Cookies unter Beschuss – Neue Entscheidungen von europäischen Datenschutzbehörden rund um das Thema Online-Werbung

Schon seit vergangenem Jahr hat die Prüfung von Datenschutzaufsichtsbehörden und die Abmahnungen von Verbraucherschützern bzgl. Cookies in Deutschland zugenommen. Geahndet werden vermeintliche Verstöße gegen die Vorgaben des Telemediengesetzes und der DS-GVO. Das seit Dezember 2021 geltende TTDSG dürfte dem weiteren Vorschub leisten. 2022 zeichnet sich auch europaweit als ein Jahr mit Fokus auf Datenschutz-Compliance im AdTech-Bereich ab. Zuletzt haben die Belgische, Französische und Österreichische Datenschutzbehörde mit fragwürdigen Entscheidungen für Aufsehen gesorgt. In Deutschland hat die DSK einen Entwurf für eine Orientierungshilfe zum TTDSG veröffentlicht. Der EuGH wird zudem bald über die Aktivlegitimation der Verbraucherschutzorganisationen zur Geltendmachung von Cookie-Verstößen entscheiden.

Aktuelle Behördenentscheidungen in der EU

Der Umgang mit Cookies steht schon lange im Fokus der Datenschützer in der EU. Nun scheint es EU-weit Anordnungen und Bußgelder zu geben. Zuletzt hat die Belgische Datenschutzaufsichtsbehörde mit einer aufsehenerregenden und fragwürdigen Entscheidung das sog. Transparency und Consent Framework (TCF) des Werbeverbands Internet Advertising Bureau Europe (IAB Europe) für datenschutzwidrig erklärt und ein Bußgeld in Höhe von 250.000 Euro verhängt. In ebenso viel diskutierten und praxisfernen Entscheidungen haben die Französische und Österreichische Datenschutzbehörde die Nutzung von Google Analytics unter gewissen Umständen für datenschutzwidrig erklärt. Im Kern ging es dabei um die Absicherung von Auslandsdatentransfers. Die Französische Datenschutzaufsichtsbehörde hat Anfang des Jahres wegen Cookie-Verstößen Bußgelder in Höhe von insgesamt EUR 210 Millionen verhangen. In Deutschland gibt es eine neue Orientierungshilfe der Datenschutzaufsichtsbehörden, sowie anhängige Verfahren von Verbraucherschutzorganisationen.

Die belgische Entscheidung zum Transparency und Consent Framework

Die Autorité de protection des données (APD) hat am 2. Februar 2022 im Wesentlichen ihre Entscheidung auf die folgenden Aspekte gestützt: Der sog. Transparency and Consent String (TC-String) stelle ein personenbezogenes Datum dar. Klicken Nutzer und Nutzerinnen im Rahmen des Besuchs einer Webseite auf „Alle Cookies akzeptieren“, erzeugt die Consent Management Platform (CMP) des IAB Europe zusammen mit dem TCF im Hintergrund den TC-String. Dieser besteht aus einer Kombination von Zahlen, Nummern und anderen Zeichen und bildet die Grundlage für die Erstellung von individuellen Profilen der Nutzer und Nutzerinnen. Diese TC-Strings sind für die Anbieter von Werbeanzeigen und die Schaltung von individuell angepassten Werbeanzeigen entscheidungsrelevant.

Gemeinsam mit der IP-Adresse und den gesetzten Cookies sei eine genaue Identifizierung der Nutzer und Nutzerinnen möglich. IAB Europe sei für die Verarbeitung personenbezogener Daten in Form des TC-Strings Verantwortlicher. Eine gemeinsame Verantwortlichkeit bestehe für die durch die TCF in Gang gesetzte Datenverarbeitung mit den anderen Akteuren (CMPs, Website-Publisher und Adtech-Anbietern). IAB Europe bestimme in beiden Fällen die Mittel und Zwecke der Verarbeitung personenbezogener Daten im Rahmen des TCF.

