Die dänische Datenschutzaufsichtsbehörde erließ vor kurzem eine explosive, aber bisher wenig beachtete Entscheidung zum Einholen einer Einwilligung für das Setzen von Cookies. Nach ihrer Ansicht sind unter anderem Cookie-Banner bzw. Cookie-Consent-Tools rechtswidrig, die den Websitebesucher vor die Wahl zwischen „OK“ und „Details anzeigen / Cookie Einstellungen“ stellen.
Der Inhalt im Überblick
Beschwerde gegen üblichen Cookie-Banner
Das Dänische Meteorologische Institut (kurz: DMI) bietet auf ihrer Website vor allem Wettervorhersagen an und setzte zunächst einen Cookie-Banner ein. Die ursprüngliche Beschwerde aus 2018 richtete sich noch gegen einen Banner mit automatisch vorab ausgewählter Einwilligung. Nach der ursprünglichen Beschwerde gab das DMI eine neue Website in Auftrag. Deren Consent-Lösung gibt dem Nutzer bei dem erstmaligen Besuch zwei Möglichkeiten: Der Nutzer kann auf „OK“ (d.h. alle Cookies akzeptieren und weiter) oder „Cookie Einstellungen“ klicken. Nur bei Auswahl von „Cookie Einstellungen“ öffnet sich ein Menü, in dem die Cookie Präferenzen nach Zwecken „Erforderlich“, „Funktionell“, „Statistik“ und „Marketing“ eingestellt werden können.
Übersetzt: „DMI und Dritte verwenden Cookies, um dmi.dk nützlicher zu machen und Ihnen eine bessere Erfahrung sowie Statistiken und gezieltes Marketing zu bieten. Wenn Sie auf OK klicken, stimmen Sie dem zu. Sie können Cookies auswählen und abwählen, indem Sie auf Cookie-Einstellungen klicken. Sie können Ihre Einwilligung jederzeit widerrufen. Lesen Sie mehr darüber und über Cookies auf dmi.dk in unserer Cookie-Richtlinie.“
Ähnliche Cookie-Consent-Lösungen sind auch dabei sich in Deutschland zu etablieren und werden etwa auf den Websites von Heise oder Volkswagen genutzt.
Zudem schaltet das DMI Bannerwerbung über das Google Werbenetzwerke auf der Website, wobei personenbezogene Daten mit Google geteilt werden, um die Anzeigen zu personalisieren. Der Beschwerdeführer wollte hier eine gemeinsame Verantwortlichkeit feststellen lassen.
Das DMI vertrat hingegen die Ansicht, seine aktuelle (neue) Cookie-Lösung stelle eine klare Einwilligungserklärung dar. Nutzer müssten im Einklang mit der EuGH Rechtsprechung zu Planet 49 aktiv einwilligen, bevor Cookies gesetzt werden und der Inhalt der Website angezeigt wird. Zudem sei eine differenzierte Einwilligung möglich, da Nutzer durch Auswahl von „Cookie Einstellungen“ einigen Cookies zustimmen, und andere abwählen können. Dabei sind hier keine Kategorien von Cookies vorangewählt. Es werden zudem keine persönlichen Daten gesammelt und weitergegeben, bis die Besucher eingewilligt haben. In der Einwilligungserklärung werde außerdem darüber informiert, dass das DMI die Werbenetzwerke von Google nutzt.
Entscheidung der Aufsichtsbehörde
Wirklich neu und interessant an der Entscheidung sind die Einlassungen zur Ausgestaltung einer wirksamen Einwilligungserklärung für Cookies auf der Website. (Zusammen mit der Entscheidung veröffentlichte man zusätzlich eine dänische Orientierungshilfe für Telemedienanbieter.) Die dänische Aufsicht spricht sich nämlich entschieden gegen die seit dem Planet 49 Urteil weit verbreiteten Nudging-Lösungen zum Einholen einer Einwilligung für das Setzen von Cookies aus. So stellte man fest, dass die aktuelle Lösung des DMI zur Erlangung der Einwilligung in die Verarbeitung personenbezogener Daten aus den folgenden drei Gründen keine wirksame Einwilligung darstellt.
