Wie Betreiber Websites datenschutzkonform gestalten, ist nach wie vor ein Dauerbrenner. Von den Aufsichtsbehörden kommen kleine Hilfestellungen für die aus ihrer Sicht korrekte Gestaltung der Cookie-Banner und Consent Management Plattformen. Einiges ist dabei nicht neu, zwei Kritikpunkte dürften aber eine Vielzahl von Websites betreffen. Zudem gilt ab dem 1. Dezember ein neues Gesetz für Cookies & Co. Eine kritische Überprüfung der eigenen Websitegestaltung lohnt sich daher.
Vor gut einem Jahr starteten mehrere Datenschutzaufsichtsbehörden in Deutschland eine koordinierte Schwerpunktprüfung von Websites in Bezug auf den Einsatz von Cookies und die Einbindung von Drittanbieterdiensten. 49 Webangebote wurden dabei in 11 Bundesländern unter die Lupe genommen. Ende Juni veröffentlichten einige Aufsichtsbehörden nun eine erste Übersicht über besonders häufige Mängel, die für eine datenschutzkonforme Gestaltung jedenfalls zu vermeiden sind (etwa LDI NRW, HamBfDI, Sachsen).
Die daraus folgenden Vorgaben sind überwiegend nicht überraschend. In zwei Punkten aber adressieren sie Gestaltungsweisen, die weit verbreitet sind: Die farbliche Hervorhebung von „Alle akzeptieren“ und der Verzicht auf einen genauso einfach klickbaren Schalter „Alle ablehnen“ auf der ersten Ebene.
Umso wichtiger ist es, die eigenen Websites auf die Einhaltung dieser Eckpunkte zu überprüfen und sich bewusst für eine Beibehaltung oder Änderung zu entscheiden:
Reihenfolge
Einwilligungsbedürftige Datenverarbeitungsvorgänge dürfen erst starten, nachdem der Websitebesucher auf „OK“ geklickt hat, nicht bereits mit dem Aufrufen der Website selbst. Nach wie vor hatten dies viele Websites ausweislich der Pressemitteilungen der Aufsichtsbehörden nicht technisch korrekt umgesetzt.
Die technisch korrekte Umsetzung ist indes gerade in diesem Punkt zentral: Wenn Daten nur mit Nutzereinwilligung erhoben und verarbeitet werden dürfen, muss der Websitebetreiber die Abgabe dieser Einwilligung auch abwarten, bevor die entsprechenden Vorgänge gestartet werden.
Informationen
Websitebesucher sind transparent über die Verarbeitungsvorgänge zu informieren. Oft geschieht dies auf erster Ebene inzwischen durch übersichtliche Zusammenfassungen, die die wesentlichen Abläufe abbilden und für den Nutzer schnell zugänglich sind. Diese Aufteilung der Informationstiefe kritisieren die Aufsichtsbehörden nicht per se, weisen aber darauf hin, dass oftmals „nur unzureichende oder falsche Informationen über das Nutzertracking“ gegeben würden.
Es bietet sich an, in regelmäßigen Abständen die Zusammenfassung auf der ersten Ebene des Cookie-Banners daraufhin zu überprüfen, ob die dortigen Ausführungen noch korrekt sind.
Technisch korrekte Erfassung von Einwilligungen und Widerrufen
Nach den Befunden der Aufsichtsbehörden wird der Nutzerklick auf „Alle ablehnen“ oft technisch nicht korrekt umgesetzt, sondern es würden dennoch einwilligungsbedürftige Verarbeitungsvorgänge aktiviert. Hier sollte regelmäßig technisch geprüft werden, dass dies nicht geschieht.
Einwilligung ablehnen und Manipulationssorgen
Ein viel beachtetes Thema ist die Frage, ob bereits auf erster Ebene des Cookie-Layers ein „Alle ablehnen“ erscheinen muss oder ob „Alle akzeptieren“ und „Einstellungen“ ausreicht, wenn hinter „Einstellungen“ dann eine Ablehnung auf zweiter Ebene erfolgen kann. Dies ist einer der Punkte, der jüngst auch von NOYB aufgegriffen und zum Gegenstand etlicher Beschwerden gemacht wurde: „Alle ablehnen“ müsste genauso einfach mit einem Klick möglich sein, wie „Alle akzeptieren“.
Dem schließen sich die Aufsichtsbehörden an: „Während bei allen Einwilligungsbannern auf der ersten Ebene eine Schaltfläche vorhanden ist, mit der eine Zustimmung zu sämtlichen Cookies und Drittdiensten erteilt werden kann, fehlt auf dieser Ebene häufig eine ebenso einfache Möglichkeit, das einwilligungsbedürftige Nutzertracking in Gänze abzulehnen oder das Banner ohne Entscheidung schließen zu können.“
Und sie gehen noch einen Schritt weiter: Oft würde die Ausgestaltung der Einwilligungsbanner die Nutzer unterschwellig zur Abgabe einer Einwilligung drängen, etwa durch farbliche Hervorhebung der Schaltfläche „Alle akzeptieren“. Auch dies wird kritisch gesehen und als Manipulation der Nutzer eingeordnet.
Ob die Position der Aufsichtsbehörden in diesem Punkt durchgreift, bleibt streitbar. Deutlich zeichnet sich damit aber ab, dass bei entsprechender Ausgestaltung ein aufsichtsbehördliches Verfahren droht und abweichende Meinungen sich womöglich allenfalls im Gerichtsverfahren durchsetzen lassen. Wenn daher eine entsprechende Gestaltung weiterhin präferiert wird, sollte dies nur nach umfassender Risikoabwägung erfolgen.
Ein neues Gesetz: Cookies nur mit Einwilligung
Ab dem 1. Dezember gelten für Cookies und andere Tools, mit denen auf die Endgeräte der Nutzer zugegriffen wird, ein neues Gesetz: Das Telekommunikation-Telemedien-Datenschutzgesetz (kurz: TTDSG). Dieses regelt dann klar, was die Rechtsprechung in den letzten Monaten auch für Deutschland entwickelt hat:
Cookies und vergleichbare Technologien dürfen nur mit Einwilligung eingesetzt werden. Ausnahmen gelten nur dann, wenn die Cookies bzw. Technologie „unbedingt erforderlich“ ist, um den Dienst dem Nutzer bereitzustellen. Das kann etwa für Session-Cookies bejaht werden, die den Seitenaufbau und die Navigation erleichtern. Anerkannt ist das auch für Cookies, die einen LogIn ermöglichen oder die Warenkorbfunktion in Online-Shops. Schon für Analyse-Cookies ist das umstritten. Marketingcookies sind keinesfalls „unbedingt erforderlich“ und benötigen immer eine Einwilligung.
Weitere Details zum neuen Gesetz und seinen Pflichten für Websitebetreiber und App-Anbieter lesen Sie hier: