Nicht erst seit EuGH und BGH in Sachen Planet49 entschieden haben, dass der deutsche Sonderweg hinsichtlich der Zulässigkeit der Opt-Out-Variante unzulässig ist[1], sorgen Cookie-Banner (oder deren Fehlen) für Diskussionen. Die Nachsicht, die Aufsichtsbehörden hinsichtlich der Durchsetzung der deutlich formulierten Anforderungen an eine aktive Einwilligung bislang an den Tag legten, erlaubte vielen Anbietern, weiterhin mit eigentlich ungenügenden Cookie-Bannern bzw. Einwilligungsformularen zu arbeiten. Damit soll nun Schluss sein: Die Aufsichtsbehörden setzen zu einem koordinierten Rundumschlag in Sachen Cookies an.
Medienhäuser werden zuerst geprüft
Die Landes-Datenschutzbeauftragten wollen zunächst den journalistischen Angeboten in ihrem Zuständigkeitsbereich dahingehend auf den Zahn fühlen. Begründet wird dies einerseits damit, dass derartige Angebote durch ihre Bedeutung für die freie Meinungsbildung „ein besonderes, gleichzeitig auch fragiles Vertrauen“ der Bevölkerung genießen, welches sich auch in einem höheren Maß an Verantwortungsbewusstsein bzgl. des Umgangs mit den Daten der Nutzerinnen und Nutzer widerspiegelt[2], zum anderen wohl auch mit rein praktischen Erwägungen – irgendwo muss man ja anfangen.
Aktuell stellen zahlreiche Anbieter auf TCF 2.0 um, ein Framework, das die Vereinbarkeit der Konsens-Formulare mit der DSGVO sicherstellen sollte – die Banner jedoch unbeabsichtigt noch komplizierter gestaltet hat: Ganze zehn verschiedenen Kategorien von Verwendungszwecken gibt es, für Internet-User in der alltäglichen Praxis wird die Einwilligung nur in bestimmte Zwecke oder das manuelle Abwählen sämtlicher Zwecke ein lästig umfangreiches Unterfangen.[3] „Schnell etwas googeln“ kann damit darin ausarten, mehr Zeit mit der Lektüre und Modifikation der Einstellungsmöglichkeiten zu ver(sch)wenden, als mit dem Lesen des gesuchten Contents. Unabhängig davon wird teilweise für manuelle Einstellungen auf eine andere Seite umgeleitet, sodass die ursprünglich angeklickte Seite erneut aufgerufen werden muss (und manchmal erneut einen Cookie-Banner anzeigt) – ein Kreis, der den Zweck des Systems ad absurdum führt.
Aktuell werden zwar – im Vergleich zur Situation vor dem Planet49-Urteil des EuGH – immerhin vermehrt tatsächliche Wahlmöglichkeiten angeboten (im Gegensatz zu den Bannern, die Nutzer lediglich darüber informieren, dass sie durch die weitere Verwendung der Website oder des Dienstes dem Einsatz von Cookies zustimmen). Dennoch wird die Einwilligung gerade in Werbe-Cookies teilweise erzwungen oder deren Nutzung durch die Hintertür auch bei verweigerter Einwilligung unter dem Deckmantel des „berechtigten Interesses“ wieder eingeschleust.[4] Andere wiederum verbergen den „OK“-Button, falls nur die essenziellen Cookies ausgewählt sind („Dark Patterns“) oder blenden den Banner nur für kurze Zeit ein.[5] Dass derartige Praktiken mitnichten dem durch die Datenschutzregelungen und auch durch gerichtliche Entscheidungen zugunsten eines starken Datenschutzniveaus bezweckt wurden, liegt auf der Hand. Eine wirklich informierte Zustimmung halten Datenschützer – wohl aus genau diesen Gründen – ohnehin für zweifelhaft.[6]
Optimierung der Werbeeinnahmen als „berechtigtes Interesse“?
