Schlagwort: Einwilligung

Anforderungen an Cookie-Banner

Anforderungen an Cookie-Banner

In seinem Urteil vom 15.09.2020 trifft das Landgericht Rostock Urteil vom 15.09.2020, Az.: 3 O 762/19 (noch nicht rechtskräftig) weitere Aussagen zu Anforderungen an Cookie-Banner.

 

bisherige Rechtsprechung und Entwicklung

Aufgrund der bisherigen Rechtsprechung des EuGH (Urteil vom 01.10.2019 - C-673/17) und BGH (Urteil vom 28.05.2020, I ZR 7/16) war bereits geklärt, dass

 
- für nicht technisch-notwendige Cookies eine aktive, ausdrückliche Einwilligung erforderlich ist
- voreingestellte Ankreuzkästchen dabei nicht erlaubt sind.

 
In der Praxis haben sich Cookie-Banner bzw, Consent-Layer etabliert, in welchen der Button für die Zustimmung farbig hervorgehoben ist. Dagegen findet sich meist ein Button für die Ablehnung der nicht notwendigen Cookies, welcher meist unscheinbar und frau daher kommt. Hierdurch sollen die Nutzer zur Einwilligung verleitet werden, ohne sich weiter mit den Einzelheiten befassen zu müssen.

Keine wirksame Einwilligung

Im konkreten Fall ging es vor dem Landgericht Rostock um folgenden Cookie-Banner:

 

Anforderungen an Cookie-Banner

Das Landgericht sah hierin keine wirksame Einwilligung. Hierzu führte es wie folgt aus:

 
„Eine wirksame Einwilligung ist […] mit dem nunmehr verwendeten Cookie-Banner nicht möglich. Denn auch bei diesem sind sämtliche Cookies vorausgewählt und werden durch Betätigung des grün unterlegten „Cookie zulassen ‚-Buttons „aktiviert“. Damit entspricht die Gestaltung des Cookie-Banners grundsätzlich der Gestaltung in dem durch den BGH entschiedenen Fall. Zwar hat der Verbraucher die Möglichkeit sich die Details anzeigen zu lassen und einzelne Cookies abzuwählen. Tatsächlich wird der Verbraucher jedoch regelmäßig den Aufwand eines solchen Vorgehens scheuen und deshalb den Button ohne vorherige Information über die Details betätigen. Damit weiß der Verbraucher aber gerade nicht, welche Tragweite seine Erklärung hat.

 
Der Umstand, dass der Nutzer bei dem nun verwendeten Cookie-Banner auch die Möglichkeit hat, über den Bereich „Nur notwendige Cookies verwenden“ seine Einwilligung auf technisch notwendige Cookies zu beschränken, ändert an der Beurteilung nichts. Insoweit ist festzuhalten, dass dieser Button gar nicht als anklickbare Schaltfläche zu erkennen ist. Zudem tritt er auch neben dem grün unterlegten und damit als vorbelegt erscheinenden „Cookie zulassen“-Button in den Hintergrund. Diese Möglichkeit wird von einer Vielzahl der Verbraucher deshalb regelmäßig gar nicht als gleichwertige Einwilligungsmöglichkeit wahrgenommen werden. Daran ändert auch der Einleitungstext nichts, da dieser bereits nicht darüber aufklärt, welche Cookies wie vorbelegt sind und damit durch welchen Button, welche Cookies „aktiviert“ werden.“

 

Anforderungen an Cookie-Banner – Hinweise der Aufsicht

Zuletzt hatte die niedersächsische Aufsichtsbehörde Hinweise zur datenschutzkonformen Einwilligungen auf Webseiten und zu Anforderungen an Cookie-Banner veröffentlicht. Diese können hier heruntergeladen werden.

 
Auch nach Auffassung der Behörde sind der Beeinflussung des Nutzerverhaltens (sogenanntes Nudging) Grenzen gesetzt, so dass eine verhaltensmanipulierende Ausgestaltungen zu einer Unwirksamkeit der Einwilligung führen können.

 
Häufige Fehler sind nach Auffassung der Behörde auch:

 
- nicht konkret genug beschriebene Verarbeitungszwecke (wie z.B. nur „im Ihr Surferlebnis zu verbessern“ oder „um Webanalyse durchzuführen“)
- der fehlende Hinweis auf das Widerrufsrecht auf der ersten Ebene des Consent-Layer
- unklare Bezeichnung der Schaltfläche für Zustimmung (wie z.B. „Alle akzeptieren“)

 
Ein weiteres Problem ist oft die fehlende Umsetzung des einfachen Widerrufs

Sofern ein Consent-Fenster eingesetzt wird, sollte dem Nutzer eine leicht auffindbare Möglichkeit gegeben werden, dieses jederzeit wieder öffnen und seine zuvor vorgenommenen Einstellungen ändern zu können. Hierfür bietet es sich zum Beispiel an, im Header oder Footer der Webseite, wo regelmäßig das Impressum und die Datenschutzhinweise zu finden sind, einen Link auf den Consent-Layer einzufügen, der zum Beispiel „Datenschutz-Einstellungen“ heißen könnte. Eine andere Alternative ist, diesen Link in den Datenschutzhinweisen einzubinden.

