1. Einwilligungs-Abfragen
Bevor eine Website/App genutzt werden kann, erscheint auf dem Bildschirm oftmals eine sperrende Einwilligungsabfrage (Consent-Banner). Mit verschiedenen Tricks erhalten die Betreiber so deine »freiwillige« Erlaubnis, deine Daten auch für Zwecke zu nutzen, die nicht wirklich notwendig sind. Dadurch unterscheiden sie sich von den früheren Cookie-Bannern, die nur unauffällig am unteren Seitenrand eingeblendet wurden. Kein Wunder, dass die meisten Nutzer diese Abfragen deshalb als nervig empfinden. Klar kann und sollte man trotzdem immer den Weg der Ablehnung suchen. Aber man kann illegale Abfragen auch verbieten lassen, damit alle davon profitieren bzw. mehr Datenschutz haben.
Im vorliegenden Beitrag erklären wir, welche Tricks mit welcher Wahrscheinlichkeit gegen das Gesetz verstoßen und was man dagegen tun kann.
2. Hintergrund
Sowohl die DSGVO als auch das eher technisch orientierte Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) erlauben als Ausnahme zu strengen Regeln, dass du eine freiwillige Einwilligung für eigentlich unnötige Datenverarbeitungen geben kannst. Außerdem gibt es sehr nützliche offizielle Auslegungen dieser Gesetze.
2.1 Orientierungshilfen und Checklisten für Verantwortliche
Es gibt sehr gute Leitfäden für Seitenbetreiber, die erklären, wie man rechtskonforme Abfragen gestaltet. In der Orientierungshilfe (OH Telemedien 2021) beschreibt die offizielle Datenschutzkonferenz (DSK) die Anforderungen an Einwilligungs-Banner. Wir beziehen uns in diesem Artikel immer wieder auf diese gemeinsame Beurteilung der Datenschutzbehörden in Deutschland.
Der Rechtsanwalt Thomas Schwenke hat ebenfalls einen umfangreichen Fachartikel zu Cookies und ähnlichen Speicherzugriffen erstellt: TTDSG: Neue Regeln für Cookies – Praxistipps und Checkliste für Google Analytics & Co. Schwenke schreibt eher aus der Perspektive der Betreiber. Durch seine Marketingnähe hat er vielleicht nicht das ganz großes Herz für den Datenschutz, aber seine Artikel sind präzise und umfangreich.
Nachfolgend erläutern wir die Einwilligungsabfragen aus eurer Perspektive als Nutzer.
Tipps für Verbraucher
Die Verbraucherzentrale Bundesverband e.V. gibt ebenfalls Tipps, um manipulative Cookie-Banner zu erkennen.2.2 Gesetze
Fast immer geht es bei Einwilligungen um diese zwei Gesetze:
- DSGVO: In der DSGVO gibt es mehrere sogenannte Rechtsgründe, die eine Verarbeitung von personenbeziehbaren Daten jenseits des Privatlebens erlauben, darunter z.B. die Vertragserfüllung (Art. 6 1b). Wenn du zu einer Ärztin gehst oder bei einem Händler etwas bestellst, erwartest du, dass die dafür notwendigen personenbezogenen Daten verarbeitet werden. Daher ist das auch erlaubt, ohne vorher zu fragen. Außerdem gibt es einen ziemlichen Gummiparagraphen: Das berechtigte Interesse (Art. 6 1f). Mittlerweile ist aber klar, dass personalisierte Werbung nicht mehr berechtigtes Interesse ist. Wenn der Händler also deine Warenkorb-Daten zusätzlich für zielgerichtete Werbung auf Social Media nutzen will, muss er dich vorher fragen (Art. 6 1a).
