+49 228 2861 140 60 info@sicoda.de
LG München zur Gestaltung von Cookie-Bannern

LG München zur Gestaltung von Cookie-Bannern

Gestaltung von Einwilligungsbanner hat maßgeblichen Einfluss auf Wirksamkeit von Einwilligungen

Dass es Webseitenbetreiber untersagt ist ohne wirksame Einwilligung der Verbraucher:innen Tracking-Cookies zur Auswertung des Nutzerverhaltens für Werbe- und Analysezwecke einzusetzen und es für die Einholung einer wirksamen Einwilligung maßgeblich auf die Gestaltung des Einwilligungsbanners ankommt zeigt das Urteil des LG München vom 29. November 2022 (Az.: 33 O14776/19).

Das LG München hat mit seinem Urteil dem Webseitenbetreiber eines der nach eigenen Angaben größten Nachrichtenportale Deutschlands untersagt, ohne Einwilligung der Verbraucher:innen Tracking-Cookies zur Auswertung des Nutzerverhaltens für Werbe- und Analysezwecke einzusetzen. Dabei bemängelte das LG München insbesondere die Gestaltung des eingesetzten Einwilligungsbanners.

So öffnete sich nach Aufruf der Webseite zwar ein entsprechendes Einwilligungsbanner, über dass der Webseitenbetreiber eine Einwilligung zur Speicherung von Cookies auf dem Endgerät des Webseitenbesucher sowie zur Auswertung von auf dem Endgerät des Webseitennutzer gespeicherten Informationen für Analyse- und Werbezwecke einholen wollte.  Auf der ersten Ebene bekamen Nutzer jedoch nur die Möglichkeit den Button „Alles akzeptieren“ zu wählen oder über die Schaltfläche „Einstellungen“ eine individuelle Auswahl zu treffen. Eine Möglichkeit „alles abzulehnen“ oder ohne weitere Handlung die Webseite zu nutzen bestand nicht.

Wollten Nutzer nicht in vollem Umfang in Speicherung von Cookies auf Ihrem Endgerät und die Auswertung von bereits auf dem Endgerät gespeicherten Informationen einwilligen, so blieb Ihnen nur die Möglichkeit über das Anklicken auf die Schaltfläche „Einstellungen“ eine individuelle Auswahl zu treffen. Nach Anklicken der Schaltfläche öffnete sich eine zweite Ebene auf der im Rahmen von „Privatsphäre-Einstellungen“ auf über 140 Bildschirmseiten individuelle Einstellungen für mehr als 100 Drittanbieter getroffen werden konnten.

Auf dieser Ebene konnten Nutzer wiederholt den Button „Alles Akzeptieren“ wählen oder über die Schaltfläche „Auswahl speichern“ ihre individuellen Einstellungen speichern.  Zudem bestand auf dieser Ebene für die Nutzer auch die Möglichkeit „alle ablehnen“ auszuwählen. Während die Schaltflächen „Alles akzeptieren“ und „Auswahl speichern“ prominent am unteren Bildschirmrand erschienen und in ihrer Gestaltung deutlich hervorgehoben waren, befand sich die Möglichkeit „alle ablehnen“ klein und durch die blasse Schrift unscheinbar am rechten oberen Bildschirmrand.

Die über das beschriebene Einwilligungsbanner eingeholten Einwilligungen sind nach Auffassung des LG München unwirksam.

Eine Einwilligung im Sinne des Art. 4 Nr. 11 DSGVO sei jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.

Die vom Webseitenbetreiber eingeholten Einwilligungen beruhen jedoch nach Auffassung des Gerichts gerade nicht auf einer freiwilligen Entscheidung der Webseitennutzer.

Freiwillig sei eine Entscheidung nur dann, wenn der Webseitennutzer eine echte Wahl habe und auch ohne Nachteile auf die Erteilung der Einwilligung verzichten könne. Aufgrund des Aufbaus des eingesetzten Einwilligungsbanners sei dies für den Webseitennutzer jedoch nicht möglich. Dass die Möglichkeit der Ablehnung besteht sei für den Webseitennutzer zum einen schwer erkennbar und zum anderen mit einem entsprechenden Mehraufwand verbunden. Insbesondere der Umstand, dass die Schaltfläche „Alles akzeptieren“ durch Größe und Gestaltung entsprechend hervorgehoben ist während die die Möglichkeit „alle ablehnen“  nur unscheinbar an anderer Stelle  zu finden ist, spreche dafür, dass die Entscheidung des Webseitenbesuchers allein durch die Gestaltung beeinflusst werden soll und damit kein echt Wahlrecht des Webseitennutzers mehr besteht.

