Dänische Aufsichtsbehörde für Datenschutz erklärt viele Cookie-Banner für rechtswidrig

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Erst vorgestern habe ich meinen Kunden neueste Informationen zu Google Analytics von den deutschen Aufsichtsbehörden schicken müssen und nun kommt es sogar aus dem Ausland noch “schlimmer” – Wir in Deutschland haben es vielleicht doch nicht am Schwersten wegen “diesem Datenschutz”. 😉

Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Aufsichtsbehörde erklärt viele Cookie-Banner für rechtswidrig

Aufsichtsbehörde erklärt viele Cookie-Banner für rechtswidrig

Die dänische Datenschutzaufsichtsbehörde erlies vor kurzem eine explosive, aber bisher wenig beachtete Entscheidung zum Einholen einer Einwilligung für das Setzen von Cookies. Nach ihrer Ansicht sind unter anderem Cookie-Banner bzw. Cookie-Consent-Tools rechtswidrig, die den Websitebesucher vor die Wahl zwischen „OK“ und „Details anzeigen / Cookie Einstellungen“ stellen.

Beschwerde gegen üblichen Cookie-Banner

Das Dänische Meteorologische Institut (kurz: DMI) bietet auf ihrer Website vor allem Wettervorhersagen an und setzte zunächst einen Cookie-Banner ein. Die ursprüngliche Beschwerde aus 2018 richtete sich noch gegen einen Banner mit automatisch vorab ausgewählter Einwilligung. Nach der ursprünglichen Beschwerde gab das DMI eine neue Website in Auftrag. Deren Consent-Lösung gibt dem Nutzer bei dem erstmaligen Besuch zwei Möglichkeiten: Der Nutzer kann auf „OK“ (d.h. alle Cookies akzeptieren und weiter) oder „Cookie Einstellungen“ klicken. Nur bei Auswahl von „Cookie Einstellungen“ öffnet sich ein Menü, in dem die Cookies Präferenzen nach Zwecken „Erforderlich“, „Funktionell“, „Statistik“ und „Marketing“ eingestellt werden können.

Übersetzt: „DMI und Dritte verwenden Cookies, um dmi.dk nützlicher zu machen und Ihnen eine bessere Erfahrung sowie Statistiken und gezieltes Marketing zu bieten. Wenn Sie auf OK klicken, stimmen Sie dem zu. Sie können Cookies auswählen und abwählen, indem Sie auf Cookie-Einstellungen klicken. Sie können Ihre Einwilligung jederzeit widerrufen. Lesen Sie mehr darüber und über Cookies auf dmi.dk in unserer Cookie-Richtlinie.“

Ähnliche Cookie-Consent-Lösungen sind auch dabei sich in Deutschland zu etablieren und werden etwa auf den Websites von Heise oder Volkswagen genutzt.

Zudem schaltet das DMI Bannerwerbung über das Google Werbenetzwerke auf der Website, wobei personenbezogene Daten mit Google geteilt werden, um die Anzeigen zu personalisieren. Der Beschwerdeführer wollte hier eine gemeinsame Verantwortlichkeit feststellen lassen.

Das DMI vertrat hingegen die Ansicht, seine aktuelle (neue) Cookie-Lösung stelle eine klare Einwilligungserklärung dar. Nutzer müssten im Einklang mit der EuGH Rechtsprechung zu Planet 49 aktiv einwilligen, bevor Cookies gesetzt werden und der Inhalt der Website angezeigt wird. Zudem sei eine differenzierte Einwilligung möglich, da Nutzer durch Auswahl von „Details anzeigen“ einigen Cookies zustimmen, und andere abwählen können. Dabei sind hier keine Kategorien von Cookies vorangewählt. Es werden zudem keine persönlichen Daten gesammelt und weitergegeben, bis die Besucher eingewilligt haben. In der Einwilligungserklärung werde außerdem darüber informiert, dass das DMI die Werbenetzwerke von Google nutzt.

Entscheidung der Aufsichtsbehörde

Wirklich neu und interessant an der Entscheidung sind die Einlassungen zur Ausgestaltung einer wirksamen Einwilligungserklärung für Cookies auf der Website. (Zusammen mit der Entscheidung veröffentlichte man zusätzlich eine dänische Orientierungshilfe für Telemedienanbieter.) Die dänische Aufsicht spricht sich nämlich entschieden gegen die seit dem Planet 49 Urteil weit verbreiteten Nudging-Lösungen zum Einholen einer Einwilligung für das Setzen von Cookies aus. So stellte man fest, dass die aktuelle Lösung des DMI zur Erlangung der Einwilligung in die Verarbeitung personenbezogener Daten aus den folgenden drei Gründen keine wirksame Einwilligung darstellt.