- TTDSG: Im TTDSG geht es um den technischen Schutz deiner Geräte: Auf denen soll niemand unerwünscht Daten lesen oder schreiben. Dieses neue Gesetz existiert erst seit 2021, aber hat eigentlich nur die bestehende Rechtsprechung und die Vorgaben der EU in ein deutsches Gesetz gegossen. Und dieses TTDSG regelt eben auch das Lesen oder Schreiben von Cookies – unabhängig davon, ob ein Personenbezug vorliegt oder nicht. Das TTDSG ist noch strenger als die DSGVO und sollte daher immer zuerst geprüft werden. Gerätezugriffe ohne Einwilligung sind nur im engen Rahmen erlaubt: Für die Übertragung einer Nachricht oder wenn dies »unbedingt erforderlich« ist, um den Dienst bereitzustellen.
Was aber meint »unbedingt erforderlich« im TTDSG?
Wie die DSK in ihrer OH Telemedien 2021 schreibt, ist dies technisch und aus der Perspektive des Nutzers auszulegen:
Die Vorschrift enthält im Wesentlichen zwei Tatbestandsmerkmale, die grundsätzlich auslegungsbedürftig sind – dies sind „einen vom Nutzer ausdrücklich gewünschten Telemediendienst“ und „unbedingt erforderlich“. Beide Tatbestandsmerkmale stehen in einem untrennbaren Zusammenhang. Die unbedingte Erforderlichkeit von Speicher- und Auslesevorgängen ist in Bezug auf den konkret von der Endnutzerin oder dem Endnutzer gewünschten Telemediendienst zu prüfen, um festzustellen, ob die Ausnahmevorschrift greift.
In der Gesetzesbegründung zum TTDSG wird jedoch von einer technischen Erforderlichkeit ausgegangen, was ein strenges Verständnis nahelegt. Dies bedeutet, dass auch für von Endnutzer:innen ausdrücklich gewünschte Dienste nur solche Zugriffe auf die Endeinrichtung von der Ausnahme umfasst sind, die technisch erforderlich sind, um gerade den gewünschten Dienst bereitzustellen.
Die Einwilligungen für DSGVO und TTDSG werden meistens zusammen abgefragt, ein Unterpunkt ist dann meistens die Erlaubnis für das Lesen und Schreiben von Daten auf dem Endgerät nach TTDSG, der Rest ist DSGVO. Und wichtig: Es geht dabei oft um viel mehr als nur um Cookies, deswegen reden wir hier auch konsequent nicht von Cookie-Bannern.
Dass diese Einwilligungs-Abfragen die Webseite oder App sperren, schreibt übrigens kein Gesetz vor, aber verbietet es auch nicht. Es ist allein die Entscheidung des Betreibers, der damit Druck ausübt, um mehr Einwilligungen zu bekommen.
Zusammenfassung
Es gibt zwei Gesetze, die unter bestimmten Bedingungen eine Einwilligung erfordern
- Die DSGVO schreibt eine Einwilligung vor, wenn zum Beispiel ein Unternehmen deine personenbezogenen Daten verarbeiten will und keinen anderen Rechtsgrund hat (wie z.B. berechtigtes Interesse oder Vertragserfüllung)
- Das TTDSG schreibt eine Einwilligung vor, wenn jemand auf deinem Gerät Daten speichert oder ausliest, die für den gewünschten Dienst technisch nicht notwendig sind
Wenn das der Fall ist, muss der Betreiber der Seite/App eine ausdrückliche, informierte, freiwillige, aktive Einwilligung einholen.
3. Die Tricks der Betreiber
An die klaren Leitfäden halten sich leider noch nicht so viele Betreiber von Webseiten oder Apps. Zu lukrativ sind Tricks wie sogenannte Dark Patterns zur Einwilligungserschleichung, um so beispielsweise mit Werbetracking weiter hohe Einnahmen zu generieren. Erste Untersuchungen gehen davon aus, dass die Zustimmung zu einer Datenverarbeitung um 20% gehoben werden kann, wenn Dark Patterns eingesetzt werden (Nouwens 2020).
