Datenschutz-News 12/2021
In unseren Datenschutz-News 12/2021 informieren wir Sie zu der Veröffentlichung der Aufsichtsbehörden zu Cookies und der Frage nach der Erforderlichkeit des „Cookies ablehnen“-Buttons sowie zu den aktuellen Datenschutz-Bußgeldern der letzten Woche und den sich daraus für Sie ergebenden Datenschutzaspekten.
Veröffentlichung der Aufsichtsbehörden zu Cookies: „Cookies ablehnen“-Button jetzt erforderlich?
Die Datenschutzkonferenz (DSK) – der Zusammenschluss der deutschen Aufsichtsbehörden für den Datenschutz – hat am 20.12.2021 ihre neue „Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien ab dem 1. Dezember 2021“ veröffentlicht.
Viele Webseiten-Betreiber nutzen nämlich ein Cookie-Banner, das einen „Button“ vorsieht, mit dem die Verwendung von Cookies akzeptiert werden kann… und einen anderen Button, mit dem die Einstellungen für Cookies „konfiguriert“ oder „eingestellt“ werden können. Und genau das hält die DSK für rechtswidrig, weil so „regelmäßig“ keine wirksame Einwilligung vorliegen würde.
In den meisten Fällen hat diese Orientierungshilfe bei Internetseiten in zwei Aspekten Relevanz:
1. „Ablehnen“-Button
Die Aufsichtsbehörden vertreten die Ansicht, dass ein Cookie-Banner, wenn es ein „alles erlauben“ oder „Akzeptieren“-Button für alle Cookies enthält, auf der gleichen Ebene auch einen „alles verweigern“ oder „Ablehnen“-Button vorsehen muss. Wörtlich heißt es in der Stellungnahme:
Eine wirksame Einwilligung liegt zudem regelmäßig nicht vor, wenn Nutzenden nur zwei Handlungsmöglichkeiten zur Auswahl gestellt werden, die nicht gleich schnell zu dem Ziel führen, den Telemediendienst nutzen zu können. Hierbei wird ihnen einerseits eine Schaltfläche zum „Alles Akzeptieren“ angezeigt, andererseits eine Schaltfläche mit Bezeichnungen wie „Einstellungen“, „Weitere Informationen“ oder „Details“. Mittels der ersten Schaltfläche können die Endnutzer:innen unmittelbar und ohne weiteren Aufwand eine zustimmende Willenserklärung abgeben und das Angebot sofort nutzen. Mit der anderen Schaltfläche können die Nutzenden weder ablehnen noch eine sonstige Willenserklärung abgeben, sondern lediglich weitere Handlungsschritte einleiten. Es bedarf dann weiterer Entscheidungen oder Einstellungen, bis das gewünschte Angebot genutzt werden kann. Diese beiden Handlungsoptionen haben somit nicht denselben Kommunikationseffekt. Wenn Nutzende in dieser Konstellation die einzig vorhandene Schaltfläche wählen, mit der unmittelbar eine – den Entscheidungsprozess beendende – Willenserklärung abgeben werden kann, so kann dieser Handlung auch der Wille innewohnen, sich mit der Angelegenheit einfach nicht mehr beschäftigen zu müssen. Dies gilt umso mehr, wenn aufgrund der konkreten Beschriftung der Schaltflächen nicht einmal eindeutig zu erkennen ist, wie viel Mehraufwand erforderlich ist, um eine Ablehnung mitzuteilen.
2. Button oder Link zu „Datenschutz-Einstellungen“
Die DSK hält es offenbar für erforderlich, einen dauerhaften Link oder ein Icon anzuzeigen, mit dem z.B. der Widerruf bzgl. Cookies leicht durchgeführt werden kann. Wörtlich heißt es dort:
Wird die Einwilligung unmittelbar bei der Nutzung einer Webseite erteilt, muss auch deren Widerruf auf diesem Weg möglich sein. Nicht den Vorgaben entsprechen ausschließliche Widerrufsmöglichkeiten über andere Kommunikationswege wie E- Mail, Fax oder sogar per Brief. Es ist auch unzulässig, Nutzende auf ein Kontaktformular hinzuweisen, da in diesem Fall zwar derselbe Kommunikationsweg (d. h. über die Webseite) verwendet wird, aber die Anforderungen deutlich höher sind als bei der Erteilung der Einwilligung (und mittels Kontaktformular Daten erhoben würden, die für den Widerruf nicht erforderlich sind). Wurde eine Einwilligung mittels Banner o. Ä. abgefragt, ist es daher auch unzulässig, wenn zunächst eine Datenschutzerklärung aufgerufen und dann in dieser zu der richtigen Stelle gescrollt werden muss, um zu einer Widerrufsmöglichkeit zu gelangen. Ein solcher Suchvorgang als Zwischenschritt wäre eine Erschwerung, die mit den gesetzlichen Vorgaben nicht vereinbar ist. Dieser Umweg ist auch nicht auf eine technische Unmöglichkeit zurückzuführen, da eine Vielzahl an Webseiten einen stets sichtbaren Direktlink oder ein Icon anzeigen, das unmittelbar zu den relevanten Einstellungsmöglichkeiten führt. Es genügt den gesetzlichen Anforderungen erst recht nicht, wenn an verschiedenen Stellen der Datenschutzerklärung auf Opt-out Möglichkeiten auf unterschiedlichen externen Webseiten hingewiesen wird.
