Legal UPDATE #22 befasst sich mit den rechtlichen Rahmenbedingungen rund um Cookies und gibt Händlern Tipps & Ratschläge für eine rechtlich konforme Ausgestaltung der Cookie-Banner.
Cookies und die Flut an diesbezüglichen Hinweisen beschäftigen datenschutzrechtliche Aufsichtsbehörden, die Rechtsprechung und damit letzten Endes auch Unternehmer bereits seit Längerem. Insbesondere Händler, welche als Teil ihres Geschäftsmodells Produkte und Dienstleistungen über eigene Websites vermarkten, kommen mit dem Thema zwangsweise in Berührung und sehen sich mit einem unübersichtlichen Netz aus abstrakten rechtlichen Rahmenbedingungen konfrontiert, die einen unschönen Nährboden für eine damit einhergehende Rechtsunsicherheit bieten. Legal Update #22 soll hier zumindest eine gewisse Abhilfe schaffen und betroffenen Händlern handfeste Ratschläge für eine rechtlich konforme Ausgestaltung ihrer Cookie-Banner an die Hand geben.
Mittlerweile wissen es schon viele: Cookies erhalten eine datenschutzrechtliche Sonderbehandlung. Dies hat mit ihrer technischen Funktionsweise zu tun: Cookies sind kleine Datensätze, die beim Zugriff auf bspw. eine Website auf dem Endgerät des zugreifenden Nutzers gespeichert werden. Unabhängig von der Frage eines Personenbezugs der darin enthaltenen Daten, wird hier ein Eingriff in die Privatsphäre des Nutzers erkannt. Folglich weichen die rechtlichen Vorgaben teilweise von den allgemeinen Regelungen der EU-Datenschutz-Grundverordnung (“DSGVO“) ab.
Die betrifft vor allem die unbedingte Einwilligungspflicht beim Cookie-Einsatz, sofern die Cookies für den Betrieb der Website technisch nicht unbedingt erforderlich sind. Erschwerend kommt hinzu, dass Cookies in vielen Fällen von Drittanbietern außerhalb des EU-/EWR-Raums stammen, deren Angebote von den eigentlich verantwortlichen Websitebetreibern zu verschiedenen Zwecken eingebunden werden. Sofern dadurch auch personenbezogene Daten in Drittländer übertragen werden, müssen zusätzliche Maßnahmen für deren Schutz getroffen werden (siehe hierzu bereits unser Legal Update #21 – hier zum Nachlesen).
Auf die Praxis umgemünzt wird diese Einwilligung durch Cookie-Banner eingeholt, welche nun den datenschutzrechtlichen Vorgaben – allen voran jenen der DSGVO – entsprechen müssen. Demnach hat eine Einwilligung gemäß Art 4 Z 11 DSGVO grundsätzlich “freiwillig, für den bestimmten Fall, in informierter Weise und unmissverständlich” zu erfolgen.
Diese – doch sehr abstrakten – Anforderungen mögen zwar auf den ersten Blick keine besondere Herausforderung darstellen, bereiten aber in der Praxis große Probleme, wie die rege Spruchpraxis der verschiedenen Aufsichtsbehörden oder des Gerichtshofes der Europäischen Union (“EuGH“) sowie der “Cookie-Dschungel”, welcher in der Realität auf vielen Websites anzufinden ist, bezeugen.
Einheitliche bzw. harmonisierte Vorgaben aus dem Europarecht führen auch im Datenschutzrecht zumindest ansatzweise zum Herauskristallisieren einer gesamteuropäischen Linie. Gerade für den Umgang mit Cookies heißt dies, dass auch Entscheidungen von Aufsichtsbehörden oder Gerichten aus anderen EU-Mitgliedstatten faktisch eine enorme Relevanz entfalten können, wenngleich das Auslegungsmonopol von EU-Recht ausschließlich dem EuGH zukommt, der mit seiner Planet49-Entscheidung (C-673/17) die heute anzutreffende Cookie-Praxis wesentlich verändert hat. Außerdem beziehen sich Angebote vielfach ohnehin auf den gesamteuropäischen Markt, weswegen es anzuraten ist, sich in solchen Fällen – etwa auch in Zusammenhang mit der allseits bekannten Impressumspflicht – immer an den strengsten rechtlichen Vorgaben zu orientieren.
