04.02.2022Fachbeitrag

Update Datenschutz Nr. 108

Die Ausgestaltung von Einwilligungsbannern unter dem neuen TTDSG – Deutsche Aufsichtsbehörden veröffentlichen Orientierungshilfe für Telemedien-Anbieter

Mit Datum vom 20. Dezember 2021 hat die Datenschutzkonferenz („DSK“) eine neue Orientierungshilfe (abrufbar hier) für Anbieter von Telemedien veröffentlicht Die Orientierungshilfe ist bislang noch nicht final, sondern Gegenstand eines öffentlichen Konsultationsverfahrens bis zum 15. März 2022, sodass gegebenenfalls noch mit Änderungen zu rechnen ist. Inhaltlich berücksichtigt die Orientierungshilfe die Bestimmungen des neuen Telekommunikation-Telemedien-Datenschutz-Gesetzes („TTDSG“) und löst die vorherige Orientierungshilfe ab. Inhaltlich behandelt die neue Orientierungshilfe vor allem die Anforderungen zur Einholung einer wirksamen Einwilligung für den Einsatz von einwilligungsbedürftigen Cookies und vergleichbaren Technologien (z. B. Tracking Pixel und Fingerprinting Techniken; im Folgenden zusammenfassend als „Cookies“ bezeichnet“). Ein wesentlicher Aspekt ist dabei die Ausgestaltung von sog. Einwilligungsbannern (in der Praxis auch oftmals als „Cookie-Banner“ „Consent Management Plattform“ (‚CMP‘) oder „Cookie-Wall“ bezeichnet), die auf Webseiten, Smartphone Apps, Smart-TVs und im Infotainmentsystem von Connected-Cars eingesetzt werden. Daneben enthält die Orientierungshilfe Ausführungen zu den Ausnahmen vom Einwilligungsbedürfnis gemäß § 25 Abs. 2 TTDSG. Die Verarbeitung der durch Cookies erhobenen personenbezogenen Daten wird nur am Rande behandelt. Der vorliegende Beitrag beschäftigt sich primär mit den Vorgaben zur Ausgestaltung von Einwilligungsbannern und stellt die wesentlichen Vorgaben der DSK vor.

Hintergrund

Seit dem 1. Dezember 2021 gilt das neue TTDSG. Maßgeblich für Einsatz von Cookies ist der neue § 25 TTDSG, der Art. 5 Abs. 3 der e-Privacy-Richtlinie in nationales Recht umsetzt. Diese Vorschrift sieht nun – anders als die Vorgängerregelung in § 15 Abs. 3 TMG – explizit vor, dass Cookies, die nicht unter die Ausnahmetatbestände in § 25 TTDSG fallen, einer Einwilligung bedürfen. Im Hinblick auf die Anforderungen an die Wirksamkeit einer Einwilligung verweist § 25 TTDSG auf die Vorgaben der DSGVO. Maßgeblich sind somit insbesondere Art. 4 Nr. 11 DSGVO sowie Art. 7 und 8 DSGVO. Allerdings enthält die DSGVO selbst ebenfalls keine hinreichend konkreten Vorgaben, wie eine Einwilligung im Zusammenhang mit dem Einsatz von Cookies einzuholen ist. Vor diesem Hintergrund stellt sich daher in den letzten Jahren wiederholt die Frage, welche konkreten Anforderungen für die Ausgestaltung von Einwilligungsbannern gelten. Erheblichen Auftrieb erhielt diese Diskussion dann im letzten Jahr durch zahlreiche Beschwerden der von dem Datenschutz-Aktivisten Max Schrems gegründeten Organisation NOYB, die sich u. a. gegen die (vermeintlich) intransparente Ausgestaltung von Einwilligungsbannern richteten. Die deutschen Aufsichtsbehörden haben sich bislang eher zurückgehalten und ließen klare Vorgaben eher vermissen. Es ist allerdings davon auszugehen, dass die deutschen Aufsichtsbehörden nach Abschluss des Konsultationsverfahrens ebenfalls zeitnah dieser Thematik widmen werden und auf die Durchsetzung der in der Orientierungshilfe dargelegten Vorgaben dringen (siehe unsere aktuelle Praxis-Risikoabschätzung unter „Fazit“).

