Aufsichtsbehörde gibt Handreichung für Cookie-Consent-Banner

Viele Webseiten verwenden Cookies oder binden Dienste von Drittanbietern ein – zum Beispiel Analyse-, Karten- oder Wetterdienste. Dafür benötigt der Betreiber der Seite eine datenschutzrechtliche Einwilligung der Nutzerinnen und Nutzer. Es sind einige Vorgaben zu beachten, damit diese Einwilligung den gesetzlichen Vorgaben entspricht und wirksam ist. Die Aufsichtsbehörde in Niedersachsen hat diese in einer Handreichung ausformuliert.

NOTWENDIGKEIT VON CONSENT TOOLS

Sowohl für die Verwendung von Cookies als auch generell für die Einbindung von Drittdienstleistern auf Webseiten (wie Analyse-, Marketing-, Tracking-, Karten-, Wetter-, Chat-, Video-, Bildoptimierungs-, Push-Nachrichten- und Umfrage-Dienste) ist eine datenschutzrechtliche Einwilligung der Seitennutzerinnen und -nutzer erforderlich. Vor der Geltung der Datenschutz-Grundverordnung (DS-GVO) wurden überwiegend einfache Cookie-Banner auf Webseiten eingesetzt, durch die User in der Regel über den Einsatz von Cookies lediglich informiert wurden, eine Entscheidung für oder gegen Cookies war meist nicht möglich. Mittlerweile finden sich vermehrt aufwändige Consent-Fenster (auch Consent-Banner oder Consent-Layer genannt), die Nutzerinnen und Nutzern erstens detaillierte Informationen über den Einsatz von Cookies und die Einbindung von Drittdiensten und zweitens echte Entscheidungs- und Wahlmöglichkeiten geben. Entsprechend aufwändiger ist die Gestaltung und die Umsetzung von Consent-Layern geworden.
Zu einem umfassenden Consent-Management, wie es die DS-GVO fordert, gehört darüber hinaus, dass die Nutzerdaten auf Webseiten in einer Weise verarbeitet werden, wie es der vom Nutzer gegebenen oder verweigerten Einwilligung sowie den getroffenen Einstellungen entspricht. Schließlich müssen auch ein Widerruf von Einwilligungen und gegebenenfalls ein Widerspruch gegen einzelne Datenverarbeitungen korrekt umgesetzt werden.

VORSICHT VOR WERBEVERSPRECHEN DER CONSENT-TOOLS

Zur Implementierung einer umfassenden Einwilligungslösung werden zunehmend Consent-Management-Tools eingesetzt, die von zahlreichen Firmen angeboten werden. Diese werben häufig damit, dass mit dem Einsatz ihres Tools datenschutzkonforme oder DS-GVO-konforme Einwilligungen auf der Webseite eingeholt werden. Diese Werbeversprechen sind allerdings mit Vorsicht zu genießen. Zutreffend ist, dass der Einsatz eines Consent-Management-Tools es in der Regel ermöglichen kann, dass auf der Webseite datenschutzkonforme Einwilligungen eingeholt und die erteilten oder verweigerten Einwilligungen der Nutzer individuell berücksichtigt werden. Allerdings hängt dies maßgeblich vom konkreten Einsatz des Tools ab. Der Betreiber der Webseite hat zahlreiche Konfigurationsmöglichkeiten, so dass nur durch den Einsatz des Consent-Tools keinesfalls automatisch datenschutzkonforme Einwilligungen eingeholt werden.
Die Anforderungen an datenschutzkonforme Einwilligungen werden in der DS-GVO in Art. 4 Nr. 11, Art. 7 und (ergänzend in Bezug auf die Einwilligung von Minderjährigen) Art. 8 festgelegt. Hierbei handelt es sich um abstrakte Beschreibungen, die im Folgenden konkretisiert werden sollen, um Betreiber von Webseiten bei der Gestaltung datenschutzkonformer Einwilligungsfenster zu unterstützen.