Keine freiwillige Einwilligung
Die dänische Datenschutzbehörde führt aus, dass der Zweck des Erfordernisses der Freiwilligkeit einer Einwilligung darin bestehe, Transparenz für die betroffene Person zu schaffen. Zudem soll der betroffenen Person die Wahl und Kontrolle über ihre personenbezogenen Daten geben werden. Daher gelte die Einwilligung nicht als freiwillig erteilt, wenn die betroffene Person keine echte und freie Wahl treffen kann.
Ein wichtiges Element bei der Beurteilung, ob die Zustimmung freiwillig ist, sei daher das Prinzip der „Granularität“. Danach muss für Verarbeitungsvorgänge, die mehreren Zwecken dienen, für jeden Zweck eine separate Einwilligung eingeholt werden. Diesem Erfordernis der Granularität werde die Lösung des DMI nicht gerecht, da der Besucher durch Auswahl von „OK“ seine Einwilligung gleichzeitig für mehrere unterschiedliche Verarbeitungszwecke erteilt. Nach Einschätzung der dänischen Datenschutzaufsichtsbehörde gibt die Erhebung personenbezogener Daten für verschiedene Zwecke auf der Grundlage einer einzigen Einwilligung dem Besucher keine ausreichende freie Wahl, die Zwecke zunächst zu identifizieren und dann granular zu entscheiden.
Zudem sei die Möglichkeit unzureichend, die Erfassung personenbezogener Daten für verschiedene Zwecke erst durch Auswahl des Buttons „Details anzeigen“ einzusehen und zu managen. Denn diese Option befindet sich „einen Klick entfernt“ und es ist nicht möglich, bei der ersten Interaktion mit dem Cookie-Banner das Setzen von bestimmten Cookies direkt abzulehnen.
Keine informierte Einwilligung
Die dänische Datenschutzaufsichtsbehörde betont, dass es für eine informierte Einwilligung zumindest erforderlich ist, über die die Identität des für die Verarbeitung Verantwortlichen und die Zwecke der Verarbeitung aufzuklären.
Dies sei bei dem Banner des DMI nicht der Fall, da die Informationen über die (gemeinsam) für die Verarbeitung Verantwortlichen – in diesem Fall Google – nicht ausreichend klar seien. Das DMI habe nämlich nicht transparent genug dargelegt, dass Bannerwerbung über das Werbenetzwerk von Google auf der Website geschaltet wird, da nicht Google, sondern die Werbenetzwerke von Google – DoubleClick und AdSense – genannt werden. Das sei für die Nutzer intransparent, da diese Produktnamen den betroffenen Personen nicht gängig seien.
Verstoß gegen den Grundsatz der Transparenz
Nach Ansicht der dänischen Datenschutzaufsichtsbehörde folgt aus dem Grundsatz der Transparenz nach Art. 5 Abs. 1 lit. a DSGVO, dass es ebenso leicht sein muss, die Einwilligung in die Verarbeitung personenbezogener Daten abzulehnen, wie sie zu erteilen. Die derzeitige Struktur der Einwilligungslösung des DMI erfülle diese Transparenzanforderung nicht. Einem Besucher der Website ist es nicht möglich, die Verarbeitung personenbezogener Daten durch Cookies direkt abzulehnen. Der Besucher muss sich dafür zunächst die „Cookie Einstellungen“ anzeigen lassen. Ein solcher „One-Click-Away“-Ansatz ist nach Ansicht der Datenschutzaufsichtsbehörde nicht transparent, da er einen zusätzlichen Schritt erfordert, damit die betroffene Person die Einwilligung zur Verarbeitung personenbezogener Daten verweigern kann.
Ebenso ist es nach Ansicht der Datenschutzaufsichtsbehörde nicht mit dem Grundsatz der Transparenz vereinbar, dass die Möglichkeit keine Einwilligung in die Verarbeitung personenbezogener Daten zu erteilen, nicht den gleichen „Kommunikationseffekt“ hat. Das bedeutet diese Möglichkeit wird nicht auf den ersten Blick so klar kommuniziert wie die Möglichkeit eine Einwilligung zu erteilen. Hierdurch würde die betroffene Person indirekt dazu gedrängt, eine Einwilligung in die Verarbeitung personenbezogener Daten zu erteilen.
