25. Mai 2020
Im Zusammenhang mit Cookies und vergleichbaren Technologien können sich gesetzliche Anforderungen nicht nur aus der DSGVO oder den nationalen Datenschutzgesetzen ergeben, sondern zusätzlich aus der ePrivacy Richtlinie der EU. Neben der Frage, ob die Verwendung von Cookies und Adtech-Tools im Allgemeinen die vorherige Zustimmung des Benutzers erfordert, stellt sich eine Folgefrage zu den Kriterien für eine solche Zustimmung. Zusätzlich zu den in der DSGVO festgelegten gesetzlichen Anforderungen hat der EuGH in seiner Entscheidung zu Planet 49 vom Oktober 2019 einige allgemeine Leitlinien vorgelegt. Trotz dieser vermeintlich klaren Spezifikationen variiert die Auslegung der Zustimmungsanforderungen durch die Aufsichtsbehörden. Gleichzeitig haben Bußgelder und behördliche Anordnungen als Reaktion auf mutmaßliche Verstöße gegen die DSGVO bei der Verwendung von Cookies in den letzten Monaten zugenommen. Beispielsweise verhängten die spanischen Behörden im Oktober 2019 eine Geldbuße in Höhe von 30.000 EUR gegen die spanische Billigfluggesellschaft Vueling, weil die im spanischen Recht festgelegten Cookie-Anforderungen nicht eingehalten wurden (Rechtssache PS / 00300/2019).
Anforderungen nach der DSGVO
Die Rechtsgrundlage in Art. 6 Abs. 1 Satz 1 lit. a) Die DSGVO legt keine Details für eine Einwilligungserklärung fest. Nach Art. 4 Nr. 11 DSGVO ist die Einwilligung jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Die Bestimmung enthält keine Spezifikationen für den Inhalt eines Cookie-Banners, sondern der Verantwortliche kann die Form der Einwilligung frei ausgestalten.
In ihrem Arbeitspapier 259 (WP 259, Richtlinien zur Einwilligung gemäß Verordnung 2016/679) stellt die Artikel-29-Datenschutzgruppe fest, dass eine Vielzahl von Handlungen eine wirksame Einwilligung darstellen kann, darunter beispielsweise das Wischen über eine Bildschirmleiste, Winken vor einer Smart-Kamera oder ein Smartphone im Uhrzeigersinn zu drehen oder in Form einer Acht zu bewegen. Die Artikel 29-Datenschutzgruppe betont, dass praktisch jede Form der Zustimmung möglich ist, vorausgesetzt, dem Benutzer ist hinreichend klar, dass er durch die entsprechende Handlung eine Erklärung abgibt. Es ist daher entscheidend, dass die jeweilige Handlung ausreichend von anderen Handlungen des Benutzers unterscheidbar ist.
Mehrere EU-Regulierungsbehörden haben Richtlinien für die Verwendung von Cookies und vergleichbaren Technologien herausgegeben und unterschiedlich detaillierte Informationen zum Design eines Cookie-Banners bereitgestellt. Es besteht weitgehend Einigkeit darüber, dass das Cookie-Banner Informationen zu den verwendeten Cookies enthalten muss - direkt im Banner oder über entsprechende Links. Die Anforderungen der Behörden variieren jedoch in Bezug auf die konkrete Form, in der der Benutzer seine Zustimmung erteilen kann. Die Bandbreite reicht von Ansichten, die effektiv jede Handlung ausreichen lassen, bis zu Meinungen, bei denen der Benutzer auf der ersten Ebene für jede einzelne Kategorie von Cookies auf eine separate Schaltfläche klicken muss. Darüber hinaus gibt es unterschiedliche Ansichten darüber, ob eine rechtlich konforme Zustimmung zur Verwendung von Cookies eine spezielle Ablehnungsoption erfordert.