Bedauerlicherweise gibt es noch keine völlige Klarheit darüber, welche Tricks bei Einwilligungs-Abfragen von Nutzenden noch toleriert werden müssen und welche verboten sind. Das entscheiden am Ende nur die Gerichte. Wir stellen im Folgenden die häufigsten Tricks vor und sortieren sie. So kannst du besser abschätzen, ob du erfolgreich dagegen vorgehen kannst. Die Negativbeispiele stammen teilweise von Leser-Einsendungen auf Mastodon – dort sind weitere Beispiele zu finden. Auch in der Statistik des Beschwerdegenerators tracktor.it haben wir einige Negativbeispiele gefunden. Bei der Einschätzung haben wir (auch) auf die Meinung von Experten und Beschwerdeführern zurückgegriffen.
3.1 Klar rechtswidrig
3.1.1 Tracking vor der Abfrage
Wenn das Tracking noch vor der Einwilligungsfrage aktiv ist, dann funktioniert die technische Lösung schlicht nicht. Dies geschieht viel häufiger, als man denken könnte und liegt auch daran, dass die Seitenbetreiber das Einwilligungsmanagement komplett an externe Firmen abgeben. Diese suchen dann automatisiert nach Einbettungen, die nur mit Einwilligung aktiv sein dürfen. Das funktioniert oft nicht (siehe auch OH Telemedien 2021 S. 18). Wenn Tracking vor der Abfrage geschieht, dann ist das rechtlich nichts anderes, wie wenn gar keine Einwilligung gegeben wird.
3.1.2 Nur Auslesen von Cookies
Viele Seitenbetreiber laden Einbettungen grundsätzlich beim Start der Seite, aber schalten sie mit Javascript inaktiv, bis die Einwilligungsabfrage durch ist. Falls die Einbettung aber von einer Domain geladen wird, unter der üblicherweise auch Cookies gesetzt werden (zum Beispiel facebook.com und das eindeutige Facebook-ID-Cookie c_user), dann wird der Browser grundsätzlich auch Cookies auslesen und an Facebook senden, die von der Einbettung auf anderen Webseiten zuvor gesetzt wurden (im Beispiel entweder durch einen Login bei Facebook oder durch eine Facebook-Pixel-Einbettung auf einer anderen Seite). Der Seitenbetreiber hat also bereits durch die reine Einbettung von Facebook-Inhalten das Auslesen einer Information im Sinne des § 25 TTDSG durchgeführt und hatte dafür keine Einwilligung. Das Gesetz macht keinen Unterschied zwischen den beiden Vorgängen Lesen und Schreiben. Die einzige Möglichkeit für Seitenbetreiber, das zu verhindern: Keine Einbettungen von Domains verwenden, die vorhersehbar Cookies enthalten.
Hier das Beispiel eatsmarter.de: Der Facebook-Tracker ist noch vor der Einwilligungsabfrage eingebunden, setzt aber nur ein leeres Cookie (Antwort-Cookies). Hat der Browser aber bereits von einer anderen Webseite ein facebook.com-Cookie – im Beispiel [1] datr – dann wird dieses auch von der Einbettung bei eatsmarter.de ausgelesen und übertragen [2].
3.1.3 Passive Einwilligungen oder angekreuzte Kästchen
Manche Webseiten warten nicht auf eine aktive Einwilligung, sondern behaupten, dass du einwilligst, wenn du weiterhin die Webseite nutzt. In den sogenannten Erwägungsgründen hat der Gesetzgeber der DSGVO diesen Fall genauer präzisiert. Unter Erwägungsgrund 32 kann man nachlesen:
Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person sollten daher keine Einwilligung darstellen.
Das EuGH-Urteil C-673/17 – Planet49 hat diese Sichtweise ebenfalls bestätigt und stellt unter Randnummer 63 fest, dass keine wirksame Einwilligung vorliegt,
wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers einer Website gespeichert sind, mittels Cookies durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss.
Daran gibt es also keine Zweifel mehr und daher sieht man diese Form der Einwilligungserschleichung nur noch sehr selten. Hier das Beispiel eines Ladekarten-Betreibers:
Aus dem gleichen Grund kann ein Weiterscrollen auf der Webseite oder eine Weiternutzung der App keine Einwilligung darstellen. Die klassischen Cookie-Banner, die bis etwa 2020 auf fast allen Webseiten über die Verwendung von Cookies lediglich informierten, ohne eine aktive Einwilligung (Opt-In) einzuholen, sind damit nicht mehr zulässig. Man sieht sie aber noch regelmäßig auf Seiten, die noch nicht an die neue Rechtslage angepasst wurden. Diese Fluglinie hat noch das veraltete Opt-Out-System:
So kann man heute keine Einwilligung mehr geben/einholen.