Auswirkungen auf Deutschland
Was die dänische Aufsichtsbehörde entscheidet, hat natürlich zunächst keinen direkten Einfluss auf Verantwortliche in Deutschland. Schließlich ist hier einer der jeweiligen Landesdatenschutzbeauftragten nach Art. 55 DSGVO, § 40 BDSG für Unternehmen zuständig. Von der Entscheidung geht dennoch eine große Signalwirkung aus. Sie ist zumindest ein erstes Anzeichen, wohin die bevorstehende europäische Reise beim Einholen einer Einwilligung zum Setzen von Cookies nach den Vorgaben der E-Privacy-Richtlinie und DSGVO gehen könnte.
Bei diesem Thema drucksen die deutschen Aufsichtsbehörden bekanntermaßen schon länger herum. Seit Herausgabe der Orientierungshilfe für Tracking-Anbieter ist hierzulande nicht wirklich viel passiert. Rechtskräftige und öffentlichkeitswirksame Entscheidungen der Behörden? Bislang Fehlanzeige. Nur ein gemeinsames Vorgehen gegen das Real Time Bidding ohne Einwilligung hat man nun neulich angekündigt. Bei dem Thema Einwilligung zur Speicherung von Cookies hingegen, kommt wohl erst wieder Schwung in die Sache nach der Verkündung des entsprechenden BGH-Urteils am 28. Mai.
Interessant wird es, zu sehen, wie sich die unterschiedliche Auslegung – bzw. schwerpunktmäßige Durchsetzung – der DSGVO durch die nationalen Datenschutzaufsichtsbehörden auf den Wettbewerb im europäischen Binnenmarkt auswirken wird. Sollte die dänische Behörde die in der Entscheidung herausgearbeiteten Grundsätze nun konsequent auf die Wirtschaft anwenden, dürften hier gerade Angebote dänischer Online-Zeitungen unter sinkenden Werbeeinnahmen leiden. Wenn die Aufsichtsbehörden der anderen EU-Länder bei der Durchsetzung nicht ähnlich scharf nachziehen, dürfte man vorerst auf dem Markt der europäischen Presseverleger wohl das Gegenteil des im Erwägungsgrund 2 aufgestellten Ziels, der Stärkung und des Zusammenwachsen der Volkswirtschaften innerhalb des Binnenmarkts, erreichen.
Cookie Fatigue – ein weiterer Akt
Die dänische Datenschutzaufsichtsbehörde scheint insbesondere bei dem aufgestellten Erfordernis der Granularität von dem Bild eines eher unmündigen Bürgers auszugehen. Ein Nutzer der auf „Ok“, „Einverstanden“ oder ähnliche Buttons klickt und darauf hingewiesen wird, dass er damit in sämtliche Cookies einwilligt, sollte diese selbstbestimmte Entscheidung treffen können. Vielen Nutzern ist das wahrscheinlich auch ganz recht, weil sie ungestört surfen wollen. Sie sind froh, wenn die lästigen Banner mit nur einem statt drei oder mehr Klicks verschwinden. Das ist wahrscheinlich ernüchternd für Aufsichtsbehörden, aber Datenschutz ist den meisten Nutzern nun mal lästig oder egal.
Interessierte Nutzer haben zudem die Möglichkeit ohne erheblichen Mehraufwand – ein Klick bedeutet einen zusätzlichen Zeitaufwand von ein bis zwei Sekunden – detaillierte Informationen einzusehen. Die Entscheidung der dänischen Datenschutzaufsichtsbehörde hat in dieser Hinsicht den Charakter einer „Zwangsbeglückung“. Sollte sich dieser Ansatz europaweit durchsetzen, dürfte die „Cookie Fatigue“ – der allgemeine Cookie-Überdruss der Bevölkerung – weiter zunehmen.
Das Ende der Manipulation?
Andererseits leuchtet das Argument der dänischen Datenschutzaufsichtsbehörde ein, dass die Ablehnung der Einwilligung ebenso leicht möglich sein soll wie die Erteilung einer Einwilligung. Schließlich setzen Websitebetreiber gezielt auf sogenannte „Dark Patterns“, indem sie Nutzer durch die Menüführung die Erteilung der Einwilligung oder ähnliches nahelegen. Das dies durchaus gut funktioniert, legen erste wissenschaftliche Untersuchungen nahe.
