Ablehn-Button auf erster Ebene – nur mit aufsichtsbehördlichen Maßnahmen durchsetzbar?
Gespeichert von Barbara Schmitz am
Einige Webseiten haben inzwischen ihre Cookie Banner um einen Ablehn-Button erweitert. Ob dadurch mehr Verständnis und Verständlichkeit erreicht wurde, mag fürs erste dahinstehen. In jedem Fall sieht nun die ein oder andere Datenschutzaufsichtsbehörde ihre Auffassung bestätigt, dass es sich bei der Ausgestaltung des Ablehn-Buttons auf erster Ebene um eine gesetzliche Verpflichtung handelt und demnach ein Verstoß gegen die Vorschriften der DS-GVO vorliegt, wenn auf der ersten Banner-Ebene kein Ablehn-Button angeboten wird.
Unternehmen, die die Ansicht nach eingehender Prüfung und argumentativer Darlegung nicht vertreten und bei der Ausgestaltung eines Ablehn-Buttons auf zweiter Ebene bleiben, sehen sich zunehmend aufsichtsbehördlichen Abhife-Maßnahmen nach Art. 58 Abs. 2 DS-GVO ausgesetzt. Zu Recht?
Unstreitig haben die Datenschutzaufsichten die Aufgabe die Einhaltung der DS-GVO zu überwachen und bei Verstößen DS-GVO-konforme Zustände herzustellen. Die Forderung nach einem Ablehn-Button auf erster Ebene ist jedoch nicht unstrittig - im Gegenteil. Hierzu liegen inzwischen einige Gutachten und Stellungnahmen vor (siehe Stellungnahmen zum Konsultationsverfahren zur OH TM 21), die sich ebenso rechtsdogmatisch mit den Anforderungen an die Freiwilligkeit der Einwilligung auseinandersetzen, wie es die Aufsichtsbehörden für sich in Anspruch nehmen.
Die behördliche Ansicht für einen Ablehn-Button auf erster Ebene stützt sich darauf, dass sich aus Art. 7 Abs. 3 S. 3 DS-GVO die Pflicht des Betreibers der Webseite ergibt, Betroffene „vor der Abgabe der Einwilligung“ auf ihr Widerrufsrecht hinzuweisen. Die Betreiber von Webseiten verweisen hingegen darauf, dass Art. 7 Abs. 3 Satz 4 DSGVO lediglich vorgibt, dass der Widerruf der Einwilligung so einfach wie die Erteilung der Einwilligung sein muss – wie die Ablehnung der Einwilligung auszugestalten ist, ist in der DS-GVO nicht geregelt. Beide Seiten haben ihre Argumente und beide Seiten haben ihre Berechtigung. Wenn die Aufsichtsbehörden nun einen festgestellten Verstoß annehmen wollen, wird dann nicht aus Rechtsdogmatik Rechtsdogmatismus?
Gute Rechtsdogmatik „reflektiert die normativen Leitsätze und entwickelt sie zugleich kreativ weiter“. Professor Dr. Peter A. Windel bringt es im AnwBl Online 2019, 447 ff (449) meines Erachtens auf den Punkt:
Der Dogmatiker muss immer den Normbereich mitbedenken, für den sein Lehrsatz relevant werden soll. Dabei hat er mögliche Entscheidungssituationen vorwegzunehmen und zu prüfen, ob sich aus seiner Dogmatik voraussichtlich tragfähige Entscheidungsmaximen werden ableiten lassen. Fällt diese Probe negativ aus, so taugt (meistens) die Dogmatik nichts.
Mit einer zwangsweisen Durchsetzung des Ablehn-Buttons durch aufsichtsbehördliche Abhilfemaßnahmen besteht die Gefahr, dass der Diskurs gekappt wird und mögliche kreative und technologie-angepasste Entwicklungen nicht weiterverfolgt werden. Beides wäre jedoch -wie immer- wichtig für die Verbindung von Rechtspraxis und Rechtstheorie und damit für die zivilgesellschaftliche Akzeptanz datenschutzrechtlicher (An-) Forderungen.
Was meinen Sie?