I. Einleitung: ePrivacy-Richtlinie und Zusammenspiel mit der DSGVO
Beschwerden der Datenschutz-NGO „NOYB“ (None of Your Business) über die Rechtswidrigkeit von Cookie-Bannern haben beim Europäischen Datenschutzausschuss (nachfolgend „EDSA“) zur Einrichtung einer Taskforce geführt, über deren Arbeitsergebnisse (nachfolgend „Cookie-Banner Bericht“) unser Beitrag informiert.
Beachtenswert sind in diesem Cookie-Banner Bericht[1] vor allem die praxisrelevanten Hinweise für den Umgang mit Cookies und die rechtskonforme Umsetzung, insbesondere auf visuelle Art und Weise, der gesetzlichen Vorgaben in die Praxis. Eine gute Gelegenheit also, die eigene Website zu überprüfen und sich die Anforderungen an die technische Darstellung und visuelle Gestaltung von Cookie-Bannern zu vergegenwärtigen.
Zusammengefasst: rein visuell müssen Annahme und Ablehnung von Cookies gleichwertig erkennbar und zugänglich sein, die Anforderungen an eine rechtsgültige Einwilligung müssen erfüllt sein; hier geht es wieder einmal um die „vor-angeklickten“ Kästchen und um das Fehlen klarer Informationen über den Zweck der Cookies, und es wird darauf hingewiesen, dass die Klassifizierung eines Cookie als „technisch notwendig“ durch den Webseiten Betreiber vorgenommen wird, insofern auch in dessen Verantwortung liegt; genauso wie die visuelle Sichtbarkeit eines stets verfügbaren Ablehnungsbuttons.
Dabei handelt es sich um Empfehlungen, nicht um rechtlich verbindliche Vorgaben. Vorrangig gelten die jeweiligen nationalen Vorschriften sowie Weisungen und Einzelfallentscheidungen der jeweils zuständigen Aufsichtsbehörden. Einen Überblick über den aktuellen Stand in Deutschland und in der Schweiz finden Sie am Ende dieses Beitrags.
II. Feststellungen des EDSA
Im Einzelnen adressiert der EDSA sieben häufig vorkommende Konfigurationen („practices“) von Cookie-Bannern:
1. Kein Ablehnbutton auf „erster Ebene“
Der EDSA stellt fest, dass Cookie-Banner häufig auf erster Ebene, also bei der ersten „Begegnung“ mit dem Cookie-Banner, lediglich eine Option vorsehen, dem Setzen von Cookies zuzustimmen, während die Option, das Setzen von Cookies abzulehnen und weitere Einstellungen erst auf zweiter Ebene, also beim „Weiterklicken“, möglich sind. Wenn die Möglichkeit der Ablehnung von Cookies auf erster Ebene des Banners fehlt, ein Zustimmungsbutton aber vorhanden ist, dann entspricht dies nicht den Anforderungen an eine gültige Einwilligung, so die Taskforce, und stellt damit einen Verstoß dar.
Mit anderen Worten – Ablehnung und Annahme der Cookies müssen auf den ersten Blick möglich und gleichwertig platziert sein.
In diesem Zusammenhang verweist die Taskforce nochmals explizit darauf, dass Cookies, deren Anwendung eine Einwilligung erfordern, erst nach einer rechtskonformen Einwilligung, die aktiv, freiwillig und auf Basis spezifischer Information (zu was genau eingewilligt wird) erfolgen muss, gesetzt beziehungsweise aktiviert werden dürfen.
2. Vorausgefüllte Auswahl-Kästchen
Zum Thema „bereits angekreuzte Kästchen“ stellt der EDSA in seinem Cookie-Banner Bericht nochmals klar, dass diese keine rechtskonforme Einwilligung bewirken können. Hierzu verweist er sowohl auf Erwägungsgrund („ErwGr“) 32 S. 3 DSGVO, wie auf Art. 5 Abs. 3 E-Privacy Richtlinie („ePrivacy-RL“). Es bleibt ein kritisches Element der Einwilligung, dass Nutzende klare und umfassende Informationen, insbesondere über die Zwecke der Verarbeitung ihrer Daten erhalten und auf das Recht hingewiesen werden, diese Verarbeitung zu verweigern.
