Viele Kanzleien. Ein starkes Netzwerk.
Aktuelles
Neues aus Markt und Netzwerk
 

Datenschutz Cookies und Einwilligung: Wer schweigt, stimmt nicht zu!

Bei einer durchschnittlichen Browser-Session fliegen sie einem um die Ohren: Cookie Pop-ups, Banner und manchmal sogar Cookie Walls. Obwohl dies von den besten Absichten des Website-Betreibers zu zeugen scheint, wird damit noch lange nicht immer in richtiger Form um die Einwilligung zur Nutzung von Cookies gebeten. Gerade dies ist aber jetzt vorgeschrieben. Kürzlich berichteten deutsche Medien, dass rund 90 % der Cookie-Banner in Deutschland nicht den geltenden Gesetzen entspricht. Obwohl uns keine aktuellen niederländischen Zahlen bekannt sind, stellte die niederländische Datenschutzbehörde  Autoriteit Persoonsgegevens  im Dezember 2019 bei einer Überprüfung von ungefähr 175 Webseiten fest, dass davon nahezu alle nicht in richtiger Form um die Einwilligung zur Nutzung von Cookies gebeten haben. Grund genug, um über zwei oft gemachte Fehler beim Einsatz von Cookies nachzudenken: die sogenannten „ pre-ticked checkboxes “ (vorausgefüllte Einwilligungskästchen) und „ Cookie-Walls “.

Einwilligungsanforderung bei Cookies

Kurz gesagt sind Cookies Textdateien, die auf dem Computer eines Webseitenbesuchers gespeichert werden (können), sobald er die Webseite besucht. Die Information in diesen Dateien kann bei einem späteren Besuch der Webseite genutzt werden um beispielsweise herauszufinden, welche Spracheinstellungen bei dem vorherigen Besuch gewählt wurden oder welche Seiten der Webseitenbesucher beim letzten Mal angeschaut hat. 

Die nationale Regelung bezüglich der Cookies steht im niederländischen Telecommunicatiewet (kurz: „Tw“; niederländisches Telekommunikationsgesetz). Diese Regelung gilt neben den Bestimmungen der niederländischen Algemene verordening gegevensbescherming (kurz: „AVG“; niederländische Datenschutzverordnung) über die Verarbeitungen personenbezogener Daten im Allgemeinen. Das Telecommunicatiewet bestimmt kurz gesagt, dass die Nutzung von Cookies nur erlaubt ist, nachdem der Webseitenbesucher mit deutlichen und vollständigen Informationen gemäß der Informationspflicht aus der AVG versehen wurde und nachdem er seine Einwilligung (wie in der AVG beschrieben) für die Nutzung von Cookies erteilt hat. Laut AVG muss die Einwilligung freiwillig, für den bestimmten Fall, in informierter Weise und unmissverständlich sein und eine bestätigende Handlung betreffen. Für nur funktionale Cookies oder Cookies, die ausschließlich dem Messen der Effektivität der Website dienen, die keinen oder nur einen geringen Einfluss auf Privatsphäre der Webseitenbesucher haben, gilt eine Ausnahme von diesen Anforderungen. 

Pre-ticked checkboxes

Verschiedene Webseiten machen von sogenannten „ pre-ticked checkboxes “ Gebrauch; das sind vorausgefüllte „ Einwilligungskästchen “, mit denen die Einwilligung für die Nutzung von Cookies erteilt wird. Wenn ein Webseitenbesucher keine Einwilligung erteilen möchte, muss er das Häkchen in diesen „ checkboxes “ erst entfernen. 

Mit „ pre-ticked checkboxes “ werden die Anforderungen, die für die Einwilligung gelten, nicht erfüllt. Obwohl dies längere Zeit unklar war (unter anderem durch unterschiedliche Veröffentlichungen von Datenschutzbehörden), wurde dies im Oktober 2019 von dem Europäischen Gerichtshof bestätigt. In seinem Urteil in der Rechtssache Verbraucherzentrale gegen Planet49 nennt der Gerichtshof drei „Mängel“, die an der Einwilligung durch „ pre-ticked checkboxes “ haften. Als erstes erwägt der Gerichtshof, dass oft nicht objektiv feststellbar ist, dass die Einwilligung in informierter Weise erteilt wurde, da nicht ausgeschlossen werden kann, dass der Nutzer das Kästchen übersehen oder die Information bei den standardmäßig vorausgefüllten Kästchen nicht gelesen hat. Zweitens wird laut dem Gerichtshof die Anforderung einer bestätigenden Handlung nicht erfüllt: Denn dann ist ein Kästchen vorausgefüllt und muss dieses von dem Webseitenbesucher nicht mehr „bestätigend“ angeklickt werden. Drittens sei auch die Anforderung, dass die Einwilligung „unmissverständlich“ sein muss, nicht erfüllt, weil diese Anforderung laut Gerichtshof nur dann erfüllt sein kann, wenn die betroffene Person ihre Einwilligung durch eine bestätigende Handlung zum Ausdruck bringt. Der Gerichtshof betont darüber hinaus auch, dass die Einwilligung auch für den bestimmten Fall ausreichend sein muss; die Einwilligung muss sich speziell auf die betroffenen Daten richten. Eine allgemeine Einwilligung für das Hinterlegen von Cookies, ohne dass dabei die unterschiedlichen Cookie-Sorten oder jedenfalls die unterschiedlichen Zwecke, für die sie hinterlegt werden, unterschieden werden, reicht also auch nicht aus. 

