Am 25.11.2020 veröffentlichte die Landesbeauftragte für den Datenschutz Niedersachsen Hinweise zu Cookies, genauer gesagt zur datenschutzkonformen Einholung der Einwilligung und zum Consent Management Tools. Die Hinweise der Datenschutzbeauftragten Niedersachsen zu Cookies liefern einen praktischen Überblick darüber, was Webseitenbetreiber beim Einsatz von Cookies und der Auswahl des passenden Consent Management Tools beachten müssen.
„Werbeversprechen“ von Consent-Tools
Die Landesbeauftragte weist vollkommen zurecht darauf hin, dass sich die Webseitenbetreiber nicht blind auf Aussagen von Anbietern von Consent Management Tools verlassen dürfen. Zwar können Consent Management Tools in der Regel die datenschutzkonforme Einholung von Einwilligungen in die Verwendung von Cookies ermöglichen, entscheidend sei jedoch stets der konkrete Einsatz des Tools. Aufgrund der zahlreichen Konfigurationsmöglichkeiten des Webseitenbetreibers, können allein durch den Einsatz des Consent-Tools keinesfalls automatisch datenschutzkonforme Einwilligungen eingeholt werden. Maßgeblich ist demnach – wie so oft – der konkrete Einzelfall.
Anforderungen an datenschutzkonforme Einwilligungen
Für die datenschutzkonforme Einholung von Einwilligungen nach Art. 4 Nr. 11 DSGVO stellt die Landesbeauftragte folgende Prüfpunkte auf:
- Zeitpunkt der Einwilligung,
- Informiertheit der Einwilligung,
- eindeutige bestätigende Handlung,
- freiwillige Einwilligung,
- keine unzulässige Einflussnahme auf die Nutzerentscheidung (sog. Nudging),
- Widerruf der Einwilligung,
- Einwilligungen für Datenverarbeitungen von Minderjährigen.
Bezüglich des Zeitpunkts der Einwilligung ist vor allem wichtig, dass Cookies (oder generell andere Tracker) erst zum Einsatz kommen, nachdem die Einwilligung erteilt wurde. Die Cookies dürfen somit keinesfalls vor Erteilung der Einwilligung aktiv sein.
Bezüglich der Informiertheit der Einwilligung, also der Frage, welche Informationen im Einwilligungstext zu erteilen sind, verweist die Landesbeauftragte auf die Leitlinien 05/2020 des Europäischen Datenschutzausschusses. Demnach müssen folgende Informationen erteilt werden:
- Identität des Verantwortlichen
- Verarbeitungszwecke
- die verarbeiteten Daten
- die Absicht einer ausschließlich automatisierten Entscheidung (Art. 22 Abs. 2 Buchst. c DSGVO)
- die Absicht einer Datenübermittlung in Drittländer (Art. 49 Abs. 1 S. 1 Buchst. a DSGVO)
Bei der Beschreibung von Verarbeitungszwecken ist es dabei nach Ansicht der Landesbeauftragten nicht ausreichend, wenn die Cookies beispielsweise eingesetzt werden, um
- „für Sie die Webseite optimal zu gestalten und zu verbessern“,
- „Ihr Surferlebnis zu verbessern“,
- „Webanalyse und Werbemaßnahmen durchzuführen“ oder
- „Marketing, Analytics und Personalisierung“ zu ermöglichen.
Auch an die Einbindung von Drittdiensten (was in der Praxis zumeist der Fall ist) stellt die Landesbeauftragte strenge Anforderungen. Nicht ausreichend sei die Information, dass Daten an „Partner“ weitergegeben werden und diese „die Informationen möglicherweise mit weiteren Daten zusammenführen“. Auf der anderen Seite ist es jedoch nicht erforderlich, dass die einzelnen Dritten direkt auf dem ersten Layer oder der ersten Ebene zu sehen sind. Sie müssen nur an irgendeiner (nicht spezifischen) Stelle ausdrücklich benannt sein. Es ist daher davon auszugehen, dass die Information über einzelne Dritte auch auf der zweiten Ebene im Consent Management Tool erfolgen kann.
Anders ist dies beim Hinweis auf das bestehende Widerrufsrecht nach Art. 7 Abs. 3 S. 3 DSGVO. Dieser ist nach Ansicht der Landesbeauftragten „bereits auf der ersten Ebene des Consent-Fensters erforderlich“. Dass man dies auch anders sehen kann, zeigt ein kürzlich veröffentlichtes Urteil des LG Rostock (Az. 3 O 762/19). Das Gericht entschied dort: „Soweit der Kläger einwendet, die Information habe im Cookie-Banner selbst erfolgen müssen, so dass ein Verstoß gegen Art. 13 Abs. 2 lit. c DSGVO vorliege, teilt die Kammer diese Ansicht nicht“.
Hinsichtlich der Freiwilligkeit der erteilten Einwilligung vertritt die Landesbeauftragte zwar die Ansicht, dass sog. Cookie Walls unzulässig seien. „Es wird allerdings nicht gegen die Freiwilligkeit verstoßen, wenn dem Nutzer neben der Einwilligung die Alternative angeboten wird, die Sichtbarkeit der Inhalte durch eine angemessene Bezahlung herbeizuführen“. Nach dieser Ansicht ist die Einräumung eines Wahlrechts zwischen „Kostenlos, dafür Tracking“ und „Kostenpflichtig, dafür ohne Tracking“ zulässig.
Fazit:
Die Hinweise der Datenschutzbeauftragten Niedersachsen zeigen abermals, dass der Teufel auch beim datenschutzkonformen Einsatz von Cookies im Detail liegt. Bei jedem einzelnen Cookie, das verwendet wird, ist daher genau zu prüfen, ob die rechtlichen Anforderungen jeweils erfüllt sind.
Weiterer interessanter Artikel zum Thema: Folgen des Schrems II-Urteils für Webseitenbetreiber