{"id":8739,"date":"2020-06-12T12:21:15","date_gmt":"2020-06-12T10:21:15","guid":{"rendered":"https:\/\/page.fachmedien.de\/wordpress\/rechtsboard\/?p=8739"},"modified":"2020-06-12T14:48:26","modified_gmt":"2020-06-12T12:48:26","slug":"auslegung-der-datenschutzrechtlichen-einwilligung-anforderungen-an-cookie-banner-konkretisiert","status":"publish","type":"post","link":"https:\/\/page.fachmedien.de\/wordpress\/rechtsboard\/2020\/06\/12\/auslegung-der-datenschutzrechtlichen-einwilligung-anforderungen-an-cookie-banner-konkretisiert\/","title":{"rendered":"Auslegung der datenschutzrechtlichen Einwilligung – Anforderungen an Cookie-Banner konkretisiert"},"content":{"rendered":"
\"\"

Robin Schmitt, BDO Legal Rechtsanwaltsgesellschaft mbH, D\u00fcsseldorf<\/p><\/div>\n

Cookie-Banner geh\u00f6ren mittlerweile wie Impressum und Datenschutzerkl\u00e4rung zu jeder Website. Im Gegensatz zu anderen Rechtstexten unterscheiden sich die derzeit verwendete Cookie-Banner nicht nur grafisch, sondern auch inhaltlich sehr stark voneinander. Das Bed\u00fcrfnis einiger Klarstellungen hinsichtlich der Anforderungen an Cookie-Banner hat daher auch der Europ\u00e4ische Datenschutzausschuss (EDSA) gesehen und Anfang Mai 2020 eine Aktualisierung seiner Richtlinien zur Einwilligung im Sinne der Datenschutzgrundverordnung (DSGVO) ver\u00f6ffentlicht. Auch wenn es sich dabei lediglich um eine Art unverbindliche Anleitung handelt, sind die Auswirkungen f\u00fcr die Praxis nicht zu untersch\u00e4tzen. <\/p>\n

Entwicklung der Cookie-Banner seit Inkrafttreten der DSGVO<\/strong><\/p>\n

Eine Pflicht zum Einsatz von Cookie-Bannern gibt es schon seit vielen Jahren, auch wenn die mitunter eher als st\u00f6rend empfundenen Einblendungen erst seit Anwendbarkeit der DSGVO im Fr\u00fchjahr 2018 allgegenw\u00e4rtig geworden sind. Anfangs fungierten sie mehr als eine Art Hinweisschild in Gestalt eines knappen Einzeilers mit einem \u201eEinverstanden\u201c-Button. Sp\u00e4testens seit dem vielbeachteten \u201ePlanet49\u201c-Urteil des EuGH (vom 01.10.2019 \u2013 Rs. C-673\/17<\/a>) fand aber ein Wandel statt und immer ausgefeiltere Banner mit Interaktions- und Wahl-M\u00f6glichkeiten begr\u00fc\u00dften die Website-Besucher. Mittlerweile gibt es zahlreiche Dienstleister, die sich allein auf das Angebot und den Support von Cookie-Bannern spezialisiert haben. Interessant ist dabei, dass sich \u00fcber all die Jahre aber nichts Wesentliches an dem zugrundeliegenden Recht ge\u00e4ndert hat.<\/p>\n

Status Quo der Anforderungen an Cookie-Banner<\/strong><\/p>\n

Ein kurzer, aber guter Leitfaden f\u00fcr die Erstellung von rechtswirksamen Cookie-Bannern findet sich etwas versteckt in einer Orientierungshilfe der Datenschutzkonferenz (DSK) f\u00fcr \u201eAnbieter von Telemedien\u201c vom M\u00e4rz 2019 (Seite 10): Danach muss ein Cookie-Banner \u00fcber alle einwilligungsbed\u00fcrftigen Vorg\u00e4nge aufkl\u00e4ren und \u00fcber die M\u00f6glichkeit des Widerrufs, die dann auch technisch umgesetzt sein muss, informieren. Die abgefragte Einwilligung darf nicht vorweggenommen werden, etwa durch vorausgef\u00fcllte Checkboxen. Prim\u00e4res Merkmal der Funktionsweise eines Cookie-Banners muss sein, dass s\u00e4mtliche einwilligungsbed\u00fcrftigen Datenverarbeitungsvorg\u00e4nge erst nach positiver Best\u00e4tigung des Cookie-Banners aktiv werden. Schlie\u00dflich muss das Banner bis zu einer Interaktion eingeblendet sein, darf aber keine wesentlichen Funktionen der Website, insb. nicht die Links zu Impressum und Datenschutzerkl\u00e4rung verdecken.<\/p>\n

