Die Cookie-Thematik und das damit verbundene Management sind ein Dauerbrenner im Bereich des Websitedatenschutzes. Nachdem wir uns in diesem Jahr bereits mit unterschiedlichen Einzelaspekten des Einsatzes von Cookies und ähnlichen Techniken sowie von Consent-Management-Lösungen beschäftigt haben, möchten wir heute den Fokus auf die konkrete Umsetzung von Consent-Management-Lösungen auf Websites und die damit einhergehenden rechtlichen und technischen Fallstricke legen, um Websitebetreibern, die sich aktuell für ein solches System entscheiden müssen, die Auswahl zu erleichtern.
Allgemeine Anforderungen an Consent-Management-Systeme
Jedenfalls solange bis die sog. PIMS (Personal Information Management Systems) verfügbar sein werden, sind Websitebetreiber, die mehr als nur technisch erforderliche Cookies und ähnliche Techniken einsetzen möchten, auf derzeit am Markt verfügbare Consent-Management-Lösungen angewiesen.
Um den Einsatz von Cookies und ähnlichen Techniken möglichst rechtssicher zu gestalten, sollten Verantwortliche vor der Entscheidung für einen bestimmten Anbieter neben den Kosten für die Consent-Management-Lösung insbesondere deren Funktionsumfang sowie die Datenschutzkonformität des Systems selbst in Ihre Überlegungen einbeziehen.
Nachdem gängige Consent-Management-Lösungen mit Pseudonymen arbeiten, um einzelne Nutzer und deren Einwilligungsstatus zu unterscheiden, ist zudem regelmäßig der Abschluss eines Auftragsverarbeitungsvertrags erforderlich, was derzeit jedoch nicht von allen Anbietern ermöglicht wird.
Wie die aktuelle Entscheidung des Verwaltungsgerichts Wiesbaden zeigt, ist jedoch selbst bei häufig eingesetzten Consent-Management-Plattformen ein völlig rechtssicherer Einsatz nicht zwingend gesichert. So sollte das der Entscheidung zugrunde liegende Thema der Datenübermittlung in Drittstaaten durch Consent-Management-Anbieter nicht unterschätzt werden. Dies gilt sowohl für Fällen in denen die Drittanbieter Ihren Sitz außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums haben als auch beim Einsatz von Hosting- oder Cloud-Dienstleistern in Drittstaaten als Unterauftragnehmer des Anbieters.
In diesen Fällen sollten zwingend wirksame Standardvertragsklauseln mit dem Anbieter bzw. eine entsprechende vertragliche Bindung der Unterauftragnehmers des Anbieters sichergestellt werden, die den Anforderungen an die Rechtsprechung des EuGH in der „Schrems II“ Entscheidung gerecht werden. Insbesondere muss insoweit eine Datentransfer-Folgenabschätzung zu einem positiven Ergebnis führen.
Daneben muss es ein Consent-Management-System dem Verantwortlichen ermöglichen, die Einholung von Einwilligungen sowie die Umsetzung von Widerrufen reproduzierbar und beweissicher zu dokumentieren, um die Anforderungen der Rechenschaftspflicht des Art. 5 Abs. 2 DSGVO erfüllen zu können.
Steuerungsmöglichkeiten in Consent-Management-Systemen und deren effektive Umsetzung
Essentielle Voraussetzung einer effektiven Umsetzung eines Consent-Management-Systems ist es, sicherstellen zu können, dass keine einwilligungspflichtigen Datenverarbeitungsvorgänge nach Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) stattfinden sowie dass keine nach DSGVO einwilligungspflichtigen Anschlussdatenverarbeitungen erfolgen, ohne dass der Websitebesucher seine Einwilligung(en) tatsächlich abgegeben hat.
Ohne Einwilligung dürfen also keine Daten in Endgeräten der Websitebesucher gespeichert oder von dort ausgelesen werden. Dies setzt zwingend voraus, dass die Consent-Management-Plattform der Einbindung aller einwilligungspflichtigen Webseitentools und Drittanbieterdienste vorgeschaltet wird sowie dass zunächst einmal jegliche Art des Auslesens von Daten technisch unterbunden wird, unabhängig davon, ob es sich um personenbezogene Daten handelt oder nicht.
Einwilligungspflichtig sind optionale Cookies und ähnliche Techniken mit deren Hilfe Daten zur Gewährleistung von Nutzerpräferenzen und Einstellungen, zur statistischen Analyse oder zu Marketingzwecken in Endgeräten ausgelesen oder gespeichert werden.
