Brandi mbB - Logo

Beitrag

Aktuelle ThemenIT & Datenschutz

noyb: Beschwerden gegen Cookie-Banner

Nach den Entscheidungen von EuGH und BGH hat sich die Erkenntnis durchgesetzt, dass für die Nutzung von Cookies zwingend eine Einwilligung der betroffenen Nutzer eingeholt werden muss. Als Konsequenz der Vorgaben der Rechtsprechung, wonach die ursprünglich in § 15 Abs. 3 TMG vorgesehene Widerspruchslösung nicht mehr ausreichend ist, haben zahlreiche Unternehmen ihre Seiten zwischenzeitlich angepasst und bei dem erstmaligen Aufruf Hinweistexte für die Nutzung von Cookies implementiert, sogenannte Cookie-Banner. Wenig überraschend stößt diese aufgezwungene Transparenz der Unternehmen bei den Nutzern auf überschaubare Gegenliebe, die nicht selten von den verschiedenen Hinweisen schlicht „genervt“ sind.

Es bleibt natürlich die Option, als Betreiber einer Internetseite insgesamt auf Cookies zu verzichten, so dass dann auch der Cookie-Banner überflüssig ist. Zahlreiche Anbieter für Tracking-Technologien nutzen mittlerweile andere Möglichkeiten, die zumindest ohne Cookies auskommen können und die dann vermeintlich als datenschutzkonform beworben werden. Es ist aus der Perspektive der Seitenbetreiber aber durchaus nachvollziehbar, dass diese ein Interesse daran haben, das Suchverhalten von Kunden und anderen Interessenten auszuwerten und darauf ihre eigenen Seiten sowie ihre Werbe-Kampagnen auszurichten. Die richtige Gestaltung der Cookie-Hinweise ist dabei nicht ganz trivial, weil sämtliche Details letztlich aus den allgemeinen Vorgaben über die Einholung einer wirksamen Einwilligung gem. Art. 7 DSGVO abgeleitet werden müssen. Es gibt dabei sicherlich einige Unternehmen, die bewusst die rechtlichen Grenzen austesten, teilweise vertrauen Unternehmen aber auch ohne böse Absicht auf eine großzügigere Auslegung der Vorgaben.

Im Hinblick auf „ignorante“ Unternehmen wie Facebook, bei denen durchaus eine Absicht unterstellt werden kann, wenn Cookies nicht ohne Weiteres (also nicht im Cookie-Banner unmittelbar) abgelehnt werden können, ist es durchaus legitim, sich hiergegen zu beschweren. Adressat für derartige Beschwerden sind naturgemäß die jeweils zuständigen Aufsichtsbehörden, denen die Überwachung der Datenschutz-Compliance obliegt. Entgegen der Sichtweise von Facebook gibt es aber keine Alleinzuständigkeit der Aufsichtsbehörden, sondern es dürfen auch andere Organisationen wie Verbraucherschutzverbände in diesem Sinne tätig werden. Der österreichische Datenschutzaktivist Max Schrems, der sich insbesondere im Hinblick auf die Überprüfung des internationalen Datentransfers in die USA einen Namen gemacht hat, mischt mit seiner Organisation noyb in diesem Bereich ebenfalls mit. Unter Ausnutzung seiner „Berühmtheit“ hat Max Schrems mit noyb zwischenzeitlich das Projekt „Cookie-Banner“ gestartet. Über die Homepage von noyb soll es möglich sein, dass andere Datenschutzaktivisten eine Meldung abgeben, welche Unternehmen angeblich nicht ordnungsgemäß Cookie-Banner implementiert haben. Durch noyb soll es dann eine Art eigenes Überprüfungsverfahren einschließlich der Anhörung der betroffenen Unternehmen geben. Unter Androhung einer ansonsten drohenden Beschwerde bei der jeweils zuständigen Aufsichtsbehörde sollen Unternehmen sich dann den Vorgaben von noyb unterwerfen und dies entsprechend bestätigen. noyb hat sich nach eigenen Angaben vorgenommen, man wolle „die meistbesuchten Websites in Europa überprüfen und ggf. bis zu 10.000 Beschwerden einbringen“.