ANFORDERUNGEN AN DIE EINWILLIGUNG

Anforderungen an datenschutzkonforme Einwilligungen
Gemäß Art. 4 Nr. 11 DS-GVO ist eine Einwilligung der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Art. 7 DS-GVO stellt weitere Bedingungen für eine wirksame Einwilligung auf. Art. 8 DS-GVO regelt darüber hinaus ergänzende Bedingungen für den Fall, dass die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft eingeholt werden soll.
Aus diesen rechtlichen Vorgaben ergeben sich die folgenden Prüfungspunkte für die Beurteilung der Wirksamkeit der Einwilligung:

Zeitpunkt der Einwilligung,
Informiertheit der Einwilligung,
eindeutige bestätigende Handlung,
freiwillige Einwilligung,
keine unzulässige Einflussnahme auf die Nutzerentscheidung (sog. Nudging),
Widerruf der Einwilligung,
Einwilligungen für Datenverarbeitungen von Minderjährigen.

ZEITPUNKT DER EINWILLIGUNG

Eine Einwilligung muss vor der Datenverarbeitung erteilt werden. Diese Voraussetzung ist zwar nicht explizit geregelt, sie ergibt sich aber aus der Funktion der Einwilligung, eine Datenverarbeitung zu legitimieren.1 Wird eine Webseite erstmalig von einem Nutzer – oder vielmehr durch eine IP-Adresse – abgerufen – dürfen somit keine Cookies gesetzt oder Daten an Dritt-dienstleister übermittelt werden. In der Regel öffnet sich zeitgleich als Pop-up das Consent-Fenster, über das die Einwilligung abgefragt wird.
Häufig werden jedoch unmittelbar beim Aufruf einer Webseite Cookies gesetzt, auch wenn für diese oder weitere Cookies erst noch eine Einwilligung eingeholt werden müsste. Das ist nicht zulässig. Für einen rechtskonformen Einsatz von Cookies ist es nicht ausreichend, dass nur formal eine Einwilligung eingeholt wird, sondern die Entscheidung des Nutzers muss auch technisch korrekt umgesetzt werden. Das heißt, die einwilligungsbedürftigen Cookies dürfen wirklich erst dann gesetzt werden, wenn der Nutzer dem im Consent-Tool zugestimmt hat.

INFORMIERTHEIT DER EINWILLIGUNG

Deutliche Unsicherheiten bestehen hinsichtlich der Anforderung gemäß Art. 4 Nr. 11 DS-GVO, dass eine Einwilligung in informierter Weise einzuholen ist. Welche Informationen konkret zu erteilen sind, ergibt sich – im Unterschied zu den in Art. 13 DS-GVO normierten Informationspflichten – nicht unmittelbar aus dem Gesetz. Der Europäische Datenschutzausschuss (EDSA) setzt grundsätzlich voraus, dass dem Betroffenen vor der Abgabe der Einwilligung die folgenden Mindestinformationen gegeben werden müssen:

Identität des Verantwortlichen,
Verarbeitungszwecke,
die verarbeiteten Daten,
die Absicht einer ausschließlich automatisierten Entscheidung (Art. 22 Abs. 2 lit. c) und
die Absicht einer Datenübermittlung in Drittländer (Art. 49 Abs. 1 S. 1 lit. a).

Die Verarbeitungszwecke müssen konkret beschrieben werden. Häufig finden sich Formulierungen, dass Cookies eingesetzt würden, um

„für Sie die Webseite optimal zu gestalten und zu verbessern“,
„Ihr Surferlebnis zu verbessern“,
„Webanalyse und Werbemaßnahmen durchzuführen“ und
„Marketing, Analytics und Personalisierung“ zu ermöglichen.

Solche Formulierungen sind nicht ausreichend.

Sofern auf der Webseite ein Nutzertracking durch Drittdienste eingesetzt wird, diese Nutzerprofile erstellen sowie die Daten zu Marketingzwecken – individualisierte Werbeeinblendung auf der Webseite sowie Real Time Binding – verwendet werden, ist es nicht ausreichend, wenn allgemein darauf hingewiesen wird, dass

Informationen an „Partner“ weitergegeben werden und diese
„die Informationen möglicherweise mit weiteren Daten zusammenführen“.
Eine informierte Einwilligung erfordert in diesem Fall, die Zwecke der Verarbeitung konkret zu erläutern, insbesondere darauf hinzuweisen, wenn individuelle Profile angelegt und mit Daten von anderen Webseiten zu umfassenden Nutzungsprofilen angereichert werden. Werden Dritt-dienstleister eingebunden, sind diese einzeln zu benennen.

