Nunmehr schaltete sich auch die dänische Datenschutzaufsichtsbehörde zur aktuellen Frage, wann eine Einwilligung in das Setzen von Cookies den Erfordernissen der DSGVO genügt, ein.
Die dänische Aufsichtsbehörde bewertet diese Frage dahingehend, dass die meisten derzeitigen Cookie-Consent-Banner in ihrer aktuellen Form gegen die Datenschutzregeln der DSGVO verstoßen.
Der Europäische Gerichtshof (EuGH) hielt in seiner Entscheidung vom 1. Oktober 2019 fest, dass der Einsatz von Cookies, die für den Websitebetrieb selbst nicht unbedingt erforderlich sind, immer eine ausdrückliche Nutzungseinwilligung durch den Nutzer für jedes einzelne Cookie voraussetzt.
Diese Ansicht gelte unabhängig davon, ob personenbezogene Daten durch das Cookie verarbeitet werden sollen oder nicht (Urt. v. 01.10.2019, Az. C-673/17).
Hinzukommt, dass für die Wirksamkeit der Cookie-Einwilligung eine umfängliche Aufklärung des Seitenbesuchers über die Funktionsweise jedes einzelnen Cookies stattfinden werden muss. Dies muss noch vor der Einwilligungserteilung geschehen.
In diesem Sinne genügen die Cookie-Banner, die generell über den Einsatz von Cookies informieren und sich über eine Bestätigungs-Schaltfläche etwa mit der Aufschrift „OK“ wegklicken lassen, diesen Anforderungen nicht. In diesen Fällen mangelt es an der erforderlichen Freiwilligkeit der Einwilligung zur Datenverarbeitung.
Die dänische Datenschutzbehörde hatte über eine Beschwerde zu einem Cookie-Banner auf einer dänischen Website zu entscheiden. Wenn die Website zum ersten Mal aufgerufen wird, hat der Besucher der Website bzgl. Der Cookie-Einwilligung zwei Möglichkeiten. Entweder können die Cookies wie vorgegeben mit einem „OK“ akzeptiert werden oder man kann die Möglichkeit „Cookie Einstellungen“ auswählen.
Entscheidet man sich für das „OK“, wird bei dem Klick darauf das Setzen aller vorausgewählten Cookies akzeptiert und das Besuchen der Website wurde eröffnet. Folgende Erklärungen wurden hinsichtlich der Cookies durch den Website-Betreiber gegeben. So hieß es dort:
„(…) [Wir] verwenden Cookies, um [die Website] benutzerfreundlicher zu machen, Ihnen eine bessere Erfahrung zu bieten und gezielt zu vermarkten. Wenn Sie hier auf OK klicken, stimmen Sie dem zu. Sie können Ihre Einwilligung jederzeit widerrufen. Lesen Sie mehr in unseren Datenschutzbestimmungen.“
Bei Anklicken der „Cookie Einstellungen“ erschien ein Menü, welches dem Nutzer die Konkretisierung seiner Cookie-Einstellungen gestattete. In diesem Bereich kann der User verschiedene Einstellungen für verschiedene Kategorien vornehmen.
Der Website-Betreiber erachtete seine Verpflichtungen hinsichtlich des Einholens einer wirksamen Einwilligung durch diese Vorgehensweise als angemessen erfüllt an. Vor allem die Möglichkeit, eine differenzierte Einwilligung vorzunehmen, in dem der Besucher durch die Auswahl „Cookie Einstellungen“ Cookies annehmen aber auch abwählen könne, entspreche den rechtlichen Verpflichtungen.
Die dänische Datenschutzbehörde entschied mit Beschluss vom 11. Februar 2020, dass Cookie-Banner bzw. Cookie-Consent-Tools, die den Nutzern nur die Wahl zwischen „OK“ bzw. „Cookie Einstellungen“ geben, nicht den datenschutzrechtlichen Vorgaben entsprechen und damit datenschutzwidrig sind.
Sie begründete ihre Ansicht damit, dass es an der nötigen Freiwilligkeit und Informiertheit fehle und erschwerend hinzukommt, dass ein Versto0 gegen den Grundsatz der Transparenz nach Art. 5 Abs. 1 lit. A DSGVO gegeben sei.
Die Behörde stellte fest, dass eine Freiwilligkeit nicht gegeben ist, wenn die Person keine echte und freie Wahl treffen kann. Dies würde dem Zweck der freiwilligen Bedingung zuwiderlaufen. Dieser bestünde darin, dass eine Transparenz für betroffenen Personen geschaffen wird, um so die Wahl und Kontrolle über persönliche Daten sicherzustellen.
Insoweit muss bei einer Datenverarbeitung mit mehreren Zwecken eine separate Zustimmung für jeden einzelnen Zweck eingeholt werden muss.
Die Datenschutzbehörde sieht in den Teilvorgängen, für die ein Besucher durch die Auswahl des „OK“ seine Zustimmung erteilt, mehrere unterschiedliche Zwecke. Zum einen wird in die „Erfassung personenbezogener Daten, um Statistiken darüber zu erstellen“ und zum anderen in „verhaltensbasiertes Marketing, bei dem die Erfassung personenbezogener Daten stattfindet, um Besucher über Websites hinweg zu verfolgen und Anzeigen für jeden Besucher durch Profilerstellung zu personalisieren“ eingewilligt.
Die Datenschutzbehörde sieht in dieser Vorgehensweise keine ausreichende freie Wahl gegeben, verschiedene Zwecke zu identifizieren und zu akzeptieren bzw. zu verwerfen. Dies könne durch nur eine einzige Einwilligung nicht gewährleistet werden.
