Ablehn-Button auf erster Ebene – nur mit aufsichtsbehördlichen Maßnahmen durchsetzbar?
von , veröffentlicht am 26.08.2022Einige Webseiten haben inzwischen ihre Cookie Banner um einen Ablehn-Button erweitert. Ob dadurch mehr Verständnis und Verständlichkeit erreicht wurde, mag fürs erste dahinstehen. In jedem Fall sieht nun die ein oder andere Datenschutzaufsichtsbehörde ihre Auffassung bestätigt, dass es sich bei der Ausgestaltung des Ablehn-Buttons auf erster Ebene um eine gesetzliche Verpflichtung handelt und demnach ein Verstoß gegen die Vorschriften der DS-GVO vorliegt, wenn auf der ersten Banner-Ebene kein Ablehn-Button angeboten wird.
Unternehmen, die die Ansicht nach eingehender Prüfung und argumentativer Darlegung nicht vertreten und bei der Ausgestaltung eines Ablehn-Buttons auf zweiter Ebene bleiben, sehen sich zunehmend aufsichtsbehördlichen Abhife-Maßnahmen nach Art. 58 Abs. 2 DS-GVO ausgesetzt. Zu Recht?
Unstreitig haben die Datenschutzaufsichten die Aufgabe die Einhaltung der DS-GVO zu überwachen und bei Verstößen DS-GVO-konforme Zustände herzustellen. Die Forderung nach einem Ablehn-Button auf erster Ebene ist jedoch nicht unstrittig - im Gegenteil. Hierzu liegen inzwischen einige Gutachten und Stellungnahmen vor (siehe Stellungnahmen zum Konsultationsverfahren zur OH TM 21), die sich ebenso rechtsdogmatisch mit den Anforderungen an die Freiwilligkeit der Einwilligung auseinandersetzen, wie es die Aufsichtsbehörden für sich in Anspruch nehmen.
Die behördliche Ansicht für einen Ablehn-Button auf erster Ebene stützt sich darauf, dass sich aus Art. 7 Abs. 3 S. 3 DS-GVO die Pflicht des Betreibers der Webseite ergibt, Betroffene „vor der Abgabe der Einwilligung“ auf ihr Widerrufsrecht hinzuweisen. Die Betreiber von Webseiten verweisen hingegen darauf, dass Art. 7 Abs. 3 Satz 4 DSGVO lediglich vorgibt, dass der Widerruf der Einwilligung so einfach wie die Erteilung der Einwilligung sein muss – wie die Ablehnung der Einwilligung auszugestalten ist, ist in der DS-GVO nicht geregelt. Beide Seiten haben ihre Argumente und beide Seiten haben ihre Berechtigung. Wenn die Aufsichtsbehörden nun einen festgestellten Verstoß annehmen wollen, wird dann nicht aus Rechtsdogmatik Rechtsdogmatismus?
Gute Rechtsdogmatik „reflektiert die normativen Leitsätze und entwickelt sie zugleich kreativ weiter“. Professor Dr. Peter A. Windel bringt es im AnwBl Online 2019, 447 ff (449) meines Erachtens auf den Punkt:
Der Dogmatiker muss immer den Normbereich mitbedenken, für den sein Lehrsatz relevant werden soll. Dabei hat er mögliche Entscheidungssituationen vorwegzunehmen und zu prüfen, ob sich aus seiner Dogmatik voraussichtlich tragfähige Entscheidungsmaximen werden ableiten lassen. Fällt diese Probe negativ aus, so taugt (meistens) die Dogmatik nichts.
Mit einer zwangsweisen Durchsetzung des Ablehn-Buttons durch aufsichtsbehördliche Abhilfemaßnahmen besteht die Gefahr, dass der Diskurs gekappt wird und mögliche kreative und technologie-angepasste Entwicklungen nicht weiterverfolgt werden. Beides wäre jedoch -wie immer- wichtig für die Verbindung von Rechtspraxis und Rechtstheorie und damit für die zivilgesellschaftliche Akzeptanz datenschutzrechtlicher (An-) Forderungen.
Was meinen Sie?
Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben
3 Kommentare
Kommentare als Feed abonnierenHä? Was soll das denn heissen? "wird dann nicht aus Rechtsdogmatik Rechtsdogmatismus?"