 
Rechtsanwalt Robert Harzewski

Widerruflichkeit der Einwilligung

Ein Mausklick kommt selten allein

Auf die Widerruflichkeit der Einwilligung muss vor Abgabe hingewiesen werden. Die Ausübung des Widerrufs muss dabei so einfach wie die Erteilung sein (Art. 7 Abs. 3 S. 4 DSGVO).

Nach Ansicht des EDPB muss der Widerruf nicht durch die gleiche Aktion erfolgen. Wenn die Zustimmung aber auf elektronischem Wege durch einen Mausklick, ein Wischen oder einen Tastendruck eingeholt wird, dann muss der Betroffene seine Einwilligung in gleicher Weise widerrufen können. Demnach ist auch ein Verweis auf ein anderes Medium oder eine andere Schnittstelle unzulässig. Wird die Einwilligung also per Mausklick eingeholt, dann kann deren Widerruf nicht per E-Mail, Fax oder durch einen Anruf verlangt werden.

Rechtsanwalt Robert Harzewski

Einwilligung

Kein Zurück von der Einwilligung

Häufig wird eine Einwilligung von Betroffenen eingeholt, obwohl für die entsprechende Verarbeitung eine andere Rechtsgrundlage zur Verfügung steht. Auf diese Praxis sollte dringend verzichtet werden.

Denn nach Ansicht des Gremiums der europäischen Datenschutzaufsichtsbehörden (EDPB) ist es nicht zulässig, zwischen den Rechtsgrundlagen zu wechseln. Auch nach Auffassung der deutschen Aufsichtsbehörden verbietet sich ein Rückgriff auf eine andere Rechtsgrundlage, wenn z.B. eine zusätzlich eingeholte Einwilligung widerrufen wird. Dieser soll nach dem Grundsatz der Transparenz und Fairness unzulässig sein.

Widerruft ein Betroffener also seine Einwilligung oder ist diese nicht wirksam, so ist die entsprechende Verarbeitung vom Verantwortlichen einzustellen. Problematisch ist dies dann, wenn der Verantwortliche aber noch zur Verarbeitung vertraglich (Art. 6 Abs. lit. b DSGVO) oder gesetzlich (Art. 6 Abs. lit. c DSGVO) verpflichtet ist.

Beispiel: Die Mustermann GmbH lässt ihre Beschäftigten eine Einwilligung unterzeichnen, dass dienstliche E-Mails gespeichert werden dürfen. Ein Mitarbeiter widerruft seine Einwilligung. Nach Art. 6 Abs. 1 lit. c DSGVO iVm. mit § 257 Abs. 1 Nr. 2, 3, Abs. 4 HGB müssen jedoch Handelsbriefe 6 Jahre aufbewahrt werden. Die Mustermann GmbH kann daher ihrer gesetzlichen Aufbewahrungspflicht nicht nachkommen, da ein Wechsel der Rechtsgrundlage im Nachhinein nicht möglich ist.

Ich empfehle daher, mithilfe des Verarbeitungsverzeichnisses zu überprüfen, ob bestehende Einwilligungen durch andere Rechtsgrundlagen ersetzt werden können.

Die Guidelines 05/2020 on consent under Regulation 2016/679 des EDPB, abrufbar in englischer Sprache unter https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_202005_consent_en.pdf

Rechtsanwalt Robert Harzewski

Kundenfotos zu Werbezwecken bei Facebook

Leitsatz:

Sowohl nach dem Kunsturhebergesetz, als auch nach der Datenschutzgrundverordnung ist eine Einwilligung zur Veröffentlichung von Kundenfotos zu Werbezwecken notwendig. Es kann daher offen bleiben, ob das Kunsturhebergesetz überhaupt noch anzuwenden ist. In jedem Fall können im Rahmen des Art. 6 Abs. 1 lit. f DSGVO die Grundsätze des Kunsturhebergesetz und der dazu ergangenen Rechtsprechung in die Abwägung der Interessen und Grundrechte einzubeziehen sein.
 
Gericht: : Landgericht Frankfurt am Main, Urteil vom 13. September 2018
Aktenzeichen: 2-03 O 283/18

 

Was war passiert?

Eine Frau besuchte einen Frisörsalon mit dem Ziel sich die Haare verlängern zu lassen. Im Laufe dieser Prozedur wurde die Kundin von einem Ihr unbekannten Mann fotografiert und gefilmt. Daraufhin stellte die Frau fest, dass der Salonbetreiber sowohl Fotos, als auch ein Video, auf dem die Frau eindeutig zu erkennen ist, auf seiner Facebookseite hochgeladen hatte. Die Kundin sah darin eine Verletzung ihres Persönlichkeitsrechts.
 

