Reuschlaw

Prüf­ergeb­nis­se ver­öf­fent­licht: Coo­kies blei­ben im Fokus der Datenschutzaufsichtsbehörden!

Die Daten­schutz­auf­sichts­be­hör­den meh­re­rer Län­der star­te­ten im Som­mer letz­ten Jah­res eine län­der­über­grei­fen­de Prü­fung von Web­sites eini­ger gro­ßer Medi­en­un­ter­neh­men. Dies­mal im Fokus: Ein­satz von Coo­kies und die Ein­bin­dung von Dritt­diens­ten. Meh­re­re Auf­sichts­be­hör­den, dar­un­ter auch der säch­si­sche Daten­schutz­be­auf­trag­te, haben in Pres­se­mit­tei­lun­gen die Ergeb­nis­se der Prü­fung (PDF) veröffentlicht.

Was haben die Auf­sichts­be­hör­den gemacht?

Mit­hil­fe von Fra­ge­bo­gen for­der­ten die Behör­den aus Baden-Württemberg, Bran­den­burg, Bre­men, Ham­burg, Hes­sen, Nie­der­sach­sen, Nordrhein-Westfalen, Rheinland-Pfalz, dem Saar­land, Sach­sen und Schleswig-Holstein ab Mit­te August 2020 sehr umfang­rei­che Infor­ma­tio­nen zu den Daten­flüs­sen auf den jour­na­lis­ti­schen Web­sites an – natür­lich ver­bun­den mit dem “beson­de­ren Hin­weis” auf eine mög­li­che Vor-Ort-Kontrolle nach dem schrift­li­chen Ver­fah­ren, soll­ten sei­tens der Behör­den noch “Unklar­hei­ten” bestehen. Kon­kret erfrag­ten die Behör­den in ihrem Fra­ge­bo­gen vie­le Details der prak­ti­zier­ten Cookies-Setzungen und Dritt­dien­st­ein­bin­dun­gen – Fra­gen zur Recht­mä­ßig­keit der Daten­ver­ar­bei­tung, zu der Daten­schutz­fol­gen­ab­schät­zung, zur Umset­zung daten­schutz­freund­li­cher Vor­ein­stel­lun­gen gemäß Art. 25 DSGVO etc. Was wir Ihnen im Umgang mit Prü­fun­gen durch die Auf­sichts­be­hör­den gene­rell raten, haben wir Ihnen hier zusam­men­ge­fasst.

Was sind die zen­tra­len Ergebnisse?

Grund­sätz­lich stell­ten die Behör­den fest, dass die geprüf­ten Medi­en­web­sites eine sehr hohe Anzahl von Coo­kies und Dritt­diens­ten ver­wen­den, die über­wie­gend dem Nutz­ertrack­ing und der Wer­be­fi­nan­zie­rung die­nen. Die Nut­zer kön­nen dabei meist eine dif­fe­ren­zier­te Ein­wil­li­gung für die Ver­wen­dung von Coo­kies und Dritt­diens­ten ange­ben. Aller­dings, so die Behör­den, sei­en die meis­ten Ein­wil­li­gun­gen nicht wirk­sam. Kon­kret benen­nen die Auf­sichts­be­hör­den fol­gen­de Mängel:

  • Eine fal­sche Rei­hen­fol­ge, indem Coo­kies noch vor der Ein­wil­li­gung gesetzt werden
  • Unzu­rei­chen­de Infor­ma­tio­nen für die Nutzer
  • Kei­ne ein­fa­che Ableh­nung des ein­wil­li­gungs­be­dürf­ti­gen Nutz­ertrackings im Ganzen
  • Eine Aus­ge­stal­tung der Schalt­flä­chen, die den Nut­zer zur Ein­wil­li­gung mani­pu­lie­re (sog. Nudging)

Wie ist die aktu­el­le Rechts­la­ge bei Cookies?

Nach der Recht­spre­chung des BGH in sei­nem Urteil vom 28.05.2020 (Az. I ZR 7/16) sowie dem vor­aus­ge­gan­ge­nen EuGH-Urteil vom 01.10.2019 zu “Planet49” (Rechts­sa­che C‑673/17) im Jahr zuvor muss der Nut­zer aktiv und frei ein­wil­li­gen, bevor der Betrei­ber nicht not­wen­di­ge Coo­kies und Tracking-Mechanismen auf dem End­ge­rät bzw. im Brow­ser des Nut­zers spei­chern darf. Die rele­van­te gesetz­li­che Rege­lung für die Ein­wil­li­gungs­er­for­der­nis ergibt sich dabei aus § 15 Abs. 3 TMG i. V. m. Art. 5 Abs. 3 der ePrivacy-Richtlinie und nicht aus der DSGVO. Gleich­wohl legen die Auf­sichts­be­hör­den inhalt­lich die glei­chen Maß­stä­be an die Ein­wil­li­gung an und beto­nen im Begleit­schrei­ben ihres Infor­ma­ti­ons­er­su­chens die Pflicht zur akti­ven und frei­wil­li­gen Ein­wil­li­gung. Eine blo­ße Mög­lich­keit des Opt-Outs oder die Inter­pre­ta­ti­on der blo­ßen Wei­ter­nut­zung einer Web­site als Ein­wil­li­gung ent­spricht dem­nach nicht den aktu­el­len recht­li­chen Anfor­de­run­gen. Am 01.12.2021 tritt zudem das Gesetz zur Rege­lung des Daten­schut­zes und des Schut­zes der Pri­vat­sphä­re in der Tele­kom­mu­ni­ka­ti­on und bei Tele­me­di­en (TTDSG) (PDF) in Kraft, das eigen­stän­di­ge Rege­lun­gen zur Aus­ge­stal­tung der Ein­wil­li­gung trifft. Es bleibt abzu­war­ten, wie sich die neu­en Rege­lun­gen in der Pra­xis umset­zen lassen.