Keine freiwillige Einwilligung

Die dänische Datenschutzbehörde führt aus, dass der Zweck des Erfordernisses der Freiwilligkeit einer Einwilligung darin bestehe, Transparenz für die betroffene Person zu schaffen. Zudem soll der betroffenen Person die Wahl und Kontrolle über ihre personenbezogenen Daten geben werden. Daher gelte die Einwilligung nicht als freiwillig erteilt, wenn die betroffene Person keine echte und freie Wahl treffen kann.

Ein wichtiges Element bei der Beurteilung, ob die Zustimmung freiwillig ist, sei daher das Prinzip der „Granularität“. Danach muss für Verarbeitungsvorgänge, die mehreren Zwecken dienen, für jeden Zweck eine separate Einwilligung eingeholt werden. Diesem Erfordernis der Granularität werde die Lösung des DMI nicht gerecht, da der Besucher durch Auswahl von „OK“ seine Einwilligung gleichzeitig für mehrere unterschiedliche Verarbeitungszwecke erteilt. Nach Einschätzung der dänischen Datenschutzaufsichtsbehörde gibt die Erhebung personenbezogener Daten für verschiedene Zwecke auf der Grundlage einer einzigen Einwilligung dem Besucher keine ausreichende freie Wahl, die Zwecke zunächst zu identifizieren und dann granular zu entscheiden.

Zudem sei die Möglichkeit unzureichend, die Erfassung personenbezogener Daten für verschiedene Zwecke erst durch Auswahl des Buttons „Details anzeigen“ einzusehen und zu managen. Denn diese Option befindet „einen Klick entfernt“ und es ist nicht möglich, bei der ersten Interaktion mit dem Cookie-Banner das Setzen von bestimmten Cookies direkt abzulehnen.

Keine informierte Einwilligung

Die dänische Datenschutzaufsichtsbehörde betont, dass es für eine informierte Einwilligung zumindest erforderlich ist über die die Identität des für die Verarbeitung Verantwortlichen und die Zwecke der Verarbeitung aufzuklären.

Dies sei bei dem Banner des DMI nicht der Fall, da die Informationen über die (gemeinsamen) für die Verarbeitung Verantwortlichen – in diesem Fall Google – nicht ausreichend klar seien. Das DMI habe nämlich nicht transparent genug dargelegt, dass Bannerwerbung über das Werbenetzwerk von Google auf der Website geschaltet wird, da nicht Google, sondern die Werbenetzwerke von Google – DoubleClick und AdSense – genannt werden. Das sei für die Nutzer intransparent, da diese Produktnamen den betroffenen Personen nicht gängig seien.

Verstoß gegen den Grundsatz der Transparenz

Nach Ansicht der dänischen Datenschutzaufsichtsbehörde folgt aus dem Grundsatz der Transparenz nach Art. 5 Abs. 1 lit. a DSGVO, dass es ebenso leicht sein muss, die Einwilligung in die Verarbeitung personenbezogener Daten abzulehnen, wie sie zu erteilen. Die derzeitige Struktur der Einwilligungslösung des DMI erfülle diese Transparenzanforderung nicht. Einem Besucher der Website ist es nicht möglich, die Verarbeitung personenbezogener Daten durch Cookies direkt abzulehnen. Der Besucher muss sich dafür zunächst die „Cookie Einstellungen“ anzeigen lassen. Ein solcher „One-Click-Away“-Ansatz ist nach Ansicht der Datenschutzaufsichtsbehörde nicht transparent, da er einen zusätzlichen Schritt erfordert, damit die betroffene Person die Einwilligung zur Verarbeitung personenbezogener Daten verweigern kann

Ebenso ist es nach Ansicht der Datenschutzaufsichtsbehörde nicht mit dem Grundsatz der Transparenz vereinbar, dass die Möglichkeit keine Einwilligung in die Verarbeitung personenbezogener Daten zu erteilen, nicht den gleichen „Kommunikationseffekt“ hat. Das bedeutet diese Möglichkeit wird nicht auf den ersten Blick so klar kommuniziert wie die Möglichkeit eine Einwilligung zu erteilen. Hierdurch würde die betroffene Person indirekt dazu gedrängt, eine Einwilligung in die Verarbeitung personenbezogener Daten zu erteilen.

Auswirkungen auf Deutschland

Was die dänische Aufsichtsbehörde entscheidet, hat natürlich zunächst keinen direkten Einfluss auf Verantwortliche in Deutschland. Schließlich ist hier einer der jeweiligen Landesdatenschutzbeauftragten nach Art. 55 DSGVO, § 40 BDSG für Unternehmen zuständig. Von der Entscheidung geht dennoch eine große Signalwirkung aus. Sie ist zumindest ein erstes Anzeichen, wohin die bevorstehende europäische Reise beim Einholen einer Einwilligung zum Setzen von Cookies nach den Vorgaben der E-Privacy-Richtlinie und DSGVO gehen könnte.

