Am 05.05.2020 hat der Europäische Datenschutzausschuss (EDSA) seine Leitlinie zur Einwilligung bei Internetseiten aktualisiert. Diese kann bereits in englischer Sprache hier eingesehen werden. In der Leitlinie weist der EDSA erneut darauf hin, dass der Zugang zu einer Webseite nicht davon abhängig sein darf, ob ein Besucher Cookies akzeptiert oder nicht. Auch die einfache Weiternutzung oder der einfache Klick auf „OK“ im Cookie-Banner stellt keine wirksame Einwilligung im Sinne der DSGVO dar. Durch diese Aktualisierung wird das vom EuGH getroffene Urteil vom 01.10.2019 nochmals besonders stark hervorgehoben.
Cookies sind kleine Textdateien, die bei einem Webseitenaufruf auf dem Computer des Besuchers gespeichert werden. Aufgrund diverser ID-Nummern, welche in Cookies enthalten sind, können Webseitenbesucher bei einem erneuten Aufruf der Internetseite identifiziert werden. Cookies enthalten also unter Umständen personenbezogene Daten und müssen daher im Sinne der DSGVO berücksichtigt werden.
Viele Webseiten enthalten noch immer einen Cookie-Banner, auch Cookie-Wall genannt, welche lediglich eine einfache „OK“-Schaltfläche bieten oder einen reinen Hinweis der Cookie Nutzung aufzeigen.
„Wenn Sie diese Webseite nutzen, stimmen Sie der Aktivierung von Cookies zu“
„Diese Internetseite verwendet Cookies. [OK-Schaltfläche]“
Cookie-Banner mit solchen oder ähnlichen Texten stellen keine wirksame Einwilligung im Sinne der DSGVO dar. Auch der EDSA stellt klar, dass es hierbei an einer eindeutig bestätigten Handlung fehlt. Solche „Cookie-Walls“ widersprechen dem Aspekt der Freiwilligkeit und verstoßen somit gegen die Datenschutzgrundverordnung. Mögliche Auswahlfelder für die Nutzung von technisch nicht notwendigen Cookies müssen explizit vom Webseitenbesucher gesetzt werden und dürfen standardmäßig nicht aktiv sein.
Unzureichende Cookie-Banner auf Webseiten dürfen im Datenschutz nicht unterschätzt werden. Dies zeigt ein bereits bestehendes Urteil, bei dem die spanische Aufsichtsbehörde ein Bußgeld in Höhe von 30.0000 € verhängt hat, weil ein Webseitenbetreiber seine Cookie-Einwilligung nicht datenschutzgerecht umgesetzt hatte.
„The Spanish Data Protection Agency (AEPD) has sanctioned Vueling Airlines with 30,000 euros for not giving users the ability to refuse their cookies and force them to use them if they want to browse its website. In other words, it was not possible to browse the Vueling page without accepting their cookies.“ Quelle: https://www.enforcementtracker.com/
Bei diesem Urteil handelt es sich um einen Vorfall aus Spanien. Man kann deshalb aber nicht ausschließen, dass deutsche Unternehmen nicht auch mit einem gleichen oder sogar höheren Bußgeld rechnen müssen.
Die aktualisierte Leitlinie der EDSA und das Zitat des deutschen Bundesbeauftragten für Datenschutz und die Informationsfreiheit Professor Ulrich Kelber machen dies deutlich:
„Es gibt immer noch Internetseiten, die durch Ihren Aufbau den Nutzenden Tracking aufdrängen. Die aktualisierten Leitlinien machen erneut deutlich, dass Einwilligungen nicht erzwungen werden können. […] Ich wünsche mir, dass Verantwortliche daraus die richtigen Schlüsse ziehen und endlich datenschutzfreundliche Alternativen anbieten.“
Au Sie wollen das Risiko für ein DSVO-Bußgeld in Ihrem Unternehmen vermeiden? Wir unterstützen Sie gerne bei der Prüfung Ihrer Webseite auf DSGVO-Konformität. Wir prüfen neben dem korrekten Einsatz von Cookies der entsprechenden Cookie-Einwilligung auch weitere datenschutzrechtliche und technische Aspekte. Kontaktieren Sie uns gerne.
Unser Team – Ihr Vorteil | Hier stellen wir uns vor.
Unser Team besteht aus erfahrenen Juristen, Webspezialisten, IT-Experten, zertifizierten Datenschutz- und Informationssicherheitsbeauftragten. Mit unserer Erfahrung, Expertise und erprobten Verfahren, helfen wir Unternehmen, praxisnahe Lösungen im Bereich Datenschutz und Informationssicherheit zu finden. So helfen wir beispielsweise bei der Umsetzung der DSGVO oder der Einführung von Informationssicherheitsmanagementsystemen (ISMS).