Free

Praxisfälle zum Datenschutzrecht XV: Onlinedatenschutz und Cookie Banner

Archiv RDV
Lesezeit 10 Min.

I. Sachverhalt

Bei einer datenschutzrechtlichen Bestandsaufnahme der einzelnen Unternehmenswebsites im Konzern K ergeben sich folgende Feststellungen:
Unternehmen A hat einen Onlineshop. Im Rahmen des Shops wird den Nutzern eine – auf Basis von Cookies arbeitende – „Merkfunktion“ angeboten. Mit Hilfe der Funktion können Nutzer für sie interessante Artikel speichern, um sie später einfacher nochmals ansehen zu können. Klickt der Nutzer bei Ansicht eines Artikels auf „Merken“, öffnet sich ein Pop-up-Fenster, mittels dessen seine Einwilligung in das Setzen und Auslesen der Cookies sowie in die personenbezogene Datenverarbeitung im Zusammenhang mit der Merkfunktion eingeholt wird.

Sofern Nutzer die Website des Unternehmens B besuchen, werden auf den von diesen genutzten Endgeräten Cookies abgelegt, um die Interessen der Nutzer nachvollziehen zu können und diesen auf Basis ihres Nutzungsverhaltens personalisierte Werbeanzeigen einzublenden. Zur Legitimation erscheint bei Aufruf der Website ein großes Banner, das über das Setzen der Cookies zu den genannten Zwecken informiert. Durch Weiterbenutzung der Website erkläre sich der Nutzer mit dem Setzen der Cookies und der Datenverarbeitung zum Zwecke des Ausspielens der personalisierten Werbung einverstanden, so das Banner weiter.

Unternehmen C und D setzen Cookies zu den gleichen Zwecken wie Unternehmen B.
Unternehmen C gestaltet den Einwilligungsprozess wie folgt: Ein bei Seitenaufruf erscheinendes Banner beschreibt knapp, aber prägnant den Umstand und die Zwecke des Zugriffs auf das Endgerät sowie der nachfolgenden Datenverarbeitung. Auf der ersten Bannerebene stehen drei verschiedene Buttons zur Auswahl: „Allen Cookies zustimmen“, „Nur essenzielle Cookies“ sowie „Einstellungen“. Der erste Button ist geringfügig größer und etwas auffälliger gestaltet. Die anderen beiden Buttons bleiben für den Nutzer als Optionen gleichwohl eindeutig erkennbar.

Unternehmen D bietet auf erster Bannerebene nur die Wahl zwischen „Allen Cookies zustimmen“ und „Einstellungen“. Über die Option „Einstellungen“ gelangt der Nutzer auf die zweite Ebene des Banners, wo sich verschiedene Einstellungsmöglichkeiten und auch ein „Alle nicht essenziellen Cookies ablehnen“-Button findet.

Wie beurteilen Sie die verschiedenen Gestaltungen?

 

II. Musterfalllösung

1. Allgemeines

Cookies sind kleine Textdateien, die der Webbrowser auf dem Computer speichert. Anhand von Cookies erkennt eine Website, wer sie gerade besucht, und kann dadurch Nutzerpräferenzen, wie z.B. Sprach- oder Bildschirmeinstellungen, oder Log-in-Informationen speichern, damit der Nutzer die Einstellungen nicht immer wieder neu vornehmen bzw. sich nicht immer wieder neu anmelden muss. Beim Onlineshopping verhindern Cookies, dass sich mit jedem Aufruf einer neuen Unterseite im Rahmen des Webangebots der Warenkorb leert. Im Ausgangspunkt handelt es sich also zunächst einmal um ein sehr nützliches und oft notwendiges Verfahren, ohne das viele Internetseiten nicht in der gewohnten komfortablen Form genutzt werden könnten. Beim Online-Marketing ermöglicht der Einsatz von Cookies, die Nutzerinteressen auch sessionübergreifend zu ermitteln und so möglichst zielgenaue Onlinewerbung auszuspielen. Dabei handelt es sich um sog. persistente Cookies, die dauerhaft im System des Nutzers hinterlegt werden.

2. Einwilligung für „Merkfunktion“

a) Grundsätzliches zur Einwilligung

Eine Einwilligung sollte nur in Fällen eingeholt werden, in denen eine solche tatsächlich erforderlich ist, denn im Vergleich zu gesetzlichen Erlaubnissen ist eine Einwilligung regelmäßig als weniger geeignete Rechtsgrundlage anzusehen. Der Begriff der Einwilligung ist in Art. 4 Nr. 11 DS-GVO definiert, der zugleich auch inhaltliche Anforderungen an eine solche stellt. Als Einwilligung ist gemäß der genannten Regelung jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung anzusehen, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Da für Einwilligungen das Freiwilligkeitserfordernis gilt, muss der Nutzer die Erteilung der Einwilligung grundsätzlich auch ablehnen können. Erteilte Einwilligungen sind jederzeit frei widerruflich, worüber die betroffene Person vor Abgabe der Einwilligung auch in Kenntnis zu setzen ist (Art. 7 Abs. 3 S. 1 und 3 DS-GVO). Da der Verantwortliche nachweispflichtig ist für die Einwilligung, vgl. Art. 7 Abs. 1 DS-GVO sowie Art. 5 Abs. 2 DS-GVO, verursacht das Einholen von Einwilligungen darüber hinaus einen entsprechenden Dokumentationsaufwand inklusive eines Versionsmanagements, da sich die Fassungen der Einwilligungstexte im Laufe der Zeit ändern können.
Sofern der Zugriff auf das Endgerät bzw. die nachgelagerte Datenverarbeitung über gesetzliche Erlaubnisse gerechtfertigt werden kann, sollte also auf die Einholung von Nutzereinwilligungen durch Unternehmen A verzichtet werden.

b) Bestehen einer gesetzlichen Erlaubnis im konkreten Fall

Bei Beurteilung der Frage, ob es im vorliegenden Fall einer Einwilligung der betroffenen Nutzer bedarf, ist zwischen zwei im Grundsatz getrennt voneinander zu beurteilenden Aspekten zu unterscheiden, nämlich zwischen dem im Zusammenhang mit dem Setzen des Cookies erfolgenden Zugriff auf das Endgerät einerseits und der datenschutzrechtlichen Bewertung nachfolgender Verarbeitungen personenbezogener Daten andererseits.

Bezogen auf den Endgerätezugriff ist § 25 TTDSG ausschlaggebend, der unabhängig von der Betroffenheit personenbezogener Informationen die Privatsphäre bei Endeinrichtungen schützt. Grundsatz ist dabei gemäß Abs. 1 der Regelung, dass die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, nur zulässig sind, sofern der Endnutzer eingewilligt hat. Die Einwilligung hat auf der Grundlage von „klaren und umfassenden Informationen“ zu erfolgen. Bezüglich der Information des Endnutzers und der Einwilligung sind nach § 25 Abs. 1 S. 2 TTDSG die Vorgaben der DS-GVO entsprechend heranzuziehen.

Ausnahmen vom Einwilligungserfordernis enthält § 25 Abs. 2 TTDSG für Fälle der Nachrichtenübermittlung (Nr. 1) und für Fälle, in denen die Speicherung bzw. der Zugriff „unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann“ (Nr. 2).

Sofern sich ein Nutzer des Onlineshops von A dafür entscheidet, die Merkfunktionalität zu verwenden, handelt es sich um einen Anwendungsfall von § 25 Abs. 2 Nr. 2 TTDSG. Das Setzen und Auslesen der Cookies im Zusammenhang mit dem Merkzettel ist damit gesetzlich legitimiert. Das Gleiche gilt für im Rahmen der Funktionalität stattfindende personenbezogene Datenverarbeitungen. Sofern im konkreten Fall bereits eine vorvertragliche Konstellation angenommen werden kann, greift Art. 6 Abs. 1 lit. b DS-GVO (Vertrag bzw. Vorvertrag), ansonsten angesichts des Eigeninteresses des Nutzers an der Verarbeitung zumindest Art. 6 Abs. 1 lit. f DS-GVO (Interessenabwägung).
Die Einholung von Einwilligungen im Zusammenhang mit der Merkfunktion ist in jedem Fall überflüssig.

3. Einwilligung durch „Weitersurfen“

a) Einwilligungserfordernis

Der Zugriff auf Endgeräte für werbliche Zwecke ist nicht über einen der Tatbestände des § 25 Abs. 2 TTDSG gedeckt und bedarf daher nach § 25 Abs. 1 TTDSG der Einwilligung. Datenschutzrechtlich können werbliche Verarbeitungen auch über die gesetzliche Erlaubnis in Art. 6 Abs. 1 lit. f DS-GVO (Interessenabwägung) gestattet sein, sofern nicht in der konkreten Konstellation die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen. Dass eine Datenverarbeitung zum Zwecke der Direktwerbung als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden kann, besagt ErwGr 47 DS-GVO explizit.
Wenn, wie vorliegend, aufgrund der TTDSG-Vorgaben ohnehin die Einholung einer Nutzereinwilligung notwendig ist, kann es sich in der Praxis allerdings – unabhängig vom Ergebnis der Interessenabwägung – empfehlen, über die einzuholende Erklärung auch die personenbezogene Datenverarbeitung zu rechtfertigen.