Der Gerichtshof folgt damit dem Standpunkt, der bereits seit längerer Zeit von dem Europäischen Datenschutzausschuss ( EDSA ) als auch der nationalen Datenschutzbehörde ( Autoriteit Persoonsgegevens ) vertreten wird. 

Cookie-Walls

Obwohl der Gerichtshof in seinem Urteil der Einwilligung auf Grundlage einer „ Cookie-Wall “ keine Aufmerksamkeit schenkte, erwähnen wir diesen Punkt dennoch hier. In derselben Veröffentlichung, in der sich Datenschutzbehörden zu der (Un-)Gültigkeit von „ pre-ticked checkboxes “ äußerten, beziehen sie auch Stellung gegen eine Einwilligung auf Grundlage einer Cookie-Wall.

Oft erscheint eine Cookie-Wall als eine Art Pop-up, mit der Webseitenbesucher gebeten werden, Cookies zu akzeptieren, bevor sie eine Webseite besuchen. Wird keine Einwilligung erteilt, erhalten sie keinen Zugang zu der Webseite. Obwohl ein Teil der vorgenannten Einwände auch für die Cookie-Walls gelten könnte, gilt für Cookie-Walls ein zusätzlicher Einwand: Eine Einwilligung auf Grundlage eine Cookie-Wall wird als nicht „freiwillig“ erteilt betrachtet. Unter „freiwillig“ versteht sich, dass es der betroffenen Person frei stehen muss, ihre Einwilligung gegebenenfalls nicht zu erteilen, ohne dass dies nachteilige Folgen für sie hat. Es wird angenommen, dass es der betroffenen Person bei einer Cookie-Wall nicht frei steht, ihre Einwilligung nicht zu erteilen. Die Einwilligung ist immerhin eine Bedingung für die Nutzung der Webseite. Wird die Einwilligung verweigert, dann hat dies zur (nachteiligen) Folge, dass die Website nicht genutzt werden kann. Auch mit einer Cookie-Waal wird deshalb keine (Tw- und) AVG-gemäße Einwilligung eingeholt. 

Tipps für gültige Cookie-Einwilligungen

Wie kann dann in richtiger Form die Einwilligung für die Nutzung von Cookies eingeholt werden? Vermeiden Sie zunächst die Nutzung vorausgefüllter Einwilligungskästchen (bei Cookies, für die laut Tw eine Einwilligung eingeholt werden muss). Lassen Sie die betroffene Person selbst entscheiden, welche Cookies genutzt werden dürfen und welche nicht. Sorgen Sie dafür, dass die Einwilligung ausreichend bestimmt erteilt werden kann; die Einwilligung der betroffenen Person muss sich auf bestimmte geplante Datenverarbeitungen beziehen. Informieren Sie die betroffene Person vor dem Einsatz von Cookies gemäß der AVG über die Nutzung von Cookies. Sorgen Sie außerdem dafür, dass Ihre Webseite betroffenen Personen die Möglichkeit bietet, die Cookies einfach wieder auszuschalten, sodass das genauso einfach ist wie das Erteilen der Einwilligung. Die AVG bestimmt nämlich, dass die Einwilligung jederzeit genauso einfach zurückgenommen werden kann, wie sie erteilt wurde. 

Ergebnis

Es kann dann zwar ein verbreitetes Vorgehen sein, aber doch entspricht die Nutzung von „ pre-ticked checkboxes “ und „ cookiewalls “ nicht der geltenden Gesetzgebung. Das Urteil des Europäischen Gerichtshofs ist eine Stärkung der Auffassung der Datenschutzbehörden - und hält die Tür vorläufig geöffnet für weitere Schritte gegen vorausgefüllte Einwilligungserklärungen. Bereits seit langer Zeit wehren sich die Datenschutzbehörden in ihrer Auffassung auch gegen die Nutzung von „ cookiewalls “. 

Die Lehrmeinung bleibt also vorerst noch unverändert. Es ist weiterhin uneingeschränkt wichtig, Webseiten in Übereinstimmung mit der anwendbaren Gesetzgebung zu gestalten, vor allem weil sich der Fokus der niederländischen Datenschutzbehörde  Autoriteit Persoonsgegevens  mehr auf den Datenhandel, Profiling und Behavioural Advertising richtet – wozu die Cookies gerade dienen.

Alle Fachbeiträge zeigen