Einwilligung bei Nutzung von Cookies und Consent Management
Einwilligung für Cookies vor dem EuGH:
EuGH: Schlussanträge zu Einwilligung bei Nutzung von Cookies
Am 21.03.2019 hat der Generalanwalt beim Europäischen Gerichtshof (EuGH), Maciej Szpunar, seine Schlussanträge in der Rechtssache Planet49 gegen den Verbraucherzentrale Bundesverband veröffentlicht (Rs. C-673/17). Dabei geht es im Wesentlichen um die Frage, ob für die Nutzung von Cookies eine Einwilligung erforderlich ist und wie diese einzuholen ist. Nach Auffassung des Generalanwaltes fordert die E-Privacy-Richtlinie, dass Diensteanbieter eine Einwilligung für die Nutzung von Cookies einholen, wenn diese nicht zwingend für die Nutzung des Dienstes erforderlich ist. Eine vorausgewählte Checkbox sei dabei nicht ausreichend. Letzteres gelte sowohl nach der alten E-Privacy-Richtlinie als auch nach der Datenschutz-Grundverordnung. Darüber hinaus müssten Nutzer über die Funktionsdauer von Cookies sowie darüber informiert werden, ob Dritte Zugriff auf die Cookies haben (sog. Third-Party Cookies).
EuGH Generalanwalt „Vorlage zur Vorabentscheidung – Richtlinie 95/46/EG – Richtlinie 2002/58/EG – Verordnung (EU) 2016/679 – Verarbeitung personenbezogener Daten und Schutz der Privatsphäre in der elektronischen Kommunikation – Cookies – Einwilligung der betroffenen Person – Einwilligungserklärung mittels eines mit einem voreingestellten Häkchen versehenen Ankreuzfelds“: u.a. https://www.heise.de/newsticker/meldung/EuGH-Generalanwalt-Deutsches-Cookie-Recht-nicht-ausreichend-4343544.html. Den Schlussantrag des Generalanwalts finden Sie hier.
Worum geht es?
Seit Einführung der DSGVO gibt es immer mehr Cookie-Hinweise auf Websites. Wie bereits in unserer Info zu Tracking und Webanalyse dargestellt, wird die bisherige Widerspruchslösung von den Aufsichtsbehörden für Trackingcookies abgelehnt. Websitebetreiber versuchen daher vermehrt mit Hilfe von sogenannten Consent-Bannern die geforderte Einwilligung einzuholen. Diese Einwilligungen müssen jedoch den Anforderungen der DSGVO genügen, um wirksam zu sein. Die Aufsichtsbehörden haben gerade erst die Anforderungen an eine wirksame Einwilligung zusammengefasst (DSK Kurzpapier Nr. 20). Trotzdem mangelt es vielfach an der (korrekten) Umsetzung, sodass wir an dieser Stelle nochmals Informationen zur Art und Weise der einzuholenden Einwilligungen oder etwa dem Thema Consent Management geben möchten:
Wer ist verpflichtet?
Der Website-Betreiber ist verantwortlich für die wirksame Einholung der Einwilligung. Ist die Einholung einer Einwilligung für das Tracking von Nutzern notwendig, so muss diese entsprechend vom Verantwortlichen nachgewiesen werden.
Wie ist die Einwilligung einzuholen?
Die Nutzun eines sog. "Consent-Banner" (mit konkreter Auswahlmöglichkeit) bietet sich zur Einholung von Einwilligungen an. Dieser ist jedoch mit dem sog. "Cookie Banner" zu verwechseln (informiert lediglich über den Einsatz von Cookies ohne Wahlmöglichkeit). Mittels Consent Banner wird beim ersten Besuch des Nutzers auf der Website die entsprechende Einwilligung (Consent) über ein Pop-up-Fenster eingeholt. Trackingtechnologien werden erst im Falle der Einwilligung geladen (nicht bereits mit Besuch der Seite). Bitte beachten Sie, dass die Voraussetzungen des Art. 7 DSGVO - Bedingungen für die Einwilligung eingehalten werden müssen: die Einwilligung muss demnach informiert, freiwillig, vorab, durch aktive Handlung, nachweisbar und jederzeit widerruflich sein.
„informiert“
In der Praxis hat sich folgende Vorghensweise etabliert: Der Nutzer erhält im Einwilligungstext des Consent-Banners bereits die wesentlichen Informationen (1. Stufe). Weitere Informationen kann der Nutzer in der verlinkten Datenschutzerklärung erhalten, die die geforderten Informationen i.S.d. Art. 13 DSGVO enthält (2.Stufe).