3. „Link Design“ statt Button-Gestaltung
Auch unter dem Aspekt der visuellen Gestaltung des Ablehnungs-Buttons oder –Links geht es wieder um die Freiwilligkeit der Einwilligung. Wenn, so die Taskforce, zum Zwecke der Cookie-Ablehnung auf einen Link statt auf einen Button verwiesen wird, dann ist das der Freiwilligkeit der Einwilligung abträglich. Für die Freiwilligkeit der Einwilligung müsse sichergestellt werden, dass bei Nutzenden nicht der Eindruck erweckt wird, dass eine Einwilligung abgegeben werden muss, um auf den Inhalt der Webseite zuzugreifen.
In folgenden Fällen sei nicht von einer Freiwilligkeit der Einwilligung auszugehen:
- die einzig angebotene Handlungsalternative (außer der Erteilung der Zustimmung) besteht aus einem Link zu Schlagworten wie „ablehnen“ oder „ohne Zustimmung fortfahren“, eingebettet in einen Textabsatz im Cookie-Banner, ohne ausreichende visuelle Hervorhebung, um die Aufmerksamkeit eines durchschnittlichen Nutzers auf diese alternative Handlung zu lenken;
- die einzig angebotene Handlungsalternative (außer der Erteilung der Zustimmung) besteht aus einem Link zu Schlagworten wie „ablehnen“ oder „ohne Zustimmung fortfahren“, die außerhalb des Cookie-Banners stehen, in dem die Schaltflächen zum Akzeptieren von Cookies angezeigt werden, wenn keine ausreichende visuelle Unterstützung vorhanden ist, um die Aufmerksamkeit der Nutzer auf diese alternative Aktion außerhalb des Cookie-Banners zu lenken.
4. Ablenkende Farben und Kontraste
Des Weiteren hat sich die Taskforce bezüglich visueller, farblicher Gestaltung von Ablehnungs-Buttons klar geäussert. Hier unter dem Aspekt der eindeutigen, klaren Information als Voraussetzung einer rechtskonformen Einwilligung. Die Taskforce hebt die Fälle als eindeutig irreführend heraus, in denen eine Handlungsalternative zum Ablehnen von Cookies (außer der Erteilung der Einwilligung) in Form einer Schaltfläche angeboten wird, bei der der Kontrast zwischen dem Text und dem Hintergrund der Schaltfläche so gering ist, dass der Text praktisch unlesbar ist.
Darüber hinaus waren sich die Mitglieder der Taskforce jedoch einig, dass es keinen allgemeinen Standard für Banner in Bezug auf Farbe und/oder Kontrast geben kann. Um die Rechtskonformität eines Banners zu beurteilen, sei vielmehr eine Einzelfallprüfung notwendig, ob die verwendeten Kontraste und Farben für Nutzende eindeutig irreführend („manifestly misleading“) sind und dadurch zu einer unbeabsichtigten und damit ungültigen Einwilligung führen.
5. Anführen eines „berechtigten Interesses“ auf zweiter Ebene
Hier greift der Cookie-Banner Bericht nochmals das Thema „Begegnungsebenen“ auf dem Cookie-Banner auf, dieses Mal mit dem Fokus Legitimationsgrundlagen. Dabei wird festgehalten, dass die Platzierung von Cookies und die weitere Verarbeitung der daraus resultierenden Daten zweierlei und hinsichtlich der Rechtsgrundlage für die Datenverarbeitung auch als solches zu behandeln sind. Während sich die Platzierung von Cookies stets nach Art. 5 Abs. 3 ePrivacy-RL richtet, muss die weitere Verarbeitung durch die DSGVO gedeckt sein. Dementsprechend muss auch schon auf der ersten Ebene eine Ablehnung von Cookies möglich sein. Fehlt es daran, dann kann die Weiterverarbeitung der Cookies nicht auf legitimem Interesse basieren und nach DSGVO dadurch gerechtfertigt sein.
Mit anderen Worten: eine fehlende Berechtigung zur Cookie-Verarbeitung auf erster Ebene kann nicht durch ein berechtigtes Interesse aus zweiter Ebene „geheilt“ werden.
Dies muss sich auch visuell in der Gestaltung der beiden Begegnungsebenen zeigen. Es darf nicht der Eindruck erweckt werden, dass Nutzer zweimal ablehnen müssen, damit ihre personenbezogenen Daten nicht verarbeitet werden.
In Summe gilt: wenn die Anforderungen des Art. 5 Abs. 3 ePrivacy-RL auf erster Ebene, also beim Setzen der Cookies oder ähnliche Technologien nicht eingehalten wurden, dann kann die nachfolgende Verarbeitung nicht mit dem Rechtfertigungsgrund eines legitimen Interesses auf Basis der DSGVO vereinbar sein.