Wesentliche Eckpunkte der aktualisierten Richtlinie<\/strong><\/p>\n

Die nun aktualisierte Richtlinie des EDSA betrifft die Auslegung der Einwilligung i.S.d. DSGVO. Es geht also konkret um die wirksame Einwilligung des Nutzers in die Platzierung von Cookies. Im Detail adressiert der EDSA drei aktuell sehr beliebte Methoden, von Website-Besuchern die Einwilligung zu erhalten:<\/p>\n

Klar nicht akzeptabel sind die sog. \u201eCookie-Walls\u201c. \u00c4hnlich wie eine Paywall verhindert hier ein Popup, dass der Nutzer die Seite \u00fcberhaupt betreten bzw. mit ihr interagieren kann. Der Zugang ist erst dann m\u00f6glich, wenn der Nutzer die Cookies akzeptiert. Das ist nach Auffassung des EDSA unzul\u00e4ssig, da eine auf diese Weise erteilte \u201eEinwilligung\u201c nicht freiwillig ist. Dem Nutzer werde hier \u00fcberhaupt keine wirkliche Wahlm\u00f6glichkeit gegeben.<\/p>\n

Ebenfalls f\u00fcr unzul\u00e4ssig befand der EDSA konkludente Einwilligungen. So konstruieren einige Website-Betreiber eine Einwilligung der Nutzer dadurch, dass sie mit der Website interagieren, indem sie bspw. klicken oder scrollen. Solche Handlungen seien weder \u201eeindeutig best\u00e4tigend\u201c noch \u201eunmissverst\u00e4ndlich\u201c \u2013 beides Kriterien, die Erw\u00e4gungsgrund 32 f\u00fcr eine wirksame Einwilligung voraussetzt. Davon abgesehen best\u00fcnde praktisch auch keine M\u00f6glichkeit, die erteilte Einwilligung zu widerrufen. Denn das muss gem\u00e4\u00df Art. 7 Abs. 3 Satz 3 DSGVO \u201eso einfach wie die Erteilung der Einwilligung sein<\/em>\u201c.<\/p>\n

Zwar wird es nicht ausdr\u00fccklich angesprochen, aus den Aktualisierungen l\u00e4sst sich allerdings auch die Position des EDSA zum sog. \u201eNudging\u201c bzw. zu \u201eDark Patterns\u201c herauslesen. \u201eNudging\u201c ist ein Begriff aus der Verhaltens\u00f6konomie und meint die Steuerung und Beeinflussung menschlichen Verhaltens. Im Internet geschieht das h\u00e4ufig durch \u201eDark Patterns\u201c. Das sind Designs, die darauf angelegt sind, den Nutzer zu bestimmten Handlungen zu verleiten, die von seiner eigentlichen Absicht abweichen. Im Zusammenhang mit Cookie-Bannern ist es das Ziel von Dark Patterns, den Nutzer zu einer Einwilligung in die Datenverarbeitung zu bewegen. So setzen Website-Betreiber Dark Patterns etwa dergestalt ein, dass eine Ablehnung von Cookies so unattraktiv wie m\u00f6glich wird. H\u00e4ufige Beispiele aus der Praxis bieten dem Nutzer \u00fcber zwei Buttons entweder die M\u00f6glichkeit Cookies zu akzeptieren oder die Cookie-Einstellungen manuell zu bearbeiten. Doch selbst wenn eine Ablehnung dann einen einzigen Mehrklick bedeuten w\u00fcrde, tendiert der Durchschnittsnutzer eher dazu, den Cookie-Banner durch das Akzeptieren schnell wegzuklicken.<\/p>\n

