Datenschutz-Blog der SDG

DSGVO-Beschwerden gegen Cookie-Banner

18. August 2021 von Wolfgang Sebastian Baer

Bereits im Mai 2021 hatte die vom Österreicher Max Schrems ins Leben gerufene Datenschutzorganisation Noyb mehr als 500 Beschwerden (siehe [1]) gegen rechtswidrige Cookie-Banner bei den Betreibern diverser namhafter Websites eingereicht. Im Fokus standen dabei Banner, die auf irreführende Weise darauf abzielten, dass Nutzerinnen und Nutzer dem Einsatz einer Vielzahl nicht-essentieller (also nicht zwingend für den Betrieb der Website erforderlicher) Cookies zustimmten. Neben einem erheblichen Mangel an Transparenz standen bei all diesen Fällen vor allem Verstöße gegen Art. 25 der DSGVO (siehe [2]) bzw. Erwägungsgrund 78 ("privacy by design and privacy by default") im Fokus.

"Zum Schutz der in Bezug auf die Verarbeitung personenbezogener Daten bestehenden Rechte und Freiheiten natürlicher Personen [...] sollte der Verantwortliche interne Strategien festlegen und Maßnahmen ergreifen, die insbesondere den Grundsätzen des Datenschutzes durch Technik (data protection by design) und durch datenschutzfreundliche Voreinstellungen (data protection by default) Genüge tun." [3]

Kurz: Nutzerinnen und Nutzer dürfen durch ein möglicherweise irreführendes Design, vorgesetzte Häkchen in Kontrollkästchen oder eine Verkettung von Einwilligungen nicht dazu gedrängt werden, bestimmten Verarbeitungen ihrer personenbezogenen Daten ohne hinreichende Informiertheit zuzustimmen.

Oftmals nur kosmetische Veränderungen

Binnen weniger Wochen reagierten vielen Unternehmen und verbesserten ihre Cookie-Banner:

"68% entfernten bereits angekreuzte Kästchen, 46% änderten irreführende Farben der Zustimm- und Ablehn-Buttons. 22% zogen ihre Behauptung zurück "berechtigtes Interesse" zu haben das Tracking ohne Zustimmung der Nutzer:innen erlauben soll [siehe Art. 6 lit f) DSGVO, Anm.]. Insgesamt wurden 1028 einzelne Verstöße auf mehr als 516 Websites beseitigt." [4]

Positiv anzumerken ist, dass einige große Konzerne wie Mastercard, REWE und DHL infolgedessen sämtliche datenschutzrechtlichen Probleme auf ihren Webseiten behoben haben. Bei den allermeisten Angeboten wurden allerdings nur die gravierendsten Mängel beseitigt, weshalb Noyb vor wenigen Tagen angekündigt hatte, 422 formale Beschwerden bei zehn Datenschutzbehörden einreichen zu wollen (siehe [4]). Zusätzlich muss leider auch erwähnt werden, dass über 30 große Unternehmen keinerlei Verbesserungen an ihren Cookie-Mechanismen vorgenommen hatten, darunter Twitter, Amazon, Facebook und Google.

Darüber hinaus wurden bereits Datenschutzbeschwerden gegen insgesamt sieben deutsche und österreichische Nachrichtenportale und den Einsatz sogenannter Cookie-Paywalls eingelegt.

Cookie-Paywalls: Was ist das?

Konkret geht es bei den Beschwerden darum, dass Leserinnen und Leser auf immer mehr Websites (bspw. auf zeit.de, spiegel.de, heise.de und faz.net) vor der Wahl stehen, entweder einer Weitergabe personenbezogener Daten an Tracking-Tools wie Google Analytics zuzustimmen oder alternativ ein kostenpflichtiges Abo des jeweiligen Nachrichtenmagazins abzuschließen. Das Problem hierbei ist:

"Nur etwa 3% aller Nutzer:innen wollen der Auswertung ihrer Daten zustimmen. Ausgehend von derStandard.at in Österreich haben immer mehr Medien eine “Pay or Okay”-Lösung umgesetzt. Nutzer:innen können nicht (wie in der DSGVO vorgesehen) “frei” entscheiden ob sie einwilligen, sondern müssen ein Abo abschließen, wenn sie keine Einwilligung geben wollen." [7], vgl. [5]

Cookie-Banner: Was muss ich beachten?

