Vor zwei Jahren hat der EDSA die Taskforce Cookie-Banner ins Leben gerufen. Die im Januar veröffentlichten Arbeitsergebnisse decken sich in weiten Teilen mit bereits bekannten Empfehlungen und haben nur wenig Beachtung gefunden. Weshalb sich der Blick auf den europäischen Konsens aber lohnt und wie die Ergebnisse der Taskforce auch abseits vom Cookie-Tracking für die Gestaltung einer Consent Management Platform (CMP) genutzt werden können, wird in diesem Beitrag besprochen.
Der Inhalt im Überblick
- Europäische Abstimmung wird erforderlich wegen Beschwerdewelle
- Speicherung oder Zugriff – Was genau sind überhaupt Cookies?
- Vergleichbare Techniken
- Einwilligungsabfrage auch bei Cookieless Tracking notwendig
- Europäische Standards der Aufsichtsbehörden in Sachen Cookie-Banner
- Folgendes muss bei der Einholung der Einwilligung beachtet werden:
- Dokumentation der technisch notwendigen Cookies
- Gleichklang zu der Orientierungshilfe der DSK
Europäische Abstimmung wird erforderlich wegen Beschwerdewelle
Der europäische Datenschutzausschuss (EDSA) hatte bereits Ende September 2021 in einem Plenum die Gründung der Arbeitsgruppe beschlossen (Pressemitteilung EDSA). Hiermit wollte der EDSA seinen Aufgaben Art. 70 Abs.1 lit. u DSGVO gerecht werden. Dieser verlangt die Förderung der Zusammenarbeit und eines wirksamen bilateralen und multilateralen Austauschs von Informationen und bewährten Verfahren zwischen Aufsichtsbehörden.
Die europäische Zusammenarbeit der Aufsichtsbehörden bei der Überprüfung von Cookie-Bannern wurde nötig angesichts der Beschwerewelle von NOYB. Nach eigener Aussage wurden durch NOYB allein im Mai 2021 über 500 Beschwerden an Unternehmen übermittelt (NOYB, News vom 31.05.2023). Die Taskforce Cookie-Banner wurde eigens gegründet, um die vielen Beschwerden in den Griff zu bekommen (Report Cookie Banner Taskforce, S.3). Die Taskforce besteht aus europäischen Aufsichtsbehörden und hat sich insgesamt 13-mal getroffen, um die hier diskutierten Empfehlungen auszuarbeiten.
Speicherung oder Zugriff – Was genau sind überhaupt Cookies?
Im Zusammenhang mit Cookie-Bannern ist inzwischen bekannt, dass Art. 5 Abs. 3 der ePrivacy RL bzw. §25 Abs. 1 TTDSG im nationalen Recht die Einwilligung für das Setzen von Cookies verlangt. Diese Vorschrift gilt allerdings nicht nur für Cookies. Im Gesetz ist an dieser Stelle eine Gleichrangigkeit von der Speicherung von Informationen in der Endeinrichtung des Endnutzenden und dem Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, geregelt.
Der HmbBfDI spricht in diesem Zusammenhang auch von „Cookies und anderen vergleichbaren Techniken“ oder von „Cookies und Ähnlichem“ (Information des HmbBfDI vom 21.04.2023 über einen datenschutzkonformen Internetauftritt). Cookies sind dabei immer solche Dateien, die erst noch auf dem Computer gespeichert werden müssen.
Der EuGH definiert 2019 Cookies als:
„Textdateien, die der Anbieter einer Website auf dem Computer des Nutzers der Website speichert und bei ihrem erneuten Aufruf durch den Nutzer wieder abrufen kann, um die Navigation im Internet oder Transaktionen zu erleichtern oder Informationen über das Nutzerverhalten zu erlangen.“ (EUGH Urt. v. 01.10.2019, C-673/17, Rn.31).
Bei Cookies kommt es also auf die Verwendung von Textdateien an, die in das Endgerät der Nutzereindringen und dort gespeichert werden. Vergleichbar zu Cookies ist auch sog. „Spyware“, „Web-Bugs“ oder „Hidden Identifiers“, die allesamt ausdrücklich unter den Regelungsbereich der ePrivacy RL fallen (Erwägungsgrund 24).
Vergleichbare Techniken
Die „vergleichbaren Techniken“ müssen nicht eigens gespeichert werden, sie greifen nur auf solche Informationen zu, die bereits in der Endeinrichtung gespeichert sind, man spricht dann auch von einem Fernzugriff. Sie können die gleichen Funktionen wie Cookies erfüllen (ISO, Guidance on the use of cookies and similar technoligies). Eine Liste der technischen Vorgänge, die unter den Anwendungsbereich von Art. 5 Abs. 3 der ePrivacy-RL fallen hat der EDSA vor Kurzem veröffentlicht (Guidelines 2/2023 on Technical Scope of Art.5(3) of ePrivacy Directive).
Einwilligungsabfrage auch bei Cookieless Tracking notwendig
Obwohl bereits seit längerer Zeit Alternativen zu Cookie-Tracking diskutiert werden, ist die Thematik rund um die rechtskonforme Verwaltung von Nutzerpräferenzen auch bei vergleichbaren Tracking Techniken zu beachten. Bisher wird darüber diskutiert, die Einwilligungsabfrage nicht auf jeder Website einzeln vorzunehmen, sondern dass die Nutzerpräferenzen nur einmal im Browser eingestellt werden müssen (siehe hierzu unseren Fachbeitrag zu Alternativen zu Cookie-Bannern). Aber auch hier muss letztendlich eine Einwilligung eingeholt werden. Insofern kommen auch hier die gemeinsam durch die Taskforce herausgearbeiteten Standards zur Gestaltung der Einwilligungsabfrage zum Tragen.