Die Wahlm\u00f6glichkeit ist hier nur Schein, denn die beiden Optionen sind ungleich. Je m\u00fchsamer eine Ablehnung im Vergleich zur Einwilligung wird, desto weniger kann von einer Freiwilligkeit der Einwilligung ausgegangen werden. Eine im Januar 2020 ver\u00f6ffentlichte Untersuchung britischer Websites (\u201eDark Patterns after the GDPR: Scraping Consent Pop-ups and Demonstrating their Influence\u201c) kam zu dem Ergebnis, dass bereits ein einziger Zwischenschritt, also bspw. die Ersetzung des \u201ealle Cookies ablehnen\u201c-Buttons durch individuelle Einstellungen, die Zustimmungsrate um mehr als 20 % erh\u00f6ht. \u00dcber 93 % der Interaktionen waren auf die erste Seite eines Cookie-Banners beschr\u00e4nkt \u2013 nur in seltenen F\u00e4llen werden \u201eweitere Informationen\u201c oder \u201eEinstellungen\u201c angeklickt.<\/p>\n

R\u00fcckenwind vom Bundesgerichtshof<\/strong><\/p>\n

Nur wenige Wochen nach Aktualisierung der EDSA-Richtlinien hat der BGH im Planet49-Verfahren, dass er zuvor dem EuGH vorgelegt hatte, entschieden (Urt. vom 28.05.2020 \u2013 I ZR 7\/16<\/a>). Wie der EuGH fordert auch der BGH eine aktive Einwilligung des Nutzers in eine Datenerhebung. Eine bereits angekreuzte Checkbox, wie auf der beklagten Website als Cookie-Hinweis eingesetzt, stelle keine wirksame Einwilligung im Sinne der DSGVO dar. Dar\u00fcber hinaus folgte der BGH dem EuGH auch dahingehend, dass es unzul\u00e4ssig sei, die Nutzer vor die Wahl zu stellen, entweder pauschal in eine Weitergabe der eigenen Daten an eine Liste von Werbepartnern einzuwilligen oder aber die Datenweitergabe durch Abwahl jedes einzelnen Werbepartners zu verweigern. Denn die Gestaltung der Einwilligung sei hier darauf ausgelegt gewesen, zur Vermeidung eigenen Aufwands dem Website-Betreiber die Wahl zu \u00fcberlassen.<\/p>\n

Bedeutung der Aktualisierung f\u00fcr die Praxis<\/strong><\/p>\n

Unmittelbare \u00c4nderungen an der derzeitigen Cookie-Praxis sind durch die Klarstellungen des EDSA nicht zu erwarten. Das liegt schon daran, dass der EDSA lediglich Anleitungen und Empfehlungen ver\u00f6ffentlicht. Zwar ist sein Auftrag die Vereinheitlichung der Anwendung datenschutzrechtlicher Vorschriften in der EU, Kompetenzen zur Durchsetzungen seiner Beschl\u00fcsse hat er jedoch nicht. Allerdings orientieren sich die nationalen Datenschutzbeh\u00f6rden am EDSA und arbeiten eng mit ihm zusammen. Die angesprochenen Klarstellungen betreffen allesamt Fragestellungen, die von den nationalen Datenschutzbeh\u00f6rden teilweise unterschiedlich beantwortet wurden. Es ist zu erwarten, dass die Positionierung des EDSA zusammen mit den Planet49-Urteilen von EuGH und BGH als Grundlage f\u00fcr ein h\u00e4rteres Durchgreifen genutzt wird.<\/p>\n

