14.07.2021Fachbeitrag

Update Datenschutz Nr. 102

Landesübergreifende Prüfung von Webseiten und Cookie-Einsatz durch die Aufsichtsbehörden

Die Aufsichtsbehörden mehrerer deutscher Länder haben im Sommer/Herbst 2020 die Webseiten von verschiedenen Medienunternehmen untersucht, insbesondere mit Blick auf den Einsatz von Cookies und zum Tracking von Nutzern zu Werbezwecken. Gemäß den von den beteiligten Aufsichtsbehörden veröffentlichten Pressemitteilungen (siehe Pressemitteilung der LDI NRW) kommen die Aufsichtsbehörden zu dem Ergebnis, dass die eingebundenen Trackingtechniken sowie die eingesetzten Cookies vielfach nicht den rechtlichen Anforderungen entsprochen hätten. Kritisch sehen die Aufsichtsbehörden etwa die – angeblich – oftmals unzureichend und irreführende Ausgestaltung der verwendeten Einwilligungsbanner (sog. Cookie-Banner bzw. Consent Management Plattformen („CMPs)). Behördliche Verfügungen, Bußgeldverfahren Gerichtsurteile oder ähnlich rechtlich verbindliche Entscheidungen sind im Zusammenhang mit der Untersuchung – soweit ersichtlich – nicht ergangen. Auch wenn die Pressemitteilungen zu den einzelnen Kritikpunkten nicht ins Detail gehen, lassen sich hieraus dennoch bereits erste wesentliche Schlüsse ziehen.

Hintergrund

Der rechtskonforme Einsatz von Cookies und Tracking Tools auf Webseiten und mobilen Applikationen ist weiter in Bewegung. Ausgelöst durch das EuGH-Urteil vom 1. Oktober 2019 (Az. C-673/17, „Planet 49“)) und die hierauf folgende BGH-Entscheidung vom 28. Mai 2020 (Az. I ZR 7/16) – und die seit Sommer 2020 verbreitete Nutzung von CMPs nach IAB TCF 2.0 – hat sich eine umfangreiche Diskussion über die rechtlichen Anforderungen entwickelt. Im Kern geht es hierbei vor allem um die Frage, welche Anforderungen an eine wirksame Einwilligung zu stellen sind, um Nutzer mithilfe von Cookies oder ähnlichen Techniken (z. B. Device Fingerprinting, nachfolgend insgesamt als „Cookie“ bezeichnet) zu Werbezwecken zu tracken. Gerade die rechtmäßige Ausgestaltung von sog. Cookie-Bannern bzw. CMPs, über die Einwilligungen für den Einsatz von Cookies eingeholt werden, steht dabei besonders im Fokus. Ein Grund dürfte neben den vorgenannten Urteilen des EuGH und BGH sicherlich auch der Datenschutzaktivist Max Schrems sein, der mit seiner Datenschutz-Organisation NOYB in den letzten Monaten ein Vielzahl an Unternehmen zur Anpassung ihrer Cookie-Banner aufforderte und im Falle des Unterlassens mit dem Gang zu den Aufsichtsbehörden drohte.

Koordinierte Untersuchung der deutschen Aufsichtsbehörden

Es handelt sich bei der gegenständlichen Untersuchung um eine koordinierte Prüfung von Webseiten von insgesamt 49 ausgewählten Medienunternehmen in Deutschland. Im Rahmen der Untersuchung verschickten die beteiligten Aufsichtsbehörden ab August 2020 Fragebögen an die ausgewählten Unternehmen. Abgefragt wurde u. a., welche Cookies und Tracking-Tools eingesetzt werden und auf welcher Rechtsgrundlage der Einsatz beruht. Anschließend werteten die Behörden die Ergebnisse aus. Die Fragebögen waren außergewöhnlich umfangreich und umfassten auch sehr viele technische Details.

