Die österreichische Aufsichtsbehörde äußert sich zum Kopplungsverbot. Zugangsverweigerung bis zur Zustimmung zu Tracking mittels Cookies oder Abschluss eines kostenpflichtigen Abonnements verstieße nicht gegen das Kopplungsverbot der DSGVO.
Der Inhalt im Überblick
Nutzer sah seine Rechte verletzt
DER STANDARD ist eine österreichische Tageszeitung und mit derStandard.at auch als Tageszeitung online. Nun berichtete die Zeitung Anfang der Woche in eigener Sache. Im Zuge der Umsetzung der Vorgaben der DSGVO führte derStandard.at ein Cookie-Banner der extremen Art ein. Beim ersten Besuch der Website wird der Nutzer auf einer vorgeschalteten Seite vor die Wahl gestellt: entweder er stimmt der Nutzung von Cookies für die Zwecke der Webanalyse und digitaler Werbemaßnahmen und damit der Verwendung seiner personenbezogenen Daten zu werblichen Zwecken zu, oder er bezieht ein kostenpflichtiges Abonnement. Dann kann man die Website besuchen, ohne dass Cookies zu Werbezwecken verwendet werden und Werbung angezeigt wird. Ohne Erteilung der Einwilligung bzw. Zahlung eines regelmäßigen Betrages, ist die Website also nicht aufrufbar.
Daraufhin habe sich ein Nutzer bei der österreichischen Aufsichtsbehörde für Datenschutz beschwert.
Warum überhaupt Cookie-Banner & Co?
Insbesondere seit Veröffentlichung des Positionspapieres der Datenschutzkonferenz vom 26.04.2018 (wir berichteten), haben sich Cookie-Banner rasant vermehrt und vergrößert und versperren teilweise die Sicht auf ein Großteil der Website. Das liegt daran, dass die DSK in diesem Positionspapier die Ansicht vertritt, dass jeder Einsatz von Tracking-Technologien (wie beispielsweise Google Analytics, Matomo usw.) der vorherigen Einwilligung des Nutzers bedarf. Die DSK führt dazu aus:
„Es bedarf jedenfalls einer vorherigen Einwilligung beim Einsatz von Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen und bei der Erstellung von Nutzerprofilen. Das bedeutet, dass eine informierte Einwilligung i. S. d. DSGVO, in Form einer Erklärung oder sonstigen eindeutig bestätigenden Handlung vor der Datenverarbeitung eingeholt werden muss, d. h. z. B. bevor Cookies platziert werden bzw. auf dem Endgerät des Nutzers gespeicherte Informationen gesammelt werden.“
In wildem Aktionismus haben viele Seitenbetreiber daraufhin an ihrem Cookie-Banner geschraubt und gedreht und in den meisten Fällen doch nicht das erreicht, was von der Datenschutzkonferenz eigentlich gefordert wird. Nämlich die vorherige Einwilligung des Nutzers einzuholen. Diese müsste eingeholt werden bevor überhaupt Tracking-Technologien zum Einsatz kommen. Webtracking-Technologien dürfen auf der Seite erst dann aktiv geschaltet werden, wenn der Besucher der Website in die Datenverarbeitung einwilligt, also beispielsweise eine Checkbox neben dem entsprechenden Einwilligungstext bestätigt oder auf OK klickt. Und hier liegt oftmals der Hund begraben. Denn meistens ist es doch so, dass Cookies gesetzt werden, schon bevor man im Banner auf „akzeptieren“ klickt. Theoretisch kann man also die Website nutzen und damit getrackt werden, ohne jemals eine Einwilligung abgegeben zu haben.
Dieses Problem hat derStandard.at dadurch gelöst, dass das Nutzen des Angebots ohne Einwilligung (oder Zahlung) erst gar nicht möglich ist. Es wird nicht nur ein kleiner (bis großer) Teil der Website verdeckt, sondern diese ist schlicht nicht zu sehen.
Was das Kopplungsverbot bedeutet
Ausführungen zum Kopplungsverbot können ganze Bücher füllen. Kurz gesagt, muss die Einwilligung freiwillig sein. Das setzt voraus, dass beispielsweise die Erbringung einer Dienstleistung nicht von einer Einwilligung abhängig gemacht werden darf, derer es eigentlich, zur Ausführung der konkreten Dienstleistung, gar nicht bedarf.