Einzig für das Auslesen objektiv technisch erforderliche Daten bzw. das Speichern solcher Daten in Endgeräten ist keine Einwilligung erforderlich, weshalb diese nicht durch das Consent-Management-System gesteuert werden müssen.
In der aktuellen Praxis ist häufig zu beobachten, dass diese Anforderungen nicht umgesetzt werden. So sind beispielsweise häufig Tracking-Dienste auf Websites bereits aktiv, bevor der Webseitenbesucher über das Consent-Management-System eingewilligt hat.
Andere Webseitenbetreiber haben ein Consent-Management hingegen ausschließlich hinsichtlich der klassischen Textdateien-Cookies umgesetzt und vernachlässigen die sonstigen ähnlichen Techniken, mit denen durch eingebundene Drittanbieterdienste insbesondere Daten ausgelesen werden können.
Darüber hinaus begegnen Datenschutzberatern häufig Websites, die die Anforderungen nicht vollständig erfüllen, etwa indem lediglich das Setzen und Auslesen von Cookies über ein Consent-Management-System gesteuert wird, andere Daten jedoch bereits zuvor ausgelesen werden.
Bisweilen versuchen Websitebetreiber sich damit zu rechtfertigen, dass ausgelesene Daten zu Endgeräten und Nutzerverhalten Ihnen ohne das jeweils zugehörige pseudonyme Cookie keine verwertbaren Ergebnisse liefern. Auch sind sie der Auffassung, dass die Drittanbieter solcher Tracking-Dienste mit den mittels JavaScript- oder HTML-Tag ausgelesenen sonstigen Daten ohne ein Cookie nichts anfangen könnten.
Vor dem Hintergrund, dass sich Nutzer jedoch anhand von browser- und gerätebezogenen Merkmalen unterscheiden lassen, ohne dass es auf Merkmale (IDs) in im Endgerät abgelegten Cookies ankommt, ist diese Argumentation jedoch höchst riskant.
Insbesondere unterscheidet das neue TTDSG nicht danach, ob sich mit den ausgelesenen Daten etwas anfangen lässt. Vielmehr geht es ausdrücklich darum, die Endgeräte der Websitebesucher vor unzulässigen Eingriffen zu schützen.
Hinsichtlich der (vollständigen) Umsetzung der Steuerung des Auslesens und Ablegens von Daten im Endgerät der Websitebesucher muss durch die sorgfältige Auswahl und Konfiguration einer Consent-Management-Lösung sichergestellt werden, dass jegliche Art von Cookies und ähnlichen Techniken wirksam gesteuert werden kann. Dies betrifft neben den klassischen Textdatei-Cookies insbesondere auch Daten die im sog. Local Storage des Browsers abgelegt oder Daten die mithilfe von JavaScript, HTML oder Pixeln ausgelesen werden.
Des Weiteren können manche Consent-Management-Systeme zugleich die Funktion einer Zwei-Klick-Lösung beinhalten und Websitebesuchern die Möglichkeit geben, in das Nachladen vom eingebundenen Kartendiensten, Videoplattformen, Social-Media-Plugins, externen Skriptbibliotheken oder Webschriftarten, die regelmäßig bereits beim Seitenaufruf eine Verbindung zu den Servern Dritter aufbauen, einzuwilligen.
Auf diese Weise wird kein gesondertes Werkzeug zur Umsetzung einer Zwei-Klick-Lösung mehr benötigt und entsprechende Einwilligungen können beweissicher und reproduzierbar dokumentiert werden.
Erfüllung von Informationspflichten
Bei der Implementierung einer Consent-Management-Lösung muss darauf geachtet werden, dass gesetzliche Informationspflichten umgesetzt bzw. nicht beeinträchtigt werden. Dies betrifft zunächst sowohl den Informationsgehalt als auch den Aufbau eines Consent-Banners.
Während Aufsichtsbehörden aufgrund des Umfangs der erforderlichen Informationen, die dem Websitebesucher zur Verfügung zu stellen sind, es zwar grundsätzlich für zulässig erachten mit verschiedenen Informationsschichten (Layern) zu arbeiten, sollte darauf geachtet werden, dass den Betroffenen die wesentlichen Informationen auf der ersten Ebene zur Verfügung gestellt werden.
Hierzu gehören beispielsweise nach Auffassung des Landesbeauftragten für den Datenschutz Niedersachsen neben der Identität des Verantwortlichen, auch die Verarbeitungszwecke, die verarbeiteten Daten sowie die Absicht einer Übermittlung in Drittstaaten auf Grundlage einer Einwilligung nach Art. 49 Abs. 1 S. 1 lit. a DSGVO.
Verarbeitungszwecke müssen in Consent-Bannern nach Ansicht der Behörde zudem konkret und nicht nur floskelhaft beschrieben werden. Gleiches gelte für die Übermittlung an konkrete Empfänger sowie die im Marketing-Bereich regelmäßig übliche Profilbildung.
Eine nur schlagwortartige Auflistung von Informationen, insbesondere zu Datenverarbeitungskategorien und Zweckbeschreibungen im Consent-Banner und der Verweis auf eine mitunter in der Praxis selten umfangreichere „Vollinformation“ in der Datenschutzerklärung reicht hierfür keinesfalls aus.
Eine ausreichend transparente Information der Betroffenen ist jedoch zwingende Voraussetzung der Wirksamkeit einer jeden Einwilligung. Informationsdefizite im Consent-Management können daher zu einer Datenverarbeitung ohne Rechtsgrundlage führen.
Zudem ist bei der Auswahl sowie der Konfiguration des Consent-Banners darauf zu achten, dass eine übermäßige Verschachtelung der Informationen bzw. eine allzu hohe Anzahl an Informationsebenen die Transparenz nicht gefährdet.
Dabei ist bei der Ausgestaltung der Consent-Banner-Funktion insbesondere darauf zu achten, dass die Datenschutzerklärung sowie andere Pflichtinformationen, wie z. B. Impressumsangaben, uneingeschränkt abruf- und wahrnehmbar bleiben. Neben einer ergänzenden Verlinkung an einer hervorgehobenen Stelle im Banner, empfiehlt es sich zudem auch ein Ausgrauen der Webseite im Hintergrund bzw. eine Überlagerung der Datenschutzerklärung und des Impressums durch das Consent-Banner bzw. entsprechender Links in Fußzeilen (Footer) der Webseiten zu vermeiden.
Dies muss zwingend auch für Ansichten der Webseiten auf mobilen Endgeräten wie Smartphones oder Tablets umgesetzt werden, was in der Praxis häufig nicht sichergestellt ist.
Standardtexte, automatisierte Scans und Aktualisierung der Cookie-Informationen
Anbieter von Consent-Management-Systemen bieten Informationstexte „von der Stange“ an. Diese sind gemessen an den aufsichtsbehördlichen Vorgaben hinsichtlich des Umfangs und der Transparenz der Information jedoch regelmäßig unvollständig und damit stark risikobehaftet.
Zwar ermöglichen nahezu alle am Markt erhältlichen Systeme auch eine Anpassung der Standardtexte, jedoch ist den Verantwortlichen und deren Dienstleistern erfahrungsgemäß häufig unklar, wie solche Anpassungen vorgenommen werden können.
Zudem ergeben sich bisweilen erhebliche Probleme durch technische Begrenzungen der Zeichenanzahl der jeweiligen Informationstexte, beispielsweise in Kategorie- oder Cookiebeschreibungen, durch die Verwendung von Absätzen und Sonderzeichen, wie z. B. Umlauten. Damit werden sowohl der erforderliche Informationsumfang als auch die Lesbarkeit und damit die Transparenz insgesamt negativ beeinflusst.
Consent-Management-Systeme bieten regelmäßig die Möglichkeit, Websites bei der Erstkonfiguration sowie in bestimmten zeitlichen Abständen nach neuen Cookies und ähnlichen Techniken bzw. eingebundenen Drittanbieterdiensten durchsuchen zu lassen.
Anschließend werden die identifizierten Cookies und ähnliche Techniken automatisch kategorisiert und um weitere Informationen, insbesondere Zweckbeschreibungen und Anbieterdetails ergänzt.
Zuverlässigkeit und Verwertbarkeit der Scanergebnisse hängen jedoch von der Einordnung durch die Anbieter der Consent-Management-Plattformen ab und entsprechen häufig nicht der aktuellen Auffassungen der Aufsichtsbehörden. So wird Google Anslytics als Dienst regelmäßig in die Kategorie „Analyse“ bzw. „Statistik“ eingeordnet, obwohl es sich nach Ansicht der deutschen Aufsichtsbehörden bei Google Analytics längst nicht mehr nur um ein Werkzeug zur statistischen Reichweitenmessung handelt.
Zudem sind den Consent-Management-Anbietern regelmäßig selbst nicht alle eingesetzten Cookies und ähnliche Techniken bekannt, sodass diese bei Scans als „nicht klassifiziert“ und ohne entsprechende Detailinformationen aufgelistet werden.