Aus Art. 7 Abs. 3 S. 3 DS-GVO ergibt sich die Pflicht des Betreibers der Webseite, Betroffene „vor der Abgabe der Einwilligung“ auf ihr Widerrufsrecht hinzuweisen. In einem Consent-Layer ist diese Information bereits auf der ersten Ebene des Consent-Fensters erforderlich. Es reicht nicht aus, dass sich in diesem ein Link auf die Datenschutzerklärung befindet, die dann – entsprechend den Vorgaben von Art. 13 Abs. 2 lit. c DS-GVO – einen Hinweis auf das Widerrufsrecht enthält. Fehlt der Hinweis auf das Widerrufsrecht, ist von einer unwirksamen Einwilligung auszugehen.

EINDEUTIGE BESTÄTIGENDE HANDLUNG

Gemäß Art. 4 Nr. 11 DS-GVO ist die Einwilligung als eine unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung zu erteilen. Auf einer Webseite werden Einwilligungen generell in Form einer ein-deutigen bestätigenden Handlung abgefragt. Erwägungsgrund 32 S. 2 DS-GVO führt hierzu aus, dass dies im Internet „durch Anklicken eines Kästchens beim Besuch einer Internetseite, durch die Auswahl technischer Einstellungen für Dienste der Informationsgesellschaft oder durch eine andere Erklärung oder Verhaltensweise geschehen [könnte], mit der die betroffene Person in dem jeweiligen Kontext eindeutig ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezogenen Daten signalisiert“. In der Consent-Guideline des EDSA wird ergänzend klargestellt, dass ein Weiterscrollen selbst bei einem diesbezüglichen ausdrücklichen Hinweis nicht als eindeutige bestätigende Handlung bewertet werden kann.
Die Bezeichnung und auch die Darstellung der Schaltfläche insbesondere im Vergleich zu der Schaltfläche, durch die die Einwilligung verweigert wird, ist bei der Bewertung mitentscheidend, ob eine eindeutige bestätigende Handlung vorliegt. Mit dem Mausklick muss für den Nutzer ein eindeutiger Erklärungsinhalt verbunden sein.
Es finden sich beispielsweise immer noch Consent-Banner mit lediglich einem „Okay-Button“. Auch die Bezeichnungen „Zustimmen“, „Ich willige ein“ oder „Akzeptieren“ können im Einzelfall nicht ausreichend sein, wenn aus dem Informationstext nicht eindeutig hervorgeht, wozu konkret die Einwilligung erteilt wird.
Häufig müssen Webseitennutzer zunächst ein integriertes Drop-Down-Fenster öffnen, um Detailinformationen über die Cookies zu erhalten sowie um zu sehen, welche Voreinstellungen gesetzt sind und daraus abzuleiten, worauf sich die Einwilligung letztlich bezieht.
Unklarheiten ergeben sich auch, wenn in dem Consent-Layer Schieberegler und Schaltflächen für den Nutzer nicht erkennbar miteinander verknüpft sind und beispielsweise automatisch aktiviert werden, wenn die Schaltfläche „Alle Akzeptieren“ geklickt wird. „Alle Akzeptieren“ kann auch dahingehend verstanden werden, dass alle Cookies akzeptiert werden, deren Schieberegler aktiv sind. Abbildung 1 zeigt ein Beispiel hierzu: Klickt man hier auf „Alle Akzeptieren“, wird der Statistik-Regler automatisch nach rechts geschoben, was der Nutzer oder die Nutze-rin allerdings häufig nicht mehr sehen kann. In diesem Beispiel fehlt zudem eine Schaltfläche, um die getroffene Auswahl – keine Einwilligung in Statistik-Cookies – zu bestätigen.

FREIWILLIGE (!!) EINWILLIGUNG

Art. 4 Nr. 11 DS-GVO fordert, dass die Einwilligung des Betroffenen freiwillig erfolgen muss. Eine Willensbekundung erfolgt nur dann freiwillig, wenn kein Druck oder Zwang ausgeübt wer-den, um die betroffene Person zu einer Einwilligung zu bewegen. In Erwägungsgrund 42 DS-GVO wird erläutert, dass davon ausgegangen werden sollte, dass die betroffene Person dann „ihre Einwilligung freiwillig gegeben hat, wenn sie eine echte oder freie Wahl hat und somit in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden“.
In den Consent-Guidelines weist der EDSA in Bezug auf Webseiten ausdrücklich darauf hin, dass eine sogenannte Cookie-Wall unzulässig ist. Von einer Cookie-Wall wird gesprochen, wenn nach Abruf der Webseite deren Inhalt für den Nutzer nicht oder nur sehr eingeschränkt erkennbar ist und die Inhalte ausschließlich dann sichtbar werden, wenn der Nutzer zuvor in das Setzen von Cookies eingewilligt hat. Es wird allerdings nicht gegen die Freiwilligkeit verstoßen, wenn dem Nutzer neben der Einwilligung die Alternative angeboten wird, die Sichtbarkeit der Inhalte durch eine angemessene Bezahlung herbeizuführen (siehe Abbildung 2).