Webseitenbetreibern ist daher anzuraten Ihre Einwilligungsbanner noch einmal darauf hin zu überprüfen, ob diese den gesetzlichen Anforderungen, die das LG München in seinem Urteil herausgestellt hat genügen.

Instagram muss Nutzerdaten bei Persönlichkeitsrechtsverletzung herausgeben

Instagram muss Nutzerdaten bei Persönlichkeitsrechtsverletzung herausgeben

Das OLG Schleswig-Holstein hat entschieden, dass Instagram dem Geschädigten bei einer strafrechtlich relevanten Persönlichkeitsrechtsverletzung Auskunft über E-Mail-Adresse und Telefonnummer des Nutzers geben muss.

In dem Rechtsstreit ging es um eine minderjährige Instagram Nutzerin, die auf einem nicht von ihr erstellten Profil auf eine sexualisierte Weise dargestellt wurde. Sie hat bei Instagram die Erteilung einer Auskunft über die vorhandenen Bestandsdaten des Profilerstellers beantragt, da ihr nicht bekannt war, von wem dieses Konto erstellt wurde.

Die Richter erkannten den Auskunftsanspruch nach § 21 Abs. 2, Abs. 3 TTDSG an. Das Gericht ist der Auffassung, dass es sich bei § 21 TTDSG um eine Rechtsvorschrift im Sinne des Art. 6 Abs. 4 DS-GVO handelt. Damit sind derartige Rechtsvorschriften der Mitgliedstaaten gemeint, die in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zum Schutz der in Art. 23 Abs. 1 DS-GVO genannten Ziele darstellen. Gemäß Art. 23 Abs. 1 lit. j) DS-GVO kann eine solche Maßnahme für die Durchsetzung zivilrechtlicher Ansprüche herangezogen werden.

Ein Anbieter von Telemedien ist nach § 21 Abs. 2 TTDSG verpflichtet, Auskunft über bei ihm vorhandene Bestandsdaten zu erteilen, soweit dies zur Durchsetzung zivilrechtlicher Ansprüche wegen der Verletzung absolut geschützter Rechte notwendig ist. Da die Antragstellerin minderjährig war und den Eindruck hervorgerufen wurde, sie sei an sexuellen Kontakten interessiert, ist der Tatbestand der Beleidigung im Sinne des § 185 StGB erfüllt, denn sie wurde in der öffentlichen Meinung herabgewürdigt. Demnach wurden ihre absolut geschützte Rechte rechtswidrig verletzt. Die Nutzerin ist auf die Auskunft von Instagram angewiesen, weil sie nicht weiß, wer das Nutzerkonto erstellt hat und keine andere Möglichkeit hat es herauszufinden. Allerdings umfasst die Auskunft nach § 21 Abs. 2 TTDSG nur die vorhandenen Bestandsdaten, nicht aber die Nutzungsdaten.

Google Analytics verstößt (in Österreich) gegen die DS-GVO

Google Analytics verstößt (in Österreich) gegen die DS-GVO

Google Analytics verstößt gegen die DS-GVO

Wir möchten Sie über aktuelle Medienberichte (z.B. Heise) zur Nutzungsmöglichkeit von Google Analytics informieren:

Nach Ansicht der Datenschutzbehörde der Republik Österreich verstößt die Verwendung von Google Analytics gegen die DS-GVO.

Obwohl die österreichische Behörde die Verwendung von Google Analytics für unzulässig hält, hat sich dieser Auffassung bisher keine deutsche Behörde angeschlossen.

Selbst wenn sich diese Auffassung auch in Deutschland festigen sollte, wäre Google Analytics weiterhin mit einer rechtskonformen Einwilligung der Nutzer möglich.

Unsere Bewertung der Meldung:

Nach der aktuell veröffentlichten Entscheidung der Datenschutzbehörde der Republik Österreich verstößt die Nutzung von Google Analytics auf Webseiten gegen Art. 44 DS-GVO.

Die Entscheidung wird u. a. damit begründet, dass die durch Google Analytics verarbeiteten personenbezogenen Daten (z. Bsp. einzigartige Nutzer-Identifikations-Nummern, IP-Adresse und Browserparameter) in den USA verarbeitet werden und damit der Überwachung durch US-Geheimdienste unterliegen.