Europäische Standards der Aufsichtsbehörden in Sachen Cookie-Banner
In den nachfolgend aufgeführten Punkten herrscht nun Klarheit, welches Mindestniveau mit großer Mehrheit von den europäischen Aufsichtsbehörden vertreten wird. Man wird davon ausgehen dürfen, dass die europäischen Aufsichtsbehörden sich bei ihrer Tätigkeit an dem Abschlussbericht orientieren werden. In Bezug auf die e-Privacy Richtlinie gilt der OSS-Mechanismus nicht (One-Stop-Shop-Mechanismus, aus der DSGVO, der besagt, dass bei grenzüberschreitender Tätigkeit innerhalb der EU in erster Linie die Zusammenarbeit mit der Behörde, in dessen Land das Unternehmen seinen Hauptsitz hat maßgeblich ist). Daher lohnt es sich, ein besonderes Augenmerk auf diese Empfehlungen zu legen.
Folgendes muss bei der Einholung der Einwilligung beachtet werden:
- Ablehnungsmöglichkeit auf erster Ebene: Nutzer müssen auf derselben Ebene, auf der Sie ihre Einwilligung erteilen gleichzeitig die Möglichkeit haben, keine Einwilligung zu erteilen (Rn. 6-8) Bemerkenswert ist hierbei aber, dass es nicht alle Aufsichtsbehörden für erforderlich halten, auf der ersten Ebene einen „Alles Ablehnen“ Button zu implementieren, einige wenige lassen es ausreichen, dass eine positiv bestätigende Handlung die Einwilligung setzt.
- Vorausgewählte Kästchen auf zweiter Ebene sind unzulässig (Rn. 9-10)
- Keine Beeinflussung der Nutzer: Es soll immer deutlich sein, worum es sich bei einem Banner handelt und weshalb die Einwilligung abgefragt wird. Dabei muss der Nutzer verstehen können, in was eingewilligt wird. Auch Links zu einer Abwahlmöglichkeit, die nicht hervorgehoben werden, sind unzulässig (Rn. 11-14)
- Die Einwilligung darf nicht für erforderlich gehalten werden: Bei der Gestaltung der Farbe und der Position der „Alles Akzeptieren“- Schaltfläche darf bei dem Nutzer nicht der Eindruck entstehen, dass die Einwilligung erteilt werden muss, um die Website zu nutzen bzw. dass dem Tracking nicht widersprochen werden kann (Rn. 13, Rn. 20-25). Außerdem darf nicht der Eindruck entstehen, dass Cookies für personalisierte Werbung aufgrund einer Interessenabwägung nach Art. 6 Abs.1 lit. f) DSGVO gesetzt werden können (Rn. 25)
- Widerruf der Einwilligung muss ständig möglich sein: Die Behörden weisen darauf hin, dass (z.B. durch ein kleines, ständig sichtbares Symbol) der Widerruf der erteilten Tracking-Einwilligung jederzeit möglich und einfach erreichbar sein muss (Rn.32)
Aber nicht in allen Bereichen besteht Einigkeit, sodass es weiterhin auf eine Prüfung des Einzelfalles ankommt. Beispielsweise bei der Frage, ob ein „Alles Ablehnen“-Button auf erster Ebene notwendig ist, konnte die Arbeitsgruppe zu keinem Ergebnis kommen. Auch ein allgemeiner Standard in Bezug auf Farbe und farblichen Kontrast konnte nicht gefunden werden (Rn. 17).
Dokumentation der technisch notwendigen Cookies
Der Bericht nimmt auch Bezug auf technisch erforderliche Cookies. Interessant ist in diesem Zusammenhang die Einschätzung der Aufsichtsbehörden, der zufolge eine bleibende Liste der technisch notwendigen Cookies nicht möglich ist. Begründet wird dies damit, dass sich die Merkmale der Cookies regelmäßig ändern (Rn. 27). Hierbei wird auch auf die Stellungnahme der Artikel 29- Gruppe 04/2012 zur Ausnahme von Cookies von der Einwilligungspflicht Bezug genommen. Im Übrigen wurde diskutiert, ob die Verantwortlichen verpflichtet werden können, eine Liste zu führen, in der begründet wird, warum ein Cookie als technisch erforderlich eingestuft wurde. Hier kommen die Behörden zu dem Ergebnis, dass eine entsprechende Dokumentation verlangt werden kann (Rn. 29).
Gleichklang zu der Orientierungshilfe der DSK
In der deutschen Fachliteratur hat der Abschlussbericht der Cookie-Banner Taskforce wenig Aufmerksamkeit bekommen. Auch die angekündigte Übersetzung ins Deutsche (Meldung des HmbBfDI über den Abschlussbericht) lässt auf sich warten. Inhaltlich fällt auf, dass sich die herausgearbeiteten Punkte in weiten Teilen mit den bereits seit 2021 herausgegebenen Empfehlungen der DSK decken (DSK, Orientierungshilfe Telemedien, Rn. 28-61). Die Empfehlungen der DSK sehen stellenweise sogar ein höheres Niveau an Datenschutz vor (DSK, Orientierungshilfe Telemedien, Rn. 47). Das mag daran liegen, dass das innerdeutsche Datenschutzniveau schon weit fortgeschritten ist. In jedem Fall lohnt sich für Verantwortliche mit Auslandsbezug aber der Blick auf einen europäischen Konsens, mag er auch noch so vage formuliert sein. Dabei wäre es illusorisch, davon auszugehen, dass sich mit einer einzigen Einwilligungsabfrage die Rechtslage in mehreren EU-Mitgliedsstaaten abbilden lässt. Es wird weiterhin auf den Einzelfall ankommen.