Auslegung der datenschutzrechtlichen Einwilligung – Anforderungen an Cookie-Banner sind nach Urteil des Eughs konkretisiert.
Das Thema Datenschutz, speziell die Cookie-Banner, verunsichert Betreiber von Websiten. Von Seiten des Europäischen Datenschutzausschusses gibt es inzwischen eine unverbindliche Empfehlung, die als Orientierung dienen kann, was unter Einwilligungspflicht zu verstehen ist. Um was geht es? Besucher von Webseiten sollen nicht ungefragt über Tracking-Dienste wie Google Analytics oder Matomo erfasst werden, sondern explizit einwilligen, indem sie ihre Zustimmung erteilen. Die Anforderungen an diese Banner haben sich im Laufe der vergangen Jahre geändert. Während anfangs ein simpler OK-Button zur Einwilligung des Nutzers genügte, sind zwischenzeitlich ausgefeiltere Lösungen, wie etwa Cookiebot mit detaillierten Interaktions- und Wahlmöglichkeiten erforderlich. Da sich die Richtlinien in den einzelnen Mitgliedsstaaten in Feinheiten unterscheiden bietet Cookiebot die Möglichkeit, je nach Land eine separate Einstellung vorzunehmen. Funktionen wie der automatisierte Cookie-Scan und die Berichterstattung bieten zusätzlichen Komfort für Webmaster bei der Umsetzung der Vorschriften.

Klarheit besteht inzwischen darüber, dass eine Einwilligungspflicht besteht, bevor eine Datenverarbeitung personenbezogener Informationen erfolgt. Es dürfen auch keine vorausgefüllten Checkboxen vorhanden sein, sondern die Einwilligung soll aktiv seitens des Nutzers erfolgen, der eigenständig, dass Häkchen setzen muss. Diese Klarstellung basiert unter anderem auf einem Urteil des Europäischen Gerichtshofs (EuGH) vom 1. Oktober 2019, Aktenzeichen C-673/17 gegen die Planet49 GmbH. Der Bundesgerichtshof (BGH) hat dieses Urteil in einem eigenständigen Beschluss bestätigt, siehe Urteil vom 28.05.2020, Aktenzeichen I ZR 7/16.

Bis zu einer Nutzer-Interaktion muss das Cookie-Banner eingeblendet bleiben, darf aber die Links zu rechtlich relevanten Texten, wie Datenschutzerklärung oder Impressum nicht verdecken. Gerade auf kleinen Bildschirmen kann die Umsetzung dieser Anforderung für Websitenbetreiber mit Schwierigkeiten verbunden sein. Nicht zulässig sind gemäß neusten Richtlinien Cookie-Walls, die per Popup die Ansicht und Nutzung der Website gänzlich unterbinden, da diese keine Wahlmöglichkeit bieten. Sofern die Einwilligung für die Datenverarbeitung als eingeholt betrachtet wird, sobald der Nutzer mit der Website mittels Scrollen oder Klicken interagiert, könnte dies seitens der Datenschutzbehörden gleichfalls moniert werden. Kritisch zu sehen sind subtile Designs (auch „Nudging“ oder „Dark Patterns“ genannt), die den Nutzer dazu verleiten sollen, entgegen seiner tatsächlichen Absicht, der Verarbeitung seiner Daten zuzustimmen. Außerdem stimmte der BGH mit dem EuGH überein, dass es nicht zulässig sei, die Weitergabe an Werbepartner pauschal zu unterbinden, stattdessen solle die Abwahl einzelner Werbepartner möglich sein.

Die Anleitung des Europäischen Datenschutzausschusses ist zwar nicht letztgültig rechtsverbindlich, dennoch ist zu erwarten, dass die nationalen Datenschutzbehörden sie, wenn auch mit unterschiedlicher Schärfe und Auslegung im Detail, als Grundlage für ihre Arbeit ansehen. Für eine europaweit einheitliche Rechtsprechung sind die Interessen der einzelnen Mitgliedsstaaten zu unterschiedlich.