Die Regulierungsbehörde in Spanien stellt im Vergleich zu den anderen EU-Behörden weniger strenge Anforderungen an ein Cookie-Banner. Neben einem Cookie-Banner, das eine explizite Schaltfläche „Ablehnen“ und „Akzeptieren“ enthält, erkennt die spanische Aufsichtsbehörde auch als rechtmäßige Zustimmung an, wenn der Website-Betreiber nur das Klicken auf die Website verlangt, sofern der Benutzer ausreichend über die Relevanz dieser Handlung informiert wurde.
Die italienische Behörde stellt auf ihren Websites FAQ zu Cookies zur Verfügung. Obwohl die FAQ keine konkreten Anforderungen für ein Cookie-Banner definieren, sondern eher allgemeine Informationen enthalten, deuten die Informationen darauf hin, dass das Cookie-Banner nach Ansicht der italienischen Aufsichtsbehörde auf der ersten Ebene keine „Ablehnen“-Option enthalten muss. Im Gegenteil, es scheint, dass die italienische Behörde es für ausreichend erachtet, wenn der Nutzer seine Zustimmung durch Klicken auf der Webseite erklärt, sofern der Nutzer ausreichend über die Relevanz dieser Handlung im Cookie-Banner informiert wurde.
Die Aufsichtsbehörde in Liechtenstein äußert sich nur zu den allgemeinen Anforderungen der Einwilligung nach Artt.6, 7 DSGVO im Rahmen der Zustimmungsvoraussetzungen für Cookies. Dabei stellt die Behörde klar, dass die Einwilligung verschiedene Formen annehmen kann, einschließlich der impliziten Zustimmung. Dies könnte zu dem Schluss führen, dass die Behörde keine zu strengen Anforderungen an einen Cookie-Banner stellt. Insbesondere geht aus den bereitgestellten Informationen nicht hervor, dass die Behörde beispielsweise eine bestimmte Schaltfläche „Ablehnen“ für erforderlich hält oder dass ein Klicken auf die Website nicht ausreichen würde, wenn entsprechende Informationen bereitgestellt würden. In dieser Hinsicht bleibt abzuwarten, ob die Behörde ihre Hinweise in Zukunft weiter spezifizieren wird.
In ihren Richtlinien zur Verwendung von Cookies legt die niederländische Behörde fest, dass eine sog. Cookie Wall unzulässig ist und dass vorab angekreuzte Kästchen keine gesetzeskonforme Zustimmung darstellen. Die Behörde schweigt jedoch zu den positiven Bedingungen für die Gestaltung eines Cookie-Banners. Das Fehlen spezifischer Anforderungen kann dahingehend ausgelegt werden, dass die Behörde wahrscheinlich keine besonderen Anforderungen an die Zustimmung zu Cookies und ähnlichen Technologien stellt, zum Beispiel eine Schaltfläche „Ablehnen“ auf der ersten Ebene des Cookie-Banners. Es bleibt insofern abzuwarten, wie die Behörde in der Praxis mit Cookie-Bannern umgeht.
Österreich
Österreich hat noch keine spezifischen Richtlinien für die Anforderungen für die Verwendung von Cookies und ähnlichen Technologien veröffentlicht. Das Cookie-Banner wurde jedoch indirekt Teil eines von der Behörde im November 2018 entschiedenen Falls. Das Cookie-Banner in diesem Verfahren ermöglichte die Einholung der Zustimmung durch Klicken auf die Schaltfläche „OK“ oder durch Klicken auf einen Bereich außerhalb des Banners. Obwohl sich die Behörde nicht speziell mit der Frage befasste, was ein rechtmäßiges Cookie-Banner im Allgemeinen erfordert, erklärte sie, dass das Design des Banners dem Benutzer ermöglichte, eine bewusste Entscheidung zu treffen und damit seine Zustimmung zu erteilen.