Meist reichen schon einfache Dinge, Buttons für eine Einwilligung sind grün, die für eine Ablehnung von Cookies hingegen ausgegraut oder „Ja“-Buttons sind groß und prominent platziert und Buttons zur Ablehnung versteckt am Seitenrand. Besucher, die möglichst schnell ihrem eigentlichen Anliegen im Internet nachgehen wollen, werden so dazu verleitet, alle Cookies zu akzeptieren. So hat eine Untersuchung ergeben, dass Nutzer Entscheidungen gegen ihre Interessen treffen, sobald sie nur den geringsten Aufwand zum Schutz ihrer Daten betreiben müssen. Die Begründung der Forscher ist, dass anscheinend alle Dinge, bei denen Nutzer etwas selbst aktiv tun müssen, um ihre Daten zu schützen, zum Scheitern verurteilt sind. Das sogenannte Privatsphären-Paradoxon: Menschen ist Datenschutz wichtig, sie wollen sich aber nicht damit auseinandersetzen.
Privacy by Default. Punkt. Bei Klick auf OK dürfte kein Haken gesetzt sein, außer den trchnisch notwendigen. Ist eine Schweinerei, dass fast alle Seiten das so machen.
Genau so ist es. „Privacy by default“ heißt z.B., dass beim Ignorieren des Cookie Banners ausschließlich technisch notwendige Cookies gesetzt werden dürfen. Alle anderen bedürfen einer informierten Einwilligung vorab! So ist die Rechtslage, und so sollte sie von den DS-Aufsichtsbehörden auch europaweit durchgesetzt werden.
Super Artikel. Die Luft für die Irreführung durch Dark Pattern wird in Deutschland auch schon dünner.
Bei OTTO liegt eine Anfrage diesbezüglich vor, die ich diesen Freitag (21.2.) auf datenschutz-zwecklos.de veröffentliche. Natürlich inkl. der Stellungnahme von OTTO und Prof. Caspar, wenn sie denn bis dahin antworten möchten. Ein Fernsehbeitrag ist ebenfalls in Planung.
Jetzt heißt es aufzuräumen, liebe Unternehmen mit „Dark Pattern Einwilligungen“… so geht es nicht weiter mit der Verbrauchertäuschung!
Die ewige Diskussion um Cookie-Banner / Cookie Fatigue ist doch nur ein Symptom. Die Online-Branche will sich nicht auf einen, für den Nutzer umkomplizierten, Standard festlegen. Wie sonst ist es zu erklären, dass die „do not track (dnt)“-Funktion der Browser sich als Standard / Selbstregulierung nicht durchgesetzt hat. Simpler kann man Privacy by default kaum umsetzen.
Das ist absolut richtig und DNT wäre ein super Ansatz, wenn man das Flag auch überall setzen könnte (und es beachtet würde). Was aber tun mit SmartTV, XBox , IoT-Geräten & Co? Und dann sind da noch die ganzen Apps, die tracken bis der Arzt kommt.
Betroffene können sich bisher nur selbst mit einem zentralen Schutzgerät verteidigen. Zum Glück kostenlos mit eBlocker.org – aber man braucht eine gewisse technische Flughöhe, und die hat nicht jedermann.
Daher sollten die Aufsichtsbehörden jetzt endlich mal ihren Job machen und das bunte Treiben abstellen. EINE abschreckende Sanktion eines Unternehmens reicht aus und viele Unternehmen werden folgen und auf „sauber“ umstellen. Nur beschäftigen sich die Behörden lieber mit Vereinszeitungen und der Größe von Kamera-Aufzeichnungshinweisen bei Tankstellen.
Danke, dass die Dänen hier einen Aufschlag machen und den Deutschen zeigen, wie es geht!
@Christian Bennefeld: Wie glaubwürdig sind Ihre aktuellen Marketing-Aktivitäten als etracker-Gründer, hm???
Sehr schön auch der überzogene Hinweis auf das ach so tolle etracker in der Datenschutzerklärung.
