Cookie Banner nach Maßgabe technischer Branchenstandards? Anforderungen an Pay Walls?
von , veröffentlicht am 20.05.2022Im Bericht der Brandenburgischen Beauftragten für Datenschutz (BbgDSB) wird von einer Untersuchung der Cookie Banner eines großen brandenburgischen Verlagshauses berichtet. https://www.lda.brandenburg.de/sixcms/media.php/9/TB_2021_Datenschutz_Webversion_ua4.pdf
- Gleichwertige Entscheidungsoptionen auf 1. Ebene des Cookie-Banners!
Der Besucher der Website konnte auf der ersten Ebene alle Cookies akzeptieren, diese aber nicht komplett ablehnen. Stattdessen wurden Besucher über eine Schaltfläche „Optionen“ auf die zweite Ebene geschickt, wo Einstellungen zu den Cookies möglich wurden und diese dann erneut akzeptiert werden mussten.
Mir scheint, dass noch immer der Großteil der Websiten (und zwar durch alle Branchen) über solche Cookie Banner verfügt. Meist werden dann noch sog. dark pattern eingesetzt (also „alle Cookies akzeptieren“ ist dann z.B. grün gekennzeichnet, was dem Nutzer dann als sicherer Weg erscheint, denn bei grün würde man ja auch sicher die Straße überqueren..).
Die BbgDSB kennzeichnet (S. 39 f.) solche (zweistufigen) Banner mangels gleichwertiger Entscheidungsoptionen unter Hinweis auf die OH der DSK (https://datenschutzkonferenz-online.de/media/oh/20211220_oh_telemedien.pdf) klar als rechtswidrig.
- Einhaltung der DSGVO durch Einhaltung technischer Branchen-Standards?
Das Verlagshaus hatte für die eingesetzte Consent Management-Lösung (also den genannte Cookie Banner) sogar ein Datenschutz-Gütesiegel, das von einem dritten Unternehmen ausgestellt worden war und die Einhaltung der Anforderungen der Datenschutz-Grundverordnung belegen sollte. Die Lösung basierte auf dem technischen Standard des Transparency and Consent Framework (TCF) 2.0 des Branchenverbandes Interactive Advertising Bureau (IAB) Europe.
Die BbgDSB konnte dies als Argument nicht durchgehen lassen, weil die Einhaltung von Branchenstandards den Verantwortlichen nicht von der Einhaltung der DSGVO befreit und die Verwendung des Standards allein hierfür keine Gewähr bietet. (S. 40)
- Pay Wall statt gleichwertiger Entscheidungsoption?
Die Behörde verlangte vom Verlagshaus eine Schaltfläche auf erster Ebene des Cookie-Banners einzurichten, mit die Nutzerinnen und Nutzer den Einsatz von einwilligungsbedürftigen Cookies und Tracking-Maßnahmen sowie die Einbindung von Drittdiensten ablehnen können (S.40). Das Verlagshaus entschied sich allerdings für ein sog. PUR-Modell. Die Nutzerin bzw. der Nutzer wird mit dieser Ausgestaltung des Cookie-Banners vor die Wahl gestellt, in das Tracking zu Werbezwecken einzuwilligen oder ein kostenpflichtiges Abonnement für die Nutzung der Webseiten abzuschließen und im Gegenzug von dem Werbe-Tracking verschont zu bleiben.
Nach Aussagen der BbgDSB wird dieses Modell von immer mehr Medienunternehmen verwendet.
- Ausgestaltung der Pay Wall?
Eine rechtliche Einordnung gibt der Bericht der BbgDSB nicht, da dieses Modell zurzeit noch von den Datenschutzaufsichtsbehörden rechtlich geprüft werde. Auch die OH der DSK nimmt pay walls explizit aus seiner rechtlichen Einschätzung aus (Fn. 27 der OH). Sicher müssen die pay walls im Einzelfall betrachtet werden und genauere Informationen zur Ausgestaltung der pay wall des Verlagshauses fehlen hier.
Die CNIL scheint da aber grundsätzlich schon einen Schritt weiter zu sein. (Dazu der Beitrag des Kollegen Hanloser, https://community.beck.de/2022/05/20/cnil-cookie-consent-wall-pay-wall-dialogue-wall).
Fraglich ist, ob damit die frühere Verlautbarung des EDSA zur Diskussion steht, wonach solche Cookie-Walls nur zulässig sind, wenn ein vergleichbare(r) Dienst/Website des gleichen Anbieters/Verantwortlichen ohne Tracking verfügbar ist? (dazu mein früherer Beitrag: https://community.beck.de/2020/05/07/wirksame-einwilligung-in-tracking-bei-sog-cookie-walls-leitlinien-eu-datenschutzausschuss9)
Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben