Im Zuge einer länderübergreifenden Prüfung haben elf beteiligte Datenschutzaufsichtsbehörden die Webangebote von insgesamt 49 Medienhäusern unter die Lupe genommen und auf Datenschutzkonformität überprüft. Der Schwerpunkt der Prüfung lag dabei auf dem Einsatz von Analyse- und Trackingmechanismen, die auf den betroffenen Webangeboten im Wesentlichen zu Werbezwecken sowie der Bildung personalisierter Nutzerprofile eingesetzt werden bzw. worden waren. Die anlasslose Prüfung, welche federführend durch die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen koordiniert wurde, umfasste dabei die Vorbereitung, die Auswertung der Ergebnisse, welche erstmals im Rahmen einer gemeinsamen Pressemitteilung vom 16.08.2021 publiziert wurden, sowie die Nachprüfung.
Auch die Datenschutzkonferenz (DSK) hatte sich im Rahmen der Prüfung der beteiligten Aufsichtsbehörden der Thematik angenommen und sich primär die Umsetzung bzw. die Einbindung von sog. Pur-Abo-Modellen angesehen. Die Erkenntnisse, welche unter anderem auch die Zulässigkeit derartiger Modelle berücksichtigen, wurden im Anschluss in einem Beschluss veröffentlicht. Unsere Einschätzung zu dem Beschluss der DSK finden Sie hier.
Prüfungsabschluss in Niedersachsen
Die LfD Niedersachsen prüfte in diesem Zusammenhang insgesamt fünf Webangebote. Nach nunmehr drei Jahren wurde der Abschlussbericht mit den Ergebnissen der anlasslosen Prüfung veröffentlicht. Im Ergebnis erfüllte keines der überprüften Webangebote die rechtlichen Anforderungen, die mit dem Einsatz von Cookies und anderen Trackingtechniken einhergehen, sodass zahlreiche Datenschutzverstöße notiert wurden. Als Prüfungsgrundlage diente ein unter den beteiligten Aufsichtsbehörden abgestimmter Fragebogen, der unmittelbar nach der ersten technischen Vorprüfung der Webangebote an die von der Prüfung betroffenen Medienhäuser versandt wurde. Damit wurde den betroffenen Medienhäuser die Möglichkeit eingeräumt, zeitnah erste Maßnahmen zu ergreifen und ihre Webangebot an die datenschutzrechtlichen Anforderungen anzupassen. Parallel veröffentlichte die Aufsichtsbehörde eine Pressemitteilung und informierte die Allgemeinheit erstmalig über die Prüfung sowie die in den Webangeboten festgestellten Mängel.
Beanstandungen seitens der Aufsichtsbehörde
Während der technischen Vorprüfung stellte die LfD auf den geprüften Webangeboten die Einbindung einer hohen dreistelligen Anzahl – insgesamt waren es bis zu 760 – an Cookies und Drittinhalten fest, welche größtenteils dem Zweck dienten, das Verhalten von Webseitenbesuchenden zu analysieren bzw. gegenüber diesen personalisierte Werbung auszuspielen. Dies erfolgte grundsätzlich auf Grundlage der Einwilligung, welche über ein Consent-Banner eingeholt wurden. Die eingeholten Einwilligungen waren allerdings nach Auffassung der Aufsichtsbehörde aus unterschiedlichen Gründen unwirksam. So seien die implementierten Consent-Banner teilweise in der Ausgestaltung irreführend gewesen oder enthielten schlichtweg unzureichende bzw. nichtzutreffende Informationen über die Datenverarbeitungsvorgänge. Die Aufsichtsbehörde führte in ihrer Stellungnahme differenziert auf, welche Umstände konkret zur Unwirksamkeit der Einwilligung führten:
- Unmittelbare Einbindung von zustimmungsbedürftigen Drittdiensten und Cookies, ohne Vorliegen einer freiwilligen Einwilligung durch die Webseitenbesuchenden.
- Unzureichende bzw. falsche Informationen über das Nutzertracking im Consent-Banner.
- Unzureichender Einwilligungsumfang, sodass zahlreiche zustimmungsbedürftige Cookies und Drittinhalte geladen werden, obwohl die Zustimmung über das Consent-Banner verwehrt wurde.
- Fehlende Möglichkeiten, direkt auf der ersten Ebene des Consent-Banners alle zustimmungsbedürftigen Cookies und Drittdienste abzulehnen oder das Banner ohne Entscheidung schließen zu können.