KEIN UNZULÄSSIGES NUDGGING

Je mehr Betreiber von Webseiten für die Verwendung von Cookies Einwilligungen einholen, desto häufiger treten Formen des sogenannten Nudging auf. Dies bezeichnet Techniken, durch die das Verhalten der Nutzer beeinflusst werden soll. Diese Beeinflussung kann grundsätzlich im Interesse des Nutzers erfolgen oder im – entgegenstehenden – Interesse desjenigen, der Nudging einsetzt. Im Zusammenhang mit dem Consent-Layer auf Webseiten wird Nudging eingesetzt, um den User zur Abgabe einer Einwilligung zu „schubsen“: Beispielsweise ist in Consent-Fenstern die „Zustimmen“-Option oft im Vergleich zur „Ablehnen“-Option auffälliger gestaltet – durch Farbe, Schriftschnitt und sonstige Hervorhebungen. Zum Beispiel ist der Button „Zustimmung“ in Grün oder Blau mit weißer Fettschrift gestaltet und der „Ablehnen“-Button in Grau mit weißer Standardschrift (siehe Abbildungen 3 und 4).

Der Prozess des Ablehnens ist in vielen Fällen unnötig kompliziert. Es kann zwar auf der ersten Ebene des Consent-Tools die Einwilligung durch einen Klick auf die entsprechende Schaltfläche erteilt werden, es fehlt aber eine äquivalente Schaltfläche, um die Einwilligung abzulehnen (siehe Abbildung 5). Hierfür ist es dann notwendig, erst die Cookie-Einstellungen zu öffnen, in manchen Fällen vorangekreuzte Häkchen zu deaktivieren und die weitere Schaltfläche „Einstellungen speichern“ zu klicken (siehe Abbildung 6).

Zum Nudging gehören auch Ansätze, die darauf abzielen, Nutzer, nachdem sie die Einwilligung abgelehnt haben, wiederholt nach dieser zu fragen. Jedes Mal, wenn der Nutzer erneut die Webseite aufruft, öffnet sich wieder der Consent-Layer. Dieses Verfahren zielt darauf ab, den Nutzer „mürbe“ zu machen, so dass er früher oder später aufgibt und schließlich die Einwilligung erteilt, um in Ruhe gelassen zu werden. Insbesondere wenn der User nicht die Möglichkeit hat, mit einem Klick auf eine Schaltfläche, die beispielsweise mit „Alles ablehnen“ be-zeichnet ist, bestimmte Verarbeitungstätigkeiten auf der Webseite zu deaktivieren, sind diese Einstellungen zu speichern. Bei einem wiederholten Aufruf der Webseite darf in diesem Fall nicht erneut eine Einwilligung abgefragt werden. Der User sollte darauf hingewiesen werden, dass seine Browser-Einstellungen gegebenenfalls dazu führen, dass die Einstellungen nicht längerfristig gespeichert werden können.
Wird Nudging vom Verantwortlichen mit dem Ziel eingesetzt, den Betroffenen zur Erteilung der Einwilligung zu verleiten, so kann damit je nach konkreter Ausgestaltung gegen unterschiedliche rechtliche Vorgaben für die datenschutzrechtliche Einwilligung verstoßen werden. Fest steht, dass einem erlaubten Nudging Grenzen gesetzt sind und verhaltensmanipulierende Ausgestaltungen zu einer Unwirksamkeit der Einwilligung führen können.