Die von den Consent-Management-Anbietern zur Verfügung gestellten Beschreibungen des Umfangs der Datenverarbeitung und der Zwecke bei bereits klassifizierten Cookies und ähnlichen Techniken sind zudem erfahrungsgemäß nicht ausreichend präzise bzw. verständlich. Bisweilen fehlen sogar adäquate Übersetzungen.
Ebenso unzureichend sind regelmäßig die Angaben zu den Anbietern bzw. Dritten, die nach den Anforderungen des EuGH in der Entscheidung „Planet49“ zu erfüllen sind. Insbesondere wird bei der automatisierten Auswertung von Cookies regelmäßig lediglich die Domain, die einen Cookie setzt, statt des eigentlichen Drittanbieters genannt. Dies führt z. B. dazu, dass youtube.com als Anbieter aufgelistet wird, obwohl Google der eigentliche Drittanbieter ist. Ebenso findet sich in der Praxis bisweilen die Angabe, dass „Anbieter“ des eingesetzten Google Analytics Cookies die Webseitendomain sei statt korrekterweise der Drittanbieter Google.
Schließlich stellen Anbieter von Consent-Management-Lösungen auf den ersten Informationsebenen des Consent-Banners regelmäßig keine oder keine hinreichenden Angaben zu den Drittstaaten, in die Daten übermittelt werden bzw. zum dortigen Datenschutzniveau automatisiert bereit. In diesem Fall muss vom Websitebetreiber versucht werden, entsprechende Angaben manuell – etwa in Zweckbeschreibungen – zu ergänzen.
Im Ergebnis bedeutet dies, dass die ausschließlich auf Grundlage der Websitescans von den Consent-Management-Anbietern erstellten Datenschutzinformationen in Consent Bannern, sich regelmäßig als nicht rechtssicher erweisen.
Aufgrund der Unzulänglichkeiten der durch Websitescans zur Verfügung gestellten Informationen ist jedem Websitebetreiber zwingend zu einer kritischen Prüfung der Scanergebnisse, einer Abklärung mit dem Datenschutzbeauftragten und gegebenenfalls einer manuellen Anpassung oder Ergänzung der Angaben zu raten.
Schließlich empfiehlt es sich zudem, durch ein entsprechendes Monitoring künftige kritische Prüfungen und Anpassungen zu ermöglichen.
Umsetzung von Anpassungen: Zwei Seiten derselben Medaille
Darüber hinaus sollten sich Verantwortliche und deren Dienstleister bewusst sein, dass Anpassungen im Consent-Management-System allein gegebenenfalls nicht ausreichend sein können.
So muss bespielweise eine Änderung von Google Analytics von der Kategorie „Statistik“ zur Kategorie „Marketing“ regelmäßig von Anpassungen in der Website selbst flankiert werden. Wird nur die Kategorie im Consent-Management angepasst, besteht die Gefahr, dass die in die Website integrierten HTML- oder JavaScript-Tags weiterhin über das An- und Abwählen der Kategorie „Statistik“ ausgelöst (getriggert) werden, obwohl ein betroffener Websitebesucher in Cookies und ähnliche Techniken der Kategorie „Marketing“ bzw. in Google Analytics als Dienst ausdrücklich nicht eingewilligt hat.
Soweit entsprechende Änderungen an der Konfiguration des Consent-Managements durch unterschiedliche Abteilungen bzw. Dienstleister vorgenommen werden, sollten Verantwortliche darauf achten, dass eine Abstimmung zwischen den Beteiligten (z. B. Webdesignern und Marketingabteilungen) erfolgt, um eine wirksame technische Umsetzung der Anpassungen nicht zu gefährden.
Die Erfahrung in der Datenschutzberatung lehrt zudem, dass nachträgliche Änderungen am Consent-Management und an den entsprechenden Triggern in der Webssite erhebliche Kosten für Änderungen an der Websiteprogrammierung nach sich ziehen und unternehmerische Zeitpläne negativ beeinflussen können.
Zur Verhinderung von Mehrkosten, zur Einhaltung von Zeitplänen und zum Ausschluss oder der Reduzierung von Risiken, empfiehlt sich daher eine enge Zusammenarbeit von Datenschutzbeauftragten, Webdesignern und Marketingabteilungen bereits vor den ersten Umsetzungsschritten.
Integration in Cookie- bzw. Datenschutzerklärungen
Ferner bieten Consent-Management-Systeme häufig die Möglichkeit, die Informationsinhalte aus den Bannern mittels JavaScript in die Datenschutzerklärungen zu übernehmen.