Schon mit Einführung der DSGVO im Jahr 2018 stand die Rechtmäßigkeit der allermeisten in Deutschland zur Anwendung kommenden Cookie-Banner in Frage und spätestens seit dem Urteil des BGH im sog. "Planet 49"-Verfahren ist klar: Nutzer müssen der Nutzung nicht-essentieller Cookies (bspw. Tracking-Cookies) durch eine aktive, informierte Einwilligung zustimmen und sie müssen die Möglichkeit haben, nicht-essentielle Cookies abzulehnen (Urt. v. 28.05.2020, Az. I ZR 7/16). Zusätzlich verbietet die Vorgabe von "privacy by design and privacy by default" laut Art. 25 DSGVO eine Vorauswahl nicht-essentieller Cookies in einem solchen Opt-In-Banner. Als gleichermaßen unlauter gelten Design-Ansätze, die Betroffene durch eine entsprechende Farbgestaltung zu einem bestimmten Verhalten verleiten wollen.

Fazit: Wer als Seitenbetreiber Dienste wie Google Analytics, Google Maps oder auch YouTube-Videos nutzen möchte, benötigt hierfür ganz klar eine informierte Einwilligung der jeweils Betroffenen. Den eigenen Kundenstamm dorthin zu "pushen" oder den Einsatz solcher Tools gar zu verschleiern ist nicht in Ordnung und verspielt möglicherweise (ganz nebenbei) eine Menge Vertrauen. Zusätzlich kann es teuer werden: In der Vergangenheit gab es hier bereits Bußgelder in Höhe von 30.000 € (siehe [6]), höhere Bußgelder von bis zu 4% des Jahresumsatzes bzw. 20 Millionen € sind laut DSGVO möglich.

<img alt="Abgesicht Mobil, in der Cloud usw." class="img-fluid" src="/user/pages/02.blog/03.dsgvo-beschwerden-gegen-cookie-banner/sdg-cyber01.svg" />

Für Sie als Anbieter einer Webseite bedeutet dies, dass Sie sich um die DSGVO-Konformität ihrer Cookie-Banner kümmern müssen.

Wir als SDG bieten Ihnen hierzu einen individuellen Check inkl. Maßnahmenplan, um alle Anforderungen der DSGVO an ihre Webseite umzusetzen und Ihr Haftungsrisiko zu minimieren.

Süddeutsche Datenschutzgesellschaft (SDG)


Quellen:

[1] "noyb aims to end “cookie banner terror” and issues more than 500 GDPR complaints" - Pressemitteilung von noyb (31.05.2021)
[2] "Art. 25 DSGVO - Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen
[3] "Erwägungsgrund 78 der DSGVO - Geeignete technische und organisatorische Maßnahmen
[4] "noyb reicht 422 formelle DSGVO-Beschwerden gegen Cookie-Banner-Wahnsinn ein" - Pressemitteilung von noyb (11.08.2021)
[5] "Cookie-Paywalls: Datenschutzbeschwerden von Noyb gegen Spiegel, Zeit und andere" - Artikel auf t3n.de (15.08.2021)
[6] "30.000 € Bußgeld für rechtswidriges Cookie-Banner" - Artikel von Alexia Papaioannou auf LHR-Rechtsanwälte (17.01.2020)
[7] "News-Seiten: Leser:innen sollen eigene Daten zum Wucherpreis „zurückkaufen“" - Pressemitteilung von noyb (13.08.2021)