Cookie-Einwilligung: Neue Leitlinien der EDSA
Neue Leitlinien der EDSA bestätigen vorangegangene Entscheidung zur Cookie-Einwilligung
Stellen Sie sich vor, Sie besuchen eine Website, aber Sie können den Inhalt nur betrachten, wenn Sie dem Tracking während der Nutzung zustimmen. OK oder nicht? Wäre es denn DS-GVO konform, wenn ein einfaches Scrollen durch die Webseite vom Betreiber ohne vorherige Einwilligung getrackt wird? Wer unseren Blogbeitrag vom Oktober 2019 aufmerksam gelesen hat, wird die Antwort darauf wohl schon kennen.
Nach dem EuGH-Urteil vom 01.10.2019 hat der Europäische Datenausschuss(EDSA) am 5. Mai seine Leitlinien zur Einwilligung bei Internetseiten aktualisiert. Das Thema Einwilligungsmanagement auf Webseiten erfährt nun eine Konkretisierung in folgenden Punkten:
- Die Gültigkeit einer Einwilligung von Webseitenbesuchern bei der Interaktion mit sogenannten „Cookie-Walls“.
- Die vermeintliche Einwilligung durch Scrollen auf einer Website.
Cookie-Walls als wesentliche Änderung
Der bekannte Cookie-Banner wird Stück für Stück durch sogenannte Consent-Banner abgelöst. Wird ein Consent-Banner so eingesetzt, dass man das Angebot nur nutzen kann wenn die Nutzenden die Cookies akzeptieren, also ihre Zustimmung zur Nachverfolgung geben, dann spricht man von einer Cookie-Wall. Der EDSA stellt in seiner aktualisierten Richtlinie fest, dass der Zugang zu einem Web-Service nicht von der Erlaubnis in das Setzen von sogenannten Cookies abhängig gemacht werden darf. Durch eine „Cookie-Wall“ kommt keine wirksame Einwilligung nach Erwägungsgrund 43 der DS-GVO zustande weil es hier an der Freiwilligkeit fehlt. Es gibt jedoch auch Ausnahmen, z.B. den Einsatz von Cookie-Walls im bezahlten Dienst. Wird ein vergleichbarer Dienst auch ohne Tracking angeboten, sind Cookie-Walls zulässig.
Scrollen von Webseiten ist keine konkludente Einwilligung
Auch die bloße Weiternutzung einer Internetseite stellt keine wirksame Einwilligung dar. Gemäß den Leitlinien des EDSA fehlt es an einer eindeutig bestätigenden Handlung.
Die oben dargestellten Änderungen finden sich in der Leitlinie der EDSA unter den Randnummern 38-41 und im Beispiel Nr. 16 in der Randnummer 86. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Professor Ulrich Kelber, begrüßt die Aktualisierung der EDSA. Er wünscht sich, dass „Verantwortliche daraus die richtigen Schlüsse ziehen und endlich datenschutzfreundliche Alternativen anbieten“.
Praxisrelevanz – Welche Auswirkungen sind zu erwarten?
Schon nach dem Urteil des EuGHs ist Professor Kelber in einer ersten Stellungnahme davon ausgegangen, dass die Verwendung der heute üblichen Cookie-Banner grundsätzlich nicht mehr als rechtskonforme Grundlage für das Setzen von Cookies herangezogen werden kann. Die Aktualisierung der EDSA-Leitlinien und die erneute Stellungnahme des BfDI unterstreichen nun klar diese Position. Wer DS-GVO konform seine Webseite aufbauen will, der muss das Einwilligungsmanagement aktiv angehen.
Viele Unternehmen stehen jedoch vor dem Dilemma, dass man zwar grundsätzlich will, praktisch aber auf keinen Fall die Bounce Rate erhöhen will. Je komplexer so ein Consent-Banner, je höher ist das Risiko, dass Kunden abspringen und die Nutzung verweigern. Auf der anderen Seite ist es für Landesdatenschutzbehörden bedeutend einfacher eine Webseite auf DS-GVO Konformität zu überprüfen als vor Ort mit einer Mannschaft zu erscheinen. Die Webseite ist heutzutage nun mal die Visitenkarte des Unternehmens.
Praxisrelevanz – wie ist nun vorzugehen?
Viele Unternehmen sehen das Thema sehr nüchtern und sitzen die geforderten Änderungen unter Kosten-Nutzen Aspekten aus. Sie gehen also bewusst das Risiko eines Bußgeldes ein. Sinnvoller ist aus unserer Sicht die Auseinandersetzung mit dem Thema. Wir sehen immer wieder, dass in den Firmen unterschiedliche Verantwortliche den Webauftritt beeinflussen oder auch einfach nur an einen Dienstleister auslagern. Da wird dann schnell etwas übersehen und neben der Aktualität der Website bleibt auch der Datenschutz und die IT-Sicherheit auf der Strecke. Es fühlt sich niemand komplett verantwortlich. Zunächst gehört daher sehr oft das Prozessmanagement auf den Prüfstand. Oder umgekehrt: Wer sein Einwilligungsmanagement auf der Webseite im Griff hat, der hat auch einen wesentlichen Schritt zur Prozessoptimierung seiner Webseite getan. Zur Vorgehensweise empfehlen wir Ihnen den 3-Stufenplan für ein datenschutzkonformes Cookie-Management.
Wer ist der EDSA?
Der Europäische Datenschutzausschuss (EDSA) ist eine unabhängige europäische Einrichtung und das Nachfolgegremium der Artikel-29-Gruppe („Gruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Daten“). Ziel ist die Sicherstellung der einheitlichen Anwendungen der DS-GVO und die Förderung der Zusammenarbeit der Datenschutzbehörden in der EU. Die von der EDSA erarbeiteten Leitlinien und Empfehlungen werden von den europäischen Aufsichtsbehörden als für sie verbindlich betrachtet.
Die Website der EDSA kann hier eingesehen werden. Der 37. Tätigkeitsbericht des ULD Schleswig-Holstein gibt ab Seite 19 einen Einblick in die Zusammenarbeit der Aufsichtsbehörden mit dem EDSA.
Fazit
Nach dem EuGH und der DSK hat nun auch die EDSA mit der Aktualisierung ihrer Leitlinien klargestellt, dass ohne Transparenz und Freiwilligkeit im Einwilligungsmanagement eine datenschutzkonforme Webseite schwer zu betreiben ist. Wer kein Bußgeld riskieren will, der muss sich diesem Thema stellen.
Die JOWECON unterstützt Sie bei der Analyse und Optimierung Ihrer Website. Sprechen Sie uns gern über unser Kontaktformular an oder unter 040-41 35 66 74.
Autor: Oliver Zeh