Auf diese Weise ist sichergestellt, dass die Datenschutzerklärung stets dieselben und bestenfalls gleichsam aktuellen Angaben enthält, wie das Consent-Banner. Ob und welche Informationen übernommen werden können, sollten Verantwortliche jedoch im Einzelfall abklären. Jedenfalls sollten entsprechende Möglichkeiten nicht ungenutzt bleiben.
Allerdings entbindet eine automatische Übernahme von Angaben aus dem Consent-Banner den Verantwortlichen regelmäßig nicht davon, die Beschreibungen der Datenverarbeitung durch die jeweils eingesetzten Drittanbieterdienste zu überprüfen, zu überarbeiten oder zu ergänzen.
Dies ist insbesondere bei Consent-Management-Lösungen der Fall, die sich auf die Einholung von Einwilligungen in die Verwendung von Cookies und ähnlichen Technologien oder entsprechender Kategorien fokussieren, statt dienst- bzw. toolbezogen eine Einwilligung einzuholen.
Bei ersteren ist aufgrund der fehlenden Zuordnung der einzelnen Cookies und ähnlichen Techniken zu den jeweils eingebundenen Diensten häufig der Umfang der Datenverarbeitung nicht ausreichend klar, was zur Intransparenz der Information und damit zur Unwirksamkeit der Einwilligung führen kann.
Daher empfiehlt es sich bei via JavaScript eingebundenen Consent-Banner-Inhalten regelmäßig auf ergänzende Ausführungen zu den eingesetzten Diensten in der übrigen Datenschutzerklärung zu verweisen.
Umgekehrt sollten Datenschutzinformationen zu den eingesetzten Diensten in diesen Fällen entweder die vom jeweiligen Dienst genutzten Cookies und ähnlichen Techniken mit den jeweils erforderlichen Angaben zu Zwecken, Empfängern, Drittstaatenübermittlung und Speicherdauer konkret auflisten oder zumindest auf die automatisch eingebundenen Bannerinhalte verweisen.
Bei Consent-Management-Lösungen die Informationen hingegen dienst- bzw. toolbezogen darstellen, ist eine Zuordnung der einzelnen Cookies und ähnlichen Techniken regelmäßig bereits enthalten. Insoweit reichen dann lediglich inhaltsbezogene Prüfungen und gegebenenfalls Anpassungen aus.
In jedem Fall sollte der Verantwortliche sicherstellen, dass sich die Informationen im Consent-Banner und der Datenschutzerklärung nicht widersprechen. Aus diesem Grund empfiehlt es sich auch, statt getrennter „Cookie-“ und „Datenschutzerklärung“ ein einheitliches Dokument zu verwenden, da getrennte Darstellungen das Risiko sich widersprechender Informationen erfahrungsgemäß erhöhen.
Erleichterung der Umsetzung des Rechts auf Widerruf
Schließlich ist bei der Umsetzung eines Consent-Management-Systems darauf zu achten, dass der Widerruf einer Einwilligung genauso einfach möglich ist, wie deren Abgabe. Wird eine Einwilligung mittels Consent-Banner eingeholt, sollte es für den Websitebesucher ohne weiteres möglich sein, seine Einwilligung auf gleichem Weg zu widerrufen.
Dazu bieten marktübliche Consent-Management-Systeme regelmäßig die Möglichkeit, das Banner über einen Link, z. B. Cookie-Einstellungen oder Datenschutzeinstellungen, über ein Fingerabdruck-Symbol oder Cookie-Symbol, die am Ende oder in der Fußzeile einer jeden Webseite verfügbar gemacht werden können, erneut aufzurufen.
In der Praxis wird von Websitebetreibern jedoch immer wieder nicht von diesen technischen Möglichkeiten der Consent-Management-Systeme Gebrauch gemacht, was das Beanstandungsrisiko deutlich erhöht. Es empfiehlt sich daher, entsprechende Funktionen des Consent-Management-Systems auch tatsächlich umzusetzen.
Fazit
Die Erfüllung der Anforderungen an das Consent-Management auf Websites ist mit zahlreichen rechtlichen und tatsächlichen Herausforderungen verbunden. Bevor Verantwortliche daher mit Ihren Websites live gehen, sollte ein effektives Consent-Management sichergestellt werden. Zur Vermeidung sowohl unnötiger Kosten und Aufwände als auch Risiken empfiehlt es sich dabei, die oben genannten Punkte zu berücksichtigen und bereits im Planungsstadium eines neuen Webauftritts für eine enge Zusammenarbeit zwischen Datenschutzbeauftragten, Marketingabteilungen und Websiteentwicklern zu sorgen, um eine zum Inhalt der Website passende und den rechtlichen Anforderungen gerecht werdende Consent-Management-Lösung zu finden und korrekt umzusetzen.