Das ist wohl nur was für Juristen. Für mich zählt nur, dass ich genauso einfach ablehnen wie zustimmen kann. Da hat die Aufsicht sehr Recht. Bei beck muss man sich ja auch erst durch das Untermenü quälen... :-(
Ich frage mich nach wie vor (also wie schon zu Zeiten der (vermeintlichen) Einschlägigkeit des TMG), wieso die Datenschutzaufsichtsbehörden hier überhaupt zuständig sind.
Das TTDSG regelt in dem (seit 12. August endlich korrigierten) § 29 Abs. 2 TTDSG nur die Zuständigkeit des BfDI. Zu den Datenschutzaufsichtsbehörden der Länder heißt es in § 1 Abs. 1 Nr. 8 TTDSG lediglich, dass "bei Telemedien die Aufsicht durch die nach Landesrecht zuständigen Behörden und § 40 des Bundesdatenschutzgesetzes unberührt (bleiben)".
Carlo Piltz hatte zum TMG a.F. festgestellt, dass hier die Zuweisungen der Zuständigkeit an die Landesdatenschützer*innen oftmals nicht gegeben sind (https://www.delegedata.de/2020/06/folgen-des-bgh-urteils-zu-cookies-welche-aufsichtsbehoerde-ist-zustaendig-und-duerfen-datenschutzbehoerden-bussgelder-verhaengen/#comment-2787).
Soweit mir bekannt, sieht es mit Zuweisungen der Zuständigkeiten für das TTDSG in den Landesgesetzen dunkel aus.
Gemäß der Stellungnahme 5/2019 des EDSA (https://edpb.europa.eu/our-work-tools/our-documents/opinion-board-art-64/opinion-52019-interplay-between-eprivacy_de) muss aber eine explizite Zuweisung der Zuständigkeit für unter die ePrivacy-Richtlinie fallende Angelegenheiten an die Datenschutzaufsichtsbehörden im nationalen Recht vorliegen, da sich eine solche Zuständigkeit eben nicht aus der DSGVO oder der ePrivacy-Richtliche heraus ergibt. "Wenn eine Datenschutzbehörde nach nationalem Recht als zuständige Behörde nach der e-Datenschutz-Richtlinie eingesetzt wurde, besitzt sie die Zuständigkeit, nationale e-Datenschutz-Vorschriften unmittelbar und zusätzlich zur DSGVO durchzusetzen (andernfalls besitzt sie diese Zuständigkeit nicht)." (Stellungnahme 5/2019, Rn. 77 und 90)
Soweit die Verarbeitung der einmal mit Hilfe von Cookies erhobenen Daten unter die DSGVO fällt, ist die Zuständigkeit der Landesaufsichtsbehörden unstreitig.
Aber woher ziehen die Datenschutzaufsichtsbehörden der Länder die Zuständigkeit Cookie-Banner zu kontrollieren, die nach § 25 TTDSG reglementiert sind, der ja, ausweislich der Gesetzesbegründung explizit, Art. 5 Abs. 3 ePrivacy-Richtlinie umsetzt?
Cookie-Banner sind keine Datenverarbeitung, sondern Erklärungen (in vielen Fällen: dreiste Lügen) zur Verarbeitung. Sie wollen Einwilligungen einheimsen und die Nutzer darüber (des-) informieren. Sie wollen sich auf berechtigte Interessen stützen und müssen Widerspruchsmöglichkeiten angeben. Sie müssen nach Art. 13, 14 DSGV informieren und winden sich, irgendwie den Eindruck zu erwecken, dass sie das tun.
Würden sich die Verarbeitungen auf Betriebsnotweniges beschränken, bräuchte man diese Nutzer-Alarmierungen gar nicht. Wenn man sich aber schon anmaßt, Verarbeitung auf Einwilligung (Art. 6 I a) oder berechtigtes Interesse (Art. 6 I f DSGVO) zu stützen, dann hat man die Datenschutzaufsicht im Boot, ohne dass es auf das TTDSG noch ankäme. Das Cookie ist nicht das Problem, das frisst niemanden auf. Das Problem sind die Verarbeitungen, die mit dem Cookie (dem fingerprinting wie auch immer technisch gelöst) ermöglicht werden.