3.1.4 Verdecken von Impressum und Datenschutzerklärung
Die Links zum Impressum und zur Datenschutzerklärung sowie diese Webseiten selbst dürfen von möglichen Einwilligungsabfragen nicht überdeckt werden. Dies liegt ganz einfach daran, dass die entsprechenden Gesetze zur Impressumspflicht oder zur Datenschutzerklärung unabhängig davon gelten, ob ein Nutzer die Einwilligungsabfrage beantwortet oder nicht. Das hat also nichts mit Datenschutz zu tun. Diese Links dürften auch nicht durch andere Banner oder Gestaltungselemente wie z.B. eine Newsletteranmeldung überdeckt werden. Wenn das Impressum nicht zugänglich ist, ist eine Beschwerde bei der Datenschutzbehörde also nicht möglich, bei Verdeckung der Datenschutzerklärung hingegen schon.
3.2 Relativ sicher rechtswidrig
3.2.1 Fehlender, gleichwertiger Ablehnbutton
Es ist aktuell wohl der beliebteste Trick aus dem Bereich Nudging bzw. Dark Pattern: Buttons/Schaltflächen durch eine farbliche Hervorhebung auffälliger gestalten und Nutzer so zu einem Verhalten zu verleiten, das allein auf Bequemlichkeit basiert. Auch die Beschriftung der Buttons wird manipulativ gestaltet: Für durchschnittliche Internetnutzer ist dann nicht mehr klar erkennbar, dass eine Entscheidung über die eigenen Daten durchgeführt wird.
Auf der Webseite dextro-energy.com ist der Button und überhaupt die Möglichkeit einer Ablehnung nicht erkennbar:
Und mit einer Button-Beschriftung Weg damit! wie bei handy.de kann man natürlich auch keine gültige Einwilligung einholen:
Dass manipulative Gestaltungstricks wie diese keine gültige Einwilligung darstellen, wurde bereits von einem Gericht festgestellt: Der Verbraucherzentrale Bundesverband hatte gegen die Anwaltssuche advocado geklagt und Recht bekommen (Urteil des LG Rostock vom 15.09.2020, Az. 3 O 762/19). Dort hatte man die Zustimmung mit einem grün hinterlegten Button Cookies zulassen neben einem grauen Button Nur notwendige Cookies verwenden eingesetzt. Diese war laut Gericht »gar nicht als anklickbare Schaltfläche zu erkennen« und trete neben dem grünen Button in den Hintergrund. Das Urteil ist allerdings noch nicht rechtskräftig.
Auch die DSK erlaubt in ihrer OH Telemedien 2021 keine Tricks mit unterschiedlich manipulativ gestalteten Buttons:
Werden den Nutzenden keine gleichwertigen Handlungsmöglichkeiten offeriert, um die Einwilligung zu erteilen oder sie abzulehnen, so liegen die Anforderungen an eine wirksame Einwilligung regelmäßig nicht vor.
3.2.2 Mehrschichtige Abfragen
Der Grundsatz der Gleichwertigkeit wird auch bei einem Banner verletzt, der Ablehnung und Einwilligung auf unterschiedlichen Ebenen abfragt. Bereits das Rostocker Urteil hat festgestellt, dass Verbraucher regelmäßig den Aufwand scheuen, die Details in Unterseiten zu betrachten, wenn eine Einwilligung bereits auf erster Ebene gegeben werden kann. Die DSK erlaubt in der OH Telemedien 2021 die Aufbereitung in verschiedenen Ebenen eines Banners – vorausgesetzt, es liegen auf erster Ebene die konkreten Informationen zur Zustimmung vor:
Grundsätzlich ist es möglich, Einwilligungsbannner mehrschichtig zu gestalten, also detailliertere Informationen erst auf einer zweiten Ebene des Banners mitzuteilen, zu der die Nutzenden über einen Button oder Link gelangen.
