Datenschutz-Tipps: „Cookies ablehnen“-Button jetzt erforderlich?

Hallo %FIRSTNAME% ?,

nun sitze ich hier. In der Kanzlei. Seit 05:24 Uhr. Während der Rest der Familie dank begonnener Weihnachtsferien noch in den Bettchen schlummert, schreibe ich seit 05:32 Uhr E-Mails. Es sind die letzten E-Mails an Mandantinnen in diesem Jahr. Das hoffe ich zumindest. Eigentlich wollte ich die letzten Mandantinnen-E-Mails schon am Montag geschrieben haben, um mich dann anderen Dingen zu widmen. Aber da kamen mir die deutschen Aufsichtsbehörden für den Datenschutz dazwischen.

Übrigens… falls du Mitarbeiterin oder Mitarbeiter einer Aufsichtsbehörde bist: Es ist nicht nett, so kurz vor Weihnachten mit voluminösen Dokumenten um die Ecke zu kommen, die uns in Kanzleien und sonstigen Datenschutzberatungsunternehmen dazu nötigt, hier noch einmal die Mandantinnen mit ad-hoc-Infos vor den „Feiertagen“ beglücken zu müssen. Und dort müssen dann noch einigen Personen herumwirbeln und ggf. „nach oben“ berichten, wenn es um „Managementrisiken“ geht.
Bitte beim nächsten Mal diesen „Spaß“ für die Phase nach den Feiertagen vorbehalten! Ja? Danke!


Neues von den Aufsichtsbehörden

Ich möchte hier nicht so viel schreiben und fasse mich kurz. Es gab ein paar Dokumente von Aufsichtsbehörden, die diese Woche veröffentlicht worden sind:

  1. DSK, Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien ab dem 1. Dezember 2021 (PDF)
  2. LfD Bayern, Bayerische öffentliche Stellen und Telemedien – Erläuterungen zum neuen Telekommunikation-Telemedien- Datenschutz-Gesetz (TTDSG) – Orientierungshilfe (PDF)
  3. DSK, Häufige Fragestellungen nebst Antworten zur Verarbeitung von Beschäftigtendaten im Zusammenhang mit der Corona-Pandemie (PDF) – Stand: 20.12.2021

Das dritte Dokument habe ich mir noch nicht einmal näher angesehen, weil es insoweit bei meinen Mandantinnen aktuell nicht so „brennt“.


Zündstoff „Cookies ablehnen“-Button

Zündstoff ist leider im ersten Dokument – der Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien ab dem 1. Dezember 2021 (PDF) der Datenschutzkonferenz (DSK).

Jedenfalls so viel Zündstoff, dass ich es für erforderlich hielt, die Mandantinnen zumindest im Hinblick auf zwei Aspekte zu sensibilisieren. Auf einen möchte ich in diesem Newsletter eingehen:

Viele Mandantinnen nutzen nämlich ein Cookie-Banner, das einen „Button“ vorsieht, mit dem die Verwendung von Cookies akzeptiert werden kann… und einen anderen Button, mit dem die Einstellungen für Cookies „konfiguriert“ oder „eingestellt“ werden können.

Und genau das hält die DSK für rechtswidrig, weil so „regelmäßig“ keine wirksame Einwilligung vorliegen würde. Ich erspare uns einmal die Details der „Rechtsmeinung“ der DSK. Diese kannst du auf Seite 13 f. der besagten Orientierungshilfe nachlesen. Sie ist – nüchtern mit der juristischen Brille betrachtet – schon leicht prosaisch.

Streng juristisch gesehen referenziert die Einwilligungsregelung für Cookies in § 25 TTDSG auf die Einwilligung der DSGVO. Eine Einwilligung ist nach Art. 4 Nr. 11 DSGVO „jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.“

Wie du unschwer erkennen kannst, steht da nichts von einer Pflicht dazu, eine andere „Option“ zum einfachen „Ablehnen“ neben der Einwilligung anzubieten.
Die Aufsichtsbehörden meinen aber, dass das Anbieten einer einfachen Ablehnungsoption Voraussetzung für die „Freiwilligkeit“ der Einwilligung sei.

