Entwicklung der Cookie-Banner seit Inkrafttreten der DSGVO
Eine Pflicht zum Einsatz von Cookie-Bannern gibt es schon seit vielen Jahren, auch wenn die mitunter eher als störend empfundenen Einblendungen erst seit Anwendbarkeit der DSGVO im Frühjahr 2018 allgegenwärtig geworden sind. Anfangs fungierten sie mehr als eine Art Hinweisschild in Gestalt eines knappen Einzeilers mit einem „Einverstanden“-Button. Spätestens seit dem vielbeachteten „Planet49“-Urteil des EuGH (vom 01.10.2019 – Rs. C-673/17) fand aber ein Wandel statt und immer ausgefeiltere Banner mit Interaktions- und Wahl-Möglichkeiten begrüßten die Website-Besucher. Mittlerweile gibt es zahlreiche Dienstleister, die sich allein auf das Angebot und den Support von Cookie-Bannern spezialisiert haben. Interessant ist dabei, dass sich über all die Jahre aber nichts Wesentliches an dem zugrundeliegenden Recht geändert hat.
Status Quo der Anforderungen an Cookie-Banner
Ein kurzer, aber guter Leitfaden für die Erstellung von rechtswirksamen Cookie-Bannern findet sich etwas versteckt in einer Orientierungshilfe der Datenschutzkonferenz (DSK) für „Anbieter von Telemedien“ vom März 2019 (Seite 10): Danach muss ein Cookie-Banner über alle einwilligungsbedürftigen Vorgänge aufklären und über die Möglichkeit des Widerrufs, die dann auch technisch umgesetzt sein muss, informieren. Die abgefragte Einwilligung darf nicht vorweggenommen werden, etwa durch vorausgefüllte Checkboxen. Primäres Merkmal der Funktionsweise eines Cookie-Banners muss sein, dass sämtliche einwilligungsbedürftigen Datenverarbeitungsvorgänge erst nach positiver Bestätigung des Cookie-Banners aktiv werden. Schließlich muss das Banner bis zu einer Interaktion eingeblendet sein, darf aber keine wesentlichen Funktionen der Website, insb. nicht die Links zu Impressum und Datenschutzerklärung verdecken.
Wesentliche Eckpunkte der aktualisierten Richtlinie
Die nun aktualisierte Richtlinie des EDSA betrifft die Auslegung der Einwilligung i.S.d. DSGVO. Es geht also konkret um die wirksame Einwilligung des Nutzers in die Platzierung von Cookies. Im Detail adressiert der EDSA drei aktuell sehr beliebte Methoden, von Website-Besuchern die Einwilligung zu erhalten: Klar nicht akzeptabel sind die sog. „Cookie-Walls“. Ähnlich wie eine Paywall verhindert hier ein Popup, dass der Nutzer die Seite überhaupt betreten bzw. mit ihr interagieren kann. Der Zugang ist erst dann möglich, wenn der Nutzer die Cookies akzeptiert. Das ist nach Auffassung des EDSA unzulässig, da eine auf diese Weise erteilte „Einwilligung“ nicht freiwillig ist. Dem Nutzer werde hier überhaupt keine wirkliche Wahlmöglichkeit gegeben. Ebenfalls für unzulässig befand der EDSA konkludente Einwilligungen. So konstruieren einige Website-Betreiber eine Einwilligung der Nutzer dadurch, dass sie mit der Website interagieren, indem sie bspw. klicken oder scrollen. Solche Handlungen seien weder „eindeutig bestätigend“ noch „unmissverständlich“ – beides Kriterien, die Erwägungsgrund 32 für eine wirksame Einwilligung voraussetzt. Davon abgesehen bestünde praktisch auch keine Möglichkeit, die erteilte Einwilligung zu widerrufen. Denn das muss gemäß Art. 7 Abs. 3 Satz 3 DSGVO „so einfach wie die Erteilung der Einwilligung sein“. Zwar wird es nicht ausdrücklich angesprochen, aus den Aktualisierungen lässt sich allerdings auch die Position des EDSA zum sog. „Nudging“ bzw. zu „Dark Patterns“ herauslesen. „Nudging“ ist ein Begriff aus der Verhaltensökonomie und meint die Steuerung und Beeinflussung menschlichen Verhaltens. Im Internet geschieht das häufig durch „Dark Patterns“. Das sind Designs, die darauf angelegt sind, den Nutzer zu bestimmten Handlungen zu verleiten, die von seiner eigentlichen Absicht abweichen. Im Zusammenhang mit Cookie-Bannern ist es das Ziel von Dark Patterns, den Nutzer zu einer Einwilligung in die Datenverarbeitung zu bewegen. So setzen Website-Betreiber Dark Patterns etwa dergestalt ein, dass eine Ablehnung von Cookies so unattraktiv wie möglich wird. Häufige Beispiele aus der Praxis bieten dem Nutzer über zwei Buttons entweder die Möglichkeit Cookies zu akzeptieren oder die Cookie-Einstellungen manuell zu bearbeiten. Doch selbst wenn eine Ablehnung dann einen einzigen Mehrklick bedeuten würde, tendiert der Durchschnittsnutzer eher dazu, den Cookie-Banner durch das Akzeptieren schnell wegzuklicken. Die Wahlmöglichkeit ist hier nur Schein, denn die beiden Optionen sind ungleich. Je mühsamer eine Ablehnung im Vergleich zur Einwilligung wird, desto weniger kann von einer Freiwilligkeit der Einwilligung ausgegangen werden. Eine im Januar 2020 veröffentlichte Untersuchung britischer Websites („Dark Patterns after the GDPR: Scraping Consent Pop-ups and Demonstrating their Influence“) kam zu dem Ergebnis, dass bereits ein einziger Zwischenschritt, also bspw. die Ersetzung des „alle Cookies ablehnen“-Buttons durch individuelle Einstellungen, die Zustimmungsrate um mehr als 20 % erhöht. Über 93 % der Interaktionen waren auf die erste Seite eines Cookie-Banners beschränkt – nur in seltenen Fällen werden „weitere Informationen“ oder „Einstellungen“ angeklickt.
