Cookie-Banner gehören mittlerweile wie ein Impressum oder die Datenschutzerklärung zur Webseite. Mit Wirkung zum 4. Mai 2020 hat der Europäische Datenschutzausschuss (EDSA) daher neue Richtlinien zur Einwilligung nach der Datenschutz-Grundverordnung erlassen.
Die neuen Richtlinien betreffen insbesondere die einzuholende „Einwilligung“ des Nutzers mittels eines „Cookie-Banners“. Anlass für die Neuerungen ist, dass das Thema „Einwilligung“ noch immer zahlreiche praktische und rechtliche Schwierigkeiten mit sich bringt. Hierbei geht es konkret um die Wirksamkeit von Einwilligung bei der Nutzung sog. „Cookie Walls“, zum anderen um die Thematik von „Scrollen und Wischen“ auf einer Website als mögliche Einwilligung.
Status Quo der Anforderungen an einen Cookie-Banner (Auszug aus der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom März 2019)
Durch eine vorgeschaltete Abfrage beim ersten Aufruf einer Website oder einer Web-App kann u. a. eine wirksame Einwilligung für einwilligungsbedürftige Datenverarbeitungen eingeholt werden. Die Nutzung von Cookies ist nicht per se einwilligungsbedürftig. Entsprechende Banner sollen daher nur eingesetzt werden, wenn tatsächlich eine Einwilligung notwendig ist. Dabei sind jedoch folgende Anforderungen zu beachten:
- Beim erstmaligen Öffnen einer Website erscheint das Banner beispielsweise als eigenes HTML-Element. In der Regel besteht dieses HTML-Element aus einer Übersicht aller einwilligungsbedürftigen Verarbeitungsvorgänge, die unter Nennung der beteiligten Akteure und deren Funktion ausreichend erklärt wird und über ein Auswahlmenü aktiviert werden können. Aktivieren bedeutet in diesem Zusammenhang, dass die Auswahlmöglichkeiten nicht „aktiviert“ voreingestellt sein dürfen.
- Während das Banner angezeigt wird, werden zunächst alle weitergehenden Skripte einer Website oder einer Web-App, die potenziell Nutzerdaten erfassen, blockiert. Der Zugriff auf Impressum und Datenschutzerklärung darf durch „Cookie-Banner“ nicht verhindert werden.
- Erst wenn der Nutzer seine Einwilligung(en) durch eine aktive Handlung, wie zum Beispiel das Setzen von Häkchen im Banner oder den Klick auf eine Schaltfläche abgegeben hat, darf die einwilligungsbedürftige Datenverarbeitung tatsächlich (durch technische Maßnahmen sichergestellt) stattfinden.
- Zur Erfüllung der Nachweispflichten des Art. 7 Abs. 1 DSGVO ist es gem. Art. 11 Abs. 1 DSGVO nicht erforderlich, dass die Nutzer dazu direkt identifiziert werden. Eine indirekte Identifizierung(vgl. Erwägungsgrund 26) ist ausreichend. Damit die Entscheidung des Nutzers für oder gegen eine Einwilligung bei einem weiteren Aufruf der Website berücksichtigt wird und das Banner nicht erneut erscheint, kann deren Ergebnis auf dem Endgerät des Nutzers ohne Verwendung einer User-ID o. ä. vom Verantwortlichen gespeichert werden. Durch ein solches Verfahren kann der Nachweis einer vorliegenden Einwilligung erbracht werden.
- Da eine Einwilligung widerruflich ist, muss eine entsprechende Möglichkeit zum Widerruf implementiert werden. Der Widerruf muss so einfach möglich sein wie die Erteilung der Einwilligung, Art. 7 Abs. 3 S. 4 DSGVO.
Verantwortliche müssen sicherstellen, dass die Einwilligung nicht nur das Setzen von einwilligungsbedürftigen Cookies umfasst, sondern alle einwilligungsbedürftigen Verarbeitungstätigkeiten, wie z.B. Verfahren zur Verfolgung der Nutzer durch Zählpixel oder div. Fingerprinting-Methoden, wenn diese nicht aufgrund einer anderen Rechtsgrundlage zulässig sind.
Auszüge aus den Eckpunkten der aktualisierten Richtlinie (derzeit nur in englischer Sprache erhältlich)
- Sogenannte „Cookie Walls“ sind unzulässig. Hier verhindert ein Popup, dass der Nutzer die Seite überhaupt betreten bzw. mit ihr interagieren kann. Der Zugang ist erst möglich, wenn der Nutzer die Cookies akzeptiert. Nach Auffassung der EDSA handelt es sich hierbei nicht um eine freiwillige „Einwilligung“, da der Nutzer keine Wahlmöglichkeiten hat.
- Scrollen oder Wischen ist nicht als Einwilligung geeignet. Einige Webseiten-Betreiber konstruieren die Nutzer-Einwilligung dadurch, dass diese mit der Webseite durch scrollen oder klicken interagieren. Solche Handlungen sind weder „eindeutig bestätigend“ noch „unmissverständlich“. Ferner besteht keine Möglichkeit, die erteilte Einwilligung zu widerrufen. (Art. 7 Abs. 3 Satz 3 DSGVO)
- Auch sogenanntes „Nudging“ oder „Dark Patterns“ sind von Seiten der EDSA nicht gewünscht. Hierbei handelt es sich um die bewusste Steuerung und Beeinflussung des menschlichen Verhaltens aufgrund von Designs, die den Nutzer zu bestimmten Handlungen verleiten, die von der eigentlichen Absicht abweichen. Häufige Beispiele aus der Praxis bieten dem Nutzer über zwei Buttons entweder die Möglichkeit Cookies zu akzeptieren oder die Cookie-Einstellungen manuell zu bearbeiten. Doch selbst wenn eine Ablehnung dann einen einzigen Mehrklick bedeuten würde, tendiert der Durchschnittsnutzer eher dazu, den Cookie-Banner durch das Akzeptieren schnell wegzuklicken.