Darüber hinaus habe es IAB Europe versäumt, eine Rechtsgrundlage für die Verarbeitung des TC-Strings zu schaffen, so die APD. Somit sei eine unzureichende Rechtsgrundlage für die an-schließende Verarbeitung durch Adtech-Anbieter gegeben. Zudem bestünden Verstöße gegen die Transparenzvorgaben aus Art. 12, 13, und 14 DS-GVO. Dabei wies die APD insbesondere auf die folgenden Punkte hin:

• Einige der in den TCF genannten Verarbeitungszwecke seien zu allgemein und vage for-muliert, als dass die betroffenen Personen angemessen über den genauen Umfang und die Art der Verarbeitung ihrer personenbezogenen Daten informiert werden könnten (Rz. 470).
• In Bezug auf die CMP ermögliche es die den Nutzern angebotene Oberfläche nicht, die mit der Zulassung eines bestimmten Anbieters verbundenen Verarbeitungszwecke einfach und klar zu identifizieren (Rz. 471).
• Schließlich seidie große Anzahl von Dritten, d.h. Adtech-Anbieter, die potenziell die personenbezogenen Daten der Nutzer erhalten und verarbeiten werden, weder mit den Anforderungen einer ausreichend informierten Einwilligung, noch mit der umfassenderen Transparenzpflicht der DSGVO vereinbar (Rz. 472).
  
  

Der letzte Punkt mutet in der Pauschalität der Aussage besonders seltsam an, zumal die APD nicht klarstellt, was eine „große Anzahl“ sein soll. Die DSGVO enthält insoweit keine Vorgaben, so dass die Erfüllung der Transparenzpflicht im Einzelfall beurteilt werden muss. Dies scheint der APD vorliegend nicht zu tun, sondern vielmehr allgemeine Vermutungen anzustellen. Vor diesem Hintergrund erscheint die Entscheidung der APD fragwürdig. IAB Europe hat nun zwei Monate Zeit um einen Vorschlag zur Behebung dieser Punkte vorzustellen. Insgesamt gibt es sechs Monate Zeit, um die Mängel zu beheben. Der Werbeverband widerspricht der Darstellung der Datenschutzbehörde in wesentlichen Punkten und hat angekündigt, die Entscheidung gerichtlich überprüfen lassen zu wollen. Insbesondere wendet sich IAB Europe gegen die Feststellung, dass sie Verantwortlicher sein sollen. Auch in Deutschland wird die Entscheidung kritisiert. Es wird zu Recht bemängelt, dass eine hohe Rechtsunsicherheit für alle Anbieter von digitalen Inhalten bestehe. Durch die einseitige Entscheidung werde nahezu jegliche digitale Datenverarbeitung zur Finanzierung von digitalen Angeboten in Frage gestellt. Die Entscheidung hat weitreichende Folgen für die gesamte E-Commerce-Branche und betrifft etliche Webseiten-Betreiber sowie Werbetreibende.

Die neusten Entscheidungen zu Google Analytics

Die Österreichische Datenschutzbehörde (dsb) hat am 22. Dezember 2021 entschieden, dass die - zusätzlich zu den abgeschlossenen Standardvertragsklauseln ergriffenen – im Rahmen von Google Analytics angewendeten Maßnahmen (technischer und organisatorischer Natur) nicht effektiv genug seien, um eine Zugriffsmöglichkeit von US-Behörden zu verhindern oder einzuschränken. Zu beachten ist, dass im konkreten Verfahren die von Google angebotene sog. IP-Anonymisierungsfunktion nicht verwendet wurde. Somit kommt die dsb zum Ergebnis, dass eine Bewertung dazu fallbezogen nicht von Relevanz, da diese Funktion nicht korrekt implementiert wurde. Eine Befassung mit dieser Frage wäre im Sinne einer praxisnahen Entscheidung wünschenswert gewesen. Somit verbleibt eine fragwürdige, auf die Vergangenheit gerichtete Entscheidung, die nicht sehr hilfreich erscheint. 

Auch die Französische Datenschutzbehörde Commission Nationale de l’Informatique et des Libertés (CNIL) hat am 10. Februar 2022 entschieden, dass der Einsatz von Google Analytics auf Webseiten mit europäischen Nutzer und Nutzerinnen nicht mit der DSGVO vereinbar sei. Google habe zwar zusätzliche Maßnahmen ergriffen, um die Datenübermittlung im Rahmen der Google Analytics-Funktion zu regeln. Diese würden jedoch nicht ausreichen, um die Möglichkeit des Zugriffs von US-Geheimdiensten auf die Daten auszuschließen. Die CNIL hat den Betreiber der Webseite aus dem Verfahren angewiesen, künftig ein anderes Tool für die Webanalyse zu nutzen, sodass keine persönlichen Daten mehr in die USA transferiert würden. Dies erscheint äußerst praxisfern.

