03/2020 – Fachartikel Swiss Infosec AG
Die dänische Datenschutzbehörde Datatilsynet hat in einem aktuellen Beschwerdefall am 11. Februar 2020 die meisten aktuellen Cookie-Banner auf Webseiten für rechtswidrig und als einen DSGVO-Verstoss eingestuft.
Ausgangslage
Es ging dabei um den Cookie-Banner auf der Webseite www.dmi.dk.
Dieser war wie folgt ausgestaltet: in Form eines Pop-Ups erschien der Text
„DMI und Dritte verwenden Cookies, um dmi.dk nützlicher zu machen und Ihnen eine bessere Erfahrung sowie Statistiken und gezieltes Marketing zu bieten. Wenn Sie auf OK klicken, stimmen Sie dem zu. Sie können Cookies auswählen und abwählen, indem Sie auf Cookie-Einstellungen klicken. Sie können Ihre Einwilligung jederzeit widerrufen. Lesen Sie mehr darüber und über Cookies auf dmi.dk in unserer Cookie-Richtlinie“.
Darunter gab es zwei Buttons:
„[ OK ] [ Cookie Einstellungen ]“
Klickte der User auf „Cookie Einstellungen“ öffnete sich eine neue Seite, auf der die Cookies einzeln nach Rubriken unterteilt waren:
„erforderlich
funktional
statisch
Marketing
nicht klassifiziert“
Es ging bei der Auseinandersetzung nun um die Frage, ob durch das Pop-Up-Fenster eine wirksame Einwilligung eingeholt wurde.
Begründung der dänischen Datenschutzbehörde
Fehlende Transparenz für wirksame Einwilligung
Die dänische Aufsichtsbehörde verneinte dies mit der Begründung, es fehle an der erforderlichen Transparenz, damit der Verbraucher eine wirksame Einwilligung abgeben könne:
Nach Ansicht der Datenaufsichtsbehörde wird im Cookie-Banner der Webseitenbesucher nicht ausreichend informiert. Für die betroffenen Personen seien nicht genügend klare Informationen über die (gemeinsame) Verarbeitung personenbezogener Daten der Verantwortlichen, Google, vorhanden, da DoubleClick und AdSense genannt werden und nicht Google. Dies sei für die Nutzer intransparent, da diese Produktnamen den betroffenen Personen nicht geläufig seien.
Kritik ebenfalls an der Darstellung im Pop-Up
Ebenso kritisieren die Datenschützer die Darstellung der Buttons im Pop-Up selbst: Nach Ansicht der Datenaufsichtsbehörde erfüllt die derzeitige Struktur der Einwilligungslösung des DMI (bei der dem erstmaligen Besucher zwei Möglichkeiten in Bezug auf die Verarbeitung personenbezogener Daten angeboten werden; „OK“ und „Details anzeigen“) die Anforderungen an die Transparenz nicht.
Einem Besucher der Website ist es nicht möglich, die Verarbeitung personenbezogener Daten durch Cookies direkt abzulehnen. Der Besucher muss sich dafür zunächst die „Cookie-Einstellungen“ anzeigen lassen. Ein solcher „One-Click-Away“-Ansatz ist nach Ansicht der Datenschutzaufsichtsbehörde nicht transparent, da er einen zusätzlichen Schritt erfordert, damit die betroffene Person die Einwilligung zur Verarbeitung personenbezogener Daten verweigern kann.
Ebenso ist es nach Ansicht der Datenschutzaufsichtsbehörde mit dem Grundsatz der Transparenz nicht vereinbar, dass die Möglichkeit, keine Einwilligung in die Verarbeitung personenbezogener Daten zu erteilen, nicht auf den ersten Blick so klar kommuniziert wird wie die Möglichkeit, eine Einwilligung zu erteilen. Hierdurch würde die betroffene Person indirekt dazu gedrängt, eine Einwilligung in die Verarbeitung personenbezogener Daten zu erteilen.
Den vollständigen Entscheid finden Sie hier: https://www.datatilsynet.dk/tilsyn-og-afgoerelser/afgoerelser/2020/feb/dmis-behandling-af-personoplysninger-om-hjemmesidebesoegende/
Und jetzt?
Nicht klar ist jetzt, wie dies die anderen Datenschutzbehörden in anderen Ländern handhaben werden. Schliesslich ist die jeweilige nationale Aufsichtsbehörde nach Art. 55 DSGVO für Unternehmen zuständig. Der Entscheid bildet allerdings zumindest ein erstes Anzeichen, in welche Richtung die Datenschutzbehörden beim Einholen einer Einwilligung zum Setzen von Cookies nach den Vorgaben der DSGVO gehen könnten.
Gerne beantworten wir all Ihre spezifischen Fragen zum Cookie-Banner und zu allen weiteren datenschutzrechtlichen Fragen in Ihrem Unternehmen. Wir unterstützen Sie bei der Einhaltung des DSG und der DSGVO nach Best Practice: «Genau so viel, wie Sie brauchen und angemessen ist!»