Dänische Datenschutzbehörde: Die meisten aktuellen Cookie-Banner sind rechtswidrig

19.02.2020

Die dänische Datenschutzbehörde Datatilsynet (= Dateninspektion)  hat in einem aktuellen Beschwerdefall die meisten aktuellen Cookie-Banner auf Webseiten für rechtswidrig und als einen DSGVO-Verstoß eingestuft.

Es ging dabei um den Cookie-Banner auf der Webseite www.dmi.dk.

Dieser war wie folgt ausgestaltet. In Form eines Pop-Ups erschien der Text:

"DMI und Dritte verwenden Cookies, um dmi.dk nützlicher zu machen und Ihnen eine bessere Erfahrung sowie Statistiken und gezieltes Marketing zu bieten. Wenn Sie auf OK klicken, stimmen Sie dem zu. Sie können Cookies auswählen und abwählen, indem Sie auf Cookie-Einstellungen klicken. Sie können Ihre Einwilligung jederzeit widerrufen. Lesen Sie mehr darüber und über Cookies auf dmi.dk in unserer Cookie-Richtlinie".

Darunter gab es zwei Buttons:

"[ OK ]           [ Cookie Einstellungen ]"

Klickte der User auf "Cookie Einstellungen"  öffnete sich eine neue Seite, auf der die Cookies einzeln nach Rubriken unterteilt waren:

"erforderlich
funktional
statisch
Marketing
nicht klassifiziert"

Die Webseite nutzte ein Tool des Anbieters Cookie Information A/S.

Es ging bei der Auseinandersetzung nun um die Frage, ob durch das Pop-Up-Fenster eine wirksame Einwilligung eingeholt wurde.

Dies verneinte die dänische Datenschutzbehörde. Es fehle an der erforderlichen Transparenz, damit der Verbraucher eine wirksame Einwilligung abgeben könne:

"(übersetzt):
Die Informationen, die der betroffenen Person zur Verfügung gestellt werden sollen, müssen in einer einfachen, leicht verständlichen und leicht zugänglichen Form bereitgestellt werden, und die Informationen müssen der betroffenen Person zur Verfügung gestellt werden, bevor die Zustimmung erteilt wird.

Die auf dmi.dk implementierte Zustimmungslösung zeigt, welche Cookies auf der Website verwendet werden, und diese sind in verschiedene Kategorien unterteilt. Die Kategorie "Marketing" gibt das auch an Cookies werden vom Anbieter DoubleClick verwendet. Der Zweck dieses Programms ist „Online-Marketing durch Sammeln von Informationen über Benutzer und deren Aktivitäten auf der Website. Die Informationen werden verwendet, um Werbung über verschiedene Kanäle und Geräte auf den Benutzer auszurichten. "             

Nach Ansicht der Datenaufsichtsbehörde ist die Zustimmung, die DMI durch die implementierte Lösung erhält, nicht ausreichend informiert.

Insbesondere betont die Dateninspektion, dass es nicht genügend klare Informationen über die (gemeinsamen) für die Verarbeitung Verantwortlichen, einschließlich Google, in Zusammenarbeit mit denen gibt, mit denen personenbezogene Daten erhoben werden und an die personenbezogene Daten weitergegeben werden, und dass die betroffene Person nicht klar genug ist. das wird gesammelt und an diese (gemeinsamen) Datenverantwortlichen, einschließlich Google, übertragen.

In diesem Zusammenhang ist die Datenaufsichtsbehörde der Ansicht, dass im Hinblick auf die Einwilligung zur Verarbeitung personenbezogener Daten eine Einwilligungslösung oder -erklärung in leicht verständlicher und leicht zugänglicher Form und in einer klaren und einfachen Sprache erforderlich ist, aus der hervorgeht, welche für die Verarbeitung Verantwortlichen Beispielsweise werden persönliche Informationen weitergegeben. Im Folgenden ist zu beachten, dass die Identität des für die Verarbeitung Verantwortlichen angezeigt werden muss und nicht die vom Datenverantwortlichen verwendeten Websites, Spitznamen oder Produktnamen des Datenanbieters, da diese für die betroffene Person nicht leicht verständlich und leicht zugänglich sind."

