Der Datenschutzaktivist Max Schrems ist wahrscheinlich jedem ein Begriff. Kennengelernt haben wir ihn im Zusammenhang durch seine Auseinandersetzungen mit Facebook und den von ihm erwirkten Entscheidungen des EuGH zu Datenübermittlungen in Drittländer. Jetzt hat er – aus seiner Sicht unzulässigen – Cookie-Bannern den Kampf angesagt (zum Beitrag von NOYB hier entlang). Seine Kritik: Viele Cookie-Banner seien nicht rechtskonform und so ausgestaltet, dass Nutzer zu einer Einwilligung verleitet werden, obwohl sie eigentlich nicht einwilligen wollen.
Anforderungen an Cookie-Banner
Die DSGVO schreibt für die Ausgestaltung von Einwilligungen vor: Die betroffene Person muss freiwillig und eindeutig in die Verarbeitung ihrer personenbezogenen Daten einwilligen (Art. 7 DSGVO). Diese Anforderungen gelten auch für die Einwilligung in das Setzen von Cookies. So weit, so gut und von EuGH und BGH bestätigt.
Schaut man sich aber die verschiedenen Ausgestaltungen von Cookie-Bannern an, wird schnell klar: Eigentlich versteht die betroffene Person vielfach kaum, welche personenbezogenen Daten genau verarbeitet werden und was zu tun ist, um eine Verarbeitung zu verhindern.
Und warum? Websitebetreiber setzen zuweilen „Gestaltungstricks“ ein:
- z.B. „Nudging“: Nudging wird auf Websites eingesetzt, um den Nutzer zur Einwilligung zu bewegen. Die Zustimmen-Option wird dabei z.B. farblich hervorgehoben, während die Ablehnen-Option in Standardschrift ausgestaltet ist und nicht ins Auge fällt. Achtung: Nudging ist (wahrscheinlich) unzulässig! Beispiele der Landesbeauftragten für den Datenschutz Niedersachsen für Nudging finden Sie hier.
- z.B. „Dark Patterns“: Die Ablehnen-Option wird versteckt, ist winzig ausgestaltet oder erst auf dem dritten Layer der Einwilligungsoptionen angezeigt. Achtung: Auch dies ist (sehr wahrscheinlich) unzulässig!
Was möchte NOYB erreichen?
Konkret wirft NOYB Unternehmen vor, dass nur 3% der betroffenen Personen in die Verwendung ihrer personenbezogenen Daten zu Marketingzwecken wirklich einwilligen wollen, während Verantwortliche aber Einwilligungsraten von über 90% verzeichnen.
Doch jede Website nach unzulässigen Cookie-Bannern „abzusuchen“, ist auch Max Schrems und der von ihm gegründeten Organisation NOYB zu mühselig. Daher hat man dort eine Software entwickelt, die Cookie-Banner auf ihre Rechtskonformität prüft. Die Software scannt die Websites nach Auffälligkeiten. Werden Auffälligkeiten entdeckt, wird dies durch die Software vermerkt und automatisch systemseitig eine Beschwerde generiert.
Nach eigenen Angaben von NOYB wurden bereits an mehr als 500 Websitebetreiber Beschwerden mit Hinweisbögen zugesendet. Diese zeigen auf, wie das Einwilligungsmanagement in Bezug auf Cookies datenschutzkonform aus Sicht von NOYB erfolgen kann. NOYB gibt den Websitebetreibern dann einen Monat Zeit, ihre Cookie-Banner an die von NOYB aufgestellten Vorgaben anzupassen. Erfolgt dies nicht, kündigt NOYB an, formale Beschwerde bei den zuständigen Aufsichtsbehörden einzulegen.
Was muss ich als (potentieller) Adressat tun?
Wenn Sie, Ihr Unternehmen oder Ihre Einrichtung ein Hinweisschreiben von NOYB erreicht, ist dies kein Grund zur Panik. Grundsätzlich zwingt das Hinweisschreiben von NOYB nicht zum Handeln. NOYB ist keine Aufsichtsbehörde – Bußgelder (Art. 83 DSGVO) und andere Sanktionen (Art. 58 DSGVO) werden ausschließlich von den Aufsichtsbehörden verhängt. Allerdings kann NOYB Beschwerden einreichen und ggf. auch Rechte betroffener Personen geltend machen, die dann wiederum Aufsichtsbehörden zum Handeln veranlassen.
Deshalb sollte das Hinweisschreiben zum Anlass genommen werden, das Cookie-Einwilligungsmanagement nochmal unter die Lupe zu nehmen (siehe hierzu unsere Empfehlung zum schrittweisen Vorgehen).
Sprechen Sie uns bei Fragen sowie bei Unterstützungsbedarf gerne an – zu unserem Team hier entlang.
Wer sind KREMER RECHTSANWÄLTE?
KREMER RECHTSANWÄLTE ist eine auf Digitalisierungsberatung spezialisierte Sozietät und berät ihre Mandanten und Auftraggeber hochspezialisiert und international an der Schnittstelle zwischen Technik und Recht. Zu unseren Mandanten und Auftraggebern gehören DAX-Konzerne, KMU, Kreditinstitute und Finanzdienstleister jeglicher Größe, kirchliche Einrichtungen und Startups.
Die Rechtsanwältinnen, Rechtsanwälte, Wirtschaftsjuristinnen und Wirtschaftsjuristen veröffentlichen regelmäßig Fachbeiträge, Muster und Bücher zum Datenschutz und sind in der Aus- und Weiterbildung von Datenschutzbeauftragten, Personalverantwortlichen, Unternehmensleitungen, Juristinnen und Juristen sowie Referendar/inn/en und Studierenden tätig.
KREMER RECHTSANWÄLTE ist von der WirtschaftsWoche 2019 als TOP Kanzlei im Datenschutzrecht ausgezeichnet worden. Außerdem wird die Sozietät im kanzleimonitor.de 2018/2019 und 2020/2021 als von Unternehmensjuristinnen und -juristen empfohlene Kanzlei im IT-Recht und Datenschutzrecht geführt.