Alle Cookie-Banner unzureichend?

Seit einigen Monaten treibt Online-Händler eine wichtige Frage um: Wie muss der Cookie-Banner gestaltet sein, damit die Aufsichtsbehörden zufrieden sind? Nutzer lesen diese Texte ohnehin nicht. Dazu gab und gibt es verschiedene Überlegungen. Von der dänischen Aufsichtsbehörde kommt jetzt eine Meldung, die dürfte den meisten überhaupt nicht gefallen.

Wichtige Neuigkeiten von der Aufsichtsbehörde für den Datenschutz in Dänemark. Diese hatte sich aufgrund einer Beschwerde mit der Ausgestaltung der Website des Dänischen Metereologischen Institutes (DMI) beschäftigt. Im Detail ging es um das Cookie-Banner auf der Seite.

Nutzung verschiedener Google-Dienste

Das DMI setzte auf seiner Website diverse Dienste von Google ein. Darunter waren z.B. Google Double Click, AdSense, AdWords etc. Diese Dienste ermöglichen die Anzeige von Werbung aus dem Google Netzwerk auf der Website des DMI.

Das Problem dabei: Diese Dienste von Google sammeln in nicht unerheblichem Umfang personenbezogene Daten der Besuchenden. Für welche Zwecke diese Datenverarbeitungen im Details erfolgt, bleibt dabei relativ unklar, wenn man sich die Datenschutzhinweise von Google anschaut.

Verantwortlich i.S.d. Datenschutzrechtes

Zunächst prüfte die Behörde, wer für die so stattfindende Datenverarbeitung überhaupt verantwortlich sei.

Es kamen hier mehrere Möglichkeiten in Betracht:

  • eine alleinige Verantwortlichkeit von DMI
  • eine alleinige Verantwortlichkeit von Google oder
  • eine gemeinsame Verantwortlichkeit von beiden zusammen im Sinne des Art. 26 DSGVO.

Beachtung fand hier insbesondere der Umstand, dass Website-Betreiber eine Reihe von Einstellungen beim Einsatz der Google-Tools vornehmen können. Mit Hilfe dieser Einstellungen entscheidet der Google-Algorithmus dann, welche Anzeigen er auf der Website einbindet. Dadurch trägt der Website-Betreiber wesentlich zur Bestimmung des Zwecks und der Anzeigen bei. Lässt man die Einstellungen unbearbeitet, hat Google keine Möglichkeit, personalisierte Anzeigen zu schalten oder das Verhalten der Besuchenden zu tracken.

Vereinfacht lässt sich zusammenfassen:

Website-Betreiber öffnen Google die Tür zu den Daten der Nutzenden einer Website.

Zwar können sie dann die Zwecke und Verarbeitungsvorgänge bei Google nicht mehr beeinflussen, dies ist aber auch nicht notwendig.

Website-Betreiber verfolgen mit der Einbindung der Google-Dienste zur Anzeige der Werbung auch eigene Interessen, nämlich die Generierung von Werbeeinnahmen.

Nach all dem stellte die Behörde fest, dass Google und DMI gemeinsam über die Zwecke und Mittel der Datenverarbeitung entscheiden. Dies hat zur Konsequenz, dass beide als gemeinsame Verantwortliche im Sinne des Art. 26 DSGVO angesehen werden.

Rechtsgrundlage

Für jede Datenverarbeitung ist eine Rechtsgrundlage erforderlich. Art. 6 der DSGVO normiert hierfür sechs Alternativen.

Für die unterschiedlichen Stufen der Datenverarbeitung ist dabei jeweils nach einer eigenen Rechtsgrundlage zu suchen:

  • Zunächst findet die Erhebung der Daten beim Besuch der Website statt. Nur dafür ist das DMI (bzw. der Website-Betreiber) verantwortlich. Dafür benötigt das DMI also eine Rechtsgrundlage.
  • Anschließend findet eine Datenverarbeitung bei Google statt. Hierfür ist dann aber das DMI (bzw. der Website-Betreiber) nicht mehr verantwortlich, sodass die Rechtsgrundlage hierfür Google selbst schaffen muss.

Für die Datenschutzbehörde kamen vorliegend für die Datenerhebung nur drei der sechs möglichen Alternativen in Betracht:

  1. Erfüllung einer Aufgabe im öffentlichen Interessn
  2. Interessenabwägung, nach der die Interessen des Website-Betreibers denen des Betroffenen überwiegen
  3. Vorliegen einer wirksamen Einwilligung des Betroffenen.

Keine Interessenabwägung möglich

Das DMI gehört dem dänischen Ministeriums für Klima, Energie und Versorgung an. Damit ist es Teil der öffentlichen Verwaltung. Aufgrund dieses Umstandes scheidet eine Interessenabwägung als Rechtsgrundlage allerdings aus. Gemäß Art. 6 Abs. 2 DSGVO kommt diese nämlich nur für nicht-öffentliche Verantwortliche in Frage. Leider äußert sich die Behörde daher nicht dazu, ob bei anderen Website-Betreibern die Interessenabwägung in Frage kommt.

Aufgabe im öffentlichen Interesse?