Die österreichische Behörde führt zur weiteren Begründung ihrer Entscheidung an, dass die  Überwachung durch US-Geheimdienste nicht durch vertragliche Regelungen zwischen einem Webseitenbetreiber und Google ausgeschlossen werden kann. Von daher wird das von Art. 44 DS-GVO geforderte Schutzniveau bei einer Verarbeitung außerhalb der EU nicht eingehalten, so dass eine Verarbeitung von personenbezogenen Daten durch Google Analytics gegen die DS-GVO verstoße.

Neben der Datenschutzbehörde der Republik Österreich wird auch eine Entscheidung durch die niederländische Behörde für persönliche Daten zu der Zulässigkeit der Verwendung von Google Analytics auf Webseiten bzw. Apps erwartet.

In Deutschland befasst sich gerade der bayerische Landesbeauftragte für den Datenschutz mit einer identischen Prüfung zur Vereinbarkeit der Nutzung von Google Analytics. Eine Entscheidung dazu liegt z. Zt. noch nicht vor.

Ohne eine Stellungnahme durch eine deutsche Behörde oder ein deutsches Gericht hat die österreichische Entscheidung keine Rechtswirkung für die Datenverarbeitung in Deutschland.

Nach den bisherigen Stellungnahmen der deutschen Aufsichtsbehörden zu einer Verarbeitung von personenbezogenen Daten außerhalb der EU und insbesondere in den USA, muss damit gerechnet werden, dass sich die deutschen Aufsichtsbehörden ebenfalls gegen die Zulässigkeit einer Verwendung von Google Analytics ohne Einwilligung der Nutzer, aussprechen werden.

Ausblick:  Sollte in Zukunft eine derartige Entscheidung in Deutschland erfolgen ist eine Nutzung von Google Analytics weiterhin mit der Einwilligung der Webseitenbesucher DS-GVO zulässig.  Sie müssten dann lediglich in der Datenschutzerklärung den Hinweis zu Google Analytics um einen Passus zur möglichen Verarbeitung dieser Daten in den USA durch Geheimdienste erweitern. Hierzu gibt es von den deutschen Aufsichtsbehörden keine verbindlichen Vorgaben oder Orientierungshilfen. Sollten Sie bereits jetzt Maßnahmen vorsorglich ergreifen wollen, können Sie uns natürlich jederzeit für Text- und Umsetzungsvorschläge kontaktieren.

Wir halten die Entwicklung aufmerksam im Auge und werden Sie bei deutschen Stellungnahmen oder Urteilen sofort informieren.

Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien

Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien

Die Änderung des TTDSG zum 01.12.2021 hat die Anpassung der Orientierungshilfe für Anbieter von Telemedien erforderlich gemacht. Die Orientierungshilfe ist unter folgendem Link abrufbar: https://datenschutzkonferenz-online.de/media/oh/20211220_oh_telemedien.pdf

Zusammenfassung

  • Das Einwilligungsbanner muss beim ersten Öffnen der App oder der Webseite angezeigt werden.
  • Es darf zu diesem Zeitpunkt noch kein Cookie geschrieben werden.
  • Der Nutzer muss über die geplante Datenverarbeitung informiert werden.
  • Die Zustimmung muss durch aktive Handlung (anklicken) erfolgen.
  • Es muss eine gleichwertige Möglichkeit zum Ablehnen der Cookies geben.
  • Die Einwilligung darf jederzeit widerrufen werden.

Empfehlung

Der Cookie Banner sollte umgehend geprüft und ggf. textlich und optisch angepasst werden.

Was sind die wesentlichen Punkte der Orientierungshilfe?

Anwendungsbereich TTDSG

Das Telekommunikations-Telemedien-Datenschutz-Gesetz ist für den Bereich der Telekommunikations- und Telemediendienste der Datenschutzgrundverordnung vorrangig (Art. 95 DS-GVO). Nur dann, wenn das TTDSG keine Regelung trifft, sind diese aus der DS-GVO heranzuziehen.

Adressat des TTDSG

Das TTDSG richtet sich an natürliche und juristische Personen, die eigene oder fremde Telemedien- und Telekommunikationsleistungen erbringen. Der Anwendungsbereich ist damit auf die Dienstleister, insbesondere die Auftragsverarbeiter, ausgeweitet worden.

Schutzbereich des TTDSG

Das TTDSG schützt die Privatsphäre und die Vertraulichkeit bei der Nutzung der Endeinrichtung (im Sinne von Art. 7 GRCh). Als Endeinrichtung werden nach der Legaldefinition des § 2 Abs. 2 Nr. 6 TTDSG alle Geräte angesehen, die eine Schnittstelle zu öffentlichen Kommunikationsnetzen aufweisen. Hierzu zählen neben dem bekannten Computer, dem Smartphone oder Tablet auch die intelligenten Geräte wie ans Internet angebundene Fernseher oder Radios, aber auch Heizungsthermostate, Überwachungskameras oder Connected Cars (Autos).