Beide Entscheidungen stützen sich auf die Verfahren der - von Max Schrems gegründeten - Organisation „None of Your Business“ (NOYB). Die NOYB hat 101 Musterbeschwerden in ganz Europa eingereicht. Sie beziehen sich auf die „Schrems II"-Entscheidung des Europäischen Gerichtshofs (Urteil vom 16. Juli 2020, Rs. C-311/18), mit welcher das EU-US Privacy Shield-Abkommen für unwirksam erklärt und eine Ergänzung der Standardvertragsklauseln gefordert wurde. In beiden Fällen stand jedoch ein Dienst zur Messung des Website-Verhaltens und damit Cookies im Vordergrund der Diskussion.

Die französische Entscheidung zu Cookie-Bannern

Die CNIL hat am 6. Januar 2022 Anordnungen und Bußgelder wegen Cookie-Verstößen in Höhe von EUR 150 Mio. gegen Google (90 Mio. gegen Google LLC und 60 Mio. gegen die Google Ireland Ltd.) und EUR 60 Mio. gegen Facebook verhangen. In den drei Verfahren beanstandete die CNIL die komplizierte Ausgestaltung der Ablehnungsmöglichkeit von Cookies im Vergleich zu dem Ein-Klick-System für die Zustimmung zu den Cookies. Die Ablehnung von Cookies müsse für die Nutzer genauso einfach sein, wie das Setzen von Cookies. Es beeinflusse die Entscheidungsfreiheit der Nutzer, wenn mehrere Klicks erforderlich seien, um sämtliche Cookies ablehnen zu können. Eine ,,freiwillige“ Einwilligung in das Setzen von Cookies sei in diesem Fall abzulehnen. Abzuwarten bleibt, inwiefern diese Entscheidungen eine Signalwirkung an die anderen europäischen Mitgliedstaaten haben werden.

Entwicklungen in Deutschland

In Deutschland sind die Datenschutzaufsichtsbehörden seit Mitte 2021 durch Prüfungen im Wege von Fragebogenaktionen tätig geworden. In einem ersten Schritt haben sie meist mittels Massenschreiben die Vereinbarkeit der Transparenzvorgaben gemäß der Datenschutz-Grundverordnung (DS-GVO) bei sog. Cookie-Banner von Website-Anbietern überprüft. Daneben sind auch Verbraucherschutzorganisationen tätig geworden. Laut einer Pressemitteilung der Verbraucherzentrale Bundesverband e.V. (VZBV) wurden seit September 2021 scheinbar über 100 Unternehmen wegen Verstößen gegen die Vorgaben des Telemediengesetzes (TMG) im Hinblick auf die über Cookie-Banner einzuholenden Einwilligungen mittels entsprechender Schreiben abgemahnt. Sie stützen ihre Ansprüche dabei zwar auf die Marktverhaltensregelungen im TMG, stellen materiell jedoch auf die Wirksamkeit der Einwilligung nach den Vorgaben der Datenschutz-Grundverordnung ab. Ob sie überhaupt neben den Datenschutzaufsichtsbehörden dazu legitimiert sind, muss der Europäische Gerichtshof bald entscheiden. Im Verfahren „Meta Platforms Ireland“ (C-319/20) geht es um die Frage, ob Verbraucherschutzverbände befugt sind, Verstöße gegen das Datenschutzrecht zu verfolgen oder die DS-GVO abschließend die Aufsicht durch die Datenschutzbehörden regelt. Dies hat der Bundesgerichtshof („App-Zentrum“ - I ZR 186/17) vorgelegt. Seit dem 2. Dezember 2021 liegen die Schlussanträge des Generalanwalts des EuGH vor. Dieser kommt zum Ergebnis, dass Verbraucherschützer aktiv werden können. Wenn der EuGH dieser Ansicht folgt, würde dies noch mehr Aufwind für Verbraucherschützer bedeuten. Abgesehen davon dürften auf die Abmahnungen der Verbraucherschützer wohl bald auch Urteile folgen. Es werden wohl kaum alle Unternehmen die gewünschten Unterlassungserklärungen kampflos abgeben. Wenn daher ein EuGH-Urteil einerseits und Landgerichtsentscheidungen zu Cookies andererseits publik sind, könnte es im Laufe des Jahres eine Abmahnwelle in Bezug auf Cookie-Banner bzw. den Einsatz von sog. Tracking-Tools geben.

Das TTDSG: Neues Spiel, neues Glück?