Bedingung dafür ist aber, dass Ablehnung und Zustimmung in gleich schneller Weise möglich sind:
Eine wirksame Einwilligung liegt zudem regelmäßig nicht vor, wenn Nutzenden nur zwei Handlungsmöglichkeiten zur Auswahl gestellt werden, die nicht gleich schnell zu dem Ziel führen, den Telemediendienst nutzen zu können.
Sie stützt diese Ansicht mit Erwägungsgrund 32, der vorschreibt, dass eine Einwilligung »ohne unnötige Unterbrechung des Dienstes« erfolgen muss.
Der Banner bei der Zeitung Der Tagesspiegel ist nach der klassischen und weit verbreiteten Vorlage des Internet Advertising Bureaus (IAB) umgesetzt. Er erzielt durch seine ungleichwertig komplexen Schaltflächen hohe Einwilligungsraten, ist aber nicht zulässig.
Gegen den Betreiber (IAB) der Technologie hinter dem Banner (TCF) gab es eine umfangreiche Entscheidung der belgischen Datenschutzbehörde. Sie enthält allerdings keine Entscheidungen zu Designfragen oder Dark Patterns. Netzpolitik.org hat die Entscheidung zusammengefasst.
3.2.3 Umleitungen und wiederkehrende Banner
Ein weniger häufiger Trick ist es, die Einwilligungsabfragen so zu gestalten, dass man nach einer Ablehnung nicht zur Einstiegsseite zurückkehrt, sondern auf der Datenschutzerklärung verbleibt oder zur Startseite umgeleitet wird. Bei ebay-kleinanzeigen.de gehen beispielsweise die über die URL aufgerufenen Suchbegriffe oder Kategorien [2] verloren, wenn die Einstellungen [1] aufgerufen werden (Beispiellink zum testen). Nicht aber, wenn auf erster Ebene eingewilligt wird. Dadurch sollen oder können Nutzende unterschwellig für ihre Auswahl bestraft werden. Ein ähnlich gelagerter Fall sind dauerhaft wiederkehrende Einwilligungs-Banner, die sich eine Entscheidung nicht merken und so zur Plage werden.
Uns sind dazu noch keine gerichtlichen Urteile bekannt, Nutzer berichten aber, dass Behörden bereits Beschwerden dazu eröffnet haben. Auch hier muss man sich also auf die zwei Erwägungsgründe der DSGVO stützen:
Wird die betroffene Person auf elektronischem Weg zur Einwilligung aufgefordert, so muss die Aufforderung in klarer und knapper Form und ohne unnötige Unterbrechung des Dienstes, für den die Einwilligung gegeben wird, erfolgen.
Es sollte nur dann davon ausgegangen werden, dass sie [die betroffene Person] ihre Einwilligung freiwillig gegeben hat, wenn sie eine echte oder freie Wahl hat und somit in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden.
Die DSK untersagt Umleitungen in der OH Telemedien 2021 zumindest indirekt, weil sie eben auch weniger schnell zum Ziel führen:
Eine wirksame Einwilligung liegt zudem regelmäßig nicht vor, wenn Nutzenden nur zwei Handlungsmöglichkeiten zur Auswahl gestellt werden, die nicht gleich schnell zu dem Ziel führen, den Telemediendienst nutzen zu können.
