Auf den Websites facebook.com, google.fr und youtube.com hätten die Anbieter eine Einwilligung in die Nutzung von Cookies eingeholt, dabei jedoch die Anforderungen des Art. 6 Abs. 1 lit. A), Art. 4 Nr. 11 und Art 7 DS-GVO (Datenschutzgrundverordnung mit unmittelbarer Wirkung in allen EU-Staaten) nicht hinreichend beachtet.
Zum Sachverhalt
Sowohl Google als auch Facebook haben auf den benannten Websites die Nutzer mit Cookie Bannern um die Einwilligung in die Nutzung von Cookies gebeten. Dabei war es den Kunden möglich mit einem Klick auf den „Alle akzeptieren“ – Button dem Setzen von allen, einschließlich technisch nicht notwendigen, Cookies zuzustimmen.
Wollten die Nutzer diese Einwilligung nicht erteilen, so war es hierzu erforderlich zunächst den „Cookie-Einstellungen“ – Button anzuklicken (Schritt 1). Auf der Folgeseite wurde den Nutzern die Möglichkeit gegeben aktiv Cookies auszuwählen, für welche die Einwilligung erteilt werden sollte (voreingestellt dabei waren die technisch notwendigen Cookies). Am Ende der Folgeseite war der Button „Cookies akzeptieren“. Dieser musste angeklickt werden, um den Besuch der Website fortzusetzen.
Dieses Vorgehen widerspricht nach Auffassung der Aufsichtsbehörde den Anforderungen der DS-GVO, Art. 2 lit. f) Richtlinie 2002/58/EG sowie Art. 2 lit. h) Richtlinie 95/46/EG.
Zur Begründung
Ein wichtiges Kriterium einer Einwilligung im Sinne der genannten Regelungen ist die Freiwilligkeit. Dabei bezieht sich die CNIL insbesondere auf Erwägungsgrund 42 DS-GVO, wonach nur dann von einer echten oder freien Wahl ausgegangen werden kann, wenn der Nutzer in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden. Daraus folgt nach Auffassung der CNIL, dass die Zustimmung und die Verweigerung einer Einwilligung Cookies den gleichen Grad an Aufwand aufweisen müssen (Rn. 122 ff.). Nur wenn das gewährleistet sei, wäre eine tatsächlich freiwillige Entscheidung, ohne Beeinflussung durch die Einfachheit eines „Alle akzeptieren“-Buttons gegeben. Ebendies läge in den Fällen von Facebook und Google jedoch nicht vor, die Einwilligung sei daher unwirksam.
Den Unternehmen wurde eine Frist von drei Monaten zur Anpassung der Cookie Banner gegeben. Nach Ablauf dieser wird mit jedem verstreichenden Tag, an welchem die Einwilligungserfordernisse nicht erfüllt werden, weitere 100.000 Euro Zwangsgeld fällig.
Fazit
Die von der CNIL gerügten Einwilligungsmängel sind in der Praxis nicht unbekannt. Insbesondere das Erfordernis der Freiwilligkeit wurde bereits in der EuGH Entscheidung, Planet49 hervorgehoben. Auch der Europäische Datenschutzausschuss (EDPB) hat in seinen Leitlinien die Freiwilligkeit betont. Diese ist zumindest gefährdet, wenn der Nutzer für die Verweigerung der Einwilligung zur Platzierung von Cookies einem längeren Verfahren ausgesetzt ist als dem zur Erteilung der Einwilligung. In Deutschland hat die Datenschutzkonferrenz „eine Orientierungshilfe für Anbieter:innen von Telemedien“ veröffentlicht. Dieser Orientierungshilfe ist unter anderem zu entnehmen, dass den Nutzern die Verweigerung der Einwilligung so leicht möglich sein muss, wie deren Erteilung. Diese Auffassung deckt sich mit der Auffassung der CNIL.
Auch der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat Ende März Google davon in Kenntnis gesetzt, dass die Einwilligungsbanner auf den Seiten der Google-Suchmaschine und auf YouTube derzeit nicht den datenschutzrechtlichen Anforderungen entsprechen (Link zur Quelle).