6. Unzutreffende Listung als technisch notwendige Cookies
Nicht nur die oben erwähnte fehlende Einwilligung beim Platzieren von Cookies gemäss ePrivacy-RL adressiert der EDSA in seinem Cookie-Banner Bericht, sondern auch dort wo aufgrund der Klassifizierung von Cookies als unbedingt erforderlich auf eine Einwilligung verzichtet wird, sieht die Taskforce Herausforderungen. So nennt sie als ein vielfach auftretendes Problem, dass Cookies unzutreffend als technisch notwendig im Sinne von Art. 5 Abs. 3 ePrivacy-RL eingestuft werden. Zwar sei die Klassifizierung von Cookies aufgrund deren ständigen Wechsels eine Herausforderung und verfügbare Tools generierten lediglich Listen der vorhandenen, aber keine Kategorisierung der Notwendigkeit von Cookies, es sei aber an den Website Betreibern, hier eine entsprechende Dokumentation zu führen.
In diesem Zusammenhang wird auf das Papier[2] der Art. 29-Datenschutzgruppe[3] verwiesen, das als Grundlage zur Beurteilung, welche Cookies technisch notwendig sind, herangezogen wird – verbunden mit dem Hinweis, dass solche Cookies, die es den Inhabern von Websites ermöglichen, die von den Nutzern geäußerten Präferenzen in Bezug auf einen Dienst zu speichern, in jedem Fall als wesentlich gewertet werden sollten.
7. Keine sichtbare Widerrufsmöglichkeit
Abschließend stellt der EDSA fest, dass es vielfach keine einfache Möglichkeit für Nutzende gibt, erteilte Einwilligungen zu widerrufen. Auch hier geht es wieder um Gestaltungselemente und dass es vielfach kein stets sichtbares (schwebendes) Symbol gibt, über das eine einfach Ablehnung von Cookies jederzeit, auch im Laufe des Website-Besuchs möglich ist.
In diesem Zusammenhang zeigt der EDSA nochmals die grundlegenden Bedingungen für eine nach ePrivacy-RL und DSGVO rechtmässige Einwilligung auf, welche sowohl den Anforderungen der DSGVO in Art. 4 (Definition Einwilligung) und 7 DSGVO (Bedingungen für deren Wirksamkeit) als auch, gemäss ePrivacy-RL und DSGVO kumulativ folgende Voraussetzungen erfüllen muss:
- Möglichkeit, die Einwilligung zu widerrufen
- Jederzeit
- Widerruf der Einwilligung muss so einfach sein wie die Erteilung
Obwohl ein schwebendes Symbol für den Widerruf die präferierte Lösung der Taskforce zu sein scheint, stellt sie klar, dass man Verantwortlichen keine spezifischen Vorgaben für den Widerruf der Einwilligung machen könne – es sei stets im Einzelfall zu prüfen, ob Widerruf ebenso einfach ist wie die Erteilung der Einwilligung.
III. Deutsche Gesetzgebung
Der Bericht der Cookie-Banner Taskforce stellt einleitend klar, dass für nationale Vorschriften, die auf Grundlage der ePrivacy-RL erlassen wurden, in Deutschland das TTDSG, welche das Speichern und/oder Auslesen von Informationen auf Endgeräten regelt, das One-Stop-Shop-Verfahren nicht gilt und streift in diesem Zusammenhang das Zusammenspiel von auf Grundlage der ePrivacy-RL erlassenen nationalen Rechtsvorschriften und der DSGVO, ohne dieses granular zu betrachten.
Daher sei kurz auf die zuletzt im Dezember 2022 aktualisierte Orientierungshilfe Telemedien[4] (nachfolgend „OH Telemedien) des Zusammenschlusses der deutschen Datenschutzaufsichtsbehörden (nachfolgend „DSK“) hingewiesen, welche zum Zusammenspiel von DSGVO und TTDSG ausführt, dass sich die formalen und inhaltlichen Anforderungen an eine wirksame Einwilligung sowohl für die telemedienspezifischen als auch die datenschutzrechtlich relevanten Prozesse einheitlich aus Art. 4 Abs. 1 Nr. 11 i. V. m. Art. 7 und 8 DSGVO ergeben (DSK, OH Telemedien, Rn. 100). Wenn bereits infolge der Vorgaben des TTDSG eine gerätespezifische Einwilligung des Nutzers erforderlich ist, sollte die in diesem Zusammenhang eingesetzte Erklärung zugleich auch die datenschutzrechtliche Einwilligung in die Datenverarbeitung (nach DSGVO) erfassen.