WIDERRUF DER EINWILLIGUNG

Art. 7 Abs. 3 S. 4 DS-GVO fordert ausdrücklich, dass der Widerruf der Einwilligung so einfach wie die Erteilung der Einwilligung sein muss. Wird die Einwilligung unmittelbar bei der Nutzung der Webseite erteilt, muss auch deren Widerruf auf diesem Weg möglich sein. Nicht den Vor-gaben entsprechen ausschließliche Widerrufsmöglichkeiten über andere Kommunikationswege wie E-Mail, Anruf, Fax oder sogar per Brief.
Auch die Nutzung eines Kontaktformulars ist kritisch zu sehen, da in diesem Fall zwar derselbe Kommunikationsweg verwendet wird, aber die Anforderungen deutlich höher sind als bei der Erteilung der Einwilligung. In der Regel sind Eingaben personenbezogener Daten wie mindestens Name und Kontaktadresse erforderlich, vermutlich auch die IP-Adresse, um die Einwilligung zu widerrufen. Dieses Vorgehen steht auch im Widerspruch zum Grundsatz der Datenminimierung in Art. 5 Abs. 1 lit. c DS-GVO, da der Betreiber der Webseite über diese Daten häufig zuvor gar nicht verfügt. Schließlich ist es mit einem deutlich höheren Aufwand verbunden, ein Formular auszufüllen, als nur auf eine Schaltfläche zu klicken oder Häkchen in einer übersichtlichen Anzahl von Kästchen zu entfernen.
Sofern ein Consent-Fenster eingesetzt wird, sollte dem Nutzer eine leicht auffindbare Möglichkeit gegeben werden, dieses jederzeit wieder öffnen und seine zuvor vorgenommenen Einstellungen ändern zu können. Hierfür bietet es sich zum Beispiel an, im Header oder Footer der Webseite, wo regelmäßig das Impressum und die Datenschutzhinweise zu finden sind, einen Link auf den Consent-Layer einzufügen, der zum Beispiel „Datenschutz-Einstellungen“ heißen könnte (siehe Abbildung 7). Eine andere Alternative ist, diesen Link in der Datenschutzerklärung – den Datenschutzhinweisen gemäß Art. 13 DS-GVO – einzubinden.

EINWILLIGUNG IN DATENVERARBEITUNGEN VON MINDERJÄHRIGEN

Art. 8 DS-GVO stellt weitere Anforderungen an datenschutzkonforme Einwilligungen für Angebote von Diensten der Informationsgesellschaft, die einem Kind unter 16 Jahren direkt gemacht werden. Diese Vorschrift ist von allen Betreibern von Webseiten zu beachten, die sich direkt an Kinder richten, wie beispielsweise Suchmaschinen für Kinder oder spezifische Medienseiten für Kinder, unabhängig davon, ob sie über eine eigene Domain verfügen.
Grundsätzlich ist den Betreibern von Webseiten für Kinder und Jugendliche zu empfehlen, möglichst ganz auf Cookies und Drittanbieter zu verzichten, damit keine Einwilligung erforderlich ist.
Ist für Datenverarbeitungen auf der Webseite doch eine Einwilligung des Nutzers erforderlich, so ist diese bei Kindern unter 16 Jahren nur wirksam, wenn sie durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wird. Um diese rechtliche Anforderung auf der Webseite in Abhängigkeit des Alters des einzelnen Nutzers umzusetzen wäre zunächst eine geeignete Altersverifikation notwendig. Die einfache Abfrage des Alters ist für den Betreiber der Webseite mit dem recht hohen Risiko verbunden, dass Nutzer unter 16 Jahren nicht wahrheitsgemäß antworten.
Vertretbar ist aber, wenn auf Webseiten, die sich aufgrund ihres Inhalts und ihrer Ausgestaltung überwiegend an Personen unter 16 Jahren richten, die Einwilligung der Eltern abgefragt wird. Allerdings obliegt auch in diesem Fall gemäß Art. 8 Abs. 2 DS-GVO dem Betreiber der Webseite die Nachprüfungspflicht, dass die Einwilligung tatsächlich von den Eltern abgegeben wurde. Dafür reicht es beispielsweise nicht aus, dass die Schaltfläche, mit der die Einwilligung abgeben werden soll, erst aktiviert wird, wenn der Nutzer zuvor über den Klick einer Schaltfläche bestätigt, dass er ein Elternteil ist. Viele sichere Verfahren zur Identitätsprüfung, wie beispielsweise des Post-Ident-Verfahren, sind für diesen Anwendungsbereich aufgrund ihres recht hohen Aufwands ungeeignet. Es ist aber ein angemessenes Verfahren Online-Identitätsprüfungsverfahren auf der Webseite einzubinden, das eine geringe Wahrscheinlichkeit für einen Missbrauch bietet.