Der europäische Datenschutzausschuss (EDSA) hat am 5. Mai 2020 die Leitlinien zur Einwilligung in die Cookie-Setzung auf Websites überarbeitet. Was hat sich geändert oder hat sich überhaupt etwas geändert?
Bereits zu Beginn der Leitlinien hält der EDSA in seinem Vorwort fest, dass die Leitlinien eine Hilfestellung bei der datenschutzrechtlichen Beurteilung zweier Problemkreise rund um die Cookie-Einwilligung geben soll. Insbesondere wurden die Kapitel «Freiwilligkeit» (der Einwilligung) und «Eindeutige Angabe von Wünschen» überarbeitet.
Zum einen soll nun mehr Klarheit geschaffen werden, wenn es um die Gültigkeit der Einwilligung geht, die von Usern bei der Interaktion mit Cookie-Walls gegeben wird und zum anderen, inwiefern eine Einwilligung durch schlichtes Scrollen auf einer Website überhaupt denkbar erscheint.
Seit dem in Krafttreten der DSGVO hat sich auch im Bereich der Nutzung und Gestaltung von Cookies, sowie hinsichtlich des Cookie-Consent eine deutliche Entwicklung abgezeichnet. Nachdem früher Cookie-Hinweise oftmals übersehbar schmal gestaltet waren und eine Einwilligung durch schlichtes Opt-out möglich war, sind nunmehr «Cookie-Consent-Banner» angesagt, die meist gleich zu Beginn der Websitenutzung ins Auge springen (sollen) und eine Einwilligung durch Opt-In zu erfolgen hat.
Diese Veränderung ergab sich nicht zu Letzt aufgrund einer entsprechenden Auslegung der DSGVO durch den Europäischen Gerichtshof und die zuständigen deutschen Aufsichtsbehörden.
Doch auch bei der neuen Cookie-Banner-Generation versuchen Website-Betreiber durch geschickte Gestaltung die Einwilligung der User zu erlangen, bzw. das Ablehnen der selbigen möglichst zu erschweren. Denn es dürfte bekannt sein, dass für Websites/ Unternehmen das Tracken ihrer Nutzer von größter Bedeutung ist.
Wer die «neuen» EDSA Leitlinien aufmerksam studiert und wem die bisherigen Leitlinien und Anforderungen der DSGVO an die Nutzung von Cookies bekannt sind, wird erkennen, dass Neuerungen nicht wirklich aufgestellt wurden, sondern vielmehr «alt Bekanntes» nochmals deutlich klar gestellt und zusammengefasst wird (oder bei den Verantwortlichen gar in Erinnerung gerufen werden soll?).
Klarheit soll daher nochmals gerade in die Gestaltung von Cookie-Bannern gebracht werden. Anknüpfungspunkt ist Art. 7 Abs.3 S.3 DSGVO, der regelt, dass «Der Widerruf der Einwilligung so einfach wie die Erteilung der Einwilligung sein muss». Wer sich zurecht fragt, warum oder wo hier noch Auslegungsbedarf besteht, mag die zurzeit meistens verwendeten Cookie-Banner anhand dieses Maßstabes überprüfen und feststellen, dass der Widerruf oder das Ablehnen der Einwilligungen zahlreiche Schritte erfordert. Die Gestaltung und verwendeten Inhalte erwecken den Eindruck, man hoffe der User wird auf dem Weg zur Ablehnung aufgeben und den einfacheren Weg der Zustimmung wählen.
Gerade sog. «Cookie-Walls» und «Einwilligungen durch Scrollen» sind solch häufig anzutreffende Gestaltungsweisen.
Gerade bei diesen beiden Gestaltungstypen sollen die neuen Leitlinien nochmals Klarheit schaffen.
Für die Verwendung von Cookie-Walls, d.h. bei Cookie-Bannern, die für das Betrachten der Websiteinhalte die Zustimmung des Users zwingend voraussetzen, stellt der EDSA deutlich fest, dass hierdurch eine wirksame Einwilligung grundsätzlich nicht eingeholt werden kann, da es an der «Freiwilligkeit» der User fehlt. Der Zugang zu den Web-Services darf daher nicht von der Einwilligung in die Cookies abhängig gemacht werden.
Bedenklich sind daher auch gerade von Publikationsmedien verwendete sog. «Cookie-or-Pay-Walls», bei denen der User entweder in die Cookie-Setzung einwilligen muss oder ein Abonnement abschließen muss um die (Web-)inhalte lesen zu können. Ob hier von Freiwilligkeit die Rede sein kann, bleibt fraglich. Manche europäischen Datenschutzbehörden haben dies bisher allerdings für zulässig erachtet.
Ein Einwilligen durch scrollen d.h. schlichtes Nutzen der Website könne keinesfalls eine Einwilligung darstellen, da diese bekanntermaßen nicht durch konkludentes Handeln, sondern ausdrücklich erfolgen muss.
In diesem Zusammenhand erinnert der EDSA nochmals an die grundlegenden Anforderungen einer Einwilligung im Sinne der DSGVO, wonach Einwilligungen freiwillig, spezifisch, informiert, nachweisbar, widerruflich sein müssen und eine eindeutige Angabe von Wünschen ermöglicht werden muss.
Ob sich durch diese neuen Leitlinien eine weitere Entwicklung bei der Nutzung von Cookie-Bannern vollziehen wird und Website-Betreiber sich zu DSGVO-konformerem Verhalten bewegen lassen, bleibt abzuwarten. Die Verwendung rechtswidriger Cookie-Banner dürfte aufgrund der deutlichen Klarstellung in den neuen Leitlinien künftig wohl aber nicht mehr damit zu rechtfertigen sein, es bestehe Unklarheit wie genau eine Cookie-Setzung und die Einholung der entsprechenden Einwilligungen zu erfolgen habe.