Die DSK hat zudem in die aktualisierte OH Telemedien eine neue Passage zur Bewertung der Frage aufgenommen, wann Cookies und andere Technologien nach dem TTDSG als „unbedingt erforderlich“ gelten und damit das gerätespezifische Einwilligungserfordernis entfällt. Dies sei insbesondere dann der Fall, wenn es sich um „nutzerorientierte Sicherheitscookies“ Die DSK führt damit die enge Auslegung des § 25 Abs. 2 Nr. 2 TTDSG fort. Beispielhaft werden Cookies genannt, die wiederholt fehlgeschlagene Anmeldeversuche auf einer Webseite entdecken. „Unbedingt erforderlich“ sollen auch andere Mechanismen sein, die die Login-Systeme vor Missbrauch schützen. Ausgenommen seien solche Cookies die der Sicherheit von Webseiten oder Diensten Dritter dienen, die nicht ausdrücklich vom Nutzer angefordert wurden (OH Telemedien, Rn. 81).
Im Auswertungsbericht des AK Medien zum Konsultationsverfahren führt die DSK weiter aus, dass die wesentlichen Ausnahmen vom Einwilligungserfordernis auf jene Situationen beschränkt seien, in denen die technische Speicherung oder der Zugriff auf Informationen unverzichtbar sind, um die Nutzung eines vom Teilnehmer oder Nutzer ausdrücklich angeforderten Dienstes zu ermöglichen ( KonsF., S. 28). Für die Frage, was ein ausdrücklich angeforderter Dienst ist, wird wiederum zwischen Basisdiensten und Zusatzdiensten unterschieden: dabei sei das Abgrenzungskriterium der Wahrnehmbarkeit einer Funktion entscheidend, was ein praxisrelevantes Kriterium bei der Prüfung des Bestehens einer Ausnahme von der Einwilligungspflicht nach § 25 Abs. 1 S. 1 TTDSG sein kann.
Rechtsanwender:innen, die sich mit ihrer Website an deutsche Verbaucher:innen wenden, sind daher angehalten, im Rahmen der Prüfung der „unbedingten Erforderlichkeit“ von Cookies und anderen Anwendungen die strenge Auslegung der DSK im Blick zu behalten. Als Richtschnur kann dabei die Wahrnehmbarkeit eines mittels des Cookies bereitgestellten Dienstes herangezogen werden: so ist es beispielsweise im Online-Handel technisch notwendig, Cookies zu setzen, um eine Warenkorbfunktion anbieten zu können, da dies als ausdrücklich angeforderter Dienst eingestuft werden kann, der für Nutzende deutlich wahrnehmbar ist. Im Zweifel ist jedoch eine Einwilligung nach TTDSG und damit in der Regel auch nach DSGVO einzuholen (vgl. Rn. 25).
IV. Schweizer Gesetzgebung
Auch für die Schweiz gilt, dass die datenschutzrechtlichen Transparenzgrundsätze beim Einsatz von Tracking-Tools [5] gewahrt werden müssen. Es ist jedoch keine explizite Einwilligung zur Datenbearbeitung erforderlich. Je nach Sensibilität der bearbeiteten Personendaten werden aber erhöhte Anforderungen an die Informationspflichten gestellt. Sind besonders schützenswerte Daten betroffen, muss der Datenbearbeitung ausdrücklich zugestimmt werden, damit eine solche zulässig ist. Für „best practices“ empfehlen wir unsere Vorlagen
V. Fazit
Nicht nur die Arbeit von NOYB hat dazu geführt, dass sich die europäischen Aufsichtsbehörden verstärkt mit der Rechtskonformität von Cookie-Bannern und den zugrundeliegenden Datenerhebungs- und Verarbeitungsprozessen auseinandersetzen. Alleine aufgrund der Sichtbarkeit und der damit einhergehenden vergleichsweise leichten Kontrollierbarkeit von Cookie-Bannern sind Unternehmen angehalten, ihre Cookie-Banner anhand der Empfehlungen des EDSA auf DSGVO-Konformität zu überprüfen. Dabei sind auch die jeweiligen aufgrund der ePrivacy-Richtlinie erlassenen nationalen Rechtsvorschriften einzubeziehen, welche gerätespezifische Vorgaben für das Setzen von Cookies und vergleichbaren Technologien vorsehen. Bei Bezügen zum deutschen Markt ist zudem die aktualisierte OH Telemedien der DSK in den Blick zu nehmen. Hierzu findet sich ein ausführlicher Beitrag auf härting.de.