EDSA: Neue Leitlinien zur Cookie-Einwilligung auf Webseiten

Fachbeitrag

Der Europäische Datenschutzausschuss aktualisiert seine Leitlinien zur Einwilligung in die Nutzung von Internetseiten. Ein Versuch, die Politik der Zustimmung zu Cookies zu korrigieren?

Klarstellungen zu Cookie-Walls und Scrolling

Der Europäische Datenschutzausschuss (EDSA) hat am 5. Mai die Leitlinien zur Einwilligung in die Nutzung von Internetseiten aktualisiert.

Das EDSA stellt im Vorwort fest, dass mit dieser Aktualisierung insbesondere zu zwei Phänomenen rechtliche Klarstellungen gegeben werden sollen:

  • Die Gültigkeit der Einwilligung, die von der betroffenen Person bei der Interaktion mit sogenannten „Cookie-Walls“ gegeben wird.
  • Die vermeintliche Einwilligung durch Scrollen auf einer Website.

Die Änderungen zur ursprünglichen Leitlinie betreffen damit im Wesentlichen die Ausführungen der Leitlinie unter Randnummer 38 – 41 zum Oberbegriff „Freiwilligkeit“ und Randnummer 86 zu dem Thema „Eindeutige Angabe von Wünschen“.

Kraut und Rüben im Internet

Mittlerweile dürfte auch unaufmerksamen Internetnutzern auffallen, dass die früher üblichen, schmalen Cookie-Hinweise auf Webseiten, die sich meistens mit einem „Ok“ wegklicken ließen, nach und nach den sog. „Cookie-Consent-Bannern“ weichen. Dieser Paradigmenwechsel dürfte insbesondere der Auslegung der DSGVO durch die Aufsichtsbehörden (wir berichteten) und der EuGH-Rechtsprechung (Planet49-Urteil) geschuldet sein, wonach typischerweise für Nutzertracking kein Opt-Opt ausreichend sein wird, wie etwa noch aus § 15 Abs.3 TMG bekannt.

Was seit Einführung der DSGVO ebenfalls auffiel ist, dass die Cookie-Banner-Landschaft im Internet im Wesentlichen Kraut und Rüben ist. Es gibt viele windige Gestaltungen, die es dem Nutzer denkbar schwer machen, seine Einwilligung zu verweigern, da für viele Webseitenbetreiber und Netzwerke das Tracking ihrer Nutzer Gold wert ist.

Einstellungen speichern statt Nein

Eine häufige anzutreffende Form eines solchen problematischen Cookie-Banners ist etwa die Frage an den Nutzer, ob er mit Tracking zur „Verbesserung der Nutzererfahrung“ einverstanden ist, garniert mit einem „Ja“-Button und keinem „Nein / Ablehnen“-Button. Stattdessen wird der widerwillige Nutzer nur einen Button zu „Einstellungen“ anklicken können, hinter dem sich umfangreiche Texte – die ihn häufig nicht interessieren werden – und Checkboxen verbergen. Dort wird er dann regelmäßig ganz unten am Fuße der Einstellungsmöglichkeiten, nach allen möglichen Tracking-Tools oder Tracking-Kategorien, die Möglichkeit haben seine „Einstellungen zu speichern“, die er regelmäßig weder selbst getroffen hat, noch mit denen er sich inhaltlich auseinandersetzen möchte.

Wie eine solche Gestaltung mit der Vorgabe aus Art. 7 Abs.3 S.3 DSGVO vereinbar sein soll, wonach gilt…

„Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.“

…wird niemand erklären können.

Korrektur der bisherigen Politik?

Beim Durchlesen der EDSA-Leitlinie wird schnell deutlich, dass diese weniger eine Korrektur der bisherigen Cookie-Politik aufgrund der DSGVO zu verstehen ist, die dazu geführt hat, dass Internet-Nutzer sich immer häufiger mit mehrdeutigen, unverständlichen, verwirrenden oder schlicht nervigen Cookie-Bannern konfrontiert sehen, wie der beschriebenen Variante mit dem „Einstellungen speichern“ anstelle eines „Ablehnen“. Die Leitlinie ist vielmehr eine Zusammenfassung und Klarstellung von schon bekannten Selbstverständlichkeiten, an die sich viele Webseitenbetreiber nicht halten.