Die Möglichkeit, die verschiedenen Zwecke durch die Auswahl von „Details anzeigen“ auszuwählen bzw. die vorgetätigte Auswahl aufzuheben, genüge nicht den Anforderungen an die Freiwilligkeit der Einwilligung, da die Möglichkeit nicht mittelbar wahrnehmbar ist, sondern weitere Klicke bedarf.
Auch sei die Informiertheit der Einwilligung nicht gegeben. Um dies zu erfüllen, müssen Informationen etwa über die Datenverarbeitungsvorgänge den Betroffenen bereitgestellt werden. Diese müssen derart gefasst sein, dass die betroffenen Personen sie verstehen können. Es ist daher eine einfache, leicht verständliche und leicht zugängliche Form zu wählen. Die Informationen sind vor Zustimmung an den betroffenen Personenkreis zu richten.
Auch liegt der dänischen Behörde zufolge ein Verstoß gegen den Grundsatz der Transparenz aus Art. 5 Abs. 1 lit. a DSGVO vor. Sie ist der Ansicht, „dass es ebenso leicht sein sollte, die Zustimmung zur Verarbeitung personenbezogener Daten nicht zu erteilen, wie sie bereitzustellen.“
Die oben genannten Schaltflächen genügen dem Transparenzgebot nicht, da hier weitere Schritte erst hinzukommen müssen, damit die betroffene Person die Einwilligung zur Verarbeitung personenbezogener Daten verweigern kann. Erst nach weiteren Klicks wird eine Ansicht zu detaillierten Einstellungen möglich.
Zwar sind die Ansichten der dänischen Behörde nicht zwingend auch maßgeblich für Deutschland und hier ansässige Händler und Unternehmen, die Websites betreiben.
Es ist jedoch nicht gänzlich abzuweisen, dass diese als herrschende Meinung im DSVO-Geltungsbereich etabliert werden können. Sollten die hier aufgezählten Grundsätze zur Freiwilligkeit der Einwilligung und Transparenz sowie Informiertheit Allgemeingültigkeit erlangen, müssen sich auch viele deutsche Website-Betreiber Gedanken machen.
Auch in Deutschland wird überwiegend die hier beschriebene, in der dänischen Website verbauten Cookie-Consent-Lösung nahezu identisch eingebaut.
Wir helfen Ihnen! Wir bieten auf unserer Webseite einen DSGVO-Fragebogen an, mit dem Sie prüfen können, ob Ihr Unternehmen fit für die DSGVO ist. Außerdem haben wir ein DSGVO Website Update für Sie zum Festpreis. Sprechen Sie uns bei Frage einfach unverbindlich an. Wir helfen Ihnen gerne!
Rechtsanwalt Guido Kluck LL.M. ist Partner der Kanzlei LEGAL SMART am Standort Berlin. Er ist Ansprechpartner für das Recht der neuen Medien sowie für die Bereiche Wettbewerbsrecht, Markenrecht, Urheberrecht, IT-Recht, Vertragsrecht und das Datenschutzrecht (DSGVO).
ÜBER DIESEN AUTOR ARTIKEL VON DIESEM AUTORAm 25. März 2011 hat der Bundesdatenschutzbeauftragte Peter Schaar das Tool Prividor („Privacy Violation Detector) vorgestellt. Dieses Tool wurde durch das Frauenhofer-Institut für Sichere Informationstechnoligue (SIT) entwickelt.
Die DSGVO ging durch die Medien und hat so manchen Unternehmer […]
Die Datenschutzkonferenz (DSK) hat auf ihrer 97. Konferenz am 03.04.2019 eine […]
Buchen Sie direkt online Ihren Termin für eine kostenlose Erstberatung. Der für Sie zuständige Rechtsanwalt wird Sie dann zu dem von Ihnen ausgewählten Termin anrufen.
LEGAL SMART beantwortet rechtliche Fragen auch per WhatsApp. Schreiben Sie uns einfach an und stellen Sie Ihre Frage. Antworten gibt es anschließend direkt auf Ihr Handy.
Viele Fragen lassen sich mit einem Profi in einem kurzen Gespräch rechtssicher klären. Mit der LEGAL SMART Anwaltshotline steht Ihnen unser Anwaltsteam für Ihre Fragen zur Verfügung. Bundesweite Beratung über die kostenlose Anwaltshotline unter 030 - 62 93 77 980.
Mit einer alle Bereiche berücksichtigenden Prüfung erhalten Sie den besten Schutz für Ihre Marke und können Ihre eigene Marke in jeder Hinsicht einsetzen
Wenn Sie als Künstler in der Öffentlichkeit stehen können Sie Ihren Künstlernamen eintragen lassen und Ihre Privatsphäre schützen
Schützen Sie Ihre Marke auch über die gesetzliche Schutzfrist von 10 Jahren hinaus. Verlängern Sie Ihren Markenschutz einfach online.
LEGAL SMART ist die Legal Tech Kanzlei für wirtschaftsrechtliche Themen. Durch konsequente Prozessoptimierung interner und externer Prozesse bieten wir neue Lösungen für verschiedene Fragestellungen. So ist das Recht für jeden zugänglich; schnell, digital und trotzdem mit der Expertise und Kompetenz einer erfahrenen Wirtschaftsrechtskanzlei. Denn Legal Tech ist mehr als nur der Einsatz von Technologie. Legal Tech ist die Bereitstellung juristischer Kompetenz.