Fazit
In rechtlicher Hinsicht lässt die DSGVO nach Erachten des Rechtsanwalts Herr Hansen-Oest diese stringente Bewertung nicht zu. ABER: Da es sich hier um eine Orientierungshilfe der DSK handelt, werden alle deutschen Aufsichtsbehörden und damit auch die für Sie zuständige Aufsichtsbehörde diese Maßstäbe ansetzen. Sollte sich also jemand über die Verwendung des Cookie-Banners auf Ihrer Webseite beschweren, ist die Wahrscheinlichkeit hoch, dass die jeweilige Aufsichtsbehörde hier eine Prüfung einleitet und die Umsetzung für rechtswidrig hält.
Dies kann eine Untersagung der Verarbeitung oder aber ein Bußgeld zur Folge haben. Für das rechtswidrige Setzen der Cookies sind Bußgelder bis zu 300.000 € möglich.
Für weitere Verstöße wegen vermeintlich fehlerhafter Belehrung oder Widerspruchsmöglichkeiten oder einer Verarbeitung von Daten ohne eine wirksame Einwilligung sind sogar Bußgelder i.H.v. bis zu 4% des Jahresumsatzes der gesamten Unternehmensgruppe möglich.
Wegen dieses Risikos ist dringend zu raten, sich auf Basis des Managements noch einmal Gedanken zu machen, ob die Umsetzung der Cookie-Consent-Regelung nicht doch besser in einer Weise erfolgt, die die Aufsichtsbehörden für erforderlich halten. Zumindest so lange, bis hier gerichtliche Entscheidungen vorliegen.
Übersicht brisanter, aktueller Bußgelder in der EU
- Empfänger:Google LLC
- Bußgeld: 90.000.000 EUR
- Datum (Veröffentl.): 06.01.2022
- Behörde: „Frankreich“ (CNIL)
- Verletztes Recht: Art. 82 La loi Informatique et Libertés
- Vergehen: Keine Möglichkeit, Cookies auf www.google.fr und www.youtube.com ebenso einfach abzulehnen wie sie anzunehmen.
- Empfänger: Google Ireland Limited
- Bußgeld: 60.000.000 EUR
- Datum (Veröffentl.): 06.01.2022
- Behörde: „Frankreich“ (CNIL)
- Verletztes Recht: Art. 82 La loi Informatique et Libertés
- Vergehen: Keine Möglichkeit, Cookies auf www.google.fr und www.youtube.com ebenso einfach abzulehnen wie sie anzunehmen.
- Empfänger:Facebook Ireland Limited
- Bußgeld: 60.000.000 EUR
- Datum (Veröffentl.): 06.01.2022
- Behörde: „Frankreich“ (CNIL)
- Verletztes Recht: Art. 82 La loi Informatique et Libertés
- Vergehen: Keine Möglichkeit, Cookies auf www.facebook.com ebenso einfach abzulehnen wie sie anzunehmen.
- Empfänger:Free Mobile
- Bußgeld: 300.000 EUR
- Datum (Veröffentl.): 04.01.2022
- Behörde: „Frankreich“ (CNIL)
- Verletztes Recht: Art. 12 / 15 / 21 / 25 / 32 DSGVO
- Vergehen: Nichtnachkommen ggü. Anfragen von Betroffenen, falsche Rechnungen, E-Mail-Versand von Passwörtern in Klartext.
- Empfänger: Myheritage, Ltd.
- Bußgeld: 16.000 EUR
- Datum (Veröffentl.): 04.01.2022
- Behörde: „Spanien“ (AEPD)
- Verletztes Recht: Art. 22 Abs. 2 LSSI
- Vergehen: Einsatz nicht erforderlicher Cookies unmittelbar beim Seitenaufruf, keine Informationen zu eingesetzten Cookies.
- Empfänger:Websitebetreiber „Plazas Profesores“
- Bußgeld: 1.000 EUR
- Datum (Veröffentl.): 04.01.2022
- Behörde: „Spanien“ (AEPD)
- Verletztes Recht: Art. 22 Abs. 2 LSSI
- Vergehen: Mängel in Datenschutzerklärung, Cookie-Richtlinie und Cookie-Einsatz, fehlende Einwilligung u. Abschaltfunktion.
- Empfänger:Asociación Jerez Capital
- Bußgeld: 1.000 EUR
- Datum (Veröffentl.): 04.01.2022
- Behörde: „Spanien“ (AEPD)
- Verletztes Recht: Art. 22 Abs. 2 LSSI
- Vergehen: Einsatz technisch nicht erforderlicher Cookies unmittelbar beim Aufruf der Website www.empleojerez.es.
Die vollständige News inkl. Quelleangaben sowie weiteren Inforamtionnen zu den vorgenannten Bussgeldern können Sie als PDF hier herunterladen.