Geschrieben am 05.03.2020 von:
Sabine Pernikas
Rechtsanwältin | Fachanwältin für IT-Recht
zum Profil
Kontaktiere mich:
+49 (0) 6232 – 100119 0
E-Mail senden
Die dänische Datenschutzbehörde „Datatilsynet“ hat sich vor wenigen Tagen in einer Entscheidung zur Nutzung von Cookies auf der Webseite des dänischen meteorologischen Institutes (DMI) geäußert. In der Entscheidung wurde die bisherige Einholung einer Einwilligung für die Nutzung von Cookies für rechtswidrig erklärt. Darin liegt eine weitere Verschärfung der Anforderungen an die Verwendung von Cookies, die richtungsweisenden Charakter haben könnte.
Ausgestaltung des Cookie-Banners
Die Lösung auf der Webseite www.dmi.dk war bisher so ausgestaltet, dass der Nutzer beim Aufrufen der Seite darüber informiert wurde, dass Cookies verwendet werden. Dieser Verwendung konnte der Nutzer durch einen Klick auf eine Schaltfläche mit dem Inhalt „OK“ zustimmen. Wollte er die Verwendung für einzelne oder mehrere Cookies ablehnen, musst er auf die Schaltfläche „Cookie Indstillinger“ (übersetzt: Cookie Einstellungen“) klicken. Hier konnte er im Anschluss die gewünschten Einstellungen insbesondere für die Kategorien „Notwendig“, „Statistik“ und „Marketing“ vornehmen. Notwendige Cookies sind dabei immer zu akzeptieren, während die Verwendung für die übrigen Zwecke entsprechend dem Urteil „Planet 49“ des EuGH nicht vorausgewählt war.
Rechtswidrigkeit des Cookie-Banners
Bei dieser Ausgestaltung sind nach Ansicht der dänischen Datenschutzbehörde drei Punkte rechtswidrig:
Zunächst bemängelt die Behörde, dass keine freiwillige Entscheidung der Nutzer möglich sei. Denn die Einwilligung werde für mehrere Verarbeitungszwecke gleichzeitig eingeholt. Eine freiwillige Entscheidung läge jedoch nur dann vor, wenn sie für jeden Zweck separat erfolgt.
Daneben sei die Lösung rechtswidrig, weil Nutzer keine informierte Einwilligung erteilen können. Diese würden lediglich darüber informiert, dass ihre Daten für die Schaltung eines Werbebanners an AdSense und DoubleClick weitergeleitet werden. Dem Nutzer sei jedoch nicht bewusst, dass diese Dienste zu Google gehören, weshalb eine eventuell erteilte Einwilligung nicht auf einer informierten Entscheidung der Nutzer beruhe. Es gehe aus den bereitgestellten Informationen nicht hinreichend hervor, wer gemeinsam für die Datenverarbeitung verantwortlich ist und an wen die Daten weitergegeben werden. Es müsse aber die Identität des für die Datenverarbeitung Verantwortlichen angegeben werden (hier neben DMI Google). Die Nennung der von Google angebotenen Produkte (wie AdSense) erfülle nicht diese Anforderung.
Zudem liege ein Verstoß gegen Art. 5 Abs. 1 a) DS-GVO vor, da der Grundsatz der Transparenz nicht eingehalten sei. Das begründet die Behörde damit, dass für die Zustimmung zur Nutzung aller Cookies nur ein Klick auf „OK“ nötig ist. Möchte der Nutzer dementgegen die Verwendung der Cookies für bestimmte Zwecke ablehnen, muss er zunächst auf „Einstellungen“ klicken und anschließend die getroffenen Einstellungen speichern. Daher erfordere die Ablehnung der Nutzung von bestimmten Cookies einen größeren Aufwand als die (globale) Zustimmung hierzu, was einen Verstoß gegen Art. 5 Abs. 1 lit. a DS-GVO begründe.
Auswirkungen der Entscheidung
Von der Entscheidung der dänischen Datenschutzbehörde sind Unternehmen außerhalb Dänemarks zunächst nicht betroffen. Allerdings gibt es im Rest der EU immer noch keine klaren Entscheidungen der Datenschutzbehörden zur rechtmäßigen Einwilligung in die Nutzung von Cookies, weshalb die vorliegende Entscheidung durchaus richtungsweisend für künftige Regelungen sein könnte.
Die sehr strengen Anforderungen der dänischen Aufsichtsbehörde an die Zustimmungserklärung werden momentan noch von den wenigsten Webseiten eingehalten. Bei unionsweiter Geltung dieser Grundsätze wäre die Neugestaltung einer Vielzahl von Cookie-Bannern erforderlich.