Prüfergebnisse veröffentlicht: Cookies bleiben im Fokus der Datenschutzaufsichtsbehörden!

Stefan Hessel

Die Datenschutzaufsichtsbehörden mehrerer Länder starteten im Sommer letzten Jahres eine länderübergreifende Prüfung von Websites einiger großer Medienunternehmen. Diesmal im Fokus: Einsatz von Cookies und die Einbindung von Drittdiensten. Mehrere Aufsichtsbehörden, darunter auch der sächsische Datenschutzbeauftragte, haben in Pressemitteilungen die Ergebnisse der Prüfung (PDF) veröffentlicht.

Was haben die Aufsichtsbehörden gemacht?

Mithilfe von Fragebogen forderten die Behörden aus Baden-Württemberg, Brandenburg, Bremen, Hamburg, Hessen, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz, dem Saarland, Sachsen und Schleswig-Holstein ab Mitte August 2020 sehr umfangreiche Informationen zu den Datenflüssen auf den journalistischen Websites an – natürlich verbunden mit dem "besonderen Hinweis" auf eine mögliche Vor-Ort-Kontrolle nach dem schriftlichen Verfahren, sollten seitens der Behörden noch "Unklarheiten" bestehen. Konkret erfragten die Behörden in ihrem Fragebogen viele Details der praktizierten Cookies-Setzungen und Drittdiensteinbindungen – Fragen zur Rechtmäßigkeit der Datenverarbeitung, zu der Datenschutzfolgenabschätzung, zur Umsetzung datenschutzfreundlicher Voreinstellungen gemäß Art. 25 DSGVO etc. Was wir Ihnen im Umgang mit Prüfungen durch die Aufsichtsbehörden generell raten, haben wir Ihnen hier zusammengefasst.

Was sind die zentralen Ergebnisse?

Grundsätzlich stellten die Behörden fest, dass die geprüften Medienwebsites eine sehr hohe Anzahl von Cookies und Drittdiensten verwenden, die überwiegend dem Nutzertracking und der Werbefinanzierung dienen. Die Nutzer können dabei meist eine differenzierte Einwilligung für die Verwendung von Cookies und Drittdiensten angeben. Allerdings, so die Behörden, seien die meisten Einwilligungen nicht wirksam. Konkret benennen die Aufsichtsbehörden folgende Mängel:

  • Eine falsche Reihenfolge, indem Cookies noch vor der Einwilligung gesetzt werden
  • Unzureichende Informationen für die Nutzer
  • Keine einfache Ablehnung des einwilligungsbedürftigen Nutzertrackings im Ganzen
  • Eine Ausgestaltung der Schaltflächen, die den Nutzer zur Einwilligung manipuliere (sog. Nudging)

Wie ist die aktuelle Rechtslage bei Cookies?

Nach der Rechtsprechung des BGH in seinem Urteil vom 28.05.2020 (Az. I ZR 7/16) sowie dem vorausgegangenen EuGH-Urteil vom 01.10.2019 zu "Planet49" (Rechtssache C-673/17) im Jahr zuvor muss der Nutzer aktiv und frei einwilligen, bevor der Betreiber nicht notwendige Cookies und Tracking-Mechanismen auf dem Endgerät bzw. im Browser des Nutzers speichern darf. Die relevante gesetzliche Regelung für die Einwilligungserfordernis ergibt sich dabei aus § 15 Abs. 3 TMG i. V. m. Art. 5 Abs. 3 der ePrivacy-Richtlinie und nicht aus der DSGVO. Gleichwohl legen die Aufsichtsbehörden inhaltlich die gleichen Maßstäbe an die Einwilligung an und betonen im Begleitschreiben ihres Informationsersuchens die Pflicht zur aktiven und freiwilligen Einwilligung. Eine bloße Möglichkeit des Opt-Outs oder die Interpretation der bloßen Weiternutzung einer Website als Einwilligung entspricht demnach nicht den aktuellen rechtlichen Anforderungen. Am 01.12.2021 tritt zudem das Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG) (PDF) in Kraft, das eigenständige Regelungen zur Ausgestaltung der Einwilligung trifft. Es bleibt abzuwarten, wie sich die neuen Regelungen in der Praxis umsetzen lassen.

Unsere Kritik an der Prüfung der Behörden

Dass Websitebetreiber bemüht sind, die Einwilligung der Nutzer im rechtlichen Rahmen einzuholen, können die Nutzer meist an den auffälligen, ab und zu auch unübersichtlichen Cookie-Bannern leicht erkennen. Doch auch die Banner-Ausgestaltung der Online-Medien haben die Aufsichtsbehörden als mangelhaft dargestellt: "Manipulation der Nutzerinnen und Nutzer: Die Ausgestaltung der Einwilligungsbanner weist zahlreiche Formen des Nudging auf. Das bedeutet, Nutzerinnen und Nutzer werden unterschwellig zur Abgabe einer Einwilligung gedrängt, indem die Schaltfläche für die Zustimmung beispielsweise durch eine farbliche Hervorhebung deutlich auffälliger gestaltet ist als die Schaltfläche zum Ablehnen oder indem die Verweigerung der Einwilligung unnötig verkompliziert wird." Das sog. "Nudging", also die Schaffung eines Anreizes zu einer Handlung, kritisieren die Aufsichtsbehörden unserer Ansicht nach zu stark. Die Kritik betrifft nämlich das Nudging in jeder Form. Weder die DSGVO noch die ePrivacy-Richtlinie und das TMG beinhalten hierzu direkte Vorgaben oder verbieten jegliche Form der Nutzerführung. Die Einwilligungs- oder Widerspruchsmöglichkeit soll der Verantwortliche selbstverständlich transparent gestalten. Dabei einen optischen Anreiz zu schaffen, widerspricht dem grundsätzlich aber nicht.

Fazit

Cookies und Tracking durch Drittanbieter sind immer noch ein aktuelles Thema für die Aufsichtsbehörden, eben weil es noch keine konkrete Best-Practice-Lösung gibt, die sowohl für den Betreiber als auch für den Nutzer den bestmöglichen Nutzen darstellt. Es bleibt abzuwarten, ob die Aufsichtsbehörden die Ergebnisse als Anlass sehen, ihre Prüfung auf weitere Wirtschaftsbereiche auszuweiten und weiter für den Einsatz von Cookies zu sensibilisieren.

Sollten Sie von Ihrer zuständigen Aufsichtsbehörde ein Schreiben erhalten (aktuell verschicken die Behörden Informationsersuchen in Bezug auf Drittlandsübermittlungen), sollten Sie nicht aus Angst vor möglichen Sanktionen oder Bußgeldern unüberlegt alle Informationen offenbaren, sondern unsere Empfehlungen beachten.

Darüber hinaus gilt auch hier: Prävention bringt mehr als Reaktion. Halten Sie Ihre Dokumentation der Datenflüsse auch in Absprache mit Ihrem Datenschutzbeauftragten möglichst aktuell und behalten Sie die aktuellen Schwerpunkte der Datenschutzaufsichtsbehörden im Blick. Bei der Dokumentation und einer datenschutzkonformen Aufstellung helfen wir Ihnen gern. Ist ein Informationsersuchen nun doch in Ihrem Posteingang gelandet, sind wir mit unserer langjährigen Erfahrung im Umgang mit den Aufsichtsbehörden bestens aufgestellt und können Sie diesbezüglich über die nächsten Schritte effektiv beraten.

[Juli 2021]