Am 5. Mai hat der Europäische Datenschutzausschuss (EDSA) die Leitlinien zur Einwilligung bei Webseiten aktualisiert. Im Vorwort der neuen Cookie Leitlinie stellt der EDSA fest, dass zwei Phänomene rechtlich klarer dargestellt werden müssen, diese Punkte sind:

• Die Gültigkeit der Einwilligung, die von der betroffenen Person bei der Interaktion mit sogenannten „Cookie-Walls“ gegeben wird.
• Die vermeintliche Einwilligung durch Scrollen auf einer Website.

Dadurch betrifft diese Änderung im Wesentlichen die Randnummer 38-41 zum Oberbegriff „Freiwilligkeit“ sowie Randnummer 86 zu dem Thema „Eindeutige Angabe von Wünschen“, der ursprünglichen Richtlinie.

Nach und nach werden die schmalen Cookie-Hinweise, welche meistens mit einem „OK“ wegklicken ließen, durch sogenannte „Cookie-Consent-Banner“ ersetz. Dieser Wechsel liegt an der Auslegung der DSGVO durch die Aufsichtsbehörden, sowie der Rechtsprechung des EuGH wonach typischerweise für Tracking kein Opt-Out-Verfahren ausreichend ist, wie noch aus § 15 Abs. 3 TMG bekannt.

Solch problematische Cookie-Banners sind häufig die die den Nutzer fragen ob er mit Tracking zur „Verbesserung der Nutzerfahrung“ einverstanden ist, diese Frage kann meist mit einem „Ja“-Button jedoch keinem „Nein/Ablehnen“-Button beantwortet werden. Hier muss der Nutzer auf „Einstellungen“ und dort nach Suche die Checkboxen deaktivieren und diese Einstellungen speichern. Diese Gestaltung lässt sich schwer mit der Vorgabe aus Art. 7 Abs. 3 S. 3DSGVO „Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.“ vereinbaren.

Die explizite Feststellung, dass mit „Cookie-Walls“ keine wirksame Einwilligung eingeholt werden kann, ist die größte Änderung zum alten Leitfaden. Diese Cookie-Walls bezeichnen die Cookie-Banner, welche das Betrachten von Inhalten abhängig von der Akzeptierung der Tracking Cookies macht. Der Zugang zu Web-Service darf nicht abhängig von der Erlaubnis in das Setzen von Cookies sein. Dabei fehlt die Freiwilligkeit in diese Einwilligung, die in Erwägungsgrund 43 der DSGVO beschrieben ist.

Diese Art der Banner ist häufig bei Publikationsmedien wie spiegel.de, zeit.de oder washingtonpost.com anzutreffen, hier kann man das Tracking entweder akzeptieren oder ein Abo abschließen.

Die österreichische und niederländische Datenschutzaufsicht erachten dies als zulässig, da der Leser das Angebot annehmen kann auch wenn er die Cookies verweigert, eben gegen eine Zahlung. So sei dies immer noch als freiwillig anzusehen. Die österreichische Aufsichtsbehörde setzt jedoch voraus, dass die Alternative (das Abo) nicht unverhältnismäßig teuer ist.

Das Nutzen einer Website oder das Scrollen auf ihr, ist keine Einwilligung wie es sich häufig in älteren Cookie-Hinweisen findet. Der EDSA beschreibt dies wie folgt „Aktionen wie das Scrollen oder Wischen durch eine Webseite oder ähnliche Benutzeraktivitäten erfüllen unter keinen Umständen die Anforderung einer klaren und positiven Aktion“.

In dem Leitfaden findet sich auch viel Altbekanntes. Auf 30 Seiten erläutert der EDSA, welche Voraussetzungen eine wirksame Cookie-Einwilligung benötigt. Diese lassen sich stichwortartig wie folgt zusammenfassen:

• Freiwillig
• Spezifisch
• Informiert
• Eindeutige Angabe von Wünschen
• Nachweisbarkeit & Widerruflichkeit

Diese Voraussetzung wurde in ähnlicher Form schon in der Vergangenheit aufgegriffen.

Es bleibt offen ob diese Überarbeitung zu mehr rechtskonformen Einwilligungen im Internet führt. Da trotz vergleichsweiser eindeutiger Rechtslage immer noch viele Cookie-Consent-Banner rechtswidrig sind, da eine konforme Einwilligung eine potenzielle Gewinneinbuße zur Folge hat und die Nachverfolgung für Marketingzwecke leichter auszuschalten ist. Ein weiterer Grund ist der Vollzugsdefizit durch die Aufsichtsbehörden.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Prof. Ulrich Kelber begrüßt die neue Leitlinie. Der EDSA ist ein Nachfolgegremium eines europäischen Beratungsgremiums für den Schutz personenbezogener Daten und der Privatsphäre, dadurch dienen die Leitlinien und Empfehlungen des EDSA der Koordination der Rechtsauffassungen von europäischen Aufsichtsbehörden und werden von diesen, als für sie verbindlich betrachtet.

Die KUMA IT-Solutions befasst sich ebenfalls mit dem Thema Datenschutz, daher können Sie uns bei Fragen gerne kontaktieren.

Quelle: bdfi.bund