Spätestens seit der Ankündigung der von Max Schrems geführten NGO „none of your business“ (noyb), dem „Cookie-Banner-Wahnsinn“ ein Ende zu bereiten, ist die Debatte um das sog. „Nudging“ bei Bannern vollständig entbrannt (wir berichteten). Auch im Hinblick auf das zum 01.12.2021 in Kraft tretende Telekommunikations-Telemedien-Datenschutzgesetz, kurz TTDSG, bleibt das Thema aktuell. Nudging (engl. für anstupsen oder anstoßen) bedeutet in diesem Zusammenhang, die Besuchenden einer Website durch eine bestimmte Gestaltung des Cookie-Banners zu einer Einwilligung in die verwendeten Cookies zu bewegen.
noyb sah bei dem Design weitverbreiteter Banner das Problem, dass regelmäßig (nach eigenen Angaben in immerhin 81 % der damaligen Fälle) kein „Ablehnen“-Button zu finden gewesen sei. Gleichzeitig haben Besuchende jedoch das Bedürfnis, nicht getrackt zu werden: Dies zeigte sich zuletzt dadurch, dass z. B. bei Apple nach Umstellung des eigenen App-Stores auf ein Opt-in-System markante Rückgänge im Tracking der eigenen User festgestellt wurden.
Die Forderung von noyb ist angesichts der gelebten Praxis relativ weitgehend. Datenschutzbehörden haben sich hierzu lange nicht klar positioniert, stehen aber einem Nudging grundsätzlich ablehnend gegenüber – allerdings ist der konkrete Maßstab noch nicht festgesetzt. Auch Erwägungsgrund 66 der EU-Richtlinie 2009/136/EG, sog. „Cookie-Richtlinie“, verlangt lediglich das Ablehnen von Cookies „so benutzerfreundlich wie möglich“ zu gestalten.
Beispiel für Nudging bei einem Cookie-Banner
Cookie-Banner wie dieses wurden in jüngster Vergangenheit bereits vereinzelt abgemahnt. Hier öffnet sich über das Dialogfeld „Cookie-Einstellungen anpassen“ regelmäßig ein zweites Fenster, in dem oft weit gescrollt werden muss, um die ablehnenden Einstellungen speichern zu können.
Ablehnende Einstellung
Die Initiative von noyb führte zu einigen Veränderungen im Banner-Design vieler Websitebetreibender. Es sind nun zweifelsohne häufiger Banner zu finden, durch die ohne weiteres Suchen in den Einstellungen ein Ablehnen der Tracking-Funktionen ermöglicht wird. Aber auch hier existieren Varianten, die irreführen könnten.
Unter den bestehenden Varianten unterscheiden sich zwei besonders stark voneinander: Zum einen die Variante „Alle nicht essenziellen Cookies ablehnen“ (oder „nicht funktionalen“, „nicht funktionellen“, „nicht notwendigen“ etc.) …
… und zum anderen die Variante „Alle Cookies ablehnen“ oder bloß „Ablehnen“.
Genau diese Unterscheidungen sind maßgeblich im Bereich des Nudgings. Fraglich ist, ob diese mögliche Abweichung aber überhaupt problematisch ist.
Eine Frage des Wettbewerbs?
Denkbar ist immerhin, dass ein „Alle Ablehnen“-Button attraktiver wirkt als die Alternative. Es könnte vermittelt werden, dass nicht nur nicht essenzielle Cookies abgelehnt werden würden, sondern darüber hinaus noch weitere essenzielle Cookies, was selten den Interessen der Besuchenden entsprechen dürfte.
Eine Problematik in der Unterscheidung entsteht an dieser Stelle folglich nur dann, wenn die Option „Alle Ablehnen“ keinen Mehrwert gegenüber der Alternative hätte, also abgesehen von den essenziellen Cookies gar keine weiteren abgelehnt werden. Tatsächlich können auch funktionelle Cookies abgelehnt werden. Dies führt jedoch mindestens zu Einschränkungen beim Besuch der Website. So existieren z. B. auch Browserfunktionen, die dies ermöglichen. Auf vielen Websites findet sich daher der Hinweis, dass die Funktionen der Website auf diese Weise eingeschränkt werden könnten bis hin zu einer Unmöglichkeit, die Website überhaupt verwenden zu können. Dies entspricht nicht dem Interesse der Besuchenden.