Auch scheint beim Cookie-Einsatz eine grundlegende Einigkeit zwischen Aufsichtsbehörden der einzelnen Mitgliedstaaten zu bestehen, zumindest widersprechen sie sich bislang nicht. Allen voran die französische Aufsichtsbehörde (Commission Nationale de l’Informatique et des Libertés) hat nun darauf aufmerksam gemacht, dass die Auswahl der Entscheidung Cookies abzulehnen einfacher sein muss als dies praktisch oft der Fall ist. Zunehmend bemängelt wird hierbei das weit verbreitete “Nudging”: eine Methode, bei welcher der Websitenutzer durch subtile Verhaltenslenkung zur Abgabe einer Einwilligung verleitet wird. Zuletzt haben auch die Datenschutzbehörden mehrerer deutscher Länder diversen Medienunternehmen aufsichtsbehördliche Maßnahmen angedroht, nachdem bei einer Untersuchung ihrer Cookie-Implementierungen zum Teil schwere rechtliche Defizite festgestellt wurden.
Auf die Praxis bezogen ergeben sich aus diesen neuen Erkenntnissen für Händler folgende Vorgaben, welche im Umgang mit Cookies und für die Gestaltung von Cookie-Bannern beachtet werden sollten:
Unzulässig ist die nachträgliche Einholung der Einwilligung. Mit Ausnahme der technisch notwendigen Cookies darf daher nicht schon beim bloßen Websitezugriff auch auf das Endgerät des Nutzers zugegriffen werden. (Strenggenommen dürfen auch technisch notwendige Cookies erst nach einer entsprechenden Informationserteilung verwendet werden, wenn es bei ihrem Einsatz zur Verarbeitung von personenbezogenen Daten, z.B. von IP-Adressen, kommt.)
Der Websitenutzer darf nicht zur Abgabe einer Einwilligung gedrängt werden. Dies wäre unter anderem bei vorangekreuzten Checkboxen oder sog. “Cookie-Walls” der Fall, die den Zugriff auf eine Website blockieren. Als freiwillig erteilt gilt die Einwilligung jedoch, wenn dem Nutzer die Wahl zwischen einer “kostenlosen” Zugriffsvariante mit Cookies oder der kostenpflichtigen Websitenutzung ohne Cookies ermöglicht wird.
Um sicherzustellen, dass die Einwilligung in informierter Weise abgegeben wird, müssen dem Websitenutzer die von der DSGVO geforderten Informationen erteilt werden. Hierbei ist es wichtig, dass auf eine transparente Aufbereitung geachtet wird. Daher wäre es etwa zulässig, dem Websitenutzer im Cookie-Banner selbst nur die wichtigsten Informationen zu erteilen (z.B. über Art und Zweck der Verarbeitung) und bezüglich der restlichen Informationen weiterführende Dokumente (z.B. die Datenschutzerklärung oder Cookie-Policy) zu verlinken.
Hierzu hielt der EuGH in seiner Planet49-Entscheidung fest, dass durch die Informationserteilung der Nutzer in die Lage versetzt werden muss, die Konsequenzen einer einmal erteilten Einwilligung abschätzen zu können. Daher müssen die Informationen dem Nutzer ermöglichen, die Funktionsweise der verwendeten Cookies sowie Art und Umfang der mit ihrem Einsatz verbundenen Datenverarbeitung verstehen zu können.