Die Freiwilligkeit einer Einwilligung ist anhand des Art. 7 Abs. 4 DSGVO zu beurteilen:
„Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.“
Näheres dazu findet man in Erwägungsgrund 43 S. 2 DSGVO:
„Die Einwilligung gilt nicht als freiwillig erteilt, wenn zu verschiedenen Verarbeitungsvorgängen von personenbezogenen Daten nicht gesondert eine Einwilligung erteilt werden kann, obwohl dies im Einzelfall angebracht ist, oder wenn die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung abhängig ist, obwohl diese Einwilligung für die Erfüllung nicht erforderlich ist.“
Wo Art. 7 Abs. 4 DSGVO noch Schlupflöcher lässt („in größtmöglichem Umfang Rechnung tragen“), schließt der Erwägungsgrund 43 S. 2 diese Lücken erbarmungslos („gilt nicht als freiwillig erteilt“). Eine Einwilligung für das Nutzen von Cookies zu Werbezwecken ist nicht erforderlich, damit der Websitebetreiber dem Nutzer die Website zur Verfügung stellen kann. Damit wäre die Einwilligung in diesem Fall jedenfalls nach dem Erwägungsgrund nicht freiwillig erteilt und ist somit unwirksam. Oder?
Mögliche Auswege
Die Einholung einer wirksamen Einwilligung für den Einsatz von Trackingtools zu Werbezwecken ist selbstverständlich trotzdem möglich. Hier bieten sich insbesondere drei Varianten an. Ausführlichere Informationen haben wir auf dem Blog schon im Zusammenhang mit Gewinnspielen gegeben.
1. Entkoppeln
Nutzer müssen die Einwilligung nicht abgeben, um den Dienst nutzen zu können. Das stellt sicherlich die danteschutzfreundlichste Variante dar, führt aber oftmals nicht zum gewünschten Ergebnis der Webseitenbetreiber. Denn natürlich wird nur ein Bruchteil der Nutzer die Einwilligung abgeben.
2. Datenverarbeitung als integraler Bestandteil
Gegebenenfalls ist es möglich, die Verarbeitung personenbezogener Daten zu Werbezwecken in die vertraglich vereinbarte Leistung zu integrieren. Der Nutzer „bezahlt“ sozusagen mit seinen Daten. Das ist sicherlich eine eher riskante Variante denn man läuft hier leicht Gefahr, das Kopplungsverbot in unzulässiger Weise zu umgehen. In einigen Fällen kann dieser Weg aber zu einem vertretbaren Ergebnis führen. Auch hier ist umstritten, welche Datenverarbeitung im Zuge der Vertragserfüllung erforderlich ist. Der EDSA vertritt die Auffassung, dass es dabei nicht auf den verhandelten Vertrag, sondern auf eine objektive Erforderlichkeit ankommt.
3. Anbieten einer Alternative
Diesen Weg geht derStandard.at. Dieser räumt dem Nutzer die Möglichkeit ein, die Website zu besuchen, ohne, dass seine Daten für Werbezwecke verarbeitet werden. Er kann für die werbefreie und trackingfreie Nutzung des Angebots zahlen. Ob die Einwilligung hier tatsächlich freiwillig erfolgt, ist jedenfalls umstritten. Die österreichische Aufsichtsbehörde sagt ja. Mit einem Euro für den ersten Monat und 6 Euro für jeden weiteren, sei das Abo nicht unverhältnismäßig teuer und damit eine echte Alternative. Sei für den Nutzer keine der beiden Möglichkeiten eine Option, könne er auch auf andere Informationsangebote zurückgreifen.
Die andere Alternative?
Auch, wenn dieser Ansatz dem der Datenschutzkonferenz nicht entspricht, sollte man die Datenverarbeitung zu Werbezwecken auf Grundlage des berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO) nicht aus den Augen verlieren. Das letzte Wort ist hier sicherlich noch nicht gesprochen.
Mit dieser Argumentation wäre der Berufszweig der Türsteher ab sofort überflüssig. Genauso wie die Club-Besitzer habe ich als Webseitenbetreiber das Recht, mir meine „Besucher“ auszusuchen (Vertragsfreiheit) – solange es sich nicht um einen lebensnotwendigen Dienst handelt und es jede Menge anderer gleicher Dienste gibt. Und das ist in diesem Beispiel ja so: Zeitungen gibt es wie Sand am Meer.
Es muss endlich mal Schluss sein, dass alle glauben, im Internet müsste alles umsonst sein. Nein! Auch die Mitarbeiter dieser Firmen wollen ihre Arbeitsplätze behalten.
Die Problematik ist ja hier auch, dass ein Cookie gesetzt wird, wobwohl man die Seite nicht besuchen kann. Die Seite kann ja gerne jeden aussperren und dann (nach Zahlung) ein Cookie setzen und den Inhalt anzeigen. Aber nicht andersrum.
Tip 2 und 3 sind vielleicht eher Wünsche aber mit dem Wortlaut des Gesetzes nicht vereinbar. Das sagt eindeutig, die Zustimmung ist nicht an die Leistung zu binden. Die Leistung ist Webseite gegen Daten. Das ist Kopplung. Unabhängig, ob es noch eine Bezahlvariante gibt, die man als freiwillige Spende einordnen kann. Jedenfalls ist die Erbringung der Webseite nich von den Daten abhängig. Die Zustimmung ist unfreiwillig und damit hinfällig.