Wenn wir uns die Voraussetzungen der Freiwilligkeit in Art. 7 Abs. 4 DSGVO und auch dem insoweit einschlägigen Erwägungsgrund 43 der DSGVO ansehen, finden wir da aber auch nicht wirklich etwas, was die Ansicht der Aufsichtsbehörden gehaltvoll stützen würde.

Ich bin ehrlich. Ich finde es ausdrücklich gut, wenn ein „Cookies ablehnen“-Button als Auswahl angeboten wird. Denn ich bin kein Freund von nicht erforderlichen Cookies und freue mich über eine einfache Möglichkeit der Ablehnung.
Nur: Ich finde in den datenschutzrechtlichen Vorschriften auch bei näherem Hinsehen keine rechtliche Pflicht, das genau so anbieten zu müssen.

Ohne den Teilnehmenden des betroffenen Arbeitskreises der DSK zu nahe treten zu wollen, könnte man den Eindruck gewinnen, dass die Konferenz am 20.12.2021 unter erheblichem Einfluss von Glühwein gestanden haben könnte. Frei nach dem Motto: „Wir malen uns unsere schöne Datenschutz-Welt und schreiben unsere Wünsche auf.“
Und dann gießen wir Teile davon in „unsere Orientierungshilfe“. Dabei gehen wir selbstverständlich ausschließlich vom faulsten und dümmsten anzunehmenden „User“ vor dem Bildschirm aus. Fertig!
Sorry… das ist natürlich übertrieben überspitzt und tut der DSK wohl unrecht. Aber ich gebe zu, dass dieses Gefühl mich ein klein wenig überkam, als ich die betreffenden Passagen der Orientierungshilfe las.

Und auch wenn es für Anwältinnen und Anwälte eher einfach sein sollte, die vorgebrachten Argumente der DSK im Falle eines gerichtlichen Verfahrens gegen eine Anordnung oder ein Bußgeld einer Aufsichtsbehörde „substantiiert“ infrage zu stellen, bleibt doch ein Risiko.

Dazu folgendes Beispiel: Eine Betroffene beschwert sich über eine Website wegen eines Cookie-Banners, das keinen „Ablehnen“-Button aufweist, bei der Aufsichtsbehörde. Die jeweils zuständige Aufsichtsbehörde wird grundsätzlich die in der „Orientierungshilfe“ niedergelegten Gedanken zugrundelegen und im Prüfverfahren wohl davon ausgehen, dass die „Datenverarbeitung“ im Kontext mit dem Cookie-Banner rechtswidrig ist. Sie wird dies ggf. auch im Wege einer Untersagung der Verarbeitung anordnen und/oder ein Bußgeld verhängen.

Dies kann jeden treffen, der ein Cookie-Banner nicht in der von der DSK gewünschten Weise implementiert hat.

Hast du Lust auf so eine Auseinandersetzung mit einer Aufsichtsbehörde für den Datenschutz? Unabhängig davon, dass die Chancen gut stehen können, so etwas zu gewinnen… es ist ein hoher interner Aufwand. Und hinzu kommen ggf. noch Kosten für die Anwältinnen oder Anwälte. Das werden sich viele also zu Recht zweimal überlegen wollen.

Auch das können sog. „Chilling Effects“ der DSGVO sein, instrumentalisiert durch die Aufsichtsbehörden.

So sehr ich keine Cookies mag, sind die Aufsichtsbehörden mit ihren „Wunschvorstellungen“ doch auf einem sehr dünnen Eis unterwegs. Die in der Orientierungshilfe vorgebrachte Argumentation ist mit Blick auf die rechtlichen Regelungen der DSGVO zur Einwilligung nur schwer vertretbar.

Warten wir aber die Entscheidungen der Gerichte ab. Wenn die eine oder andere Aufsichtsbehörde hier mal „Eier in der Hose“ haben sollte, kann es nicht lange dauern, bis sich Gerichte mit der Argumentation der Aufsichtsbehörden zu befassen haben. Ausgang? Offen.