b) Consent Banner

Einwilligungen im Zusammenhang mit Onlinedatenverarbeitungen werden üblicherweise mittels einer der Websitenutzung vorgeschalteten Abfrage eingeholt, die beim ersten Aufruf eingeblendet wird und in der Praxis als sog. Cookie Banner oder auch Consent Banner bezeichnet wird. Die Bezeichnung als Consent Banner ist vorzugswürdig. Denn nicht jeder Cookieeinsatz löst ein Einwilligungserfordernis aus. Umgekehrt können auch Skripte, die nicht auf Basis von Cookies arbeiten, eine Pflicht zur Einholung einer Einwilligung begründen.

c) Eignung der konkreten Gestaltung zur Einholung wirksamer Nutzereinwilligungen

Fraglich ist, ob mittels der von Unternehmen B gewählten Gestaltung wirksame Nutzereinwilligungen eingeholt werden. Die überwiegende Ansicht in der datenschutzrechtlichen Literatur und insbesondere auch die nationale Datenschutzkonferenz (DSK) und der Europäische Datenschutzausschuss (EDSA) gehen davon aus, dass eine wirksame datenschutzrechtliche Einwilligung nicht durch ein bloßes „Weitersurfen“ erteilt werden kann.1 Anknüpfungspunkt der Diskussion ist insoweit das nach Art. 4 Nr. 11 DS-GVO bestehende Einwilligungserfordernis einer „eindeutigen bestätigenden Handlung“. Auch wenn mittels eines Banners über die Datenverarbeitungsprozesse informiert werde, in welche durch die Weiternutzung eingewilligt werden soll, wohne einem solchen Scrollen oder Weitersurfen bei der Nutzung des Internets gleichwohl kein rechtlicher Erklärungsgehalt inne, so die DSK. Eine eindeutig bestätigende Handlung i.S.v. Art. 4 Nr. 11 DS-GVO mache eine Aktivität oder Interaktion der Nutzer erforderlich, die eine klare Zäsur bei der weiteren Nutzung des Telemedienangebots zum Ausdruck bringe. Nur dann könnten die verschiedenen Handlungen deutlich voneinander unterschieden und eine eindeutige Zustimmung festgestellt werden.
Folgt man der herrschenden Ansicht, werden vorliegend von Unternehmen B keine wirksamen Einwilligungen eingeholt.

4. Nudging („Anschubsen“) des Nutzers

Der Zugriff auf das Endgerät durch Unternehmen C sowie nachfolgende personenbezogene Datenverarbeitungen bedürfen der Einwilligung des Nutzers. Die Ausführungen zur Website des Unternehmens B gelten insofern entsprechend. Fraglich ist, ob mittels der von Unternehmen C gewählten Gestaltung wirksame Nutzereinwilligungen eingeholt werden. Die von C gewählte Methode, den Nutzer durch optische Gestaltung der Schaltflächen des Banners zur Zustimmung zu allen Cookies zu motivieren, wird als Nudging bezeichnet.

Von den Aufsichtsbehörden bzw. Behördenvertretern wurde Nudging zunächst nicht per se als unzulässig bewertet. Festgestellt wurde lediglich, dass „einem erlaubten Nudging Grenzen gesetzt sind und verhaltensmanipulierende Ausgestaltungen zu einer Unwirksamkeit der Einwilligung führen können“.3 „Übermäßiges“ Nudging könne zur Unwirksamkeit einer Einwilligung führen. Die aktualisierte Orientierungshilfe der DSK für Anbieter von Telemedien erwähnt den Begriff Nudging gar nicht, stellt jedoch die These auf, aus den Anforderungen der DS-GVO an wirksame Einwilligungen folge, dass Nutzern im Hinblick auf den „Kommunikationseffekt“ „gleichwertige Handlungsmöglichkeiten“ zur Ablehnung wie zur Erteilung der Einwilligung offeriert werden müssten. Bei Zugrundelegung dieser Ansicht dürfte wenig Raum für ein zulässiges Nudging durch Anbieter von Telemedien verbleiben, denn solche Maßnahmen verfolgen den Zweck, den Nutzer in eine bestimmte Richtung zu schubsen.