In rechtlicher Hinsicht bemängeln die Behörden in ihrer Stellungnahme, dass zwar häufig Einwilligungen für den Einsatz von Cookies über Cookie-Banner bzw. CMPs eingeholt werden, diese aber in vielen Fällen nicht wirksam seien, da sie in den Augen der Behörden gegen datenschutzrechtliche Anforderungen verstoßen. Konkret werden folgende Wirksamkeitshindernisse genannt:

  1. Falsche Reihenfolge: Cookies werden bereits vor Erteilung der Einwilligung gesetzt.
  2. Fehlende Information: Die Informationen über die eingesetzten Cookies und Tools sind unvollständig.
  3. Unzureichender Einwilligungsumfang: Cookies und Tools sind trotz verweigerter Zustimmung aktiv.
  4. Keine einfache Ablehnung: Es fehlt auf der ersten Ebene des Cookie-Banners eine „Alle Cookies ablehnen“-Option oder alternativ eine andere einfache Möglichkeit, den Cookie-Banner ohne Erteilung einer Einwilligung zu schließen.
  5. Manipulation der Nutzer: Nutzer werden unterschwellig zur Abgabe der Einwilligung gedrängt, beispielsweise durch farbliche Hervorhebung der „Akzeptieren“-Schaltfläche (sogenanntes „Nudging“).

Schließlich weisen die Behörden auch darauf hin, dass sie aktiv auf die Unternehmen einwirken würden, um datenschutzkonforme Zustände herzustellen und dies – soweit erforderlich – auch den Gebrauch von aufsichtsbehördlichen Kompetenzen umfassen könne. Zu denken ist hier etwa an die Untersagung bestimmter Tracking Tools oder die Verhängung von Bußgeldern. Soweit ersichtlich führte die Untersuchung bislang noch nicht zu aufsichtsrechtlichen Maßnahmen.

Rechtliche Einordnung

Der Einsatz von Tracking Tool und Cookies unterliegt primär der Datenschutzrichtlinie für elektronische Kommunikation (sog. e-Privacy-RL). Die entsprechenden Vorschriften wurden in Deutschland gemäß dem vorgenannten Urteil des BGH in Deutschland in § 15 Abs. 3 TMG umgesetzt. Grundsätzlich bedarf der Einsatz von Cookies einer Einwilligung der Nutzer. Eine Ausnahme besteht etwa dann, wenn der jeweilige Cookie für die Bereitstellung der Webseite technisch unbedingt erforderlich ist. Das kann beispielsweise Cookies betreffen, die zur Fehlerbehebung oder zur Verbesserung der technischen Performance gesetzt werden. Werden mithilfe der Tracking Tools bzw. Cookies zudem personenbezogene Daten verarbeitet (was fast immer der Fall ist, da die notwendigerweise versendeten IP-Adressen bereits als personenbezogen anzusehen sind), bedarf diese Verarbeitung einer gesonderten Rechtsgrundlage im Sinne der Datenschutzgrundverordnung (DSGVO). Webseitenbetreiber müssen daher prüfen, ob die Cookies und Tools, die sie einsetzen, sowohl nach der e-Privacy-RL bzw. § 15 Abs. 3 TMG als auch der DSGVO zwingend eine Einwilligung bedürfen oder eine andere Rechtsgrundlage in Betracht kommt. So kann etwa im Anwendungsbereich der DSGVO die Datenverarbeitung zu Werbezwecken grundsätzlich auch auf ein berechtigtes Interesse (Art. 6 Abs. 1 lit.f DSGVO) gestützt werden.

Ist die Einholung einer Einwilligung erforderlich, gelten verschiedene rechtliche Anforderungen, die von Webseitenbetreibern eingehalten werden müssen, damit die Einwilligung tatsächlich wirksam ist. Sowohl der EuGH als auch der BGH hatten in ihren Entscheidungen explizit auf die wesentlichen rechtlichen Anforderungen bei dem Einsatz von Cookies hingewiesen. Dies betraf insbesondere den Punkt, dass einwilligungsbedürftige Cookies erst dann aktiv eingesetzt (d. h. scharf geschaltet) werden dürfen, wenn der Nutzer seine Einwilligung in Form einer eindeutigen Handlung erteilt hat (z. B. Anklicken eines Akzeptieren-Buttons). Die Einwilligung muss wiederum auf einer informierten Grundlage erfolgen. Dies setzt etwa Informationen zur Funktionsweise und der Speicherdauer der Cookies voraus. Verweigert der Nutzer wiederum seine Einwilligung, dürfen die Cookies nicht aktiviert werden. Widerruft der Nutzer seine Einwilligung im Nachgang, müssen die einwilligungsbedürftigen Cookies wiederum unmittelbar deaktiviert werden. Vor diesem Hintergrund sind die von den Aufsichtsbehörden aufgezählten Kritikpunkte in den Ziffern 1 bis 3 nicht überraschend, sondern entsprechen bereits den klar definierten gesetzlichen Vorgaben.