Außerdem gibt es auch Ihrer eigenen Webseite keine rechtskonforme Widerspruchsmöglichkeit, da der User zwingend Cookies akzeptieren muss. Dies ist aber nicht auf allen Endgeräten möglich.
Schön wäre es auch gewesen, wenn Sie bei Ihrem Statement einmal offengelegt hätten, dass Sie Geschäftsführer der eBlocker Open Source UG sind, die Sie hier ebenfalls so hoch loben. Den Begriff der Schleichwerbung ist bekannt, oder???
Vielleicht wäre es einmal sinn, zuerst bei sich die Hausaufgaben zu erledigen?
Lieber Herr Peters,
es ist richtig, dass ich etracker vor nunmehr 20 Jahren gegründet habe. Ihnen ist aber offenbar entgangen, dass ich seit 2013 weder für etracker tätig, noch Gesellschafter der Firma bin. Das ist lange Geschichte und ich habe andere Ambitionen. Aber ich freue mich natürlich, dass die etracker Geschäftsführung den von mir eingeschlagenen Weg für ein Datenschutz-konformes Tracking konsequent fortsetzt und sie heute von den Anstrengungen profitiert.
Es ist richtig, dass wir auf der Seite unserer Initiative datenschutz-zwecklos.de etracker als Datenschutz-konformes Trackingsystem verwenden und natürlich in unserer Datenschutzerklärung sauber darauf hinweisen. Dazu sind wir gegenüber unseren Lesern nicht nur moralisch, sondern insbesondere auch rechtlich verpflichtet.
Ihre Einlassungen zu Cookies sind schlicht falsch. Die Aufsichtsbehörden sagen ganz klar in ihrer Orientierungshilfe „Die Nutzung von Cookies ist nicht per se einwilligungsbedürftig. Entsprechende Banner sollen daher nur eingesetzt werden, wenn tatsächlich eine Einwilligung notwendig ist.“ Es handelt sich bei den von uns (ohne Einwilligung) eingesetzten Cookies ausschließlich um notwendige Cookies, die Sie im Übrigen in der Datenschutzerklärung wiederfinden.
Es ist richtig, dass ich heute Geschäftsführer der eBlocker Open Source UG bin und auch als *unter Angabe des Unternehmens eBlocker* und mit der entsprechenden E-Mail Adresse gepostet habe (anders in meinem Post zuvor!).
Ihnen ist aber auch hier entgangen, dass meine Tätigkeit vollständig *ehrenamtlich* ausübe, das Unternehme ein Non-Profit ist und wir gar kein Business-Modell haben, für das wir „Schleichwerbung“ machen können. Steht alles auf eblocker.org.
Vielleicht sollten Sie zunächst Ihre Hausaufgaben machen, bevor Sie anderen diese Empfehlung geben. Lesen hilft!
Beste Grüße
Christian Bennefeld
jetzt sollten sich erst mal die Aufsichten untereinander einig werden… die Spanier sehen das völlig anders als die Dänen und haben das auch so veröffentlicht. Hoch lebe die Harmonisierung…
Hallo, sehr interessant. Was ich nicht so recht verstehe ist der Aufhänger „Aufsichtsbehörde erklärt viele Cookie-Banner für rechtswidrig“ und im Text „Die dänische Datenschutzaufsichtsbehörde erlies vor kurzem eine explosive, aber bisher wenig beachtete Entscheidung zum Einholen einer Einwilligung für das Setzen von Cookies. …“ Warum Dänemark? Wir doch hier in der BRD oder?
MfG Reimann
Hallo,
der Beitrag beschäftigt sich mit ihrer Frage im Abschnitt Auswirkungen auf Deutschland.
tl;dr: Sowohl die Datenschutz-Grundverordnung, als auch die E-Privacy-Richtlinie sind europäische Gesetze, die mittelfristig in ganz Europa einheitlich ausgelegt werden. Da sich die deutschen Behörden bei dem Thema aktuell noch bedeckt halten, zeigt die Entscheidung wie eine solche Auslegung aussehen könnte.