Das DMI erfüllt Aufgaben im öffentlichen Interesse. Dazu gehört grundsätzlich auch der Betrieb der Website. Aber die Behörde stellte fest, dass die Übertragung von Daten an Google nicht zu Wahrnehmung öffentlicher Aufgaben gehört. Damit fand diese Datenerhebung auch nicht im öffentlichen Interesse statt. Die Aufgaben es DMI können auch ohne Datenübertragung an Google erfüllt werden.

Damit fiel auch diese mögliche Rechtsgrundlage weg.

Einwilligung der Betroffenen?

Somit blieb nur noch die Einwilligung als mögliche Rechtsgrundlage.

Zunächst gute Nachrichten:

Die Aufsichtbehörde hat bestätigt, dass die Einwilligung in das Setzen eines Cookies mit der Einwilligung in die zugehörige Datenverarbeitung verbunden werden kann.

Voraussetzungen für eine wirksame Einwilligung

Die DSGVO stellt mehrere Anforderungen an die Wirksamkeit einer Einwilligung.

Zunächst muss diese freiwillig erfolgen. Der Zweck an der Freiwilligkeit liegt darin, dem Betroffenen die notwendige Transparenz zu schaffen. Dadurch soll die Wahl und die Kontrolle über die persönlichen Daten zu erhalten bleiben.

Keine Freiwilligkeit liegt vor, wenn die betroffene Person keine echte und freie Wahl treffen kann.

Da ein Dienst mehrere Datenverarbeitungsvorgänge für auch mehr als einen Zweck umfassen kann, ist ein wichtiges Element zur Beurteilung der Freiwilligkeit auch das „Prinzip der Granularität“. Das bedeutet, dass bei Verarbeitungsvorgängen, die mehreren Zwecken dienen, für jeden Zweck eine gesonderte Zustimmung eingeholt werden muss. Aus datenschutzrechtlicher Sicht sei daher  die Aufteilung der Zwecke wesentlich. Nur so sei die ausreichende Information und Transparenz in Bezug auf die Verarbeitungsvorgänge sicherzustellen.

Cookie-Banner des DMI

Das DMI hatte auf seiner Website einen Cookie-Banner implementiert. Dieser bestand aus mehreren Ebenen.

  • Auf der ersten Ebene konnten Website Besucher zwischen zwei Alternativen wählen: „OK“ oder „Details anzeigen“. Außerdem fand sich dort ein kurzer Erklär-Text.

Konkret hieß es

„Wenn Sie hier auf OK klicken, stimmen Sie dem zu. Sie können Ihre Einwilligung jederzeit widerrufen. Lesen Sie mehr in unseren Datenschutzbestimmungen.“

Eine Erklärung zum Button mit der Beschriftung „Details anzeigen“ gab es nicht.

  • Auf der zweiten Ebene des Banners wurden Cookies und Kategorien angezeigt. Diese zweite Ebene erreichte man durch einen Klick auf „Details anzeigen“. Bei den Kategorien „Marketing“ und „Personalisierung“ konnten Häkchen gesetzt werden.

Die Call-to-Action auf dieser Ebene war mit „Einstellung speichern“ beschriftet. Ein Button mit der Beschriftung „Ablehnen“ oder einer ähnlich negativen Formulierung fand sich auch dort nicht.

Diese Ausgestaltung genügte der dänischen Aufsichtsbehörde aus zwei Gründen nicht.

Es fehlte an der notwendigen Transparenz. Das Banner machte auf der ersten Ebene nicht klar, wie man Cookies verhinderte. Dabei fehlte es sowohl an einer notwendigen Beschreibung. Der Aufsichtsbehörde war aber bereits die „one click away“-Lösung zu viel.

Vielmehr verlangte die Behörde, dass bereits auf der ersten Ebene eine Ablehnmöglichkeit gegeben sein müsste. Diese müsse außerdem eindeutig beschriftet sein. Ein Button mit der Aufschrift „Einstellungen speichern“ gewährleiste dies nicht. Könne man durch ein einfaches „OK“ zustimmen, müsse man auch entsprechend einfach nicht zustimmen können.

Fazit

Die Erstellung von Cookie-Bannern ist ein zeitintensives Gebiet. Es gibt zahlreiche Dienstleister, die vorgefertigte Lösungen bieten. Jede hat dabei ihre Vor- und Nachteile. Hier ist eine genau durchdachte Auswahl erforderlich. Maximale Editierbarkeit der Banner sollte dabei eine unbedingte Anforderung an ein solches Banner sein.

Viele Banner-Anbieter liefern auch schon (rudimentäre) Texte für einzelne Cookies. Nach unserer Erfahrung sind diese für den Einsatz in der Praxis jedoch weniger geeignet. Sie bieten aber teilweise Anhaltspunkte für die zu erstellenden Texte. Aus der Erfahrung bei der Erstellung und Umsetzung zahlreicher Cookie-Banner für Webseiten und Online-Shops wissen wir, dass die Texte teilweise sehr stark individualisiert werden müssen. Nicht jedes Unternehmen nutzt ein bestimmtes Tool zum gleichen Zweck wie ein anderes Unternehmen. Bei der Umsetzung der Anforderungen an eine wirksame Einwilligung über Cookie-Banner unterstützen wir Sie gerne.

Martin Rätze