Die Datenschutzvorschriften des TMG wurden am 1. Dezember 2021 durch das neue Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG) ersetzt. Es soll unter anderem Nutzer und Nutzerinnen mehr Kontrolle über online erhobene personenbezogenen Daten geben und birgt für Unternehmen neue Bußgeldrisiken. Das TTDSG fasst Regelungen zum Telekommunikationsdatenschutz und weitere Anforderungen an Telemedien zusammen, die zuvor in der DS-GVO, dem TMG und dem Telekommunikationsgesetz verstreut waren. Bezüglich Cookies setzt § 25 TTDSG die Vorgaben des noch geltenden Art. 5 Abs. 3 der ePrivacy-Richtlinie mit ca. 15 Jahren Verspätung um. Dort ist nunmehr klargestellt, dass eine Einwilligung der Nutzer und Nutzerinnen erforderlich ist, wenn Unternehmen mit Cookies auf deren Endgeräte zugreifen. Bei „unbedingt erforderlichen“ Cookies ist dies entbehrlich. Leider konkretisiert der Gesetzgeber nicht, wann ein Cookie „unbedingt erforderlich“ ist. Diese Rechtsunsicherheit könnte weiteren Treibstoff für Streitigkeiten bedeuten. Die deutschen Datenschutzaufsichtsbehörden haben sich bereits in einem Entwurf für eine Orientierungshilfe zum TTDSG geäußert. Danach sei die unbedingte Erforderlichkeit von Speicher- und Auslesevorgängen in Bezug auf den konkret von der Endnutzerin oder dem Endnutzer gewünschten Telemediendienst zu prüfen, um festzustellen, ob die Ausnahmevorschrift greift. Entsprechend dem Zweck der Norm erfordere dies eine differenzierte Betrachtung der Webseite oder App. Demnach ist beispielsweise der Basisdienst grundsätzlich als der von Nutzer und Nutzerinnen gewünschte Telemediendienste anzusehen, sobald diese einen Dienst bewusst aufru-fen. Dies erfasse nicht automatisch alle Zusatzfunktionen des Basisdienstes, sondern richte sich vielmehr nach dem Einzelfall, aus der Perspektive durchschnittlich verständiger Nutzer und Nutzerinnen. In Bezug auf „unbedingt erforderlich“ bestehe ein strenges Verständnis. In diesem Rahmen seien stets der Zeitpunkt der Speicherung (wann?) und die Laufzeit des Cookies (wie lange?), der In-halt des Cookies (was?), sowie die setzende Domäne eines Cookies, die darüber entscheidet, wer die Informationen auslesen kann (für wen?), in Betracht zu ziehen. Etwaige Zugriffe auf die Endeinrichtung, sowie Informationen seien im Sinne der Norm hinsichtlich aller Dimensionen auf das erforderliche Minimum zu reduzieren. Weitere Details zum TTDSG finden Sie hier.

Ausblick: ePrivacy VO als Rettung?

Besonders problematisch ist insoweit, dass für den AdTech-Bereich, also die Online-Werbewirtschaft, nach wie vor keine EU-weit einheitlichen Regelungen gelten. Sofern die ePrivacy-Verordnung in diesem Jahr verabschiedet wird, könnte in Zukunft EU-weit eine klare Linie bestehen. Der erste Entwurf der ePrivacy-Verordnung datiert auf Januar 2017. Sie sollte zusammen mit der DS-GVO im Mai 2018 in Kraft treten. Die Verhandlungen über die ePrivacy-Verordnung gestalteten sich schwierig. Der EU-Ministerrat hat sich am 10. Februar 2021 auf eine Version verständigt. Damit begann der sog. Trilog, die informelle Verhandlung zwischen Vertretern der EU-Kommission, dem Parlament und Ministerrat. Der aktuelle Entwurf wird im Trilog voraussichtlich ausgiebig diskutiert werden müssen. Es gab zuvor deutliche Kritik seitens des Europäischen Datenschutzausschusses (EDSA) in seiner Erklärung 03/2021 vom 9. März 2021. So moniert der EDSA u.a., dass Cookie-Walls nicht mit den im Einwilligungskontext anzuwendenden Vorschriften der DSGVO vereinbar seien. Die Ausnahme für Cookies zur Reichweitenmessung sei zu weit gefasst. Es ist ein zäher Trilog zu erwarten. Mit einem Inkrafttreten vor 2023 kann nicht ohne Weiteres gerechnet werden. Das hätte eine Geltung ab 2025 zur Folge, weil der Entwurf aktuell eine Übergangsfrist von 24 Monaten vorsieht. Weitere Hintergründe zur ePrivacy-Verordnung finden Sie hier. Eine Kommentierung der einzelnen Vorschriften der ePrivacy-Verordnung finden Sie hier.

In unserer Podcast-Episode zu Technologie-Themen erhalten Sie einen Überblick zum Thema Cookies und weitere Informationen zu Datenschutzfragen.