Die veröffentlichte Leitlinie ist daher als das Bemühen anzusehen, Klarheit in die Gestaltung von Cookie-Bannern zu bringen und besonders fantasievollen Umgehungen der DSGVO-Vorgaben einen Riegel vorzuschieben. Die im Leitfaden im Besonderen adressierten sog. „Cookie-Walls“ und „Einwilligungen durch Nutzung / Scrolling“ stellen dabei lediglich zwei häufig anzutreffende Ausgestaltungen dar, bei denen Website-Betreiber eine vermeintliche „Einwilligung“ des Nutzers einholen, um das Nutzertracking zu „rechtfertigen“. So verwundert es letztlich nicht, dass die Leitlinien des EDSA kaum inhaltliche Neuerungen enthalten.

Dies kommt schon durch die Äußerung des Bundesdatenschutzbeauftragten Prof. Ulrich Kelber zum Ausdruck, der über die neuen Leitlinien äußerte:

„Die aktualisierten Leitlinien machen erneut deutlich, dass Einwilligungen nicht erzwungen werden können.“

Nieder mit den „Cookie-Walls“

Die größte Änderung zum alten Leitfaden ist die explizite Feststellung, dass durch „Cookie-Walls“ regelmäßig keine wirksamen Einwilligungen eingeholt werden kann. Als Cookie-Walls werden solche Cookie-Banner bezeichnet, die das Betrachten von Inhalten von der Zustimmung abhängig machen, dass der Nutzer nachverfolgt werden kann. Der EDSA stellt fest, dass der Zugang zu einem Web-Service nicht von der Erlaubnis in das Setzen von sogenannten Cookies abhängig gemacht werden darf.

Wenig überraschend fehlt es hier an der Freiwilligkeit einer solchen Einwilligung. Erwägungsgrund 43 der DSGVO lässt grüßen.

Leider geht die Leitlinie nicht näher auf die mittlerweile häufiger anzutreffende Praxis bei Publikationsmedien wie spiegel.de, zeit.de oder washingtonpost.com oder derstandard.at ein, dem Leser bei Aufruf der Website einen ganzseitigen Banner vor die Nase zu setzen, mit der Option, das Tracking entweder zu akzeptieren („Weiterlesen mit Werbung“) oder ein Abo abzuschließen („Cookie-or-Pay-Walls“).

Diese Praxis wurde in der Vergangenheit bisher durch die Österreichische und niederländische Datenschutzaufsicht (DSB) für zulässig erachtet. Anknüpfungspunkt ist hier, dass dem Leser auch bei Verweigerung der Einwilligung eine Möglichkeit bliebe, das Angebot trotzdem in Anspruch zu nehmen – dann eben gegen Zahlung. Somit sei die Einwilligung noch als freiwillig anzusehen. Nach Ansicht der österreichischen Aufsichtsbehörde setzt dies zumindest voraus, dass die Alternative (das Abo) nicht unverhältnismäßig teuer ist.

Keine konkludenten Einwilligungen durch Scrolling

Zur vermeintlichen Einwilligung durch Nutzung der Website oder Scrolling, wie sie sich häufig in älteren Cookie-Hinweisen findet, stellt das EDSA in knappen Worten fest:

„Handlungen wie das Scrollen oder Streichen durch eine Webseite oder ähnliche Benutzeraktivitäten erfüllen unter keinen Umständen das Erfordernis einer eindeutigen und bestätigenden Handlung.“

Auch dies ist eigentlich eine Selbstverständlichkeit, die aus Erwägungsgrund 32 der DSGVO bekannt sein dürfte („Die Einwilligung sollte durch eine eindeutige bestätigende Handlung erfolgen…“).

