Beschwerdewelle gegen Cookie-Banner
Beitrag verfasst von Dr. Rainer Knyrim – KTR-Newsletter August 2021
Die Datenschutz-NGO noyb (gegründet von Max Schrems) hat 422 (!) formale Beschwerden gegen Unternehmen wegen deren Cookie-Bannern angekündigt – wie z.B. Die Presse berichtete. Davon betreffen über 200 Österreich. Innerhalb eines Jahres sollen laut Schrems darüber hinaus noch über 10.000 Webseiten überprüft und wenn nötig Abmahnungen erteilt werden. Zur Vermeidung solcher Risiken sollten Sie Ihren Cookie-Banner anhand der folgenden Punkte prüfen, wobei wir gerne behilflich sind.
Anforderungen an Consent-Layer und Cookie-Banner
Viele Webseiten verwenden Cookies oder Dienste von Drittdienstanbietern, die eine Einwilligung erfordern. Mittlerweile werden vermehrt aufwändigere Consent-Banner genutzt, die konkrete Informationen über den Einsatz von Cookies und die Einbindung von Drittdiensten liefern und Entscheidungs- und Wahlmöglichkeiten bieten. Ein DSGVO-konformes Consent-Management erfordert die Verarbeitung von Nutzerdaten in einer Weise, die der abgegebenen oder verweigerten Einwilligung sowie den getroffenen Einstellungen entspricht. Den Websitebetreiber trifft dabei die Darlegungs- und Beweislast für die datenschutzrechtskonforme Gestaltung der Website. Eine Einwilligung muss nach Art 4 Z 11 DSGVO freiwillig, für den bestimmten Fall, in informierter Weise und unmissverständlich abgegeben werden und kann in Form einer Erklärung oder sonstigen eindeutig bestätigenden Handlung bestehen. Für den bestimmten Fall abgegeben ist eine Einwilligung dabei dann, wenn Inhalt, Zweck und Tragweite der Erklärung konkretisiert sind.
Zeitpunkt der Einwilligung
Die Einwilligung muss vor der Datenverarbeitung erteilt werden. Wird eine Website zum ersten Mal abgerufen, dürfen die einwilligungsbedürftigen Cookies erst gesetzt werden, wenn diesen im Consent-Tool zugestimmt wurde.
Informiertheit bei der Einwilligung
Vor Abgabe der Einwilligung müssen der betroffenen Person Mindestinformationen erteilt werden, und zwar die Identität des Verantwortlichen, die Verarbeitungszwecke, die verarbeiteten Daten, die Absicht einer ausschließlich automatisierten Entscheidung sowie die Absicht einer Datenübermittlung in Drittländer. Beim Einsatz eines Nutzertrackings durch Drittdienste sind die Verarbeitungszwecke detailliert zu erläutern. Außerdem ist darüber zu informieren, wenn Profile erstellt werden und diese mit Daten anderer Websites angereichert werden. Eine informierte Einwilligung erfordert auch den Hinweis auf das Widerrufsrecht der Einwilligung, das bereits aus der ersten Ebene des Consent-Fensters hervorgehen muss.
Eindeutig bestätigende Handlung
Auf einer Webseite werden Einwilligungen in Form einer eindeutig bestätigenden Handlung erteilt. Dazu sind vor allem die Bezeichnung und Darstellung der Schaltfläche im Vergleich zur Schaltfläche, durch die die Einwilligung verweigert wird, maßgeblich. Außerdem stellt sich die Frage, ob dem Mausklick ein eindeutiger Erklärungsinhalt zukommt. Geht aus dem Informationstext nicht eindeutig hervor, wozu die Einwilligung erteilt wird, liegt eine solche nicht vor. Unklarheiten ergeben sich auch dann, wenn Schieberegler und Schaltflächen nicht miteinander verknüpft sind und nicht automatisch aktiviert werden, wenn alle Cookies akzeptiert werden.
Freiwilligkeit der Einwilligung
Eine Einwilligung ist nur dann freiwillig, wenn kein Druck oder Zwang ausgeübt wird. Unzulässig sind Cookie-Walls, die den Inhalt der Webseite nicht oder nur eingeschränkt erkennbar machen, wenn der Nutzer den Einsatz von Cookies nicht akzeptiert hat und die Inhalte ausschließlich dann sichtbar werden, wenn eine Einwilligung erfolgt. Wird aber die Alternative angeboten, die Inhalte durch Bezahlung sichtbar zu machen, spricht dies nicht gegen die Freiwilligkeit.
Nudging
Mithilfe von Nudging wird das Verhalten der Nutzer beeinflusst. Die Zustimmung wird im Rahmen des Consent-Layers oft auffälliger gestaltet als die Ablehnung. Außerdem wird der Ablehnungsprozess oft kompliziert ausgestaltet, indem auf der ersten Ebene des Consent-Tools zwar die Einwilligung erteilt werden kann, die Ablehnung aber die Öffnung der Cookie-Einstellungen und Deaktivierung vorangekreuzter Häkchen erfordert. Auch das LG Rostock führte zur Rechtswidrigkeit von Cookie-Bannern aus, dass die Opt-Out-Variante zur Einholung einer wirksamen Einwilligung nicht geeignet ist. Den Aufwand der Abwahl von Cookies würde regelmäßig gescheut werden und die Cookies ohne Information bestätigt, wodurch dem Verbraucher die Tragweite seiner Erklärung nicht bewusst sei. Dass die Möglichkeit bestand, die Einwilligung auf technisch notwendige Cookies zu beschränken, ändere an der Beurteilung nichts. Außerdem sei die Abwahl der Cookies als nicht anklickbare Schaltfläche zu erkennen gewesen. Neben dem grün unterlegten „Cookie zulassen“-Button trete die Ablehnung in den Hintergrund und könne gar nicht als gleichwertige Einwilligungsmöglichkeit wahrgenommen werden. Unter Nudging fällt auch die wiederholte Frage nach der Einwilligung, sodass der Nutzer die Einwilligung erteilt, um nicht mehr belästigt zu werden. Solche verhaltensmanipulierenden Ausgestaltungen können wie im Fall vor dem LG Rostock zur Unwirksamkeit der Einwilligung führen.
Widerruf der Einwilligung
Der Widerruf einer Einwilligung muss so einfach wie ihre Erteilung sein. Wird die Einwilligung im Rahmen der Nutzung der Webseite erteilt, muss auch der Widerruf über diese möglich sein. Wird ein Consent-Fenster eingesetzt, ist dem Nutzer die Möglichkeit zu geben, dieses wieder zu öffnen und seine Einstellungen ändern zu können.