Im Hinblick auf die weiteren Kritikpunkte in den Ziffern 4. und 5. ist folgendes zu beachten:

  • Ablehnen Button“ auf der ersten Ebene: Während verschiedene Aufsichtsbehörden in der EU, etwa in Großbritannien und Frankreich, die Position vertreten, dass auf der ersten Ebene eines Cookies Banners neben einem „Alle Cookies akzeptieren“-Button auch ein „Alle Cookies ablehnen“-Button vorhanden sein muss, haben sich die deutschen Aufsichtsbehörden und die Datenschutzkonferenz zu diesem Punkt in der Vergangenheit bedeckt gehalten. Aus den veröffentlichten Pressemitteilungen ist erkennbar, dass jedenfalls die an der Untersuchung beteiligten deutschen Aufsichtsbehörden nunmehr ebenfalls zu dieser Sichtweise tendieren. Es ist daher damit zu rechnen, dass die beteiligten deutschen Behörden diese Auffassung in Zukunft auch gegenüber Anbietern von Telemedien durchsetzen werden. Es ist dabei aber zu beachten, dass dieser Punkt bislang nicht höchstrichterlich entschieden wurde und auch einzelne Aufsichtsbehörden in der EU einen „Alle Cookies ablehnen“ Button auf der ersten Ebene nicht zwingend voraussetzen. Vor diesem Hintergrund empfiehlt es sich, die weitere Entwicklung stets im Auge zu behalten. Möchten Webseitenbetreiber hingegen aufsichtsbehördliche Verfahren vermeiden, empfiehlt es sich, der Ansicht der an der Untersuchung beteiligten Behörden zu folgen und bereits auf der ersten Ebene des Cookie-Banners einen „Alle Cookies ablehnen“-Button einzubinden.
  • Ausgestaltung von Cookie-Bannern bzw. CMPs: Dies gilt auch in Bezug auf die grafische Ausgestaltung der Cookie-Banner, insbesondere der dort verwendeten Buttons. Das Gesetz enthält keine expliziten Vorgaben, wie die Cookie-Banner und die dort enthaltenen Buttons konkret ausgestaltet werden müssen, sodass Webseitenbetreiber grundsätzlichen einen Spielraum haben. Insoweit sollte die Kritik der Behörden nicht voreilig verallgemeinert werden – zumal in den Pressemitteilungen keine konkreten Anforderungen genannt werden. Sicherlich kann es grafische Gestaltungen geben, die faktisch so wirken, dass der Nutzer lediglich die Option sieht, dem Einsatz von Cookies zuzustimmen. Anhaltspunkte bieten hier etwa das Urteil des LG Rostocks vom 15. September 2020 (Az. 3 O 762/19) sowie die Orientierungshilfe der Landesbeauftragten für Datenschutz Niedersachsen vom Jahresanfang (siehe Update Datenschutz Nr. 93). Allerdings stellt nicht jede Hervorhebung des „Zustimmen“-Buttons eine Manipulation des Nutzers dar. Allein eine unterschiedliche Farbhinterlegung der eingesetzten Buttons führt nicht zwangsläufig zu einer Manipulation. Hier muss vielmehr die gesamte Gestaltung des Cookies-Banners im Einzelfall betrachtet werden.

Fazit und Empfehlung

Die Untersuchung und Auswertung der Behörden enthält bezüglich einiger Punkte zutreffende Hinweise, in anderen Punkten handelt es sich lediglich um Positionierungen hinsichtlich ungeklärter Rechtsfragen. Zudem bleiben viele Detailfragen weiterhin offen. Hier wäre es wünschenswert, dass sich die Aufsichtsbehörden in Deutschland bzw. die Datenschutzkonferenz eindeutig positionieren würden. Nach aktuellem Stand ist allerdings nicht vor Winter 2021 mit einer entsprechenden Stellungnahme der Behörden zu rechnen. Aus Behördenkreisen ist zu hören, dass man aller Voraussicht die Einführung des neuen Telemedien-Telekommunikations-Datenschutzgesetzes (TTDSG) abwarten wird. In der Zwischenzeit empfiehlt es sich, die Rechtskonformität der konkret eingesetzten Cookies und Tools auf die angesprochenen Punkte zu prüfen und im Wege einer Risikoentscheidung mögliche Argumentationsspielräume zu eruieren. Dies gilt insbesondere mit Blick auf die Einbindung eines „Alle Cookies Ablehnen“-Buttons und der unterschiedlichen farblichen Ausgestaltung der verwendeten Buttons in dem Cookie-Banner bzw. CMP.

Als PDF herunterladen

Ansprechpartner

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.