Und auch die Verbraucherzentrale NRW geht gegen den von Google eingesetzten Cookie Banner vor und hat, wie aus einer Pressemitteilung vom 06.04.2021 hervorgeht, Klage gegen das Unternehmen eingereicht.
An dieser Entwicklung ist deutlich erkennbar, dass den Cookie Bannern besondere Beachtung geschenkt werden muss, um nicht in „bekannte“ Fallen zu tappen.
Empfehlungen:
- Es wird empfohlen, die Cookie Banner auf allen Webseiten des Unternehmens dahingehend zu überprüfen, ob die Erteilung und die Verweigerung der Einwilligung zur Auslieferung technisch nicht notwendiger Inhalte aus Sicht des Nutzers gleichermaßen leicht erfolgen kann, indem die Wahlmöglichkeiten im selben Consent Layer zur Verfügung gestellt werden.
- Fraglich bleibt nach der Entscheidung der CNIL, welcher Spielraum gegenwärtig noch für ein “Hinführen” des Nutzers zur Einwilligung (sog “Nudging”) zur Verfügung steht.
- Die Aussage der LfD Niedersachsen, dass einem erlaubten Nudging Grenzen gesetzt seien (s. S.7, Handreichung: Datenschutzkonforme Einwilligungen auf Webseiten – Anforderungen an Consent-Layer, November 2020), deutet an, dass jedenfalls nach Auffassung der niedersächsischen Aufsichtsbehörde nicht zwingend jede Einflussnahme auf die Entscheidung des Nutzers rechtswidrig ist.
- Diese Einflussnahme erfolgt regelmäßig in Form einer farblichen Unterscheidung der Buttons zur Erteilung bzw. zur Ablehnung der Einwilligung.
- Die ausdrückliche Erwähnung der Beeinflussung des Nutzers durch die “farbliche Hervorhebung” des Buttons zur Erteilung der Einwilligung/deren Ablehnung in den Ergebnissen zur länderübergreifenden Prüfung von Einwilligungen auf Webseiten von Medienunternehmen (s. bspw. https://www.lda.brandenburg.de/lda/de/service/presseinformationen/details-presse/~30-06-2021-einwilligungen-auf-webseiten-von-medienunternehmen-sind-meist-unwirksam) spricht dafür, dass auch diese Form der Einflussnahme nicht frei von Risiko ist.
- Ein solches Risiko legt auch die Feststellung des LG Rostock (Urt. V. 11.08.2020, Az. 3 O 762/19 Rz. 54) nahe, dass eine “Vielzahl der Verbraucher” ihre Möglichkeit zur Verweigerung der Einwilligung im vorliegenden Fall nicht als gleichwertige Möglichkeit wahrnehmen würden, da der Button zur Ablehnung der Einwilligung nicht als anklickbare Schaltfläche zu erkennen sei und zudem aufgrund seiner Farbgestaltung hinter den Button zur Erteilung der Einwilligung zurücktrete.
- Sollen Risiken aus einer unterschiedlichen Gestaltung der Buttons zur Erteilung/Verweigerung der Einwilligung vermieden werden, sollten diese gleichermaßen prominent im Cookie Banner platziert und wahrnehmbar sein. Eine derartige Gestaltung wird jedoch voraussichtlich mit dem Verlust von Tracking-Daten “erkauft” werden müssen.
- Ist das jeweilige Unternehmen bereit, das Risiko einer abweichenden Gestaltung der Buttons zu akzeptieren, sollten sich die Unterschiede möglichst auf die Farbwahl beschränken. Unterschiede in Größe und Platzierung sollten vermieden werden.
- Der Button zur Verweigerung der Einwilligung sollte keinesfalls den Eindruck erwecken, nicht wählbar zu sein.
- Zahlreiche Beispiele der unwirksamen Gestaltung finden sich in der benannten Orientierungshilfe des LfD Niedersachsen. Eine Gestaltung, die diesen Beispielen entspricht, sollte in jedem Fall vermieden werden.
- Im Hinblick auf das Maß an Aufmerksamkeit, das die Behörden der Thematik der Cookies/Cookie Banner widmen, wird eine regelmäßige Überprüfung des Banners empfohlen. Jede Änderung des Banners sollte zudem im Vorfeld mit dem Datenschutzbeauftragten abgestimmt werden.