3.3 Einzelfallabhängig
3.3.1 Reichweitenmessung und statistische Analysetools
Während praktisch alle Trackingeinbettungen für Marketing und personalisierte Werbung eine Einwilligung nach DSGVO und TTDSG benötigen, scheint es für bestimmte Analysetools eine kleine Hintertür zu geben, die auch die OH Telemedien 2021 nicht schließt. Ein Analysedienst kann sich an beiden Gesetzen vorbeischlängeln: Die DSGVO erlaubt mit dem »berechtigten Interesse« eine Abwägung zwischen Betroffenem und Verarbeiter. Ein Analysetool, das nur geringe Auswirkung auf die Datenschutzinteressen des Betroffenen hat, weil es beispielsweise lokal auf dem Server installiert ist und mit kurzlebigen IDs nur die Seitenaufrufe eines Tages zu einer Sitzung zusammenknüpft, hat gute Chancen, von einer Behörde als einwilligungsfrei nach DSGVO eingestuft zu werden. Wenn das Analysetool dann zusätzlich das TTDSG umgeht, indem es ohne Cookies oder andere Speicherzugriffe arbeitet und auch keine Informationen aus der Hardware mit Javascript ausliest, dann hat das Tool einen zulässigen Weg durch beide Gesetze gefunden.
Ob es hingegen zulässig ist, ein Analysetool einwilligungsfrei mit Cookies einzusetzen, indem diese als »unbedingt erforderlich« eingestuft werden, wird von der DSK mit deutlichem Zweifel offengelassen:
Schließlich können auf Webseiten oder Apps zusätzliche allgemeine Funktionen integriert sein, wie beispielsweise die Messung und/oder Analyse von Besucherzahlen oder A/B-Tests. Diese sind nicht per se dem Basisdienst zuzurechnen. Die Nutzer:innen können diese regelmäßig aber auch nicht bewusst wahrnehmen und daher nicht aktiv auswählen. Hier kommt es für die Bewertung darauf an, ob die konkreten, sehr differenziert zu betrachtenden Zwecke der Funktionen nutzerorientiert erfolgen.
Der Betreiber müsste also darlegen, warum das Analysetool mit seinem Speicherzugriff »technisch notwendig« ist, um einen vom Besucher gewünschten Teildienst auf der Website zur Verfügung zu stellen. Hier hilft ein Blick in die jeweilige Datenschutzerklärung, um die Argumentation nachvollziehen zu können. Die Erforderlichkeit muss dort unbedingt technisch begründet sein und auch wirklich einen Dienst für den Nutzer bereitstellen. Einen reinen Nutzen für das Geschäftsmodell schließt die DSK in ihrem Dokument aus. Auch der Erwägungsgrund 66 der ePrivacy-Richtlinie unterstreicht:
Ausnahmen von der Informationspflicht und der Einräumung des Rechts auf Ablehnung sollten auf jene Situationen beschränkt sein, in denen die technische Speicherung oder der Zugriff unverzichtbar sind, um die Nutzung eines vom Teilnehmer oder Nutzer ausdrücklich angeforderten Dienstes zu ermöglichen.
Im Beispiel die Website der Deutschen Bahn: Ein langlebiges Cookie von Adobe Analytics verfolgt die Nutzeraktionen mindestens zwei Jahre, in ähnlicher Weise ein Cookie des A/B-Test-Tools Optimizely. Die Argumentation der Bahn ist, dass mit diesen Informationen die Website verbessert werde. Sowohl die Statistik als auch das A/B-Testing liegen aber im geschäftlichen Interesse der Bahn. Sie können sogar der Absicht des Kunden zuwiderlaufen, eine Kaufentscheidung ohne personalisierte Manipulation durchzuführen. Dieser spezielle Teilaspekt der »Websiteverbesserung« steht daher zweckmäßig völlig getrennt von dem Basisdienst, den der durchschnittliche Besucher wünscht: eine Bahnreise auszusuchen und zu buchen. Aber auch technisch sind die Schreibvorgänge nicht unbedingt erforderlich: Zum einen können entsprechende Verbesserungen und Tests auch außerhalb des realen Basisbetriebs durchgeführt werden und/oder nur mit einer kleinen Nutzergruppe, die ihre Einwilligung gibt. Zum anderen funktioniert die Website auch, wenn die Einbindungen und Cookies blockiert werden. Das Tracking dürfte daher nach allgemeiner Rechtsauslegung des TTDSG nicht ohne Einwilligung erlaubt sein. Leider fehlen hier aber noch Urteile.