- Verhaltensmanipulationen durch sog. Dark-Pattern und Nudging durch eine unterschiedliche Ausgestaltung der Auswahlmöglichkeiten bzw. Schaltflächen im Consent-Banner. Dabei werden Webseitenbesuchende unterschwellig zur Abgabe einer Zustimmung verleitet, indem die Schaltfläche für die Zustimmung beispielsweise durch eine farbliche Hervorhebung deutlich auffälliger gestaltet ist, als die Schaltfläche zum Ablehnen oder indem die Verweigerung der Einwilligung unnötig verkompliziert wird.
Die Medienhäuser erhielten im Anschluss an die technische Vorprüfung ein umfassendes Auswertungs- und Anhörungsschreiben mit den festgestellten datenschutzrechtlichen Abweichungen. Das aufsichtsbehördliche Schreiben bezog sich primär auf die festgestellten Mängel sowie die zum Teil mangelnde Transparenz hinsichtlich der Datenverarbeitung. So waren nach Ansicht der Aufsichtsbehörde teilweise einzelne Datenverarbeitungsvorgänge nicht ausreichend in den jeweiligen Datenschutzerklärung ausgewiesen. Den Medienhäusern wurde die Möglichkeit eingeräumt, zu den Beanstandungen Stellung zu beziehen und die festgestellten Mängel eigenständig zu beheben. In zwei der fünf Prüfungen ergingen neben der Anordnung weitergehende Verwarnungen. Diese betrafen Datenverarbeitungen auf den Webangeboten, welche auf das berechtigte Interesse gestützt wurden. In diesen Fällen wurde seitens der LfD Niedersachsen beanstandet, dass die gesetzlichen Anforderungen des Widerspruchsrechts gemäß Art. 12 und 21 DSGVO nicht ausreichend berücksichtigt wurden.
(Un)erwartete Verzögerung der aufsichtsbehördlichen Prüfung
Die behördliche Prüfung hat sich durch das Inkrafttreten des Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) und der vorgenommenen Anpassungen der Webangebote in die Länge gezogen. Mit Geltung des TTDSG musste auch der abgestimmte Prüfkatalog entsprechend der neuen Anforderungen ergänzt werden. Insbesondere die Anforderungen des § 25 TTDSG, der den Schutz der Privatsphäre bei Endeinrichtungen regelt, hatten einen direkten Einfluss auf die Prüfung der Webangebote. Danach bedarf es sowohl für die Speicherung von Informationen auf dem Endgerät, als auch für den Zugriff auf dort bereits gespeicherte Informationen grundsätzlich einer Einwilligung durch die Webseitenbesuchenden. Dabei ist es – anders als in der DSGVO – unerheblich, ob ein konkreter Personenbezug gegeben ist.
Auch die sukzessiven Anpassungen der Webangebote führten zu einer Verzögerung der Prüfung. Insbesondere die Anpassung der Consent-Banner sowie die Umstellung auf sog. Pur-Abo-Modelle sind hier hervorzuheben. Bei Pur-Abo-Modellen werden den Webseitenbesuchenden zwei verschiedene Möglichkeiten zum Abruf der Inhalte geboten. So steht ihnen die Möglichkeit zu, entweder ein kostenpflichtiges Pur-Abonnement abzuschließen, um das Webangebot ohne Nutzertracking, individuelle Profilbildung und personalisierte Werbung abzurufen oder in genau diese Datenverarbeitungen einzuwilligen, um das Angebot kostenlos zu nutzen. Nach Auffassung der DSK sind derartige Pur-Abo-Modelle zulässig, sofern diese die datenschutzrechtlichen Anforderungen umfassend berücksichtigen. So kann nach Auffassung der DSK ein Tracking auf eine Einwilligung gestützt werden, sofern im Gegensatz die Möglichkeit angeboten wird, ein trackingfreies, kostenpflichtiges Modell zu wählen. Die Leistung, die Nutzer bei einem kostenpflichtigen Abo-Modell erhalten, muss jedoch eine gleichwertige Alternative zu der Leistung darstellen, die diese bei Erteilung einer Einwilligung erhalten. Dies soll dann der Fall sein, wenn der Inhalt bzw. das Leistungsangebot der beiden Auswahlmöglichkeiten zumindest dem Grunde nach derselbe ist. Des Weiteren müssen die gesetzlichen Anforderungen datenschutzrechtlicher Einwilligung umfassend berücksichtigt werden. Insbesondere die Einholung einer Gesamteinwilligung in unterschiedliche Zwecke ist regelmäßig unwirksam und führt zur Unzulässigkeit der Datenverarbeitung.