Das TTDSG schützt jeglichen speichernden oder lesenden Zugriff auf Informationen im Endgerät. Dies kann sogar dann schon der Fall sein, wenn der Gerätehersteller automatische Updates einspielen will.

Ausnahme: Wenn z.B. Browser-Header Informationen aufgrund der Einstellungen des Endgeräts an den Dienst übermittelt werden, liegt kein unter das TTDSG fallender “Zugriff” auf das Endgerät vor. In der normalen Internetkommunikation senden Browser entsprechend des im W3C definierten Standards RFC 2616 Daten an den Webserver (Beispiels Log).

Es ist nicht erfoderlich, dass es sich bei diesen Daten um “personenbezogene Daten” im Sinne des Art. 4 Abs. 1 DS-GVO handelt.

Die DSK weist noch einmal deutlich darauf hin, dass das TTDSG nur die Datenverarbeitung auf dem Endgerät regelt. Sollen personenbezogene Daten darüber hinaus auch analysiert werden, was in der Praxis sicherlich der Normalfall ist, unterliegt diese Datenverarbeitung der DS-GVO. Die Analyse der Daten ist nur dann zulässig, wenn sich die Einwilligung auf dem Endgerät auch auf die nachträgliche Auswertung bezieht. Dies ergibt sich laut DSK aus der in Art. 5 Abs. 2 DS-GVO verankerten Rechenschaftspflicht.

Datenverarbeitung ohne Einwilligung

Die Datenverarbeitung ohne Einwilligung ist nach § 25 Abs 2 TTDSG auf zwei Fälle beschränkt. Die Datenverarbeitung muss zwingend erforderlich sein für die Durchführung der Übertragung einer Nachricht oder zur Zurverfügungstellung eines Telemediendienstes. Die DSK geht bei der Auslegung so weit, dass ein Warenkorb Cookie nur dann zwingend erforderlich ist, wenn der Nutzer auch Waren in diesen Warenkorb gelegt hat. Der Umstand, dass auf der Seite ein Shop integriert ist, reicht noch nicht aus, um den Warenkorbcookie auszuspielen. Darüber hinaus stellt die DSK strenge Anforderungen an den Inhalt des Cookies. So sind nach dieser Auffassung eindeutige Identifier nur zulässig, wenn dies auch für die Funktion erforderlich sei. Spracheinstellung oder Bildschirmfarbe könnten auch ohne einen Identifier gespeichert werden.

Datenverarbeitung mit Einwilligung

Die DSK ist im TTDSG im Grundsatz der Einwilligungsbedürftigkeit formuliert. Das TTDSG stellt keine weiteren Anforderungen an die Einwilligung und verweist auf die DS-GVO. Wesentliche Kriterien der Einwilligung sieht die DSK in

  • Eindeutigkeit der bestätigenden Handlung
  • ausreichende Information bezogen auf den Einzelfall
  • im richtigen Zeitpunkt
  • freiwillig
  • mit Widerrufsmöglichkeit

Eindeutige, bestätigende Einwilligung

Vor dem ersten Zugriff auf das Endgerät muss die Einwilligung bereits erteilt sein. Die DSK stellt fest, dass ein “weitersurfen”, “runterscrollen” oder vorbelegte Checkboxen keine bestätigende Einwilligung ist und verweist richtiger Weise auf das Plante 49 Urteil des BGH. Untätigbleiben und Stillschweigen sind im Anwendungsbereich der DS-GVO keine wirksamen Erklärungen.

Das Anklicken einer “designierten” Schaltfläche in einem Banner reicht indes aber aus.

Informationen bei der Einwilligung

Die Einwilligung muss für den Nutzer die Information zur Datenverarbeitung für jeden Einzelfall klar verständlich bereithalten. Hierbei muss insbesondere darauf geachtet werden, dass die Einwilligung zur Datenspeicherung und zum Zugriff nach TTDSG noch nicht die Einwilligung für die nachgelagerte Verarbeitung nach DS-GVO abdecken. So ist eine Formulierung “Wir setzen auf dieser Webseite Cookies ein.” nicht ausreichend. Es muss vielmehr auch auf die nachgelagerte Verarbeitung der so gewonnenen Daten hingewiesen werden.