Altbekanntes zur Einwilligung

Daneben findet sich in den Leitlinien fiel altbekanntes. Die EDSA erläutert auf knapp 30 Seiten, welche Voraussetzungen an eine wirksame Cookie-Einwilligung bestehen. Die Voraussetzungen für eine wirksame Einwilligung lassen sich stichpunktartig wie folgt zusammenfassen:

  • freiwillig
  • spezifisch
  • informiert
  • eindeutige Angabe von Wünschen
  • Nachweisbarkeit & Widerruflichkeit

Diese Voraussetzungen für eine wirksame Einwilligung wurden – zumindest in ähnlicher Form – schon in der Vergangenheit durch die Aufsichtsbehörden aufgegriffen, wir berichteten.

Vollzugsdefizite bei Webseiten

Ob die überarbeitete Leitlinie der EDSA zu mehr rechtskonformen Einwilligungen im Internet führt, wird sich erst zeigen müssen. Die derzeitige Situation, wonach viele Cookie-Consent-Banner rechtswidrig sind, trotz der vergleichsweise eindeutigen gesetzlichen Vorgaben und Hinweisen der Behörden zur Ausgestaltung von Einwilligungen, rührt sicherlich daher, dass viele Website-Betreiber nicht willens sind, eine datenschutzkonforme Einwilligung einzuholen.

Hier scheint sich der alte Spruch zu bewahrheiten:

„Du kannst niemandem etwas beibringen, wenn sein Lohn davon abhängt, es nicht zu verstehen.“

Weil eine ordentliche Umsetzung (einfache Möglichkeit mit einem Klick das Tracking vollständig abzulehnen) die Nachverfolgung für Marketingzwecke und damit potentielle Gewinneinbußen zur Folge hat, wird es häufig so gut es geht vermieden.  Die Vielzahl datenschutzwidriger Cookie-Consent-Banner mag noch einen anderen Grund haben: Das immer offenkundiger werdende Vollzugsdefizit durch die Aufsichtsbehörden.

Dass sich die deutschen Aufsichtsbehörden jedoch an den Leitlinien orientieren werden, kann zumindest schon zum jetzigen Zeitpunkt als gesetzt gelten.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Prof. Ulrich Kelber begrüßt die Leitlinie. Da es sich bei dem EDSA um das Nachfolgegremium eines europäischen Beratungsgremiums für den Schutz personenbezogener Daten und der Privatsphäre (sog. Artikel-29-Gruppe) handelt, dienen die Leitlinien und Empfehlungen des EDSA der Koordination der Rechtsauffassungen unter den europäischen Aufsichtsbehörden und werden von diesen als für sie verbindlich betrachtet.

Näheres zu der Beziehung zwischen den Aufsichtsbehörden und dem EDSA findet sich im 37. Tätigkeitsbericht des ULD Schleswig-Holstein (ab Seite 19).

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

4 Kommentare zu diesem Beitrag

  1. Nach dem, was ich in der letzten Zeit an Cookie-Bannern & Co. ertragen musste, bin ich drauf und dran, für meine eigenen Websites ein eigenes WordPress-Plugin zu schreiben.
    Oder könnten Sie eines empfehlen, das die im Artikel noch mal sehr schön referieren Kriterien erfüllt?

  2. Entspricht der kritisch dargestellte Ansatz vom Spiegel & Zeit nicht der Lösung vom standard.at? Entweder man lässt sich tracken oder man zahlt einen fairen Preis für den Content und bekommt dafür einen trackingfreien Zugang.

    Das Vorgehen wurde meines Wissen von der Aufsicht in Österreich als akzeptabel bewertet. Auch deutsche Aufsichten sehen so einen Ansatz eher positiv. Ich auch.

  3. Eine Cookie-or-Pay-Wall ist aber auch nur für die großen Webseiten möglich. Wenn man eine kleine Webseite betreibt, die einfach nur irgendwelche kleinen Produktgruppen vergleicht und so ein Hindernis einbaut, gehen die User einfach zurück und klicken auf den 2ten Google-Link. Also gewinnen wieder die Großen und ein Startup zu gründen lohnt sich wieder ein Stück weniger. Wie schon durch PSD II und den ganzen anderen Kram den man DSGVO-konform implementieren muss. (Datenexport usw.)
    Ich würde so gerne gründen, aber die Hürden sind einfach zu hoch neben dem ganzen anderen Kram den man noch machen muss wie Businessplan, Steuern usw.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.