Consent-Banner unwirksam? – Ansicht der dänischen Datenschutzaufsicht

Die dänische Datenschutzaufsichtsbehörde erlies am 11.02.20 eine Entscheidung zur Einlassung und Ausgestaltung einer wirksamen Einwilligungserklärung für Cookies auf einer Website. Insbesondere die häufig von Unternehmen genutzten Consent-Banner mit den Auswahlmöglichkeiten „OK“ (alle Cookies akzeptieren) oder „Details anzeigen/Cookie Einstellungen“ seien rechtswidrig.

Beschwerdefall

In dem aktuellen Beschwerdefall ging es um das Cookie-Banner des Dänischen Meteorlogischen Instituts (DMI). Dieses bot dem Websitebesucher die Wahl zwischen den Button „Ok“ oder „Cookie Einstellungen“.

Auch deutsche Unternehmen, wie z.B. die Volkswagen AG oder die BMW AG nutzen ähnliche Banner.

Entscheidung der dänischen Aufsichtsbehörde

Die Aufsichtsbehörde entschied, dass es sich bei dem Cookie-Banner des DMI um eine rechtswidrige Lösung handele. Sie bemängelte diese und verneinte die Wirksamkeit der Einwilligung in die Verarbeitung personenbezogener Daten insbesondere aufgrund der folgenden drei Gründe.

1. Freiwilligkeit der Einwilligung

Die erforderliche Freiwilligkeit der Einwilligung in die Verarbeitung solle Transparenz für die betroffene Person darstellen. Diese sei nicht gegeben, wenn die Person keine echte und freie Wahl treffen könne.

Nach Einschätzung der dänischen Datenschutzbehörde sei die Freiwilligkeit nicht erreicht, wenn für Verarbeitungsvorgänge, die mehreren Zwecken dienen, nicht auch für jeden Zweck eine separate Einwilligung eingeholt würde.
Das Cookie-Banner des DMI gebe dem Nutzer nur die Möglichkeit einer einzigen Einwilligung und somit nicht die Chance die Zwecke zu identifizieren und sich dann zu entscheiden.

2. Information zur Verarbeitung

Nach Ansicht der Aufsichtsbehörde sei es für eine wirksame Einwilligung zudem erforderlich, den Besucher über Identität und Zwecke des für die Verarbeitung Verantwortlichen aufzuklären.

Das DMI hatte Bannerwerbung über das Google Werbenetzwerk auf ihrer Website geschaltet und personenbezogene Daten mit Google geteilt. Die sich daraus ergebende gemeinsame Verantwortlichkeit mit Google sei dem Nutzer nicht transparent genug dargelegt worden.

3. Transparenz der Verarbeitung

Gemäß Art. 5 Abs. 1 lit. a DSGVO muss die Verarbeitung der personenbezogenen Daten nach dem Grundsatz der Transparenz in einer für den Betroffenen nachvollziehbaren Weise geschehen. Die dänische Datenschutzaufsichtsbehörde erklärte, dass es hierfür für den Nutzer ebenso leicht sein müsse in die Verarbeitung einzuwilligen, wie sie abzulehnen.

Beim Banner des DMI muss der Nutzer für die Ablehnung zunächst auf den Button „Cookie Einstellungen“ klicken. Dieser „One-Click-Away“-Ansatz würde dem Grundsatz der Transparenz nicht gerecht, da es einen zusätzlichen Schritt erfordere, die Verarbeitung zu verweigern.

Fazit und Auswirkungen

Eine unmittelbare Auswirkung auf Verantwortliche in Deutschland hat die Entscheidung der dänischen Aufsichtsbehörde nicht, denn in Deutschland sind für Unternehmen grundsätzlich die jeweiligen Landesbeauftragten zuständig.

Mittelbar kann die Entscheidung jedoch auch hierzulade Einfluss haben, wenn sich die deutschen Aufsichtsbehörden oder der europäische Datenschutzausschuss (EDSA) der Meinung der dänischen Aufsichtsbehörde anschließen.

Eine zukünftige Richtung könnte die erwartete Verkündung des entsprechenden BGH-Urteils zu „Planet49“ am 28.05.20 aufzeigen.

Sie interessiert das Thema und wünschen nähere Informationen?

Sie hätten gern ein persönliches Beratungsgespräch zu diesem Thema?
Wir stehen Ihnen gerne zur Verfügung und freuen uns über Ihre Kontaktaufnahme.
E-Mail: Rechtsanwalt Tröber

Andere Leser interessierten sich auch für

Cookies nur nach Einwilligung zulässig
Der EuGH hat entschieden: Das Setzen von Cookies erfordert die aktive Einwilligung des Internetnutzers.
Zur Notwendigkeit der Einwilligung in das Speichern von Cookies
Am 1. Oktober 2019 hat der EuGH zur Cookie-Thematik entschieden (Az. C-673/17). Rechtssicherheit besteht dadurch immer noch nicht. Das Risiko beim Setzen von Cookies ohne Einwilligung des Nutzers dürfte aufgrund des Urteils jedoch erheblich gestiegen sein.
Neues von den Aufsichtsbehörden zur Facebook-Fanpage
Nach Ansicht der Konferenz der unabhängigen Aufsichtsbehörden des Bundes und der Länder (DSK) ist der Betrieb einer Facebook-Fanpage nicht datenschutzkonform möglich, sofern Facebook nicht nachbessert und Fanpage-Betreiber ihren datenschutzrechtlichen Pflichten nachkommen können. Was Sie als Fanpage-Betreiber tun können, um das Risiko zu verringern, erfahren Sie in diesem Beitrag.