Der Websitenutzer muss seine Einwilligung oder Ablehnung deutlich zum Ausdruck bringen. Dabei ist es wichtig, dass sich der Umfang der erteilten Einwilligung mit den tatsächlich gesetzten Cookies – und den vorgenommenen Verarbeitungstätigkeiten – deckt. Dies kann durch eine angemessene Informationserteilung und Ausgestaltung der Cookie-Banner erreicht werden. Auf alle Fälle sollten Cookie-Banner die – identisch designten – Schaltflächen: “alle annehmen” und “nur technisch notwendige Cookies zulassen” (ggf. “alle ablehnen”) enthalten. Auch wäre es empfehlenswert, dem Nutzer über eine Schaltfläche “Einstellungen” die genaue Auswahl der verwendeten Cookies zu ermöglichen.
In diesem Zusammenhang spricht man oft vom sog. “Nudging”. Hinter dem Fremdwort versteckt sich eine Praktik, welche darauf abzielt, das Verhalten der Nutzer zu beeinflussen und sie so zur Abgabe einer Einwilligung zu bewegen. Dies wird unter anderem durch intransparente Designentscheidungen bei Cookie-Bannern erreicht, indem etwa der Annehmen-Button deutlich auffälliger gestaltet ist als der Ablehnen-Button.
Nicht zuletzt aufgrund von aktuellen aufsichtsbehördlichen Entscheidungen lässt eine rechtskonforme Ausgestaltung keinen Raum für derartige Designentscheidungen. Der Ablehnen-Button muss gleichermaßen zugänglich sein wie der Annehmen-Button. Abzuraten ist insofern besonders davon, den Ablehnen-Button erst auf der zweiten Banner-Ebene zu platzieren.
Die Möglichkeit, eine einmal abgegebene Einwilligung zu widerrufen muss so einfach sein, wie die eigentlichen Abgabe der Einwilligung selbst. Hier bietet es sich an, dem Nutzer das erneute Einblenden des Cookie-Banners – und somit eine Anpassung seiner Cookie-Auswahl – zu erlauben.
Grundsätzlich liegt es am Websitebetreiber nachzuweisen, dass auf seiner Website die einschlägigen datenschutzrechtlichen Vorschriften umgesetzt sind. Daher muss dieser strenggenommen auch die rechtskonforme Einholung der Einwilligung auf Nachfrage der zuständigen Aufsichtsbehörde belegen können.
Gerade in der nahen Zukunft werden Cookies und Cookie-Banner für viele Händler noch eine bedeutende Rolle spielen. Wie oben dargelegt beginnt sich der rechtliche Rahmen rund um die kleinen Datensätze zunehmend zu verdichten. Dies nutzen auch Datenschutzaktivisten, die beginnen aktiv gegen Verfehlungen beim Cookie-Einsatz vorzugehen. Allen voran hat NOYB (None Of Your Business), die NGO des Datenschützers Max Schrems, im Zuge der letzten Entwicklungen hunderte Unternehmen darüber informiert, dass ihre Cookie-Banner nicht rechtskonform und daher anzupassen sind. Dieser ersten, harmlosen Rüge folgten 422 Beschwerden bei zehn Aufsichtsbehörden aus ganz Europa. NOYB will zukünftig bis zu 10 000 Websites überprüfen. Ziel dieser Aktion ist es, irreführende und rechtlich unzulässige Cookie-Banner aus dem Internet zu vertreiben.
Parallel zu den Beschwerden entwickelt NOYB zusammen mit dem Sustainable Computing Lab der Wirtschaftsuniversität Wien das Browsersignal Advanced Data Protection Control ("ADPC"). Die Idee beruht darauf, dass in einer Browsererweiterung voreingestellt werden kann, ob und in welchem Umfang Cookies zugelassen werden sollen. Zwar könnte ADPC dazu führen, dass vermehrt Cookies abgelehnt und den Unternehmen gezielte Werbeschaltungen erschwert werden, gleichwohl könnte ADPC aber auch eine Marktverschiebung zu datenschutzfreundlicheren Angeboten bewirken. Daher wird es für Händler in der kommenden Zeit wichtig sein, ihr Online-Angebot zu überprüfen, bei Bedarf anzupassen und die wichtigsten Entwicklungen europaweit im Auge zu behalten.