Derartige Überprüfungen wären eigentlich Aufgabe der Aufsichtsbehörden, die möglicherweise nicht (überall) über die entsprechenden Ressourcen und Möglichkeiten verfügen. Vor dem Hintergrund der Ressourcen ist aber zu überlegen, ob es wirklich sinnvoll ist, derart automatisiert Webseiten zu überprüfen und dann die passenden Aufsichtsbehörden mit Beschwerden zu „fluten“. Richtig ist sicherlich, dass jede Maßnahme, die dazu dient, Unternehmen die richtige Auslegung der datenschutzrechtlichen Vorgaben nahezubringen, begrüßenswert ist. Die Einrichtung eigener Parallelprozesse mit einer eigenständigen Interpretation der DSGVO durch eine einzelne Organisation erscheint dagegen fragwürdig.

Ein Beispiel für diese Problematik ist das Vorgehen von noyb gegen sogenannte Cookie-Walls. Unter Verweis auf eine Leitlinie des europäischen Datenschutzausschusses EDPB vertritt noyb die Auffassung, Nutzer von Informationsseiten dürften nicht gezwungen werden, entweder ein kostenpflichtiges Abo abzuschließen oder zwingend der Nutzung von Cookies zuzustimmen. Viele Medienunternehmen haben zwischenzeitlich ihre Internetseiten dahingehend umgestellt, dass eine sogenannte Cookie-Wall implementiert wurde. Nutzer erhalten damit die Möglichkeit, entweder ein kostenpflichtiges Abo ohne Tracking abzuschließen oder sich im Gegenzug für die kostenfreie Nutzung mit dem Tracking einverstanden zu erklären. Die Leitlinie des EDPB gibt aber nur vor, dass bei einer klassischen Seite nicht die einzige Möglichkeit für den Aufruf die verpflichtende Zustimmung zur Nutzung von Cookies sein darf. Tatsächlich räumt noyb selbst ein, dass die Wahlmöglichkeit für Medienangebote von der österreichischen Aufsichtsbehörde in der Vergangenheit explizit akzeptiert wurde. noyb sagt dazu lapidar:

„Allerdings wurde dieser Fall von einem Laien vor die Behörde gebracht und basiert auf faktisch falschen Annahmen. noyb ist entschlossen, diese Entscheidung zu revidieren.“

Sportlich ist dabei die Argumentation, warum die geforderten Beträge für ein kostenpflichtiges Abo nicht angemessen sind. noyb rechnen insoweit vor, dass die aufgerufenen Beträge unrealistisch wären, weil bei einer hohen Zustimmung die Umsätze der jeweiligen Anbieter um ein Vielfaches über den klassischen Umsätzen liegen würden. Indirekt möchte noyb offensichtlich darauf hinaus, dass für den Verzicht auf Tracking-Technologien nur der Gegenwert verlangt werden darf, den die Daten letztlich wert sind. Diese Diskussion ist aber keine Frage der Freiwilligkeit der Einwilligung, sondern eher die Angemessenheit einer angebotenen Leistung, die der Betroffene nicht auswählen muss. Allenfalls in Fällen eines krassen Missverhältnisses dürfte es im Einzelfall denkbar sein, dass aufgrund der unangemessenen Alternativen wirklich keine echte Einwilligung vorliegt, eine generelle Überprüfung der verschiedenen Angebote durch eine Datenschutzorganisation dürfte dagegen kaum angemessen sein.

Am Beispiel von noyb zeigt sich damit möglicherweise, dass nicht alle gut gemeinten Initiativen den Datenschutz wirklich voranbringen, sondern es sinnvoller sein dürfte, mit Augenmaß und unter Berücksichtigung der konkreten Situation für Datenschutzthemen zu werben.

Autoren

  • Dr. Sebastian Meyer LL.M.

    Rechtsanwalt und Notar mit Amtssitz in Bielefeld

    Fachanwalt für Informationstechnologierecht (IT-Recht)

    Datenschutzauditor (TÜV)


    alle Beiträge ansehen

    über mich