Bereits im Februar 2020 ging die d\u00e4nische Datenschutzbeh\u00f6rde aufgrund von manipulativem Design von Cookie-Bannern gegen eine gro\u00dfe Website vor und erkl\u00e4rte damit Cookie-Banner f\u00fcr rechtswidrig, die eine Ablehnung nur \u00fcber Umwege zulassen. Auch in Deutschland muss mit einem Ende der bisherigen Zur\u00fcckhaltung gerechnet werden: Der Bundesdatenschutzbeauftragte Ulrich Kelber griff die EDSA-Aktualisierungen sofort in einer zustimmenden Pressemitteilung auf. Stefan Brink, der Baden-W\u00fcrttembergische Datenschutzbeauftragte \u00e4u\u00dferte bereits im September 2019 seine Unzufriedenheit mit der Mehrheit der Cookie-Banner, sah darin damals jedoch noch keinen Schwerpunkt der Aufsichtsbeh\u00f6rden. Der Hamburger Datenschutzbeauftragte Prof. Dr. Johannes Caspar bem\u00e4ngelte im Februar 2020 die Kooperationsbereitschaft der besonders stark auf Werbetracker setzende Verlagsbranche und k\u00fcndigte erste rechtliche Schritte an.<\/p>\n

Die Positionierung des EDSA zusammen mit den Cookie-Urteilen von EuGH und BGH geben den Aufsichtsbeh\u00f6rden jedenfalls nun genug R\u00fcckenwind und eine stabile Grundlage um eine Konfrontation mit Website-Betreibern zu riskieren.<\/p>\n

Fazit<\/strong><\/p>\n

Aus Nutzersicht und vor dem Hintergrund einer zunehmenden Vereinheitlichung europ\u00e4ischer Rechtsauslegung sind die aktuellen Entwicklungen zu begr\u00fc\u00dfen. Tats\u00e4chliche Ver\u00e4nderungen wird es aber wohl fr\u00fchestens mit Inkrafttreten der ePrivacy-Verordnung, die u.a. Cookies und Tracking im Internet regulieren soll, geben. Dieses Gesetzesvorhaben lie\u00dfe sich allerdings noch am Ehesten mit dem Berliner Flughafen vergleichen \u2013 w\u00e4re dessen Er\u00f6ffnung nicht mittlerweile sogar realistisch. Seit Jahren wird die ePrivacy-Verordnung immer wieder aufgeschoben; zu unterschiedlich sind die Interessen der Mitgliedstaaten, zu gro\u00df der Druck der diversen Interessenvertreter. Realistischer ist daher ein fortschreitendes Wettr\u00fcsten bei Browser-Addons zum Blocken von Werbung, Trackern und Cookies.<\/p>\n","protected":false},"excerpt":{"rendered":"

Cookie-Banner geh\u00f6ren mittlerweile wie Impressum und Datenschutzerkl\u00e4rung zu jeder Website. Im Gegensatz zu anderen Rechtstexten unterscheiden sich die derzeit verwendete Cookie-Banner nicht nur grafisch, sondern auch inhaltlich sehr stark voneinander. Das Bed\u00fcrfnis einiger Klarstellungen hinsichtlich der Anforderungen an Cookie-Banner hat … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":304378,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[2241,59261],"tags":[67,59263,1827,59262,51570,59264],"acf":[],"_links":{"self":[{"href":"https:\/\/page.fachmedien.de\/wordpress\/rechtsboard\/wp-json\/wp\/v2\/posts\/8739"}],"collection":[{"href":"https:\/\/page.fachmedien.de\/wordpress\/rechtsboard\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/page.fachmedien.de\/wordpress\/rechtsboard\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/page.fachmedien.de\/wordpress\/rechtsboard\/wp-json\/wp\/v2\/users\/304378"}],"replies":[{"embeddable":true,"href":"https:\/\/page.fachmedien.de\/wordpress\/rechtsboard\/wp-json\/wp\/v2\/comments?post=8739"}],"version-history":[{"count":2,"href":"https:\/\/page.fachmedien.de\/wordpress\/rechtsboard\/wp-json\/wp\/v2\/posts\/8739\/revisions"}],"predecessor-version":[{"id":8741,"href":"https:\/\/page.fachmedien.de\/wordpress\/rechtsboard\/wp-json\/wp\/v2\/posts\/8739\/revisions\/8741"}],"wp:attachment":[{"href":"https:\/\/page.fachmedien.de\/wordpress\/rechtsboard\/wp-json\/wp\/v2\/media?parent=8739"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/page.fachmedien.de\/wordpress\/rechtsboard\/wp-json\/wp\/v2\/categories?post=8739"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/page.fachmedien.de\/wordpress\/rechtsboard\/wp-json\/wp\/v2\/tags?post=8739"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}