Beschwerdewelle gegen Cookie-Banner

Beitrag verfasst von Dr. Rainer Knyrim – KTR-Newsletter August 2021

Die Datenschutz-NGO noyb (gegründet von Max Schrems) hat 422 (!) formale Beschwerden gegen Unternehmen wegen deren Cookie-Bannern angekündigt – wie z.B. Die Presse berichtete. Davon betreffen über 200 Österreich. Innerhalb eines Jahres sollen laut Schrems darüber hinaus noch über 10.000 Webseiten überprüft und wenn nötig Abmahnungen erteilt werden. Zur Vermeidung solcher Risiken sollten Sie Ihren Cookie-Banner anhand der folgenden Punkte prüfen, wobei wir gerne behilflich sind.

Anforderungen an Consent-Layer und Cookie-Banner

Viele Webseiten verwenden Cookies oder Dienste von Drittdienstanbietern, die eine Einwilligung erfordern. Mittlerweile werden vermehrt aufwändigere Consent-Banner genutzt, die konkrete Informationen über den Einsatz von Cookies und die Einbindung von Drittdiensten liefern und Entscheidungs- und Wahlmöglichkeiten bieten. Ein DSGVO-konformes Consent-Management erfordert die Verarbeitung von Nutzerdaten in einer Weise, die der abgegebenen oder verweigerten Einwilligung sowie den getroffenen Einstellungen entspricht. Den Websitebetreiber trifft dabei die Darlegungs- und Beweislast für die datenschutzrechtskonforme Gestaltung der Website. Eine Einwilligung muss nach Art 4 Z 11 DSGVO freiwillig, für den bestimmten Fall, in informierter Weise und unmissverständlich abgegeben werden und kann in Form einer Erklärung oder sonstigen eindeutig bestätigenden Handlung bestehen. Für den bestimmten Fall abgegeben ist eine Einwilligung dabei dann, wenn Inhalt, Zweck und Tragweite der Erklärung konkretisiert sind.

Zeitpunkt der Einwilligung

Die Einwilligung muss vor der Datenverarbeitung erteilt werden. Wird eine Website zum ersten Mal abgerufen, dürfen die einwilligungsbedürftigen Cookies erst gesetzt werden, wenn diesen im Consent-Tool zugestimmt wurde.

Informiertheit bei der Einwilligung

Vor Abgabe der Einwilligung müssen der betroffenen Person Mindestinformationen erteilt werden, und zwar die Identität des Verantwortlichen, die Verarbeitungszwecke, die verarbeiteten Daten, die Absicht einer ausschließlich automatisierten Entscheidung sowie die Absicht einer Datenübermittlung in Drittländer. Beim Einsatz eines Nutzertrackings durch Drittdienste sind die Verarbeitungszwecke detailliert zu erläutern. Außerdem ist darüber zu informieren, wenn Profile erstellt werden und diese mit Daten anderer Websites angereichert werden. Eine informierte Einwilligung erfordert auch den Hinweis auf das Widerrufsrecht der Einwilligung, das bereits aus der ersten Ebene des Consent-Fensters hervorgehen muss.

Eindeutig bestätigende Handlung

Auf einer Webseite werden Einwilligungen in Form einer eindeutig bestätigenden Handlung erteilt. Dazu sind vor allem die Bezeichnung und Darstellung der Schaltfläche im Vergleich zur Schaltfläche, durch die die Einwilligung verweigert wird, maßgeblich. Außerdem stellt sich die Frage, ob dem Mausklick ein eindeutiger Erklärungsinhalt zukommt. Geht aus dem Informationstext nicht eindeutig hervor, wozu die Einwilligung erteilt wird, liegt eine solche nicht vor. Unklarheiten ergeben sich auch dann, wenn Schieberegler und Schaltflächen nicht miteinander verknüpft sind und nicht automatisch aktiviert werden, wenn alle Cookies akzeptiert werden.

Freiwilligkeit der Einwilligung

Eine Einwilligung ist nur dann freiwillig, wenn kein Druck oder Zwang ausgeübt wird. Unzulässig sind Cookie-Walls, die den Inhalt der Webseite nicht oder nur eingeschränkt erkennbar machen, wenn der Nutzer den Einsatz von Cookies nicht akzeptiert hat und die Inhalte ausschließlich dann sichtbar werden, wenn eine Einwilligung erfolgt. Wird aber die Alternative angeboten, die Inhalte durch Bezahlung sichtbar zu machen, spricht dies nicht gegen die Freiwilligkeit.