Es ist darauf zu achten, dass sowohl Text als auch Gestaltung des Consent-Banners möglichst übersichtlich und leicht zu verstehen sind - d.h. keine versteckten Informationen oder irreführende Angaben. Der Nutzer muss darüber informiert werden, wofür genau er seine Einwilligung abgibt (granular). Bezüglich der Einteilung können, zur übersichtlicheren Darstellung, Kategorien gewählt werden (z.B. „Funktionale Cookies“, „Cookies für statistische Auswertung“, „Marketing-Cookies“). Die Aufsichtsbehörden bejahen im Regelfall ein berechtigtes Interesse bei Cookies, die ausschließlich zu funktionalen oder zu rein statistischen Zwecken gesetzt werden - einer Einwilligung bedarf es im Regelfall nicht. Anders hingegen die Auffassung bei der Nutzung von Cookies und andere Technologien zum Tracking des Nutzers (z.B. sog. „Marketing-Cookies“), für deren Einsatz ein ausdrückliches Einverständnis der Nutzer erforderlich ist.
„vorab“
Dabei ist zu beachten, das die sog. Marketing-Cookies erst nach Abgabe der Einwilligung geladen werden (bis dahin müssen diese deaktiviert/blockiert sein) und auch nur in dem Umfang der abgegebenen Einwilligung. Liegt die Einwiligung vor dürfen die Cookies nachgeladen werden.
„freiwillig“
Die Zustimmung zum Tracking soll dabei dem Nutzer überlassen werden. Vor dem Hintergrund des Kopplungsverbots ist allerdings darauf zu achten, dass die Nutzung nicht von der Abgabe der Einwilligung abhängig gemacht wird. Nach Beschluss der Österreichischen Datenschutzbehörden scheint es jedoch möglich, eine alternative Website mit einer kostenpflichtigen Alternative anzubieten (siehe Datenschutzbehörde Österreich - Az. DSB-D122.931/0003-DSB/2018).
„durch aktive Handlung“
Die Einwilligung muss durch eine aktive Handlung des Nutzers, z.B. mittels Klick auf eine Checkbox, erfolgen. Nicht ausreichend sind allerdings vorangekreuzte Checkboxen oder ein schlichtes "Weiternutzen“ der Website, sodass durch ein Schließen des Banners von einer Einwilligung ausgegangen wird.
„jederzeit widerruflich“
Erteilte Einwilligungen müssen jederzeit widerruflich sein. Der Widerruf gilt dann mit Wirkung für die Zukunft. Auf die Widerruflichkeit der Einwilligung muss der Nutzer zuvor (bspw. im Einwilligungstext auf dem Consent-Banner) hingewiesen werden.
„nachweisbar“
Die vom Nutzer erteilte Einwilligung muss vom Website-Betreiber nachgewiesen werden können.
Wie kann ich sicherstellen, dass Tracking datenschutzkonform ist und nach wie vor personalisierte Werbung ausgespielt werden kann?
An diesem Punkt kommen Consent Layer bzw. Consent Management Plattformen (CMP) ins Spiel, mit der Sie die Einwilligungen Ihrer Webseitenbesucher programmatisch einholen, verwalten und dokumentieren.
Anforderungen an einen Consent-Banner Anbieter
Am Markt gibt es zahlreiche Anbieter im Bereich "Consent-Management", die damit werben, das Einwilligungsmanagement für den Website-Betreiber zu übernehmen und für die Einbindung des Consent-Banners, sowie für die Dokumentation und Verwaltung der Einwilligung sorgen. Der Verantwortliche kann mittels Protokollierung der Einwilligungen seiner Nachweispflicht nachkommen.
Achtung: Der Website-Betreiber bleibt für die rechtmäßige Datenverarbeitung im datenschutzrechtlichen Sinne und somit für die Einholung der Einwilligung verantwortlich. Der jeweilige Anbieter sollte danach ausgewählt werden, ob er die zuvor aufgeführten Anforderungen an die Einwilligung einhalten kann.
Rückblick: BayLDA Safer Internet Days - Prüfung Websites
Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat anlässlich des Safer Internet Days, Websites mit sehr großer Reichweite, auf eine DSGVO-konforme Einholung und Dokumentation der Einwilligungen der Nutzer überprüft.
Ergebnis: Auf keiner der 40 untersuchten Unternehmens-Webseiten aus Bayern werden Tracking-Tools datenschutzkonform eingesetzt.
Konkret überprüft wurden 3 Kriterien, denen eine Einwilligung des Nutzers nach der DSGVO entsprechen muss - die Einwilligung muss:
1. "vorab" : Daten sollten also erst dann erfasst werden, wenn eine Einwilligung vorliegt. Webseiten-Betreiber müssen daher sicherstellen, dass eine technische Verknüpfung des Cookie-Banners mit den eingebundenen Tracking-Technologien besteht.