3.3.2 Datenübertragungen nach außerhalb der EU (Schrems II)
Wegen der Komplexität der Materie lassen wir diesen spannenden Teil aus, obwohl sich hier immer mehr Möglichkeiten ergeben, Datenverarbeitungen zu untersagen. Der LfDI Baden-Württemberg stellt eine Orientierungshilfe bereit: Was jetzt in Sachen internationaler Datentransfer?
3.4 Vermutlich nicht grundsätzlich zu beanstanden
Hilf mit die Spendenziele zu erreichen!
Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.
Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.
3.4.1 Cookie-Paywalls
Cookie-Paywalls sind eine spezielle Form der Einwilligungs-Banner. Dabei hat der Webseitenbesucher die Wahl, ob er seine personenbezogenen Daten zu Marketing- oder Analysezwecken preisgeben oder alternativ einen kostenpflichtigen Zugang wählt. Solche Cookie-Paywalls findet man insbesondere auf Webseiten von Nachrichtenseiten wie zeit.de, heise.de, golem.de, faz.net oder spiegel.de. Nachfolgend die Cookie-Paywall von Spiegel-Online:
Aus gutem Grund beschränkt die DSGVO die Möglichkeiten, eine Einwilligung von einer Leistung abhängig zu machen. Das Kopplungsverbot wird in Art. 7 Abs. 4 DSGVO in diesem berühmt unverständlichen Rechts-Kauderwelsch ausgesprochen:
Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.
Bei der rechtlichen Auslegung dieses schwierigen Satzes kamen Juristen (z.B. Golland: Das Kopplungsverbot in der Datenschutz-Grundverordnung) wie Behörden (die DSB im Fall derstandard.at) zu dem Verständnis, dass es grundsätzlich erlaubt ist, zwei weitgehend gleichwertige Alternativen nebeneinanderzustellen, sodass der bezahlte Dienst die geforderte Alternative zur Einwilligung darstellt. Die Freiwilligkeit der Einwilligung bliebe so gewahrt.
Die Nichtregierungsorganisation (NGO) noyb hat dennoch gegen diese Cookie-Paywall Beschwerde (August 2021) eingereicht. Im Kern geht es dabei um viele Details der Bezahlalternative: Kritisiert wird insbesondere die Höhe, die – wie noyb vorrechnet – bei einem vergleichbaren Zugang nur bei etwa 0,16 € pro Monat liegen dürfte. Auch der hohe praktische Aufwand und das Machtungleichgewicht zwischen Leser und Verlag werden als Argumente ins Spiel gebracht. Noyb findet außerdem, dass beim Spiegel personalisierte Werbung zur Finanzierung des Angebots nicht notwendig sei, da als Alternative auch Kontextwerbung möglich wäre. Eine generelle Verneinung einer Bezahlalternative findet sich aber auch in der Beschwerde von noyb nicht.
Die OH Telemedien 2021 lässt die Besprechung der Rechtmäßigkeit einer Paywall explizit aus (Fußnote 27).
4. Handlungsempfehlungen
Wenn du nach dieser Liste einen mehr oder weniger rechtswidrigen Einwilligungs-Banner entdeckt hast, dann hast du folgende Möglichkeiten:
- Mach den Verantwortlichen auf die OH Telemedien 2021 der DSK aufmerksam und erläutere kurz, welche Anforderung(en) nicht erfüllt ist/sind.
- Der Beschwerdegenerator Tracktor.it erstellt automatisiert Anschreiben und Beschwerden, wenn es um konkrete Tracker geht. Außerdem finden sich im Wiki Text-Bausteine, die beispielsweise gegen Dark Pattern hilfreich sind.
- Erhältst du keine Rückmeldung bzw. wird der Missstand nicht beseitigt, kannst du bei der zuständigen Aufsichtsbehörde Beschwerde einlegen.
- Der Bundesband Verbraucherzentrale nimmt unter seinem Beschwerdeformular ebenfalls gerne Hinweise auf unrechtmäßige Cookie-Banner auf, die später sogar in Abmahnungsverfahren einfließen können.