Bei diesem Thema unken die deutschen Aufsichtsbehörden bekanntermaßen schon länger rum. Seit Herausgabe der Orientierungshilfe für Tracking-Anbieter ist hierzulande nicht wirklich viel passiert. Rechtskräftige und öffentlichkeitswirksame Entscheidungen der Behörden? Bislang Fehlanzeige. Nur ein gemeinsames Vorgehen gegen das Real Time Bidding ohne Einwilligung hat man nun neulich angekündigt. Bei dem Thema Einwilligung zur Speicherung von Cookies hingegen, kommt wohl erst wieder Schwung in die Sache nach der Verkündung des entsprechenden BGH-Urteils am 28. Mai.

Interessant wird es auch sein zu sehen, wie sich die unterschiedliche Auslegung, bzw. schwerpunktmäßige Durchsetzung, der DSGVO durch die nationalen Datenschutzaufsichtsbehörden auf den Wettbewerb im europäischen Binnenmarkt auswirken wird. Sollte die dänische Behörde die in der Entscheidung herausgearbeiteten Grundsätze nun konsequent auf die Wirtschaft anwenden, dürfte davon auch hier gerade Angebote nationaler Online-Zeitungen von geringeren Werbeeinnahmen betroffen sein. Wenn die Aufsichtsbehörden der anderen EU-Länder bei der Durchsetzung nicht ähnlich scharf nachziehen, dürfte man vorerst auf dem Markt der europäischen Presseverleger wohl das Gegenteil des im Erwägungsgrund 2 aufgestellten Ziels, der Stärkung und des Zusammenwachsen der Volkswirtschaften innerhalb des Binnenmarkts, erreichen.

Cookie Fatigue – ein weiterer Akt

Die dänische Datenschutzaufsichtsbehörde scheint insbesondere bei dem aufgestellten Erfordernis der Granularität von dem Bild eines eher unmündigen Bürgers auszugehen. Ein Nutzer der auf „Ok“, „Einverstanden“ oder ähnliche Buttons klickt und darauf hingewiesen wird, dass er damit in sämtliche Cookies einwilligt, sollte diese selbstbestimmte Entscheidung treffen können. Vielen Nutzern ist das wahrscheinlich auch ganz recht, weil sie ungestört surfen wollen. Sie sind froh, wenn die lästigen Banner mit nur einem statt drei oder mehr Klicks verschwinden. Das ist wahrscheinlich ernüchternd für Aufsichtsbehörden, aber Datenschutz ist den meisten Nutzern nun mal lästig oder egal.

Interessierte Nutzer haben zudem die Möglichkeit ohne erheblichen Mehraufwand – ein Klick bedeutet einen zusätzlichen Zeitaufwand von ein bis zwei Sekunden – detaillierte Informationen einzusehen. Die Entscheidung der dänischen Datenschutzaufsichtsbehörde hat in dieser Hinsicht den Charakter einer „Zwangsbeglückung“. Sollte sich dieser Ansatz europaweit durchsetzen dürfte die „Cookie Fatigue“ – der allgemeine Cookie-Überdruss der Bevölkerung – weiter zunehmen.

Das Ende der Manipulation?

Andererseits leuchtet das Argument der dänischen Datenschutzaufsichtsbehörde ein, dass die Ablehnung der Einwilligung ebenso leicht möglich sein soll wie die Erteilung einer Einwilligung. Schließlich setzen Websitebetreiber gezielt auf sogenannte „Dark Patterns“, indem sie Nutzer durch die Menüführung die Erteilung der Einwilligung oder ähnliches nahelegen. Das dies durchaus gut funktioniert, legen erste wissenschaftliche Untersuchungen nahe.

Meist reichen schon einfache Dinge, Buttons für eine Einwilligung sind grün, die für eine Ablehnung von Cookies hingegen ausgegraut oder „Ja“-Buttons sind groß und prominent platziert und Buttons zur Ablehnung versteckt am Seitenrand. Besucher, die möglichst schnell ihrem eigentlichen Anliegen im Internet nachgehen wollen, werden so dazu verleitet, alle Cookies zu akzeptieren. So hat eine Untersuchung ergeben, dass Nutzer Entscheidungen gegen ihre Interessen treffen, sobald sie nur den geringsten Aufwand zum Schutz ihrer Daten betreiben müssen. Die Begründung der Forscher ist, dass anscheinend alle Dinge, bei denen Nutzer etwas selbst aktiv tun müssen, um ihre Daten zu schützen, zum Scheitern verurteilt sind. Das sogenannte Privatsphären-Paradoxon: Menschen ist Datenschutz wichtig, sie wollen sich aber nicht damit auseinandersetzen.


Gefällt Ihnen der Beitrag?

Dann unterstützen Sie uns doch mit einer Empfehlung per:

TWITTER FACEBOOK E-MAIL XING

Oder schreiben Sie uns Ihre Meinung zum Beitrag:

HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Aufsichtsbehörde erklärt viele Cookie-Banner für rechtswidrig.