     Ebenso kritisieren die Datenschützer die Darstellung der Buttons im Pop-Up selbst:

"Nach Ansicht der Dateninspektion die derzeitige Struktur der Einwilligungslösung des DMI, bei der dem erstmaligen Besucher zwei Möglichkeiten in Bezug auf die Verarbeitung personenbezogener Daten angeboten werden; "OK" und "Details anzeigen" erfüllen diese Transparenzanforderung nicht.

In diesem Zusammenhang hat die Dateninspektion betont, dass es einem Besucher der Website nicht möglich ist, die Verarbeitung personenbezogener Daten während des ersten Besuchs bei dmi.dk abzulehnen. Der Besucher muss "Details anzeigen" und dann "Zustimmung aktualisieren" auswählen. 

Ein solcher "One-Click-Away" -Ansatz ist nach Ansicht der Datenaufsichtsbehörde nicht transparent, da er einen zusätzlichen Schritt erfordert, damit die betroffene Person die Zustimmung zur Verarbeitung personenbezogener Daten verweigert, und teilweise nicht, damit die betroffene Person scheitern kann. der Verarbeitung personenbezogener Daten durch Auswahl von "Details anzeigen" zuzustimmen, ebenso wie der Wortlaut "Zustimmung aktualisieren" Verwirrung stiften kann.

In ähnlicher Weise entspricht nach Ansicht der Datenaufsichtsbehörde nicht der Grundsatz der Transparenz, dass die Möglichkeit, der Verarbeitung personenbezogener Daten in der DMI-Lösung nicht zuzustimmen, nicht den gleichen Kommunikationseffekt hat - das heißt, sie erscheint nicht so klar - wie die Möglichkeit von Einwilligung zu erteilen, wodurch die betroffene Person indirekt dazu gedrängt wird, Einwilligung zur Verarbeitung personenbezogener Daten zu erteilen."

Anmerkung von RA Dr. Bahr:
Die Ansicht ist nahtlos auf Deutschland übertragbar. Die Entscheidung der Behörde betrifft nicht einen einzelnen Consent Management Plattform-Anbieter, sondern faktisch alle Anbieter derartiger Tools am Markt. 

Egal wohin man schaut, die meisten Webseiten-Betreiber haben sich für eine ähnliche oder teilweise noch deutlich rechtswidrigere Ausgestaltung entschieden. Ein exemplarischer Blick auf die Webseiten von BMW oder Jaguar reicht hierfür (Stand: 19.02.2020).

Aus Sicht der Unternehmen kann man es nicht anders sagen: Es wird die Quadratur des Kreises gefordert. Die Problematik ist letzten Endes die gleiche, die seit vielen Jahrzehnten bereits im Bereich der Einwilligung in E-Mail-Werbung her bekannt ist. Hier prallt die Theorie auf die harte Realität. Ein (nahezu) unlösbares Problem.

Das BayLDA  und auch andere Behörden hatten bereits vor kurzem angekündigt, gegen deutsche Webseiten-Betreiber entsprechende Maßnahmen vorzubereiten, vgl. die Kanzlei-News v. 11.09.2019.

Das Problem ist nur: Auch zahlreiche Datenschutzbehörden in Europa halten sich nicht an diesen Standard. Wir hatten dies ja bereits in unserer Kanzlei-News v. 18.11.2019 erwähnt. Es sei hier aber noch einmal daran erinnert:

Die tschechische Datenschutzbehörde setzt auf ihrer Webseite den Analyse-Dienst von Google  ohne jeden ausdrücklichen Hinweis ein.

Auch andere Aufsichtsbehörden zeigen anschaulich, wie man es gerade nicht machen kann bzw. sollte:

Die englische Behörde hat zwar einen Seitenbanner, informiert aber nicht ansatzweise transparent. Auf der Webseite heißt es lediglich:

"We'd like to set Google Analytics cookies to help us to improve our website by collecting and reporting information on how you use it. The cookies collect information in a way that does not directly identify anyone. For more information on how these cookies work, please see our 'Cookies page'.

Und auf der bulgarischen Webseite gibt es einen Cookie-Hinweis am unteren Rand, wo es lapidar heißt:

"We use cookies to personalise content and to analyse our traffic."

Wenn selbst die Datenschutzbehörden in Europa keine rechtskonforme Ausgestaltung hinbekommen: Welchen Sinn macht dann das Ganze?