Unse­re Kri­tik an der Prü­fung der Behörden

Dass Web­site­be­trei­ber bemüht sind, die Ein­wil­li­gung der Nut­zer im recht­li­chen Rah­men ein­zu­ho­len, kön­nen die Nut­zer meist an den auf­fäl­li­gen, ab und zu auch unüber­sicht­li­chen Cookie-Bannern leicht erken­nen. Doch auch die Banner-Ausgestaltung der Online-Medien haben die Auf­sichts­be­hör­den als man­gel­haft dar­ge­stellt: “Mani­pu­la­ti­on der Nut­ze­rin­nen und Nut­zer: Die Aus­ge­stal­tung der Ein­wil­li­gungs­ban­ner weist zahl­rei­che For­men des Nud­ging auf. Das bedeu­tet, Nut­ze­rin­nen und Nut­zer wer­den unter­schwel­lig zur Abga­be einer Ein­wil­li­gung gedrängt, indem die Schalt­flä­che für die Zustim­mung bei­spiels­wei­se durch eine farb­li­che Her­vor­he­bung deut­lich auf­fäl­li­ger gestal­tet ist als die Schalt­flä­che zum Ableh­nen oder indem die Ver­wei­ge­rung der Ein­wil­li­gung unnö­tig ver­kom­pli­ziert wird.” Das sog. “Nud­ging”, also die Schaf­fung eines Anrei­zes zu einer Hand­lung, kri­ti­sie­ren die Auf­sichts­be­hör­den unse­rer Ansicht nach zu stark. Die Kri­tik betrifft näm­lich das Nud­ging in jeder Form. Weder die DSGVO noch die ePrivacy-Richtlinie und das TMG beinhal­ten hier­zu direk­te Vor­ga­ben oder ver­bie­ten jeg­li­che Form der Nut­zer­füh­rung. Die Einwilligungs- oder Wider­spruchs­mög­lich­keit soll der Ver­ant­wort­li­che selbst­ver­ständ­lich trans­pa­rent gestal­ten. Dabei einen opti­schen Anreiz zu schaf­fen, wider­spricht dem grund­sätz­lich aber nicht.

Fazit

Coo­kies und Track­ing durch Dritt­an­bie­ter sind immer noch ein aktu­el­les The­ma für die Auf­sichts­be­hör­den, eben weil es noch kei­ne kon­kre­te Best-Practice-Lösung gibt, die sowohl für den Betrei­ber als auch für den Nut­zer den best­mög­li­chen Nut­zen dar­stellt. Es bleibt abzu­war­ten, ob die Auf­sichts­be­hör­den die Ergeb­nis­se als Anlass sehen, ihre Prü­fung auf wei­te­re Wirt­schafts­be­rei­che aus­zu­wei­ten und wei­ter für den Ein­satz von Coo­kies zu sensibilisieren.

Soll­ten Sie von Ihrer zustän­di­gen Auf­sichts­be­hör­de ein Schrei­ben erhal­ten (aktu­ell ver­schi­cken die Behör­den Infor­ma­ti­ons­er­su­chen in Bezug auf Dritt­lands­über­mitt­lun­gen), soll­ten Sie nicht aus Angst vor mög­li­chen Sank­tio­nen oder Buß­gel­dern unüber­legt alle Infor­ma­tio­nen offen­ba­ren, son­dern unse­re Emp­feh­lun­gen beachten.

Dar­über hin­aus gilt auch hier: Prä­ven­ti­on bringt mehr als Reak­ti­on. Hal­ten Sie Ihre Doku­men­ta­ti­on der Daten­flüs­se auch in Abspra­che mit Ihrem Daten­schutz­be­auf­trag­ten mög­lichst aktu­ell und behal­ten Sie die aktu­el­len Schwer­punk­te der Daten­schutz­auf­sichts­be­hör­den im Blick. Bei der Doku­men­ta­ti­on und einer daten­schutz­kon­for­men Auf­stel­lung hel­fen wir Ihnen gern. Ist ein Infor­ma­ti­ons­er­su­chen nun doch in Ihrem Post­ein­gang gelan­det, sind wir mit unse­rer lang­jäh­ri­gen Erfah­rung im Umgang mit den Auf­sichts­be­hör­den bes­tens auf­ge­stellt und kön­nen Sie dies­be­züg­lich über die nächs­ten Schrit­te effek­tiv beraten.

zurück

Bleiben Sie
up to date

Wir verwenden Ihre E-Mail-Adresse ausschließlich für den Versand unseres Newsletters. Sie können Ihre Einwilligung hierfür jederzeit mit Wirkung für die Zukunft widerrufen. Weitere Informationen entnehmen Sie bitte unserer Datenschutzerklärung.