- Priorisiere deine Beschwerden aus Rücksicht auf andere Betroffene: Die Behörden sind enorm überlastet und leider wird sich das so bald nicht ändern. An der schwachen Finanzierung sind vor allem die Landesregierungen schuld. Natürlich hast du auch gegen kleine Webseiten und bei kleinen Verstößen ein Recht auf rechtskonforme Datenverarbeitung – aber wenn du große Webseiten und schwere Verstöße zuerst meldest, haben wir schneller für alle einen besseren Datenschutz.
Wenn du zusätzlich zu den Bannern auch einen Blick auf den Datenverkehr werfen willst, der im Hintergrund abläuft: Bei tracktor.it findest du eine Anleitung, wie du Datenübertragungen in Apps und auf Webseiten kontrollierst. Mehr dazu auch in der Empfehlungsecke unter App-Verkehr mitschneiden und für eine automatisierte Analyse unter Online-Bewertungstools.
Bildquellen:
Consent: Flat Icons from www.flaticon.com is licensed by CC 3.0 BY
Über den Autor | Eberl
Matthias Eberl ist freiberuflicher Multimedia-Journalist und schreibt außerdem für verschiedene Publikationen über Datenschutz-Themen. Für Journalisten gibt er auch Kurse im Bereich Informantenschutz. Er ist als Datenschutzbeauftragter von der IHK zertifiziert.
Unterstützen
Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leserinnen und Leser finanziert. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.
Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:
Wer erlaubt Analysetracking in Deutschland und Europa – das TTDSG Teil2
TTDSG: Stellungnahme der ARD bezüglich Apps liegt vor
Der TC-String des Interactive Advertising Bureau (IAB) – Teil2
DB Navigator: Datenschutz fällt heute aus – App-Check Teil1
Spannungsfeld: Datenschutz und Online-News
2 Ergänzungen zu “Rechtswidrige Einwilligungs-Abfragen erkennen und dagegen vorgehen”
Wenn du konkrete Fragen hast oder Hilfe benötigst, sind das offizielle Forum oder der Chat geeignete Anlaufstellen, um dein Anliegen zu diskutieren. Per E-Mail beantworte ich grundsätzlich keine (Support-)Anfragen – dazu fehlt mir einfach die Zeit.
Kuketz-ForumAbschließender Hinweis
Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.
Zum Thema Cookie-Paywalls / „Pur“-Abos: Es geht wohl vor allem darum, die Einwilligung der User zum Tracking zu erzwingen. „[…] eine der Absichten ist, nicht neue Kunden zu gewinnen, sondern einfach die DSGVO-Einwilligung der User zu erzwingen.“
https://logbuch-netzpolitik.de/lnp404-sie-haben-ihr-ziel-erreicht#comment-164808
Folgendes ist zum »berechtigten Interesse« in Art. 6 (1) lit. f) DSGVO zu ergänzen. In einer Vielzahl von Handreichungen, Reports, Entscheidungen der Datenschutzaufsichten, wie z.B. die britische ICO (maßgeblich bis zum Brexit bzw. solange die UK-GDPR und EU-GDPR identisch sind), deutsche DSK, franz. CNIL, belgische ADP muss eine Voraussetzungsprüfung (»balance test«) durchgeführt werden. Hier gilt es konkret und klar den i) Zweck zu formulieren, ii) zu zeigen, dass die eingesetzten Mittel / Datenverarbeitung geeignet sind, diesen Zweck zu erreichen, sowie iii) dies mit den konkreten Interessen, Grundfreiheiten der Betroffenen abzuwägen. I.d.R. sind das widerstreitende Interessen. Daher muss diese Abwägung konkret und im »Einzelfall« geschehen. Sprich, man muss hier Zeit, Überlegungen und Vorstellungskraft investieren. Aktuell muss man den Eindruck haben, dass es eher als eine Art Auffangtatbestand (wenn nichts anderes passt, dann…) verwendet wird, ohne das Verantwortliche eine Abwägung wirklich durchführen oder gar nachweisen können. Allerdings macht allein eine (meist eher allgemeine) Interessendeklaration, noch keine Interessenabwägung. Und in der Folge kann das verfolgte Interesse auch nicht »berechtigt« sein…