Ergebnis: erfüllt von 8 der 40 getesteten Webseiten.
2. "informiert". Dies bedeutet: Der Nutzer muss zum Zeitpunkt der Einwilligung alle Gegebenheiten im Zusammenhang mit der Datenverarbeitung kennen und diesen wissentlich zustimmen.
Ergebnis: erfüllt von 4 der 40 getesteten Webseiten.
3. "freiwillig", neben einem "Annehmen" Button sollte daher eine Alternative ("Ablehnen-Button") auf dem Cookie-Banner vorhanden sein.
Ergebnis: erfüllt von 8 der 40 getesteten Webseiten
erfolgen.
Bewertung des Ergebnisses durch das BayLDA: "Keine der eingeholten Einwilligungen ist wirksam. Das beutet im Ergebnis, dass die Datenverarbeitung durch einwilligungsbedürftige Tracking-Tools rechtswidrig ist."
Thomas Kranig, Präsident des BayLDA, bestätigt: Alle begutachteten Websites begehen Datenschutzverstöße beim Einsatz der Tracking-Werkzeuge. Für die verantwortlichen Unternehmen wird unsere Prüfung ein Nachspiel haben. Wir haben uns entschlossen, diese Missstände abzustellen sowie die Einleitung von Bußgeldverfahren zu prüfen.
Rückblick April 2018 - DSK Position zu rechtlichen Anforderungen an das Tracking von Nutzern
Aufsichtsbehörden verlangen Opt-In für User-Tracking
Die DSK hat am 26. April 2018 ein Positionspapier veröffentlicht, das sich mit den rechtlichen Anforderungen an das Tracking von Nutzern auf Websites und Apps beschäftigt. Die DSK (Datenschutzkonferenz) ist ein Gremium, in dem sich die Datenschutzbehörden des Bundes und der Länder auf gemeinsame Positionen verständigen.
Besonders interessant: Ziffer 9 des Positionspapiers
„Es bedarf jedenfalls einer vorherigen Einwilligung beim Einsatz von Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen und bei der Erstellung von Nutzerprofilen. Das bedeutet, dass eine informierte Einwilligung i. S. d. DSGVO, in Form einer Erklärung oder sonstigen eindeutig bestätigenden Handlung vor der Datenverarbeitung eingeholt werden muss, d. h. z.B. bevor Cookies platziert werden bzw. auf dem Endgerät des Nutzers gespeicherte Informationen gesammelt werden“
Zustimmungswürdig könnten wohl die folgenden Punkte des DSK-Papiers sein:
- Vorrang der DSGVO
Seit dem 25. Mai gilt die DSGVO vorrangig, nationale Sonderwege, wie wir sie nun lange Zeit auch beim Tracking hatten, müssen weichen (Ziff. 1 des DSK-Papiers). - Keine Anwendbarkeit der §§ 12 ff. TMG ab dem 25. Mai
Die Ausnahme des Art. 95 DSGVO für vorrangige Sonderregelungen im Online-Bereich wird die Datenschutzregelungen des TMG nicht retten können: Dies wäre allenfalls noch vertretbar, indem man § 15 Abs 3. TMG als Umsetzung der aktuell noch geltenden ePrivacy-Richtlinie in der Fassung von 2009 („Cookie-Richtlinie“) verstehen würde, aber das scheint auch das BMI anders zu sehen (Ziff. 2-4 des DSK-Papiers). - Maßgeblich ist allein die DSGVO (zumindest bis zur neuen e-Privacy Verordnung)
Eine unmittelbare Anwendung der genannten „Cookie-Richtlinie“ kommt aus zahlreichen Gründen nicht in Betracht, sodass sich die Frage der Rechtmäßigkeit des Trackings vor dem Inkrafttreten einer noch ungewissen ePrivacy-Verordnung allein nach den Vorschriften der DSGVO richtet. Ohne Einwilligung eines Nutzers kommt als Rechtsgrundlage nur Art. 6 Abs. 1 lit. f. DSGVO in Betracht (Ziff. 5-8 des DSK-Papiers). - Rechtspolitische Erwägungen
Rechtspolitisch betrachtet muss man sich in der Tat die Frage stellen, ob man derartig detaillierte Datenerfassungen, wie sie aktuell für Analyse- und Werbezwecke erfolgen, ohne Zustimmung des Nutzers erlauben sollte, selbst wenn Sie nur in pseudonymer Form erfolgen.
Hinweis: Wir haben die rechtlichen Vorgaben / Problemstellungen / die Rechtslage ausschließlich unverbindlich zusammengefasst. Der Artikel spiegelt darüber hinaus die persönliche Auffassung des Verfassers wider und ersetzt weder eine individuelle Rechtsberatung noch die weiteren Entwicklungen zu diesem Thema.
