NOYB hat "Warnungen" an einige hundert Websitenbetreiber gesendet, um dem "Cookie-Wahnsinn" ein Ende zu setzen. Wie sieht so ein Schreiben aus?
Ist das Schreiben unzulässig?
Unseres Erachtens ist der Tatbestand der "Nötigung" (§ 105 StGB) nicht erfüllt, da NOYB als Organisation die (rechtliche) Möglichkeit hat, eine Beschwerde bei der DSB einzubringen, und nun im Vorfeld einer Beschwerde den Websitebetreibern die Möglichkeit gibt, das Fehlverhalten - ohne sonstige Konsequenzen - zu korrigieren.
Rechtsgrundlage für Cookies?
"essentielle" Cookies können mE nach wie vor auf Basis des "berechtigten Interesses" gem. Art 6 Abs 1 lit f DSGVO verarbeitet werden, sofern kein Drittland mit nicht ausreichendem Datenschutzniveau in die Verarbeitung mit einbezogen wird.
Marketing- und Tracking-Cookies oder andere Technologien, die die Identifizierung der Websitebesucher (und sei es nur auf Sozialen Netzwerken) zum Zweck haben, und die es ermöglichen sollen, im Rahmen von Re-Targeting benutzerspezifische Werbung auszuspielen, bedürfen jedoch mE der "Einwilligung" (Art 6 Abs 1 lit a DSGVO) - sofern eine Weiterbearbeitung in einem unsicheren Drittland (inkl. USA) erfolgt, auch einer "ausdrücklichen Einwilligung" iSd Art 49 Abs 1 lit a DSGVO (wobei es die Diskussion gibt, ob diese Drittlandseinwilligung als Grundlage nur dann tauglich ist, wenn die Datenübermittlung nur gelegentlich erfolgt, aber das ist eine andere "Baustelle").
Die Einwilligung muss freiwillig und durch eine eindeutige bestätigende Handlung erfolgen.
Freiwillig ist eine Einwilligung dann, wenn diese ohne Zwang erfolgt. Wenn der Websitebetreiber zB eine Website mit Cookies auch eine (kostenpflichtige) Alternative ohne Cookies anbietet, dann kann dies zulässig sein, da der Websitebesucher eine "Wahl" hat. Dies wurde u.a. bei einem Medienunternehmen so entscheiden.
"Vorangeklickte Check-Boxen" sind unzulässig, das ist klar, und wird auch von NOYB so dargestellt, da dies keine Handlung des Websitebesuchers erfordert.
NOYB bezieht sich jedoch auch konkret auf die Darstellung bzw. Farben der Einwilligungs-Buttons, und in diesem Punkt könnte die von NOYB vertretene Ansicht mE zu weit gehen.
Wenn es für den/die Websitebesucher*In klar ist, welche Handlung er/sie setzt, und hier wird auf einen durchschnittlichen Websitebesucher abzustellen sein, und ob er/sie in die Verarbeitung seiner Daten einwilligt, dann ist diese Einwilligung mE gültig zustandegekommen, auch wenn mit "unterschiedlichen Farben" oder "unterschiedlichen Darstellungen" der Buttons, oder auch dem "Vertauschen" gearbeitet wird, um eventuell die Websitebesucher dazu zu bewegen, genauer hinzusehn, bevor diese die Cookie-Einstellung so wählen, dass der Websitebetreiber aus dem Besuch seiner Website keinen zusätzlichen Nutzen ziehen kann.
Ich denke, dass in diesem Zusammenhang das letzte Wort die Aufsichtsbehörden sprechen werden, und die Ansicht von NOYB zu weit geht, und die Websitebetreiber sich in diesem Punkt auch auf ein Beschwerdeverfahren einlassen können, insbes. wenn man den wirtschaftlichen Erfolg des Einsatzes von Cookies oder Tracking-Technologien in diesem Zusammenhang einem etwaigen Risiko gegenüberstellt.
2.6.2021, Autor
Michael Schweiger, zert DSBA
Hier finden Sie noch eine "Originalaufforderung" von NOYB an einen Websitebetreiber.
Danke an www.datenschutz-agentur.de (SECUWING GmbH & Co KG) für die Veröffentlichung dieses Beispiels, das auch den Entwurf einer Beschwerde bei der Verwendung von OneTrust beinhaltet.
Kommentar schreiben
Matthias Haidekker (Freitag, 04 Juni 2021 15:58)
sicher spannend, inwieweit sich die behörden an der entscheidung der dänischen behörde (2018-32-0357 / 11.02.2020) orientieren werden, die dem nudging und dark patterning schon eine ziemlich klare absage erteilt !
hier im original: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2020/feb/dmis-behandling-af-personoplysninger-om-hjemmesidebesoegende