Wesentliche Aussagen der Orientierungshilfe

Die Vorgaben der DSK lassen sich im Wesentlichen wie folgt zusammenfassen:

  • Klare und vollständige Informationen zum Einsatz von Cookies

    Die Einwilligung muss in informierter Weise eingeholt werden, vgl. Art. 4 Nr. 11 DSGVO. Dies setzt nach der DSK voraus, dass jegliche Speicher- und Ausleseaktivitäten, die durch Cookies ausgelöst werden sollen, transparent und nachvollziehbar sein müssen. Der Nutzer muss daher u. a. darüber informiert werden, wer auf die jeweilige Endeinrichtung zugreift, in welcher Form und zu welchem Zweck der Zugriff erfolgt, welche Funktionsdauer die Cookies haben und ob Dritte Zugriff darauf erlangen können. Ebenfalls ist darauf hinzuweisen, ob und inwieweit mit dem Einsatz von Cookies weitere Datenverarbeitungsprozesse verbunden sind, die dann nicht mehr dem TTDSG, sondern unmittelbar der DSGVO unterliegen. Nicht zu vergessen ist der Hinweis auf das Widerrufsrecht gemäß Art. 7 Abs. 3 DSGVO.

    Weiterhin verlangt die DSK, dass die Angaben zu den Zwecken hinreichend bestimmt sein müssen. Allgemeine Angaben zu den Zwecken, wie etwa „Verbesserung der Erfahrungen des Nutzers“, „Werbezwecke“, „IT-Sicherheitszwecke“ sollen – jedenfalls ohne weitere Angaben – nicht ausreichen. Insoweit weist die DSK selber auf die Möglichkeit hin, Einwilligungsbanner mehrschichtig aufzubauen und detaillierte Informationen erst auf einer zweiten Ebene bereitzustellen. Für den Fall, dass bereits auf der ersten Ebene eine Schaltfläche vorhanden ist, mit der eine Einwilligung eingeholt wird (z. B. eine „Alles Akzeptieren“-Schaltfläche), verlangt die DSK allerdings explizit, dass dann auch auf der ersten Ebene konkrete Informationen zu allen einzelnen Zwecken enthalten sein müssen.

    Für die Praxis dürfte dies bedeuten, dass Einwilligungsbanner auf der ersten Ebene zukünftig noch umfangreicher ausgestaltet werden müssen. Gerade bei Geräten mit begrenztem Sichtfeld (z. B. auf Mobiltelefonen) stellt sich für die Anbieter von Telemedien die Herausforderung einerseits hinreichende Informationen bereitzustellen, um die Vorgaben der DSK zu erfüllen, andererseits den Nutzenden ein optimales Nutzungserlebnis zu ermöglichen. Hilfreich ist hier die Nutzung einer CMP, die geeignete Ausgestaltungs- und Anpassungsmöglichkeiten bietet und entsprechende Formulierungen auf der ersten Ebene einblendet.
     
  • Verständliche Ausgestaltung und Beschriftung der Schaltflächen

    Ein wesentlicher Punkt, der beim Anklicken einer Schaltfläche nach Ansicht der DSK von Bedeutung ist, ist der Umstand, wie die Schaltflächen beschriftet und ausgestaltet sind und welche Zusatzinformationen zur Verfügung gestellt werden. So sind nach der DSK Schaltflächen mit der Bezeichnung „Okay“ oder „Zustimmen“, „Ich willige ein“ oder „Akzeptieren“ im Einzelfall nicht ausreichend, wenn aus dem begleitenden Informationstext nicht eindeutig hervorgeht, worin letztlich eingewilligt wird. Es soll nach der DSK gerade auch nicht ausreichen, wenn diese Zusatzinformationen erst auf einer nachgelagerten Ebene bereitgestellt werden (z. B. über eine in dem Einwilligungsbanner integrierte Detailansicht). Es muss also klar verständlich sein, welche Funktionen die einzelnen Schaltflächen haben und welche Konsequenzen mit dem Anklicken verbunden sind. Es genügt also nicht einen Einwilligungsbanner von einem namenhaften Anbieter zu beschaffen. Vielmehr ist jedes Unternehmen gehalten, den Einwilligungsbanner so zu konfigurieren und z. B. die Benennung der Knöpfe zu ändern, um die Vorgaben der Aufsichtsbehörden zu erfüllen.
     
  • Unmissverständliche und eindeutig bestätigende Handlung

    Weiterhin ist für eine wirksame Einwilligung erforderlich, dass eine unmissverständliche und eindeutig bestätigende Handlung (Opt-In) erfolgt. Der die Willensbekundung abgebende Nutzer muss zu verstehen geben, dass er mit dem Zugriff auf und dem Abruf von Informationen aus seinem Gerät ausdrücklich einverstanden ist. Es ist somit stets ein aktives Handeln erforderlich, beispielsweise durch Anklicken einer designierten Schaltfläche in dem Einwilligungsbanner, durch Auswahl technischer Einstellungen oder andere aktive Verhaltensweisen, mit der eindeutig ein Einverständnis gegeben wird. Die DSK betont dabei, dass Stillschweigen, Untätigkeit der Nutzenden oder bereits vorangekreuzte Kästchen keine Einwilligung darstellen. Ebenfalls keine wirksame Einwilligung liegt vor, wenn die Nutzenden bloß auf einer Webseite scrollen bzw. weitersurfen, da diese keinen rechtlichen Erklärungsgehalt haben.
     
