Nudging Cookie-Banner – alles im grünen oder doch grauen, dunkelgrauen Bereich?

Seit der Entscheidung des Europäischen Gerichtshofs (EuGH) zu Planet 49, mit der das Gericht festgestellt hatte, dass für das Setzen von Cookies eine aktive Einwilligung der betroffenen Person erforderlich wäre, hat sich die Online-Welt wesentlich verändert.

Besonders hat hat es die Cookie-Banner getroffen. Diese haben sich so stark verändert, dass man sie als „alte Bekannte“ kaum noch wiedererkennt.

Wenn sie bisher so gestaltet waren, dass den Besuchern einer Website nach zwei oder drei pauschalen Sätzen, in denen auf die Nutzung von Cookies hingewiesen wurde, eine eindeutige Frage  gestellt wurde – in etwa „Sind sie mit der Nutzung von Cookies einverstanden?“ – und die Antwort durch die Betätigung von einem der zwei Buttons „JA“ oder „NEIN“ möglich war, sind die Cookie-Banner inzwischen zum Teil zu wahren Quiz-Maschinen mutiert. Es gibt oft keine einfachen Fragen und keine eindeutigen Antworten mehr. Es gibt die sogenannten Nudging Cookie-Banner – sozusagen den neuesten Schrei in Sachen Datenschutzmode. Bei den neuartigen (angeblich rechtskonformen) Lösungen darf man als Nutzer einer Website auf die zum Teil sehr kreativ gestellten Fragen jedoch nicht „hereinfallen“, wenn man im Sinne des Datenschutzes antworten möchte.

Und was die „alten Bekannten“ angeht: Diese trifft man übrigens gelegentlich doch noch, jedoch vereinzelt und nur dort, wo die frohe Botschaft aus Luxemburg noch nicht angekommen ist.

Was sind aber die Nudging Cookie-Banner konkret und warum sind sie plötzlich ein Problem?

Das Phänomen „Nudging“

Mit dem Begriff „Nudging“ beschäftigt sich ein ganzer Artikel des Gabler Wirtschaftslexikons. Dort heißt es:

„Beim Nudging (engl. „nudging“ für „Anstoßen“, „Schubsen“ oder „Stupsen“) bewegt man jemanden auf mehr oder weniger subtile Weise dazu, etwas Bestimmtes einmalig oder dauerhaft zu tun oder zu lassen. Dabei können Voreinstellungen und Standards (Defaults) ebenso zum Einsatz kommen wie Produktinformationen und Warenpräsentationen. Angestrebt werden die Verhaltensänderungen der Personen und Gruppen etwa von Unternehmen oder vom Staat.“
(vgl. https://wirtschaftslexikon.gabler.de/definition/nudging-99919).

In Bezug auf die Cookie-Banner würde das nun bedeuten, dass durch geschickte Gestaltung der Banner die Nutzer einer Website auf „mehr oder weniger subtile Weise“ dazu bewegt werden sollen, (alle) Cookies, einschließlich der Cookies zu Statistik- und zu Werbezwecken sowie die sogenannten „funktionellen“ Cookies, nach Möglichkeit zu akzeptieren. Erreicht wird dies meist durch einen sehr auffällig und farblich oft in Grün (Signalfarbe für „Alles OK“) gestalteten Button mit der Aufschrift „Cookies akzeptieren“. Klickt man darauf, akzeptiert man alle der oben genannten Cookies. Dabei handelt es sich zwar um eine grundsätzlich wünschenswerte „One-Click“-Lösung, die dennoch wenig datenschutzfreundlich ist.

Um datenschutzfreundliche Einstellungen zu wählen, muss der Nutzer sich oft auf eine Einstellungs-Odyssee einlassen, indem er auf den Button „Weitere Einstellungen“ (eher selten – deutlich häufiger: „Details“) klickt und dort die datenschutzfreundlichen Voreinstellungen durch „Einstellungen speichern“ nochmal extra bestätigen muss. Auch hierbei ist wieder Vorsicht geboten, denn wenn auch hier wieder auf (beispielsweise) „Cookies bestätigen“ geklickt wird, werden wiederum die datenschutzunfreundlichen Einstellungen gespeichert. Aus irgendeinem unerfindlichen Grund sind dabei die datenschutzfreundlichen Buttons oft in Rot (Signalfarbe für „Nicht OK“) oder kaum wahrnehmbaren Grau gehalten.

Nudging Cookie-Banner als Problem?

Doch warum ist diese Lösung ein Problem? Der Nutzer einer Webseite kann doch – Signalwirkung der Farben hin oder her – eine Auswahl treffen und damit seine Einwilligung in den Einsatz der Cookies wirksam erteilen, oder?

Nach Auffassung der dänischen Aufsichtsbehörde ist genau dies jedoch nicht der Fall und zwar aus folgenden Gründen:

Problem Nr. 1: Fehlende Freiwilligkeit der Einwilligung

Die Aufsichtsbehörde sieht eine Einwilligung, die, wie oben beschreiben, erteilt wurde, als unfreiwillig an, da als ein wesentliches Element der Freiwilligkeit das Prinzip der sogenannten „Granularität“ (Dänisch: „granulering“) gelte, bei dem eine Einwilligung erst dann freiwillig wäre, wenn die entsprechende Einwilligungserklärung sich ausdrücklich auf jeden Zweck einzeln beziehen würde. Dies wäre bei einer Banner-Lösung, bei der die einzelnen Zwecke sich – mehr oder minder zusammengefasst – hinter einer „Einstellungswand“ verbergen, nicht der Fall.