Fazit
In den vorliegenden Fällen wurden den betroffenen Medienhäusern nach Abschluss der Prüfung umfassende Abschlussberichte zugestellt. Darin enthalten sind auch die noch nicht behobenen Beanstandungen. Hierzu hat sich die LfD das Recht einer Nachprüfung eingeräumt. Grundsätzlich sollte die anlasslose Prüfung als eine Art Weckruf verstanden werden. Grundsätzlich sind Webseitenbetreiber gut beraten, die eigenen Webangebote so auszugestalten, dass die datenschutzrechtlichen Anforderungen umfassend berücksichtigt werden. Andernfalls besteht die latente Gefahr einer Beanstandung seitens einer Aufsichtsbehörde oder einer Abmahnung durch Dritte. Häufig sind die Webpräsenzen das Einfallstor für tiefergehende Überprüfungen seitens der zuständigen Aufsichtsbehörden, da eine einfache Anzeige bei der zuständigen Aufsichtsbehörde genügen kann, eine Überprüfung anzustoßen. In diesem Zusammenhang können die von den Aufsichtsbehörden Niedersachsen und Hamburg veröffentlichten Handreichungen (hier und hier) als erste Orientierungshilfe genutzt werden.
Persönliche Einschätzung
Die Prüfungsergebnisse der LfD Niedersachsen sind nicht wirklich überraschend und veranschaulichen deutlich, dass die Themen Nutzertracking und Onlinemarketing auf Webseiten polarisieren. Nicht zuletzt auch aufgrund der Gesetzesnovellierung des Zivilrechts und der Ergänzung des Bürgerlichen Gesetzbuches (BGB) um die §§ 312 Abs. 1a, 327 Abs. 3 BGB, wodurch das Thema noch einmal in den Vordergrund gerückt ist. Danach besteht fortan die Möglichkeit, digitale Dienstleistungen und Inhalte mit seinen eigenen Daten zu zahlen. Dies ermöglicht Webseitenbesuchenden – bezogen auf das Pur-Abo-Modell – eigentlich kostenpflichtige Inhalte auf Webangebote unter Abgabe der eigenen Einwilligung aufzurufen bzw. zu konsumieren. Die Voraussetzung dazu wäre allerdings, dass die Einwilligung seitens des Webseitenbesuchenden auch wirksam eingeholt wurde. Genau daran scheitert nicht nur die rechtskonforme Umsetzung des Modells jedoch aktuell in der Praxis häufig. Denn auch beim Einsatz von sonstigen zustimmungsbedürftigen Cookies und Drittinhalten, tun sich Organisationen noch immer schwer, wirksame Einwilligungen einzuholen. Diesen Eindruck spiegeln jetzt auch die veröffentlichten Abschlussberichte. Vor diesem Hintergrund sind anlasslose und koordinierte Prüfungen durch die zuständigen Aufsichtsbehörden wichtig und zu begrüßen, da sie wirksame Mittel darstellen, die die Rechte der betroffenen Webseitenbesuchenden konsequent schützen.
14. September 2023 @ 15:05
Das zeigt mal wieder, dass man sich als Unternehmer darauf verlassen kann, selbst bei größeren Datenschutzverstößen von den Behörden erstmal in aller Ruhe informiert und beraten zu werden und sich maximal eine Verwarnung einzuhandeln.
Dass bei solchen Voraussetzungen fast alle Websitebetreiber fröhlich rechtswidrig weitertracken ist nicht verwunderlich.
Und wenn der unwahrscheinliche Fall eines Bußgelds tatsächlich eintritt, handelt es sich dabei normalerweise um lächerlich geringe Summen. Das ist dann halt „the cost of doing business“.
7. September 2023 @ 11:40
Aus meiner Sicht ist es sehr bedauerlich, dass an keiner Stelle aufgeführt ist, um welche Unternehmen es sich handelt.
8. September 2023 @ 9:27
Eigentlich kann man die wenigen hier betroffenen Unternehmen nur bedauern, denn wenn die nun wirklich was ändern sollten – was ich bezweifle – hätten sie gegen die 98% anderen einen wesentlichen Wettbewerbsnachteil. Entweder alle werden legal oder keiner. Und dass alle legal werden, ist woh sehr unwahrscheinlich solange die Lobby ein Verbot von personalisierter Werbung zu verhindern weiss.