Für uns Anwälte und Anwältinnen wäre die Argumentation in so einem Verfahren wohl sehr viel leichter als für die jeweilige Aufsichtsbehörde. Die zuständige Mitarbeiterin oder der Mitarbeiter der Aufsichtsbehörde, der das Verfahren vor Gericht begleiten darf, tut mir jetzt schon ein wenig leid. Der Kraftakt, um die in der Orientierungshilfe vorgebrachte Argumentation für einen „Ablehnen“-Button zu unterfüttern, ist immens im Vergleich zu dem für uns die Anwält:innen einfachen Verweis auf Wortlaut und Erwägungsgründe der DSGVO, die für die Argumente der DSK nicht viel hergeben.

Wenn eine Aufsichtsbehörde dennoch ein Gericht davon überzeugen sollte, würde ich ein norddeutsches „Prost“ (statt „Chapeau!“) übersenden. Denn dann wurde gute Arbeit vor Gericht gemacht. Oder man hatte Glück mit der Besetzung des Gerichts. ?

Aber, um es auch noch einmal deutlich zu sagen: Ich finde es freundlich und gut, wenn ein „Cookies ablehnen“-Button in einem Cookie-Banner integriert ist. Wenn das aber eine Pflicht sein soll, dann sollte es gesetzlich geregelt sein. Das ist es derzeit – meiner bescheidenen Ansicht nach – nicht. Und so lange bleibt die Orientierungshilfe der DSK primär das, was sie ist. Eine Meinungsäußerung von Aufsichtsbehörden. Und Meinungen kann man haben. Sie sind aber nicht verbindlich. Letztlich entscheiden in einem Rechtsstaat die Gerichte, nicht die Aufsichtsbehörden.


Schöne Weihnachtstage…

wünsche ich dir. Und auch einen guten Rutsch ins neue Jahr.

Es war für dich vielleicht auch ein wieder einmal merkwürdiges Jahr. Pandemiegeprägt. Auch bei mir war es ein Jahr, dass ich besser erwartet hatte. Und dennoch bin ich froh, dass unsere Familie gesund ist, es uns wirtschaftlich gut geht und wir immer noch positiv in die Zukunft blicken.

Auch hier sind Umsätze (zum Glück nur leicht) zurückgegangen, Erwartungen wurden nicht erfüllt und vieles hat nicht so geklappt wie geplant. Und dennoch haben meine Frau und ich mit unserer kleinen Holdinggesellschaft auch dieses Jahr neue Dinge angestoßen. Eine Tochtergesellschaft in Spanien wurde gegründet und eine zweite Ferienwohnung geht im kommenden Jahr auch an den Start.
Besonders freue ich mich über die Gründung einer weiteren GmbH in Deutschland, die sich mit etwas völlig anderem befassen wird als Datenschutz. Es dreht sich dort viel um einen Newsletter, der aber so gar nichts mit Datenschutz und IT zu tun hat. Auch mal eine schöne Abwechslung. Ich halte dich auf dem Laufenden.

Und so freue ich mich auf ein hoffentlich neues Jahr 2022, das hoffentlich nicht wieder komplett durch eine Pandemie geprägt sein wird.

Solltest du ein Datenschutz-Coaching-Mitglied sein, sage ich ein besonderes DANKE für dein Vertrauen. Und solltest du noch kein Datenschutz-Coaching-Mitglied sein, vielleicht wäre das ja etwas für dich. Die feststehenden Termine für 2022 findest du schon einmal hier im Kalender.

Ich hoffe, du kannst die Weihnachtstage ein wenig im engen Kreise deiner Lieben genießen. Wir lesen uns dann hoffentlich im nächsten Jahr wieder.

Beste Grüße

Stephan Hansen-Oest


Datenschutz-Guru GmbH
Im Tal 10a
24939 Flensburg
Germany

Tel.: +49 461 40 68 245 0
Fax: +49 461 40 68 245 9

E-Mail: sh@datenschutz-guru.de
https://www.datenschutz-guru.de

Geschäftsführer: Stephan Hansen-Oest
Registergericht: Amtsgericht Flensburg, HRB 13436 FL

Den Newsletter kannst du abbestellen, wenn du auf diesen Link klickst: Newsletter abbestellen

Wenn du deine E-Mail-Adresse ändern möchtest (oder einen Vornamen hinzufügen/löschen), dann kannst du das hier tun: Profil aktualisieren


%SENDER-INFO-SINGLELINE%