Als berechtigtes Interesse i.S.d. Art. 6 Abs. 1 lit. f) DSGVO ist etwa die Wahrung der Integrität und Sicherheit des Online-Angebots anzusehen, oder die Betrugsprävention und Abwehr von Cyberattacken.[7] Kann aber die Optimierung der Werbeeinnahmen ebenfalls ein berechtigtes Interesse i.S.d. darstellen – ggf. als Teilbereich der Optimierung des Webangebots? Ob ein berechtigtes Interesse vorliegt, ist grundsätzlich anhand rechtlicher, wirtschaftlicher und immaterieller Interessen im Rahmen einer normativen Bewertung zu beurteilen, wobei jedoch in einem weiteren Schritt in jedem Fall sowohl die Erforderlichkeit der Datenverarbeitung als auch eine Abwägung mit den Interessen des oder der Betroffenen im Einzelfall vorzunehmen ist.[8]
Ob im Rahmen der Abwägung die Interessen der Nutzerinnen und Nutzer – insbesondere, falls diese minderjährig oder die konkreten Daten besonders sensibel sind[9] – wirklich hinter dem Interesse des Anbieters, seine Werbeeinnahmen sowie sein Verhältnis zu Werbepartnern zu verbessern, zurückzustehen hat, ist nicht ohne weiteres anzunehmen. Auch, wenn die Optimierung des Webangebots laut DSK auch die „Personalisierung [oder] Individualisierung des Angebots abgestimmt auf die jeweiligen Nutzer“ beinhaltet und weiterhin die „Wiedererkennung und Merkmalszuordnung der Nutzer“ als Beispiel genannt wird[10], so würde doch ein grundlegendes „Recht auf Cookies“ für werbefinanzierte Angebote die der DSGVO zugrundeliegenden Motive konterkarieren. Soweit zumindest auch auf andere Art als durch Werbung Einnahmen erzielt werden (was bei den meisten Angeboten der Fall sein dürfte), kann das wirtschaftliche Interesse an möglichst personalisierter Werbung nicht pauschal gegenüber dem (unions-)grundrechtlich verbürgten Recht auf Schutz personenbezogener Daten zurückstehen müssen.
Fazit
Die geplante, inzwischen aber praktisch verworfene ePrivacy-VO hätte diese Fragen eigentlich rechtsverbindlich klären sollen. So bleibt nun lediglich die Möglichkeit, die bestehenden Regelungen im Lichte der DSGVO und mit Rücksicht auf eine möglichst datenschutzfreundliche Gestaltung auszulegen. Das Umgehen des Einwilligungserfordernisses gerade auch im Zusammenhang mit (möglicherweise) minderjährigen Nutzerinnen und Nutzern wird sich dabei schwer rechtfertigen lassen.
In jedem Fall zeigt die Initiative der Datenschutzbehörden, dass DSGVO-konforme Cookie-Banner zunehmend keinen Luxus, sondern eine absolute Notwendigkeit darstellen. Unternehmen – klein oder groß – tun gut daran, die diesbezügliche Handhabung zu prüfen, zu überdenken und gegebenenfalls anzupassen. Auch, wenn Werbe-Cookies einen wichtigen Aspekt auf Unternehmensseite darstellen: Die Belange des Datenschutzes gewinnen zu Recht mehr und mehr an Relevanz und die Behörden an Bereitschaft, diese im Zweifelsfall mittels empfindlicher Bußgelder durchzusetzen.
[1] Vgl. eingehend zu diesem Urteil Büttel, Planet49-Urteil des EuGH: Das Aus für Tracking-Cookies?, BayWiDI Blog, 20.10.2019 (letzter Abruf am 20.08.2020); EuGH, Urt. v. 01.10.2019 – C-673/17; BGH, Urt. v. 28.05.2020 – I ZR /16.
[2] Kleinz, Datenschützer wollen Cookie-Banner prüfen, Heise Online, 20.08.2020 (letzter Abruf am 20.08.2020).
[3] Kleinz, Datenschützer wollen Cookie-Banner prüfen, Heise Online, 20.08.2020 (letzter Abruf am 20.08.2020).
[4] Kleinz, Datenschützer wollen Cookie-Banner prüfen, Heise Online, 20.08.2020 (letzter Abruf am 20.08.2020).
[5] Kleinz, Datenschützer wollen Cookie-Banner prüfen, Heise Online, 20.08.2020 (letzter Abruf am 20.08.2020).
[6] Kleinz, Datenschützer wollen Cookie-Banner prüfen, Heise Online, 20.08.2020 (letzter Abruf am 20.08.2020).
[7] Vgl. Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK), Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien, März 2019, S. 12.
[8] Albers/Veit, in: BeckOK Datenschutzrecht, 32. Ed., DS-GVO Art. 6, Rn. 49.
[9] Vgl. hierzu Heckmann/Scheurer, jurisPK-Internetrecht, 6. Aufl. 2019, Kap. 9, Rn. 343 ff.
[10] Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK), Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien, März 2019, S. 12.