Gegen eine die Zulässigkeit von Nudging stark einschränkende Auslegung der DS-GVO lassen sich folgende Argumente vorbringen:
Nach Art. 7 Abs. 3 S. 4 DS-GVO muss der Widerruf einer Einwilligung genauso einfach sein wie deren Erteilung. Eine vergleichbare Anforderung stellt die DS-GVO für das Erteilen bzw. Nichterteilen der Einwilligung nicht auf. Mangels einer Art. 7 Abs. 3 S. 4 DS-GVO vergleichbaren Regelung für diese Konstellation ist davon auszugehen, dass insofern die allgemeinen Maßstäbe für die wirksame Erteilung von Einwilligungen einschlägig sind, insbesondere das Erfordernis der Unmissverständlichkeit und Freiwilligkeit der Einwilligung. Nach Erwägungsgrund 42 S. 5 DS-GVO soll eine Einwilligung nur dann freiwillig sein, wenn der Einwilligende eine echte oder freie Wahl hat und somit in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden. Aus dem Erfordernis einer unmissverständlichen Erklärung ergibt sich, dass der Nutzer sein Einverständnis eindeutig auszudrücken hat. Es dürfen keine Zweifel an seinem Willen verbleiben.

Bei Zugrundelegung vorgenannter Maßstäbe ist Nudging nicht generell unzulässig, sondern lediglich dann, wenn der für die Nutzer verursachte Zeit- und Orientierungsaufwand so hoch ist, dass die Gefahr besteht, dass diese nicht mehr nach ihrem eigentlichen Willen entscheiden. In jedem Fall unzulässig sind täuschende Gestaltungen und der Einsatz sog. Dark Patterns. Als Dark Pattern werden digitale Entscheidungsumgebungen bezeichnet, die Nutzer zu Handlungen verleiten sollen, die ihren vermuteten Interessen zuwiderlaufen oder die sie ohne Beeinflussung vermutlich nicht vorgenommen hätten.6 Über den Einsatz von Dark Patterns bzw. täuschenden Gestaltungen können keine wirksamen Einwilligungen generiert werden.
Im vorliegenden Fall ist davon auszugehen, dass die Grenzen eines zulässigen Nudging nicht überschritten sind und mittels der gewählten Gestaltung wirksame Einwilligungen eingeholt werden.

5. Kein „Reject All“ auf erster Bannerebene

Der Zugriff auf das Endgerät durch Unternehmen D sowie nachfolgende personenbezogene Datenverarbeitungen bedürfen der Einwilligung des Nutzers. Die Ausführungen zur Website des Unternehmens B gelten insofern entsprechend. Fraglich ist, ob mittels der von Unternehmen D gewählten Gestaltung wirksame Nutzereinwilligungen eingeholt werden. Nach Ansicht der DSK bedarf es regelmäßig eines „Reject All“-Buttons auf erster Ebene des Cookie-Banners.8 Sofern keine mit demselben Aufwand verbundene Ablehnmöglichkeit auf erster Ebene des Cookie-Banners angeboten werde, stelle dies einen Versuch dar, in treuwidriger Weise Einfluss auf die Endnutzer zu nehmen, so die DSK. Tatsächlich spricht einiges für die Annahme, dass in dem Fall, dass Nutzer für die Ablehnung der Einwilligung auf die zweite Ebene des Banners verwiesen werden, jedenfalls ein Teil der datenschutzrechtlich interessierten Nutzer abgeschreckt wird, ihrem eigentlichen Willen Ausdruck zu verleihen. Abschreckend wirken solche Gestaltungen auch deshalb, weil für den Nutzer vorab nicht erkennbar ist, wie viele Schritte im Ergebnis nötig sein werden, um die Einwilligung zu verweigern, und wie intuitiv oder ggf. kompliziert diese sein werden. Denn auf der zweiten Ebene der Consent Banner sind die Nutzer in der Praxis ebenfalls mit verschiedensten Gestaltungen konfrontiert.

Festzustellen ist aber zugleich, dass die DS-GVO bzgl. der Gestaltung von Consent Bannern keine exakten Maßstäbe enthält und viele Gestaltungsfragen letztlich nur im Rahmen einer – mehr oder weniger strengen – Auslegung der allgemeinen Vorgaben zur Einwilligung beantwortet werden können. Höchstrichterliche Rechtsprechung zur Erforderlichkeit eines „Reject All“-Buttons auf erster Ebene des Banners gibt es aktuell noch nicht. Ob ein solcher vorgesehen wird, ist damit im Ergebnis auch Frage einer unternehmerischen Risikobewertung.