Entscheidung:

Das Gericht entschied, dass der Salonbetreiber das Video und die Kundenfotos zu Werbezwecken nicht öffentlich zur Schau stellen darf. Sowohl nach dem Kunsturhebergesetz, als auch nach der Datenschutzgrundverordnung ist die Einwilligung des Gefilmten zur Veröffentlichung notwendig. Eine wirksame Einwilligung konnte der Salonbetreiber jedoch nicht nachweisen.

Das Kunsturhebergesetz lässt allerdings Ausnahmen zu, in denen eine solche Einwilligung entbehrlich ist. Eine solche Ausnahme liegt zum Beispiel bei Bildnissen aus dem Bereich der Zeitgeschichte vor. Diese war bei dem veröffentlichten Video im Friseursalon jedoch nicht gegeben. Da auch keine anderen Ausnahmen greifen, war die Einwilligung in die Aufnahme von Kundenfotos zu Werbezwecken gerade nicht entbehrlich.

Auch die Datenschutzgrundverordnung lässt Ausnahmen für das Erfordernis der Einwilligung zu. So kann die Verarbeitung der Kundenfotos zu Werbezwecken rechtmäßig sein, wenn sie zur Wahrung berechtigter Interessen des Betreibers nach Art. 6 Abs. 1 lit. f DSGVO erforderlich ist. Voraussetzung ist jedoch, dass diese die Interessen oder Grundrechte und Grundfreiheiten der gefilmten Person überwiegen. Bei der zutreffenden Abwägung können die Grundsätze des Kunsturhebergesetz und der dazu ergangenen Rechtsprechung in die Abwägung einzubeziehen sein. Das Gericht entschied jedoch, dass die Interessen an der Unterlassung der Verarbeitung der Kundenfotos zu Werbezwecken überwiegen. Das filmische Festhalten des Salonbesuchs und das Anfertigen von Kundenfotos zu Werbezwecken widersprechen zudem den vernünftigen Erwartungen eines Kunden.

Die Veröffentlichung der Fotos und des Videos erfolgte daher in rechtswidriger Weise.
 

Rechtsanwalt Robert Harzewski

05/19-Datenschutz als Jahrhundertaufgabe

Jahrhundertaufgabe Datenschutz

Aus Hamburg gibt es den 27. Tätigkeitsbericht, welcher hier (PDF) heruntergeladen werden kann.

In der begleitendenden Pressemitteilung wird das Thema Datenschutz sogar als Jahrhundertaufgabe bezeichnet. Angesichts des Aufwandes von 500 Jahren Arbeitszeit, welche Google in die Umsetzung der DSGVO investiert haben will, aber auch der Aufwände für kleinere Unternehmen, ist das sicher keine Übertreibung.
Der Bericht spricht überraschend deutlich an, dass die Vorschriften der DSGVO nur bedingt in der Lage sind, eine klare Umsetzungspraxis zu gestalten. Die Vielzahl an Aufsichtsbehörden erschwere zudem eine gemeinsame Verabschiedung von Leitlinien und Standpunkten. Es sei daher insgesamt davon auszugehen, dass sich die Kluft zwischen Sein und Sollen in Zukunft noch vertiefen werde. Zumindest der Hamburgische Beauftragte für Datenschutz plant deswegen zunächst keine anlassunabhängigen Prüfungen bei kleinen Unternehmen und Vereinen.

 

Bußgeld wegen Verstoßes gegen Zweckbindung

Wegen des Verstoßes gegen die Zweckbindung bei der Verarbeitung personenbezogener Daten verhängte die Aufsichtsbehörde in Baden-Württemberg ein Bußgeld von 2.500,00 Euro gegen den früheren Juso-Landeschef (https://www.baden-wuerttemberg.datenschutz.de/lfdi-baden-wuerttemberg-verhaengt-bussgeld-gegen-frueheren-juso-landeschef/). Dieser hatte eine Liste aller 168 Delegierten eines Parteitages im Vorfeld an etwa zehn Vertraute gesendet, um sich ein Bild über das zu erwartende Abstimmungsverhalten zu einem Antrag zu machen. Die Liste hätte jedoch nur für die organisatorische Abwicklung des Parteitages, nicht aber zur innerparteilichen Meinungsbildung, verwendet werden dürfen.

 

Neues Kurzpapier zur Einwilligung

Die Datenschutzkonferenz hat ihr Kurzpapier Nr. 20 zum Thema Einwilligung veröffentlicht. Dieses beschäftigt sich vor allem mit der spannenden Frage, in welchen Fällen Alt-Einwilligungen fortgelten. Das Kurzpapier kann hier abgerufen werden.