Diese ist nach höchstrichterlichen Entscheidungen und gem. § 25 TTDSG erforderlich, wenn “Informationen in der Endeinrichtung des Endnutzers” gespeichert werden oder auf “Informationen, die bereits in der Endeinrichtung gespeichert sind” zugegriffen wird, ohne dass dies – vereinfacht formuliert – technisch unbedingt notwendig ist. Ohne weiteres, ist hiervon das Setzen aller nicht technisch notwendiger Cookies erforderlich (i.d.R. Analyse-Cookies). Doch entsprechen bei weitem nicht alle anzutreffenden Cookie Banner den gesetzlichen Anforderungen.
Aktuelle Entscheidungen im Zusammenhang mit Cookies
Am 06.01.2022 hat die nationale Datenschutzbehörde Frankreichs (Comission Nat Informatique et Liberté CNIL) Geldbußen in Höhe von 60 Millionen Euro gegen Facebook und insgesamt 150 Millionen gegen Google wegen unzureichender Einwilligungen in die Verarbeitung personenbezogener Daten verhängt. Auf den Websites facebook.com, google.fr und youtube.com haben die Anbieter eine Einwilligung in die Nutzung von Cookies eingeholt, dabei jedoch die Anforderungen des Art. 6 Abs. 1 lit. a), Art. 4 Nr. 11 und Art 7 DS-GVO nicht hinreichend beachtet.
Beide Akteure haben den Besuchern ihrer Webseiten zwar die Möglichkeit eröffnet, die Einwilligung in die Nutzung technisch nicht notwendiger Cookies zu verweigern, dies jedoch nur unter Inkaufnahme eines deutlich längeren Weges als jenem zur Erteilung der Einwilligung (2 Klicks und Scrollen zur Verweigerung der Einwilligung gegenüber einem Klick zur Erteilung der Einwilligung) (audatis Artikel: „Millionenhohe Strafen für Google und Facebook“).
Auch der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat Ende März 2022 Google davon in Kenntnis gesetzt, dass die Einwilligungsbanner auf den Seiten der Google-Suchmaschine und auf YouTube derzeit nicht den datenschutzrechtlichen Anforderungen entsprechen (Link zur Quelle).
Die belgische Datenschutzaufsichtsbehörde (Autorité de protection des données (APD)) hat in einer „One Stop Shop“ Entscheidung (Wirkung innerhalb der gesamten EU) erklärt, dass das Transparency & Consent Framework (TCF) nicht mit der DS-GVO vereinbar sei und der IAB Europe ein Bußgeld in Höhe von 250.000 € auferlegt. (Entscheidung der APD) Einwilligungen, die über Consent –Tools eingeholt werden, die auf dem TCF basieren, werden aufgrund der fehlenden Einwilligung in die Erzeugung und Übermittlung eines TC-Strings, regelmäßig verspätet eingeholt. Sie sind damit jedenfalls insoweit unwirksam. Das TCF ist bei Consent Management Tools weit verbreitet. Entsprechend viele Cookie Banner dürften daher betroffen sein (audatis Artikel: „Belgische Datenschutzaufsicht“).
Damit ist das Jahr 2022 ebenso gestartet wie das Jahr 2021 geendet hat. Mit einer aufsichtsbehördlichen Fokussierung auf Cookies, Cookie Banner und die hiermit verbundenen Web-Technologien.
Wie aus einer Pressemitteilung vom 30.06.2021, des Landesbeauftragten für Datenschutz und Akteneinsicht Brandenburg hervorgeht, haben länderübergreifende Prüfungen ergeben, dass Einwilligungen auf Webseiten von Medienunternehmen meist unwirksam seien.
Überprüft wurden 49 stark besuchte Webangebote in 11 Bundesländern. Auch etwaige Nachbesserungen führten nicht zu mehr Rechtskonformität.
Bemängelt wurde:
- die technische Umsetzung, d.h. die Aktivierung von einwilligungsbedürftigen Diensten vor Erteilen der Einwilligung,
- Fehlende Informationen auf der ersten Ebene der Einwilligungsbanner,
- ein unzureichender Einwilligungsumfang, einwilligungsbedürftige Dienste werden trotz Ablehnung aktiviert,
- Kein gleichermaßen einfacher Weg für eine Ablehnung der Einwilligung im Vergleich zu deren Erteilung ,
- Manipulation der Nutzer durch übermäßiges Nudging.
Im August 2021 teilte die Berliner Aufsichtsbehörde in einer Pressemitteilung mit, sie habe rund 50 Unternehmen angeschrieben. Sie sollten das Tracking auf ihren Websites in Einklang mit den geltenden Datenschutzregeln bringen, da andernfalls förmliche Prüfverfahren eingeleitet würden. Die festgestellten Mängel sind deckungsgleich mit den zuvor beschriebenen.
Im September 2021 wurden durch deutsche Verbraucherzentralen fast 100 Abmahnungen ebenfalls aufgrund nicht rechtskonformer Datenverarbeitung durch die Verwendung mangelhafter Einwilligungen verschickt (Link zur Quelle). Die Mehrheit der Empfänger der Abmahnungen hat infolgedessen eine strafbewehrte Unterlassungserklärung unterschrieben und die Cookie Banner angepasst.
Mit der grundsätzlichen Frage, ob Verbraucherverbände zur Verfolgung datenschutzrechtlicher Verstöße berechtigt sind, oder ob lediglich die Datenschutzaufsichtsbehörden hierzu legitimiert seien, hat sich auch der EuGH beschäftigt. Der Generalanwalt des EuGH kam in seinen Schlussanträgen (Rn. 69) zu der Einschätzung, dass auch Verbraucherverbände aktiv werden können. Mit Urteil vom 28.04.22 schloss sich der EuGH dieser Auffassung an.
Verbraucherverbände können auch ohne eine konkrete Verletzung des Rechts einer betroffenen Person und ohne entsprechenden Einzel-Auftrag betroffener Personen Klage erheben.
Spätestens jetzt ist mit einer deutlichen Zunahme der Abmahnungen durch Verbraucherzentralen zu rechnen, was eine nicht zu vernachlässigende Risikoerhöhung für Unternehmen darstellt.
In der Zwischenzeit hat die Verbraucherzentrale NRW Klage gegen Google aufgrund des von Google eingesetzten Cookie Banners (s.o.), eingereicht, Pressemitteilung vom 06.04.2021.
Welche Schlüsse aus den beschriebenen Entscheidungen und der aktuellen Entwicklung für die Praxis und insbesondere die Ausgestaltung der eingesetzten Cookie Banner gezogen werden können, wird in den Teilen 1 bis 6, unserer Reihe „Die Einwilligung – Cookie Consent Banner“ näher beleuchtet.