Nudging

Mithilfe von Nudging wird das Verhalten der Nutzer beeinflusst. Die Zustimmung wird im Rahmen des Consent-Layers oft auffälliger gestaltet als die Ablehnung. Außerdem wird der Ablehnungsprozess oft kompliziert ausgestaltet, indem auf der ersten Ebene des Consent-Tools zwar die Einwilligung erteilt werden kann, die Ablehnung aber die Öffnung der Cookie-Einstellungen und Deaktivierung vorangekreuzter Häkchen erfordert. Auch das LG Rostock führte zur Rechtswidrigkeit von Cookie-Bannern aus, dass die Opt-Out-Variante zur Einholung einer wirksamen Einwilligung nicht geeignet ist. Den Aufwand der Abwahl von Cookies würde regelmäßig gescheut werden und die Cookies ohne Information bestätigt, wodurch dem Verbraucher die Tragweite seiner Erklärung nicht bewusst sei. Dass die Möglichkeit bestand, die Einwilligung auf technisch notwendige Cookies zu beschränken, ändere an der Beurteilung nichts. Außerdem sei die Abwahl der Cookies als nicht anklickbare Schaltfläche zu erkennen gewesen. Neben dem grün unterlegten „Cookie zulassen“-Button trete die Ablehnung in den Hintergrund und könne gar nicht als gleichwertige Einwilligungsmöglichkeit wahrgenommen werden. Unter Nudging fällt auch die wiederholte Frage nach der Einwilligung, sodass der Nutzer die Einwilligung erteilt, um nicht mehr belästigt zu werden. Solche verhaltensmanipulierenden Ausgestaltungen können wie im Fall vor dem LG Rostock zur Unwirksamkeit der Einwilligung führen.

Widerruf der Einwilligung

Der Widerruf einer Einwilligung muss so einfach wie ihre Erteilung sein. Wird die Einwilligung im Rahmen der Nutzung der Webseite erteilt, muss auch der Widerruf über diese möglich sein. Wird ein Consent-Fenster eingesetzt, ist dem Nutzer die Möglichkeit zu geben, dieses wieder zu öffnen und seine Einstellungen ändern zu können.

Artikel drucken

Beiträge

Newsletter August 2021

Beschwerdewelle gegen Cookie-Banner

Heutzutage verwendet ein Großteil der Webseiten Cookies oder Dienste von Drittanbietern. Diese erfordern eine explizite Einverständniserklärung, welche durch aufwändige Consent-Banner dargestellt wird. Zusätzlich soll dieser Banner zur konkreten Aufbereitung von Informationen über den Einsatz von Cookies und die Einbindung von Drittdiensten dienen.

Neue Standarddatenschutzklauseln (I)

Am 4. Juni 2021 wurden von der EU-Kommission neue Standarddatenschutzklauseln für den internationalen Datentransfer in Drittländer angenommen. Die neuen Standarddatenschutzklauseln sehen einen modularen Ansatz vor. Die Übergangsfrist endet am 27. Dezember 2022.

Knyrim Trieb und Secur-Data gründen gemeinsame Zertifizierungs-GmbH

Im Juni 2021 haben wir gemeinsam mit Frau Mag. Judith Leschanz und Herrn Prof. Hans-Jürgen Pollirer von Secur-Data Betriebsberatungs GmbH die KT & SD DSGVO ZERT GmbH gegründet. Nach Akkreditierung durch die Datenschutzbehörde soll die neue Gesellschaft schon bald datenschutzrechtliche Zertifizierungen anbieten.

Deutsche Datenschutzkonferenz veröffentlicht Übersichtsliste über Publikationen

Die vor kurzem von der deutschen Datenschutzkonferenz veröffentlichte Übersichtsliste mit Publikationen der Landes- und Bundesdatenschutzbehörden präsentiert eine Fülle an behördlichen Informationsmaterial zum Datenschutzrecht.

Datenschutzkonformer Betrieb einer Facebook-Fanpage unmöglich

Der deutsche Bundesschutzbeauftragte nimmt in seinem Rundschreiben vom 16.06.2021 erneut Bezug auf den nicht datenschutzkonformen Betrieb einer Facebook-Fanpage. Vergebens versuchte das Presse- und Informationsamt der Bundesregierung (BPA) eine Lösung mit Facebook zu erzielen.

EDSA-Empfehlungen für Prüfschritte bei Drittlandstransfers

Der Europäische Datenschutzausschuss hat am 18. juni 2021 die endgültige Fassung seiner „Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten“ veröffentlicht. Diese Empfehlungen können und sollen bei Datentransfers in Drittländer für die Prüfung der Rechtslage herangezogen werden.

Neue Standarddatenschutzklauseln (II)

Der internationale Datentransfer mit Standarddatenschutzklauseln verlangt nun ein weitaus strengeres Prüf-, Notifikations- und Überwachungskonzept!