  • Bereitstellung gleichwertiger Optionen zur Annahme und Ablehnung von Cookies

    Weiterhin müssen den Nutzenden gleichwertige Handlungsmöglichkeiten angeboten werden, um eine Einwilligung zu erteilen und abzulehnen. Es muss bei der Ausgestaltung eines Einwilligungsbanners daher darauf geachtet werden, dass den Nutzenden Auswahloptionen zur Annahme und Ablehnung von Cookies bereitgestellt werden, die einen gleichwertigen Kommunikationseffekt haben. In der Praxis bedeutet dies, dass wenn auf der ersten Ebene des Einwilligungsbanners eine Schaltfläche zur Erteilung einer Einwilligung vorhanden ist (z. B. eine „Alles Akzeptieren“-Schaltfläche), gleichzeitig auf der ersten Ebene auch eine Schaltfläche zur Ablehnung vorhanden sein muss.

    Demgegenüber reicht es nach der DSK gerade nicht aus, wenn die Nutzenden zwar dem Einsatz von Cookies unmittelbar zustimmen können, allerdings den Einsatz nicht direkt ablehnen können, sondern erst weitere Handlungsschritte einleiten müssen, um die Einwilligung zu verweigern. Die DSK nennt insoweit explizit als Beispiel, dass auf erster Ebene eines Einwilligungsbanners eine „Alles akzeptieren“ Schaltfläche vorhanden ist sowie eine weitere Schaltfläche mit der Bezeichnung „Einstellungen“ oder „Details“, über die die Nutzenden eine weitere Detailmaske öffnen können, in der sie den Einsatz von bestimmten oder sämtlichen Cookies ablehnen können.
     
  • Einfache Möglichkeit zur Verweigerung einer Einwilligung

    Die Nutzenden müssen weiterhin eine echte und freie Wahl haben, um die Einwilligung zu verweigern oder zurückzuziehen, ohne dass sie hierdurch Nachteile erleiden. Entscheidend ist, ob eine Zwang dahingehend besteht, dass die Nutzenden zwingend eine Erklärung abgeben müssen oder die Nutzenden auch einfach untätig bleiben können. Nach der DSK ist von einem unzulässigen Zwang etwa dann auszugehen, wenn ein Einwilligungsbanner oder sonstige grafische Elemente zur Einwilligungsabfrage den Zugriff auf eine Webseite insgesamt oder Teile des Inhalts verdecken und das Banner nicht einfach geschlossen werden kann, sondern zwingend eine Interaktion der Nutzenden verlangen. Auch hier gilt, dass die Nutzenden ohne messbaren Mehraufwand in der Lage sein müssen, den Einwilligungsbanner zu schließen und den einwilligungsbedürftigen Einsatz von Cookies abzulehnen.
     
  • Widerrufsmöglichkeit der Einwilligung

    Ein weiterer wichtiger Punkt betrifft die Möglichkeit zum Widerruf der Einwilligung. Zunächst weist die DSK darauf hin, dass bei einer elektronischen Erteilung der Einwilligung über eine Webseite, auch der Widerruf auf diesem Weg möglich sein muss. Es ist daher nicht zulässig, die Nutzenden auf andere Kommunikationswege zu verweisen (z. B. Telefon, Brief, Fax, E-Mail). Im Gegenteil verlangt die DSK, dass die Nutzenden einen unmittelbaren Zugang zu den Einstellungsmöglichkeiten haben müssen (z. B. über einen stets sichtbaren Direktlink oder ein Icon). Teilweise enthalten auf dem Markt verfügbare Consent-Management-Tools entsprechende Funktionen. Unklar ist insoweit allerdings, wie der stets sichtbare Direktlink bzw. das Icon ausgestaltet sein müssen, insbesondere ob es ausreichend ist, wenn der Direktlink oder das Icon an einer festen Stelle im Header oder Footer der Webseite enthalten ist oder ob der Direktlink bzw. das Icon tatsächlich immer fortlaufend im Display der Nutzenden sichtbar sein muss.