Das Interesse an der Funktionalität
Hierfür muss zunächst die Grenze zwischen essenziellen und nicht essenziellen Cookies definiert werden. Unter nicht essenziellen Cookies werden regelmäßig solche verstanden, die für den Website-Besuch nicht technisch notwendig sind. Die technische Notwendigkeit kann dabei zu einem gewissen Teil selbst von den Websitebetreibenden festgesetzt werden: Session-Cookies, die etwa für die Funktionalität des Einkaufswagens bzw. Warenkorbs, des Logins beim Online-Banking etc. sorgen, sorgen im engeren Sinne nicht für die Möglichkeit des Besuchs der Website, sondern modifizieren die dort vorgenommenen Interaktionen. Ohne diese Cookies würden Besuchende der Website bei einem Seitenwechsel den Inhalt ihres Warenkorbs verlieren, könnten jedoch die Website per se besuchen. Da hiermit faktisch in den meisten Fällen ein Einkauf nicht möglich wäre, wird der Begriff „funktional“ auf den Einkaufsvorgang ausgedehnt. Websites, die Shops enthalten, werden in ihrer Funktion dann über ihre Möglichkeit zur Abwicklung von Kaufgeschäften definiert. Insofern führt das Betreiben eines Webshops zu einer dem Wortsinn aussparenden Abweichung des Begriffs „funktional“, da hier offensichtlich auch Geschäftsinteressen berührt werden. Demgegenüber sind Websites, deren Hauptfunktion das Tracking von Besuchenden darstellt, nicht als funktional definiert. Dies führt zu der Notwendigkeit eines neuen Definitionsmerkmals für den Begriff „essenzielle Cookies“.
Den Unterschied zwischen Tracking-Websites und Webshops macht aus Sicht der Besuchenden vor allem das Vorhandensein eines eigenen Interesses aus. Denn i. d. R. haben die Besuchenden beim Aufsuchen eines Webshops auch die Absicht, hier das Kaufangebot wahrzunehmen. Dieses Interesse trifft das Interesse des Webshopbetreibenden, eigene Waren anzubieten. Auch hier findet mittelbar über den Webshop eine Verarbeitung personenbezogener Daten in Form von Adress- und Zahlungsdaten zu Abwicklungs- und Versandzwecken statt. Diese findet datenschutzrechtlich ihre Rechtsgrundlage und damit ihre Grenzen in Art. 6 Abs. 1 S. 1 lit. b DSGVO. Demgegenüber entspricht ein Tracking der Besuchenden regelmäßig nicht deren Interessen, selbst bei einem Einverständnis zu etwa personalisierter Werbung. Den Interessen der Websitebetreibenden sind daher die Interessen der Besuchenden gegenüber zu stellen, um eine „Funktion“ der Website zu begründen.
Unerwartetes Nudging
Umso mehr könnte darin wiederum ein Nudging gewertet werden. Denn wer nur die Option „alle“ Cookies abzulehnen anbietet, verletzt ggf. unmittelbar Datenschutzrecht: Willigen Websitebesuchende in die Setzung von nicht essenziellen Cookies ein, darf die Verweigerung der Einwilligung nicht zu nachteilhaften Folgen führen. Ansonsten wäre das Merkmal der Freiwilligkeit der Einwilligung nicht erfüllt. Art. 7 DSGVO sieht hier umfassende, leicht verständliche und einfach zu erreichende Informationen durch die Verantwortlichen vor.
Durch das Zusammenführen von funktionalen und nicht funktionalen Cookies in einer einzigen Auswahloption wird insofern nicht hinreichend zwischen einwilligungsbedürftigen und nicht einwilligungsbedürftigen Cookies differenziert. Die Blockierung funktionaler Cookies wirkt sich dann nachteilig auf den Websitebesuch aus. Durch die Bündelung wird jedoch Druck ausgeübt, die Cookies insgesamt nicht zu blockieren.
Fazit
In der Praxis existieren verschiedene Cookie-Banner mit verschiedenen Designs. Leider stehen dabei die Verständlichkeit und die juristische Präzision in einem Spannungsverhältnis. Dies ist besonders tückisch, da die Informationen in einfacher Sprache zu halten sind. Eine zu starke Vereinfachung kann dazu führen, dass eine Information inhaltlich nicht mehr korrekt ist. Die Option „Alle Ablehnen“ kann folglich ein unerlaubtes Nudging darstellen, wenn hierbei „alle“ und nicht nur „alle nicht essenziellen“ Cookies abgelehnt werden.
Es empfiehlt sich demnach, das eigene Cookie-Banner möglichst differenziert, aber einfach zu gestalten. Eine Blockierung funktionaler Cookies ist nicht notwendig. Die Option „Alle nicht essenziellen Cookies“ zu blockieren ist demnach vorzuziehen.
Karl
29. Oktober 2021 @ 1:29
Das berechtigte Interesse müsste auch nicht abwählbar sein, da die Zustimmung dafür nicht notwendig ist.
T.H.
30. September 2021 @ 11:42
Mittlerweile sehe ich auch öfters Cookie-Banner, die mehrere Tabs haben. Im ersten Tab sind dann schön alle Optionen deaktiviert. Wenn ich dann auf das zweite Tab „Berechtigtes Interesse“ klicke, sehe ich, dass dort all die schönen Tracking Cookies doch schon voreingestellt sind. Hätte ich direkt im ersten Tab auf „akzeptieren wie ausgewählt“ geklickt, hätte ich diese Tracking Cookies unbewusst mitgenommen. Das ist schon ganz schön hinterhältig und kann eigentlich nicht rechtens sein.