Problem Nr. 2: Verstoß gegen den Transparenzgrundsatz

Darüber hinaus würde die Einwilligung gegen den Grundsatz der Transparenz verstoßen, wenn das Abwählen der einzelnen Cookies nur durch das Aufrufen eines entsprechenden Einstellungsmenüs möglich wäre. Das Abwählen darf mit anderen Worten nicht schwieriger sein als das Annehmen der Cookies. Zudem müsste die Abwahl- und die Annahmemöglichkeit den gleichen kommunikativen Effekt haben. Dieser würde jedoch fehlen, wenn man indirekt in die durch den Verantwortlichen gewünschte Richtung (Annahme der Cookies) durch beispielsweise farbliche Markierungen gedrängt würde.

Problem Nr. 3: Fehlende Informiertheit der Einwilligung

Zu guter Letzt würde die Nudging-Lösung gegebenenfalls dazu führen, dass eine Einwilligung nicht informiert erteilt wäre, da insbesondere keine ausreichende Information über eventuell gemeinsam Verantwortliche zum Zeitpunkt der Einwilligung an die betroffene Person erteilt worden wäre, wenn die gemeinsam Verantwortlichen nicht ausdrücklich genannt wird.

In dem durch die Behörde entschiedenen Fall ging es um Dienste von Google. Die Behörde erachtete die Angabe von Produktnamen wie „DoubleClick“ und „AdSense“ ohne die ausdrückliche Nennung des gemeinsam Verantwortlichen Unternehmens Google als nicht ausreichend an. Die betroffenen Personen verbinden gemäß Auffassung der Behörde mit diesen Produktnamen allein in der Regel keinen bestimmen Verantwortlichen.

Das Dänische Meteorologische Institut (DMI), welches das aus Sicht der Aufsichtsbehörde nicht datenschutzkonforme Cookie-Banner eingesetzt hat, hat inzwischen nachgebessert und das Banner entsprechend den behördlichen Hinweisen angepasst (vgl. https://www.dmi.dk/).

Gibt es Handlungsbedarf für Verantwortliche in Deutschland?

Die Entscheidung der dänischen Aufsichtsbehörde hat für Verantwortliche in Deutschland keine Bindungs-, sondern höchstens Signalwirkung (Rot). Inwiefern sich deutsche Aufsichtsbehörden der relativ strengen Sichtweise aus Dänemark anschließen, ist derzeit unklar, da entsprechende Stellungnahmen bisher fehlen. Grundsätzlich hat die dänische Aufsichtsbehörde ihre Auffassung aber sehr nachvollziehbar begründet, sodass wir davon ausgehen, dass die deutschen Aufsichtsbehörden zu ähnlichen Schlussfolgerungen kommen werden.

Im Übrigen entspricht die Ansicht der Behörde auch unserer bisherigen Beratungspraxis, sodass sich für unsere Kunden aufgrund der jetzt erfolgten Veröffentlichung der Behörde nichts Neues ergibt. Wir empfehlen grundsätzlich, die Einwilligungen nicht nur für bestimmte Arten von Verarbeitungen (beispielsweise Statistiken oder Targeting) einzuholen, sondern hier auch noch nach den jeweils eingesetzten Anbietern zu differenzieren. Vereinfacht gesagt also: Nicht eine Checkbox für „Tracking“, sondern jeweils eine für „Tracking über Google Analytics“, eine für „Tracking über eTracker“ und jeweils eine weitere für jeden weiteren genutzten Tracking-Dienstleister.

In jedem Fall wird eine allzu kreative (und unübersichtliche) Gestaltung der Cookie-Banner zu einem ernstzunehmenden Problem werden. Dies wird insbesondere dann der Fall sein, wenn dem Transparenzgebot der DSGVO nicht mehr entsprochen wird, mit der Folge, dass die Einwilligung nicht als wirksam angesehen wird, so dass man die Cookie-Abfrage auch ganz hätte sein lassen können. Im übertragenen Sinne wird also auch hier der Grundsatz gelten: „Die Dosis macht das Gift!“ Ein bisschen „nudging“ mag noch akzeptiert werden, aber es sollte nicht übertrieben werden.

Optimal ist es, die Banner-Lösungen, bei denen man als Besucher einer Website eine Auswahl treffen und seine Einwilligung in den Einsatz der Cookies erteilen kann, so zu gestalten, dass man als Verantwortlicher die Fragen unmissverständlich formuliert. Das Ziel sollte sein „One-Click-Away“- und nicht „One-Click-More“-Lösungen mit Prozessen, die auf wenig verständlichen Fragen basieren. Denn je tiefer in den Einstellungen die für den Nutzer relevanten Informationen versteckt sind, desto eher wird sich der Anbieter von dem geforderten Transparenzgrundsatz entfernt haben.

Sind Sie unsicher, wie Sie Ihren Internetauftritt rechtskonform gestalten können? Sprechen Sie uns an, wir helfen Ihnen gerne!