Fazit

Insgesamt ist festzuhalten, dass die Orientierungshilfe wertvolle Hinweise für Anbieter von Telemedien zur Ausgestaltung von Einwilligungsbannern enthält. In der Praxis dürfte die Umsetzung dieser Vorgaben für Anbieter allerdings eine Herausforderung darstellen. Dies gilt insbesondere für solche Anbieter, die eigene Einwilligungsbanner vorhalten und diese nunmehr umprogrammieren müssen.

Ebenfalls ist davon auszugehen, dass die deutschen Aufsichtsbehörden die Umsetzung der Vorgaben zeitnah kontrollieren und durchsetzen werden, sobald das Konsultationsverfahren abgeschlossen und die Orientierungshilfe final verabschiedet wird. Wie bereits einleitend dargestellt, sind bereits jetzt eine Vielzahl an Beschwerden bei den deutschen Aufsichtsbehörden anhängig. Aus Behördenkreisen war bislang zu vernehmen, dass diese Beschwerden vorübergehend „on hold“ gesetzt wurden, zumindest bis die deutschen Aufsichtsbehörden sich zu einem einheitlichen Vorgehen einigen werden. Dies ist nunmehr der Fall. Klar ist aber auch: Viele der Vorgaben der Aufsichtsbehörden wurden noch nicht vor Gericht durchgefochten! Es ist durchaus möglich andere Ansichten zu vertreten und vor Gericht zu obsiegen. Dabei verbleibt jedoch das Risiko, sich einem Bußgeldverfahren auszusetzen. Bislang waren die deutschen und andere europäische Aufsichtsbehörden – trotz aller strengen Orientierungshilfen – eher zögerlich und zurückhaltend. Jedes Unternehmen ist nun aber gehalten, Risiko und Nutzen der bestimmten Gestaltung der verwendeten Einwilligungsbanner neu abzuwägen, dann in ganz Europa formiert sich langsam erheblicher Widerstand gegen die bisherige Praxis.

So gehen etwa verschiedene europäische Aufsichtsbehörden seit Beginn des Jahres verstärkt gegen den unrechtmäßigen Einsatz von einwilligungsbedürftigen Cookies vor. Dies gilt insbesondere im Zusammenhang mit dem Einsatz von Tracking Tools, wie etwa Google Analytics. So verhängte erst kürzlich die französische Aufsichtsbehörde „CNIL“ ein Bußgeld in Höhe von 150 Mio. EUR gegen Google und 60 Mio. EUR gegen Facebook. Ein wesentlicher Grund für die Bußgelder war, dass die Webseiten von Google und Facebook keine gleichwertige Möglichkeit zur Ablehnung von einwilligungsbedürftigen Cookies enthielten, sondern hierfür mehrere Klicks notwendig waren, während die Einwilligung bereits mit einem Klick auf der ersten Ebene erklärt werden konnte. Auch der Europäische Datenschutzbeauftragter untersagte erst kürzlich den Einsatz von Google Analytics auf einer Webseite des Europäischen Parlaments. Ein Grund hierfür war, dass der eingesetzte Cookie-Banner auf der ersten Ebene keine Möglichkeit enthielt, um den Einsatz von einwilligungsbedürftigen Cookies zu verweigern, während die Zustimmung auf der ersten Ebene möglich war. Daneben stellte der EDSB weitere Defizite im Zusammenhang mit dem Einsatz von einwilligungsbedürftigen Cookies und der Ausgestaltung der verwendeten Einwilligungsbanners fest (z. B. unzureichende Informationen zur Funktionsweise der eingesetzten Cookies, fehlende Dokumentation zur Einhalten der Vorgaben an den Transfer in Drittländer gemäß Artt.44 ff. DSGVO). Parallel wurde im Januar in Österreich einer Beschwerde von Schrems stattgegeben und erstmalig wurde auch in Österreich der Einsatz von Google Analytics in einer behördlichen Entscheidung verboten.

Insoweit ist festzuhalten, dass die datenschutzkonforme Einholung einer Einwilligung für den Einsatz von Cookies zwar ein wesentlicher Baustein zur Datenschutz-Compliance darstellt. Gleichzeitig zeigen die vorgenannten Verfahren in anderen EU-Ländern, dass daneben eine Vielzahl weiterer Themen ebenfalls eine wichtige Rolle spielen. Dies betrifft vor allem etwa den rechtmäßigen Datentransfer von personenbezogenen Daten in Drittländer. Gerade bei der Nutzung von Tracking Tools von internationalen Anbietern, ist dieses Thema nach dem Schrems-II Urteil des EuGH und der Einführung der neuen EU-Standardvertragsklauseln ein weiterer Aspekt, der im Fokus der Aufsichtsbehörden steht.

Als PDF herunterladen

Ansprechpartner

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.