verfolgen und Anzeigen für jeden Besucher durch Profilerstellung zu personalisieren“ eingewilligt.

Nach Einschätzung der dänischen Datenschutzbehörde gebe die Erhebung personenbezogener Daten für verschiedene Zwecke auf der Grundlage einer einzigen Einwilligung den Besuchern der Website keine ausreichende freie Wahl, um die Zwecke zu identifizieren und zu deaktivieren bzw. abzulehnen.

Zwar sei es möglich gewesen, die verschiedenen Zwecke durch Auswahl von „Details anzeigen“ auszuwählen oder die Auswahl aufzuheben. Diese Option befinde sich jedoch „einen Klick entfernt“ und genüge somit nicht den Anforderungen an die Freiwilligkeit einer Einwilligung.

Anforderungen an die Informiertheit der Einwilligung

Die dänische Datenschutzbehörde sah im konkreten Sachverhalt auch die Informiertheit bei Erteilung der Einwilligung(en) als nicht erfüllt an. Grundsätzlich müssten Informationen, die der von der Datenverarbeitung betroffenen Person zur Verfügung gestellt werden sollen, in einer einfachen, leicht verständlichen und leicht zugänglichen Form, bevor die Zustimmung erteilt wird, bereitgestellt werden.

Nach der Auswahl von „Cookie Einstellungen“ wurden unter anderem die Informationen des Website-Betreibers bzgl. der Kategorie „Marketing“ angezeigt. Hier wurde angegeben, dass auch Cookies vom Anbieter „DoubleClick“ verwendet würden. Bei „DoubleClick“ handelt es sich um eine Marke des US-amerikanischen Unternehmens Google LLC, unter welcher verschiedene Online-Marketing-Lösungen angeboten werden.

Nach Ansicht der dänischen Datenschutzbehörde genüge die Nennung des „Produktnamens“ (DoubleClick) nicht aus, vielmehr müsse explizit der für die Verarbeitung Verantwortliche genannt werden (hier also Google):

Hierbei ist zu beachten, dass die Identität des für die Verarbeitung Verantwortlichen angezeigt werden muss und nicht die vom Datenverantwortlichen verwendeten Websites, Spitznamen oder Produktnamen des Datenanbieters, da diese für die betroffene Person nicht leicht verständlich und leicht zugänglich sind.

Grundsatz der Transparenz

Des Weiteren liege auch ein Verstoß gegen den Grundsatz der Transparenz, welcher aus Art. 5 Abs. 1 lit. a DSGVO folge, vor. Die dänische Datenschutzbehörde vertritt in diesem Zusammenhang die Ansicht,

"dass es ebenso leicht sein sollte, die Zustimmung zur Verarbeitung personenbezogener Daten nicht zu erteilen, wie sie bereitzustellen."

Danach sei die Bereitstellung der Schaltflächen „OK“ und „Cookie Einstellungen“ nicht geeignet, dem Grundsatz der Transparenz gerecht zu werden. Ein Umweg über Auswahl einer Schaltfläche, um detaillierte Einstellungen aufrufen zu können, sei „One-Click-Away“ und damit nicht transparent, da ein zusätzlicher Schritt nötig sei, damit die betroffene Person die Einwilligung zur Verarbeitung personenbezogener Daten verweigern kann.

Zudem kritisierte die Behörde, dass eine etwaige Verweigerung der Einwilligung über die Schaltfläche zur Anzeige weiterer Details „nicht den gleichen Kommunikationseffekt“ habe wie die Möglichkeit, eine Einwilligung lediglich über Klick auf „OK“ zu erteilen. Dadurch werde „die betroffene Person indirekt dazu gedrängt (…), eine Einwilligung zur Verarbeitung personenbezogener Daten zu erteilen“.

Fazit

Die Ausführungen der dänischen Datenschutzbehörde entfalten zwar keine unmittelbare Geltung für in Deutschland ansässige Händler und Website-Betreiber, haben aber durchaus Potential, sich als herrschende Meinung im DSGVO-Geltungsbereich zu etablieren. Sollten die aufgestellten Grundsätze an eine freiwillige, informierte Einwilligung, die den Grundsatz der Transparenz wahrt, allgemeine Gültigkeit erlangen, wird ein Großteil der deutschen Website-Betreiber handeln müssen.

Bis dato setzt die weit überwiegende Mehrheit nämlich solche Cookie-Consent-Lösungen ein, welche lediglich eine Auswahl von „OK“ o.ä. und „Cookie Einstellungen“ o.ä. bereitstellt und erst unter letzterer Schaltfläche detaillierte Einstellungsmöglichkeiten und Informationen hinsichtlich der verwendeten Cookies eröffnet.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.

Autor:
Jan Lennart Müller
Rechtsanwalt

Besucherkommentare

Bisher existieren keine Kommentare.

Vielleicht möchten Sie der Erste sein?

© 2005-2020 ·IT-Recht Kanzlei Keller-Stoltenhoff, Keller
IT-Recht Kanzlei München 311
4.9 5