Neue Leitlinien des EDSA zur Cookie-Einwilligung auf Webseiten

Der Europäische Datenschutzausschuss (EDSA) hat am 5. Mai 2020 Leitlinien zum Umgang mit Einwilligungen unter der DS-GVO veröffentlicht. Ganz überwiegend orientiert sich der EDSA dabei an einem früheren Workingpaper der Art-29-Datenschutzgruppe. Dr. Oliver Hornung und Dr. Elisabeth von Finckenstein informieren. 

Im Vorwort der Leitlinie wird festgehalten, dass mit dieser Aktualisierung insbesondere zu 2 Themen rechtliche Klarstellungen vorgenommen werden sollen:

• Die Gültigkeit der Einwilligung, die von der betroffenen Person bei der Interaktion mit sog. „Cookie-Walls“ gegeben wird;
• Die vermeintliche Einwilligung durch Scrollen auf einer Website.

Die Änderungen zum früheren Workingpaper der Art-29-Datenschutzgruppe betreffen im Wesentlichen die Änderungen der Leitlinie unter den Randnummern 38 bis 41 zum Oberbegriff der „Freiwilligkeit“ und Randnummer 86 zum Themenkomplex „eindeutige Angabe von Wünschen“.

Freiwilligkeit der Einwilligung

   
Ein besonderes Augenmerk legt der EDSA auf die Frage, wann eine Einwilligung als „freiwillig“ angesehen werden kann. Dabei verfolgt der EDSA ein sehr restriktives Verständnis. Jeder unangemessene Einfluss auf betroffene Personen bei der Abgabe der Einwilligung sei unzulässig. Beispielsweise dürfe eine App die Nutzung nicht von einer Einwilligung in die Erhebung und Nutzung von personenbezogenen Daten abhängig machen, die nicht für die App erforderlich sind.

Cookie-Walls
   
Auch zu sog. Cookie-Walls nimmt der EDSA Stellung. Als „Cookie-Wall“ wird ein Verfahren bezeichnet, das von Nutzenden eines Online-Angebots einfordert Cookies zu akzeptieren, um das Angebot nutzen zu können. Bei der Verwendung von Cookies werden personenbezogene Daten, wie etwa die IP-Adresse, verarbeitet. Zwar bedarf nicht jedes Setzen von Cookies einer Einwilligung (bspw. technisch notwendige Cookies), ist aber Tracking/Retargeting Zweck der zugrundeliegenden Verarbeitung, muss diese nach schon früher geäußerter Ansicht von Datenschutzbehörden vorher eingeholt werden. Diese Auffassung vertritt das BayLDA etwa auch hinsichtlich des Einsatzes von Google Analytics.

Der EDSA stellt fest, dass der Zugang zu einem Web-Service nicht von der Erlaubnis in das Setzen von Cookies abhängig gemacht werden darf. Hier fehle es an der Freiwilligkeit einer solchen Einwilligung, was auch bereits in Erwägungsgrund 43 der DS-GVO festgehalten wird.

Keine konkludenten Einwilligungen durch Scrollen

   
Die vermeintliche Einwilligung durch das bloße Nutzen einer Website oder das Scrollen, erfüllen nach der Auffassung des EDSA unter keinen Umständen das Erfordernis einer eindeutigen bestätigenden Handlung. Das ergibt sich bereits aus Erwägungsgrund 32 der DS-GVO, wonach die Einwilligung durch eine eindeutig bestätigende Handlung erfolgen sollte.

Bundesbeauftragte für den Datenschutz und die Informationsfreiheit begrüßt die Leitlinie des EDSA

   
Als Mitglied des EDSA befürwortet der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Prof. Ulrich Kelber die aktuellen Leitlinien:

„Es gibt immer noch Internetseiten, die durch ihren Aufbau den Nutzenden Tracking aufdrängen. Die aktualisierten Leitlinien machen erneut deutlich, dass Einwilligungen nicht erzwungen werden können. Die meisten Cookie-Walls und die Annahme, dass das Weitersurfen eine Einwilligung bedeutet, widersprechen dem Aspekt der Freiwilligkeit und verstoßen gegen die Datenschutz-Grundverordnung. Ich wünsche mir, dass Verantwortliche daraus die richtigen Schlüsse ziehen und endlich datenschutzfreundliche Alternativen anbieten“.

Praxistipp

   
Die aktuelle Leitlinie des EDSA ist eine Zusammenfassung und Klarstellung zur Auslegung der DS-GVO durch die Aufsichtsbehörden und stellt keinen Paradigmenwechsel dar. Vielmehr werden Selbstverständlichkeiten festgehalten an die sich Betreiber von Webseiten zu halten haben.

Die aktuelle Leitlinie des EDSA bringt nochmals Klarheit in die Gestaltung von Cookie-Bannern und zeigt mit deutlichen Worten auf, dass Umgehungen der DS-GVO-Vorgaben datenschutzrechtlich unzulässig sind. Die in der aktuellen Leitlinie adressierten Themen „Cookie-Walls“ und „vermeintliche Einwilligung“ durch Nutzung/Scrollen auf einer Website stellen zwei häufig anzutreffende Ausgestaltungen dar bei denen Betreiber einer Website eine konkludente Einwilligung des Nutzers einholen, um das Tracking von Website-Nutzern datenschutzrechtlich zu legitimieren.

Es wird sich in naher Zukunft die Frage stellen, ob die aktuelle Leitlinie des EDSA zu deutlich mehr rechtskonformen Einwilligungen bei Aufruf einer Website führt. Nach wie vor sind viele Cookie-Banner mit Einwilligungslösungen datenschutzrechtlich unzulässig und beachten nicht die Vorgaben der europäischen und deutschen Datenschutzaufsichtsbehörden. Der Grund liegt möglicherweise auch darin, dass sich die Aufsichts- und Kontrolltätigkeit der Datenschutzaufsichtsbehörden bis 2019 auf die Beratung und Unterstützung von Unternehmen fokussiert haben. Damit wird aber 2020 Schluss sein. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz hat am 5. Mai 2020 sein Konzept zur effektiven Durchsetzung des Datenschutzes und seinen Aktionsplan für das Jahr 2020 vorgestellt. Verstärkte stichprobenweise Prüfungen und Untersuchungen von Webseiten stehen auf dem Programm des LfDI Rheinland-Pfalz.

Es steht zu erwarten, dass auch andere Landesdatenschutzaufsichtsbehörden in Kürze einen Aktionsplan für das Jahr 2020 vorstellen. In einem gesonderten Beitrag werden wir das Konzept zur effektiven Durchsetzung des Datenschutzes in Rheinland-Pfalz und den Aktionsplan  für 2020 vorstellen.