Etwas strengere Bedingungen geben die Richtlinien der irischen Regulierungsbehörde vor. Die Aufsichtsbehörde legt ausdrücklich fest, dass das Klicken außerhalb des Cookie-Banners auf der Website oder das Scrollen keine ausreichende Zustimmung des Benutzers darstellt, der Benutzer vielmehr eine tatsächliche Wahl haben muss. In diesem Zusammenhang legen die Erläuterungen jedoch nahe, dass es auch ausreichend ist, wenn das Cookie-Banner auf der ersten Ebene eine Schaltfläche „Akzeptieren“ sowie eine Schaltfläche enthält, über die der Benutzer auf weitere Informationen zugreifen kann. Obwohl die Behörde die Bereitstellung einer Schaltfläche „Ablehnen“ für empfehlenswert hält, scheint es sich nicht um eine verpflichtende Vorgabe zu handeln.
Deutschland, Großbritannien, Frankreich, Griechenland
Viel strengere Anforderungen für die Zustimmung zur Verwendung von Cookies finden sich in den Richtlinien der Behörden in Deutschland, Großbritannien, Frankreich und Griechenland. Diese Behörden verlangen alle, dass, wenn ein Website-Anbieter ein Cookie-Banner verwendet, die erste Ebene des Banners nicht nur eine Schaltfläche enthält, mit der der Benutzer das Cookie akzeptieren kann. Vielmehr sind diese Behörden der Ansicht, dass der freiwillige Charakter der Zustimmung es erfordert, dass das Banner auch ausdrücklich die Möglichkeit bietet, Cookies abzulehnen. Die griechische Regulierungsbehörde schreibt beispielsweise ausdrücklich vor, dass der Benutzer die Verwendung von Cookies mit der gleichen Anzahl von Klicks und auf der gleichen Ebene akzeptieren oder ablehnen muss.
Es scheint, dass die dänischen und belgischen Aufsichtsbehörden unter den EU-Aufsichtsbehörden den strengsten Ansatz verfolgen. Sie interpretieren die Anforderungen noch enger als die Regulierungsbehörden in Deutschland, Großbritannien, Frankreich und Griechenland. Nach der dänischen Richtlinie fehlt bereits eine freiwillige Zustimmung, wenn ein Cookie-Banner nur eine generelle „Akzeptieren“-Option auf der ersten Ebene vorsieht, ohne zwischen verschiedenen Cookie-Zwecken zu unterscheiden, selbst wenn es möglich ist, die verschiedenen Zwecke auf einer zweiten Ebene auszuwählen oder abzuwählen. In ähnlicher Weise vertritt die belgische Behörde die Auffassung, dass der Website-Anbieter, wenn eine Website mehr als einen Cookie-Typ verwendet, für jeden Cookie-Typ bereits auf der ersten Ebene eine separate Zustimmung einholen muss. Die zweite Ebene muss den Benutzern die Möglichkeit bieten, eine detaillierte Auswahl zu individuellen Cookies zu treffen.
Derzeit gibt es keine gemeinsame Richtlinie für die Gestaltung der Einwilligung in die Verwendung von Cookies und vergleichbaren Technologien. Website-Betreiber müssen daher möglicherweise die nationalen Anforderungen der für ihre Dienste relevanten zuständigen Aufsichtsbehörde bei der Gestaltung eines Cookie-Banners berücksichtigen. Dies kann dazu führen, dass unterschiedliche Richtlinien möglicherweise anwendbar werden und in ein angemessenes Gleichgewicht gebracht werden müssen. Für die Anforderungen an ein Cookie-Banner in Deutschland ergeben sich gegebenenfalls neben der Stellungnahme der Aufsichtsbehörden weitere Anhaltspunkte aus der Entscheidung des BGH in dem Planet 49-Verfahren, die für 28. Mai 2020 angekündigt wurde.
Michael Tan, Julian Sun, Paul Voigt and Wiebke Reuter look at what China's new SCCs mean for businesses looking to export personal data from China to the EU.
von mehreren Autoren
von Dr. Paul Voigt, Lic. en Derecho, CIPP/E und Wiebke Reuter, LL.M. (London)
Data Date Podcast - Folge #5
von Wiebke Reuter, LL.M. (London) und Dr. Carolin Monsees, CIPP/E