Zum Thema Einwilligung und Widerruf hat OTTO gestern eine besonders interessante Position offenbart: „Ablehnen“ im Cookie Banner heißt nicht „alles ablehnen“, sondern nur einige von OTTO gewählte. Die Daten fließen auch bei Ablehnung fleißig weiter an Google und zahlreichen Diensten in die USA. Ob sich das mit dem EuGH Urteil vereinbaren lässt ist mehr als fraglich und der klare Dissens zur Meinung der Aufsichtsbehörden mutet grotesk an. Die vollständige Stellungnahme von OTTO dazu (Achtung, lieber Herr Joachim Peters: „Schleichwerbung“ für eine Non-Profit Datenschutz-Initiative ohne Business-Modell): datenschutz-zwecklos.de/blog/2020/02/wie-otto-gegen-die-dsgvo-verstoesst-und-behoerde-tatenlos-zusieht/ Unabhängig von der Rechtslage finde ich es nur beschämend für den sonst so sozialen Versender, den Kundenwunsch so vorsätzlich zu untergraben! Nein heißt bei OTTO leider nicht Nein. Und hier sind täglich mehr betroffen als in der Kirche. #OTTOTOO
Hallo. Hier mal eine Anmerkung. Dieses „Ablehnen“ sollte doch mit dem allseits bekanntem „X“ in der oberen rechten Ecke möglich sein, denn das wäre doch Ablehnung genug. Diese Cookie-Banner gehen mir langsam auf den Wecker und macht ein uneingeschränktes Recherchieren unmöglich, darum schließe ich diese Seiten immer sofort. Aber weiß ich denn, dass nicht doch irgend ein Cookie auf meinem Rechner gespeichert wurde? Wie verhält es sich denn da mit der Informationsfreiheit?
„Hallo. Hier mal eine Anmerkung. Dieses „Ablehnen“ sollte doch mit dem allseits bekanntem „X“ in der oberen rechten Ecke möglich sein, denn das wäre doch Ablehnung genug.“
Das „x“ an der oberen rechten Ecke ermöglicht in der Regel keine Ablehnung von Cookies, sondern der entsprechende Text des Fensters weist nur darauf hin, dass Cookies eingesetzt werden, wenn man die Seite nutzt. Der Besucher hat aber keine Auswahlmöglichkeit.
„Diese Cookie-Banner gehen mir langsam auf den Wecker und macht ein uneingeschränktes Recherchieren unmöglich, darum schließe ich diese Seiten immer sofort.“
Genau darum geht’s in dem Beitrag. Die Banner sollen so gestaltet werden, dass eine Ablehnung der Cookies so einfach möglich ist, wie das Anklicken des „x“ in der oberen rechten Ecke, und der Besucher sich nicht durch ein Menü klicken muss, um Cookies abzulehnen.
„Aber weiß ich denn, dass nicht doch irgend ein Cookie auf meinem Rechner gespeichert wurde? Wie verhält es sich denn da mit der Informationsfreiheit?“
Das ist ein weiterer Aspekt vieler Cookie Banner. Es werden nämlich häufig schon vor der Entscheidung des Nutzers Cookies gesetzt. Sie können nachverfolgen, ob Cookies gesetzt wurden über Browser Add-Ons wie Ghostery; bei Firefox auch direkt über das „Schutzschild“-Symbol links in der Adresszeile oder über den Service webbkoll.dataskydd.net., ein OpenSource Projekt, das anzeigt, inwieweit eine Webseite Ihre Besucher überwacht.
Kann bei einer gesetzlich geforderten _informierten_ Einwilligung denn ein „Alle einwilligen“-Button überhaupt rechtskonform mehrere Einwilligungen erteilen (auch wenn er gleichwertig zu „alle ablehnen“ dargestellt wird)? Da fehlt es doch immer an der notwendigen Granularität, wenn die Einwilligungen gebündelt eingeholt werden?
Nach Ansicht der dänischen Aufsichtsbehörde fehlt es tatsächlich an dieser Granularität, so dass nur dann eine rechtskonforme freiwillige Einwilligung eingeholt wird, wenn für alle Verarbeitungszwecke eine separate Einwilligung erteilt wird. Andererseits könnte argumentiert werden, dass die Freiwilligkeit gegeben ist, sofern man darauf hingewiesen wird, dass man durch das Anklicken des Buttons in alle Cookies einwilligt. Es kommt hier auch auf die entsprechende Ausgestaltung und Formulierung des Cookie Banners an.