Rückenwind vom Bundesgerichtshof
Nur wenige Wochen nach Aktualisierung der EDSA-Richtlinien hat der BGH im Planet49-Verfahren, dass er zuvor dem EuGH vorgelegt hatte, entschieden (Urt. vom 28.05.2020 – I ZR 7/16). Wie der EuGH fordert auch der BGH eine aktive Einwilligung des Nutzers in eine Datenerhebung. Eine bereits angekreuzte Checkbox, wie auf der beklagten Website als Cookie-Hinweis eingesetzt, stelle keine wirksame Einwilligung im Sinne der DSGVO dar. Darüber hinaus folgte der BGH dem EuGH auch dahingehend, dass es unzulässig sei, die Nutzer vor die Wahl zu stellen, entweder pauschal in eine Weitergabe der eigenen Daten an eine Liste von Werbepartnern einzuwilligen oder aber die Datenweitergabe durch Abwahl jedes einzelnen Werbepartners zu verweigern. Denn die Gestaltung der Einwilligung sei hier darauf ausgelegt gewesen, zur Vermeidung eigenen Aufwands dem Website-Betreiber die Wahl zu überlassen.
Bedeutung der Aktualisierung für die Praxis
Unmittelbare Änderungen an der derzeitigen Cookie-Praxis sind durch die Klarstellungen des EDSA nicht zu erwarten. Das liegt schon daran, dass der EDSA lediglich Anleitungen und Empfehlungen veröffentlicht. Zwar ist sein Auftrag die Vereinheitlichung der Anwendung datenschutzrechtlicher Vorschriften in der EU, Kompetenzen zur Durchsetzungen seiner Beschlüsse hat er jedoch nicht. Allerdings orientieren sich die nationalen Datenschutzbehörden am EDSA und arbeiten eng mit ihm zusammen. Die angesprochenen Klarstellungen betreffen allesamt Fragestellungen, die von den nationalen Datenschutzbehörden teilweise unterschiedlich beantwortet wurden. Es ist zu erwarten, dass die Positionierung des EDSA zusammen mit den Planet49-Urteilen von EuGH und BGH als Grundlage für ein härteres Durchgreifen genutzt wird. Bereits im Februar 2020 ging die dänische Datenschutzbehörde aufgrund von manipulativem Design von Cookie-Bannern gegen eine große Website vor und erklärte damit Cookie-Banner für rechtswidrig, die eine Ablehnung nur über Umwege zulassen. Auch in Deutschland muss mit einem Ende der bisherigen Zurückhaltung gerechnet werden: Der Bundesdatenschutzbeauftragte Ulrich Kelber griff die EDSA-Aktualisierungen sofort in einer zustimmenden Pressemitteilung auf. Stefan Brink, der Baden-Württembergische Datenschutzbeauftragte äußerte bereits im September 2019 seine Unzufriedenheit mit der Mehrheit der Cookie-Banner, sah darin damals jedoch noch keinen Schwerpunkt der Aufsichtsbehörden. Der Hamburger Datenschutzbeauftragte Prof. Dr. Johannes Caspar bemängelte im Februar 2020 die Kooperationsbereitschaft der besonders stark auf Werbetracker setzende Verlagsbranche und kündigte erste rechtliche Schritte an. Die Positionierung des EDSA zusammen mit den Cookie-Urteilen von EuGH und BGH geben den Aufsichtsbehörden jedenfalls nun genug Rückenwind und eine stabile Grundlage um eine Konfrontation mit Website-Betreibern zu riskieren.
Fazit
Aus Nutzersicht und vor dem Hintergrund einer zunehmenden Vereinheitlichung europäischer Rechtsauslegung sind die aktuellen Entwicklungen zu begrüßen. Tatsächliche Veränderungen wird es aber wohl frühestens mit Inkrafttreten der ePrivacy-Verordnung, die u.a. Cookies und Tracking im Internet regulieren soll, geben. Dieses Gesetzesvorhaben ließe sich allerdings noch am Ehesten mit dem Berliner Flughafen vergleichen – wäre dessen Eröffnung nicht mittlerweile sogar realistisch. Seit Jahren wird die ePrivacy-Verordnung immer wieder aufgeschoben; zu unterschiedlich sind die Interessen der Mitgliedstaaten, zu groß der Druck der diversen Interessenvertreter. Realistischer ist daher ein fortschreitendes Wettrüsten bei Browser-Addons zum Blocken von Werbung, Trackern und Cookies.
