Nunmehr schaltete sich auch die dänische Datenschutzaufsichtsbehörde zur aktuellen Frage, wann eine Einwilligung in das Setzen von Cookies den Erfordernissen der DSGVO genügt, ein.
Die dänische Aufsichtsbehörde bewertet diese Frage dahingehend, dass die meisten derzeitigen Cookie-Consent-Banner in ihrer aktuellen Form gegen die Datenschutzregeln der DSGVO verstoßen.
Cookie-Einwilligung
Der Europäische Gerichtshof (EuGH) hielt in seiner Entscheidung vom 1. Oktober 2019 fest, dass der Einsatz von Cookies, die für den Websitebetrieb selbst nicht unbedingt erforderlich sind, immer eine ausdrückliche Nutzungseinwilligung durch den Nutzer für jedes einzelne Cookie voraussetzt.
Diese Ansicht gelte unabhängig davon, ob personenbezogene Daten durch das Cookie verarbeitet werden sollen oder nicht (Urt. v. 01.10.2019, Az. C-673/17).
Hinzukommt, dass für die Wirksamkeit der Cookie-Einwilligung eine umfängliche Aufklärung des Seitenbesuchers über die Funktionsweise jedes einzelnen Cookies stattfinden werden muss. Dies muss noch vor der Einwilligungserteilung geschehen.
In diesem Sinne genügen die Cookie-Banner, die generell über den Einsatz von Cookies informieren und sich über eine Bestätigungs-Schaltfläche etwa mit der Aufschrift „OK“ wegklicken lassen, diesen Anforderungen nicht. In diesen Fällen mangelt es an der erforderlichen Freiwilligkeit der Einwilligung zur Datenverarbeitung.
Was war geschehen?
Die dänische Datenschutzbehörde hatte über eine Beschwerde zu einem Cookie-Banner auf einer dänischen Website zu entscheiden. Wenn die Website zum ersten Mal aufgerufen wird, hat der Besucher der Website bzgl. Der Cookie-Einwilligung zwei Möglichkeiten. Entweder können die Cookies wie vorgegeben mit einem „OK“ akzeptiert werden oder man kann die Möglichkeit „Cookie Einstellungen“ auswählen.
Entscheidet man sich für das „OK“, wird bei dem Klick darauf das Setzen aller vorausgewählten Cookies akzeptiert und das Besuchen der Website wurde eröffnet. Folgende Erklärungen wurden hinsichtlich der Cookies durch den Website-Betreiber gegeben. So hieß es dort:
„(…) [Wir] verwenden Cookies, um [die Website] benutzerfreundlicher zu machen, Ihnen eine bessere Erfahrung zu bieten und gezielt zu vermarkten. Wenn Sie hier auf OK klicken, stimmen Sie dem zu. Sie können Ihre Einwilligung jederzeit widerrufen. Lesen Sie mehr in unseren Datenschutzbestimmungen.“
Bei Anklicken der „Cookie Einstellungen“ erschien ein Menü, welches dem Nutzer die Konkretisierung seiner Cookie-Einstellungen gestattete. In diesem Bereich kann der User verschiedene Einstellungen für verschiedene Kategorien vornehmen.
Der Website-Betreiber erachtete seine Verpflichtungen hinsichtlich des Einholens einer wirksamen Einwilligung durch diese Vorgehensweise als angemessen erfüllt an. Vor allem die Möglichkeit, eine differenzierte Einwilligung vorzunehmen, in dem der Besucher durch die Auswahl „Cookie Einstellungen“ Cookies annehmen aber auch abwählen könne, entspreche den rechtlichen Verpflichtungen.
Wie entschied die dänische Behörde?
Die dänische Datenschutzbehörde entschied mit Beschluss vom 11. Februar 2020, dass Cookie-Banner bzw. Cookie-Consent-Tools, die den Nutzern nur die Wahl zwischen „OK“ bzw. „Cookie Einstellungen“ geben, nicht den datenschutzrechtlichen Vorgaben entsprechen und damit datenschutzwidrig sind.
Sie begründete ihre Ansicht damit, dass es an der nötigen Freiwilligkeit und Informiertheit fehle und erschwerend hinzukommt, dass ein Versto0 gegen den Grundsatz der Transparenz nach Art. 5 Abs. 1 lit. A DSGVO gegeben sei.
Freiwilligkeit für rechtssichere Einwilligung notwendig
Die Behörde stellte fest, dass eine Freiwilligkeit nicht gegeben ist, wenn die Person keine echte und freie Wahl treffen kann. Dies würde dem Zweck der freiwilligen Bedingung zuwiderlaufen. Dieser bestünde darin, dass eine Transparenz für betroffenen Personen geschaffen wird, um so die Wahl und Kontrolle über persönliche Daten sicherzustellen.
Insoweit muss bei einer Datenverarbeitung mit mehreren Zwecken eine separate Zustimmung für jeden einzelnen Zweck eingeholt werden muss.
Die Datenschutzbehörde sieht in den Teilvorgängen, für die ein Besucher durch die Auswahl des „OK“ seine Zustimmung erteilt, mehrere unterschiedliche Zwecke. Zum einen wird in die „Erfassung personenbezogener Daten, um Statistiken darüber zu erstellen“ und zum anderen in „verhaltensbasiertes Marketing, bei dem die Erfassung personenbezogener Daten stattfindet, um Besucher über Websites hinweg zu verfolgen und Anzeigen für jeden Besucher durch Profilerstellung zu personalisieren“ eingewilligt.
Die Datenschutzbehörde sieht in dieser Vorgehensweise keine ausreichende freie Wahl gegeben, verschiedene Zwecke zu identifizieren und zu akzeptieren bzw. zu verwerfen. Dies könne durch nur eine einzige Einwilligung nicht gewährleistet werden.
Die Möglichkeit, die verschiedenen Zwecke durch die Auswahl von „Details anzeigen“ auszuwählen bzw. die vorgetätigte Auswahl aufzuheben, genüge nicht den Anforderungen an die Freiwilligkeit der Einwilligung, da die Möglichkeit nicht mittelbar wahrnehmbar ist, sondern weitere Klicke bedarf.
Informiertheit der Einwilligung
Auch sei die Informiertheit der Einwilligung nicht gegeben. Um dies zu erfüllen, müssen Informationen etwa über die Datenverarbeitungsvorgänge den Betroffenen bereitgestellt werden. Diese müssen derart gefasst sein, dass die betroffenen Personen sie verstehen können. Es ist daher eine einfache, leicht verständliche und leicht zugängliche Form zu wählen. Die Informationen sind vor Zustimmung an den betroffenen Personenkreis zu richten.
Transparenzgebot
Auch liegt der dänischen Behörde zufolge ein Verstoß gegen den Grundsatz der Transparenz aus Art. 5 Abs. 1 lit. a DSGVO vor. Sie ist der Ansicht, „dass es ebenso leicht sein sollte, die Zustimmung zur Verarbeitung personenbezogener Daten nicht zu erteilen, wie sie bereitzustellen.“
Die oben genannten Schaltflächen genügen dem Transparenzgebot nicht, da hier weitere Schritte erst hinzukommen müssen, damit die betroffene Person die Einwilligung zur Verarbeitung personenbezogener Daten verweigern kann. Erst nach weiteren Klicks wird eine Ansicht zu detaillierten Einstellungen möglich.
Fazit
Zwar sind die Ansichten der dänischen Behörde nicht zwingend auch maßgeblich für Deutschland und hier ansässige Händler und Unternehmen, die Websites betreiben.
Es ist jedoch nicht gänzlich abzuweisen, dass diese als herrschende Meinung im DSVO-Geltungsbereich etabliert werden können. Sollten die hier aufgezählten Grundsätze zur Freiwilligkeit der Einwilligung und Transparenz sowie Informiertheit Allgemeingültigkeit erlangen, müssen sich auch viele deutsche Website-Betreiber Gedanken machen.
Auch in Deutschland wird überwiegend die hier beschriebene, in der dänischen Website verbauten Cookie-Consent-Lösung nahezu identisch eingebaut.
Wir helfen Ihnen! Wir bieten auf unserer Webseite einen DSGVO-Fragebogen an, mit dem Sie prüfen können, ob Ihr Unternehmen fit für die DSGVO ist. Außerdem haben wir ein DSGVO Website Update für Sie zum Festpreis. Sprechen Sie uns bei Frage einfach unverbindlich an. Wir helfen Ihnen gerne!
Der Beitrag Dänische Datenschutzbehörde: Ärger mit den Cookie-Consent-Bannern erschien zuerst auf LEGAL SMART Online Blog.