Es ist zwar möglich, die Einwilligungserklärung mehrschichtig zu gestalten, aber es muss zum Zeitpunkt der Einwilligungserklärung sichergestellt sein, dass der Nutzer alle relevanten Informationen hatte. Wenn also im Cookie Banner ein “alles akzeptieren” Button bereitsteht, müssen auch die notwendigen Informationen zur Datenverarbeitung bereits im Cookiebanner enthalten sein. Dies wird in der Praxis schon aus Platzgründen schwierig werden.

Freiwilligkeit der Einwilligung

Die DSK diskutiert die Frage der Freiwilligkeit und deren Einwilligung sehr umfassend und kommt zu der aus unserer Sicht streitbaren Meinung, dass Webseitenbetreiber ihre Angebote auch dann anbieten müssen, wenn der Nutzer dem Targeting nicht zustimmt. Cookiewalls, die ohne Zustimmung zu den Cookies den Inhalt unzugänglich machen, sind laut DSK unzulässig, da sie gegen den Grundsatz der Freiwilligkeit verstoßen. Wir sehen hier einen erheblichen Eingriff in die Privatautonomie der Webseitenbetreiber, der so auch nicht ohne weiteres zu rechtfertigen ist.

Ablehnen Button

Die DSK fordert, dass ein Ablehnen Button auf gleicher Ebene zu finden sein muss wie der Akzeptieren Button. Sollte der Ablehnen Button auf einer tieferen Ebene liegen als der “alles akzeptieren” Button, liege hierin ein Verstoß gegen die Freiwilligkeit, da der Nutzer vom Webseitenbetreiber davon abgehalten werde, diese Option zu wählen. Es gebe für dieses Vorgehen keinen sachlichen Grund und daher sei darin ein Verstoß gegen Treu und Glauben gemäß Art. 5 Abs. 1 a DS-GVO zu sehen.

Weitere Quellen

https://www.golem.de/news/orientierungshilfe-zu-ttdsg-nutzer-muessen-cookies-direkt-ablehnen-koennen-2112-161966.html?utm_source=nl.2021-12-22.html&utm_medium=e-mail&utm_campaign=golem.de-newsletter

Die Landesbeauftragte für den Datenschutz Niedersachsen mit Zusammenfassung

TTDSG tritt in Kraft

TTDSG tritt in Kraft

Mit Wirkung zum 01.12.2021 wird das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) in Kraft treten.

Grundsätzlich setzt der Gesetzgeber mit dem TTDSG eine seit vielen Jahren unerledigte Anpassung der EU-ePrivacy-Richtlinie 2009/136 in deutsches Recht um.

Mit dem TTDSG werden auch die Datenschutzbestimmungen des Telekommunikationsgesetz (TKG) und des Telemediengesetz (TMG) zusammengefasst.

Welche Auswirkungen hat das TTDSG für Ihr Unternehmen?

Das TTDSG enthält eine Vielzahl von Regelungen für Anbieter von Telemedien (Webseiten und Apps). Für Ihr Unternehmen ist datenschutzrechtlich jedoch allein § 25 TTDSG relevant.

§ 25 TTDSG hat unmittelbare Auswirkungen auf Ihre Webseite.

Im Rahmen des Betriebs Ihrer Webseite müssen Sie weiterhin, wie auch nach dem im letzten Jahr durch den Bundesgerichtshof entschiedenen Planet49-Urteil (AZ: I ZR 7/16 vom 28.05.2020), jegliche Verarbeitung von Webseitenbesucherdaten von einer ausdrücklichen, freiwilligen und informierten Einwilligung des jeweiligen Webseitenbesuchers (Nutzers) abhängig machen.

Eine Analyse der Daten Ihrer Webseitenbesucher oder eine Übermittlung dieser Daten an Dritte (Google Analytics, Youtube, Google Maps, usw.) ohne Einwilligung des jeweiligen Webseitenbesuchers ist auch nach § 25 TTDSG weiterhin rechtswidrig. Neben der einwilligungsgebundenen Analyse der Nutzungsdaten Ihrer Webseitenbesucher bestimmt § 25 TTDSG auch, dass ein Zugriff auf das Endgerät eines Nutzers unter dem Vorbehalt der Einwilligung des jeweiligen Nutzers steht. Nutzungsanalysen, die z. Bsp. auf das Endgerät eines Nutzers (z. Bsp. mit einem Java-Skript) zugreifen, stehen damit ebenfalls unter dem Vorbehalt einer wirksamen Einwilligung des jeweiligen Nutzers.