Für die Betreiber mancher Websites sind die Gewinne aus geschalteter Werbung wichtig, um weiter fortbestehen zu können – irgendwo muss die Finanzierung schließlich herkommen. Das gilt zum Beispiel für die Online-Auftritte von Zeitungen. Je nach Modell führt dann mitunter kein Weg daran vorbei, dass etwa die Seitenbesuche der Nutzer mithilfe von Tracking-Cookies festgestellt werden.
Auf manchen Websites werden insofern Cookie Walls eingesetzt. Ein übliches Consent Tool fragt die Einwilligung des Nutzers ab. Gibt er sie nicht, werden betreffende Cookies eben nicht gesetzt. Auf der Seite kann sich der Nutzer dennoch bewegen. Cookie Walls gehen einen Schritt weiter: Wer den Tracking-Cookies nicht zustimmt, der kommt nicht auf die Seite. Das Angebot, was er nutzen will, finanziert er schließlich so nicht. Die Cookie Wall, meist ein großflächiges Pop-up-Fenster, bleibt bestehen und hindert an der Nutzung, oder der Nutzer wird beim Ablehnen direkt von der Seite weggeleitet. Die Interessen hier so einer Lösung sind nachvollziehbar. Wir wurden gefragt: Ist solch eine Lösung aber auch rechtskonform?
Die kurze Antwort lautet: Nach Auffassung vieler Datenschutzbehörden nicht. Die Website müsse im Ergebnis zugänglich bleiben, auch wenn einwilligungspflichtige Tracking- oder Werbe-Cookies nicht gesetzt werden dürfen. Aber es zeichnet sich eine Ausnahme ab.
Es geht um die wirksame Einwilligung
Prinzipiell ist im Gesetz nicht vorgesehen, dass ein Betreiber seine Website ausdrücklich für jeden zugänglich machen muss. Aber darum geht es auch nicht, sondern um die Wirksamkeit der Einwilligung des Besuchers. Die hängt nämlich an bestimmten Voraussetzungen. Werden diese nicht erfüllt, dann schadet das der rechtlichen Wirksamkeit der Einwilligung. Die Folge: Selbst wenn der Besucher auf bspw. „Einwilligen“ klickt, würde das unter Umständen eben nicht den rechtlichen Anforderungen gerecht werden und damit nicht gelten.
Ein Beispiel, das zumindest den Gedanken dahinter verdeutlichen soll:
Person 1 ruft Person 2 zu, dass sie gern ihr Auto will. Person 2 sagt: Okay. Auch wenn man hier über eine irgendwie geartete Einigung sprechen kann, stellt sie wohl nicht die rechtliche Grundlage dafür dar, dass Person 1 Person 2 verpflichten kann, ihr gegen Zahlung von 5 Euro das Eigentum an dem Wagen zu verschaffen. Dazu hätten sie sich vielleicht auch über den Kaufpreis einigen müssen, oder überhaupt über die Tatsache, dass es hier um einen Kauf gehen soll. Das „Okay“ von Person 2 ist einfach nicht ausreichend, damit Person 1 nun genau dies verlangen kann.
Raus aus dem Auto und zurück zu den Cookies. Will sich der Website-Betreiber also auf eine Einwilligung berufen, die seiner Cookie-Nutzung die nötige rechtliche Grundlage gibt, sollte er darauf achten, dass diese auch wirksam zustande gekommen ist. Das darlegen zu können, liegt grundsätzlich auch in seiner Verantwortung. Einer der Punkte hinter einer solchen Einwilligung im Bereich Datenschutz und inbs. personenbezogenen Daten ist die „Freiwilligkeit“, auch nachzulesen in Erwägungsgrund 42 der DSGVO: Der Betroffene soll die Wahl haben und sich frei entscheiden können. Sonst stellt sich die Frage, inwiefern es wirklich jemandes Willen sein kann, wenn er keine andere Option hat. Soweit in der Theorie.
Was bedeutet dieses Grundprinzip für diesen Fall laut der Datenschutzbehörden?
Unter diesem Gesichtspunkt sagt etwa der Europäische Datenschutzausschuss (EDSA), dass die Nutzung einer Seite nicht davon abhängig gemacht werden darf, dass in Tracking- bzw. Werbe-Cookies eingewilligt wird. Mit anderen Worten: Ist das die Situation, wäre die Einwilligung womöglich nicht wirksam und damit keine Rechtsgrundlage dafür vorhanden, dass diese Cookies dennoch verwendet werden. Der Betreiber hätte demnach im Fall der Fälle ein Problem, er könnte keine wirksame Einwilligung beweisen. Nicht gut.
Dass das Prinzip „Take it or leave it“ rechtlich gesehen insofern keine gute Idee ist, vertreten neben den EDSA auch andere Datenschutzbehörden, so die niederländische, die britische und die französische. Auch der Bundesbeauftragte für den Datenschutz in Deutschland positioniert sich mit Bezug auf die neuen Leitlinien des EDSA: „Es gibt immer noch Internetseiten, die durch Ihren Aufbau den Nutzenden Tracking aufdrängen. Die aktualisierten Leitlinien machen erneut deutlich, dass Einwilligungen nicht erzwungen werden können. Die meisten Cookie-Walls und die Annahme, dass das Weitersurfen eine Einwilligung bedeutet, widersprechen dem Aspekt der Freiwilligkeit und verstoßen gegen die Datenschutz-Grundverordnung. Ich wünsche mir, dass Verantwortliche daraus die richtigen Schlüsse ziehen und endlich datenschutzfreundliche Alternativen anbieten.“
Das soll nicht darüber hinwegtäuschen, dass Gerichte diesen Sachverhalt grundsätzlich auch anders beurteilen könnten, gebunden sind diese nicht an die Ansicht der Datenschutzbehörden. Auch ist in diesem Bereich sonst keine verbindliche Klärung bekannt. Doch wer auf diese Lösung setzen will, sollte sich der deutlichen Kritik bewusst sein.
Aber es gibt doch bestimmt eine Ausnahme?
Geht man mit den Datenschutzbehörden, sind diese Cookie Walls also grundsätzlich rechtlich nicht zulässig. Zumindest, wenn es entweder Daten heißt, oder Rauswurf.
Für Website-Betreiber, die sich nicht im Stande sehen, auch Besucher auf die Seite zu lassen, die nicht einwilligen wollen und sich damit auch der Finanzierung der Seite entziehen, ist das nicht ideal. Allerdings müssen ja nicht nur diese beiden Optionen zur Verfügung stehen. Es gibt auch die Option, den Besucher nicht mit Daten „bezahlen“ zu lassen, sondern ganz klassisch mit Geld. Ein Modell, wie es zum Beispiel auch einige große Tages- und Wochenzeitungen nutzen: Es kann zwischen der Einwilligung und dem Abschluss etwa eines Abo-Vertrags gewählt werden, um die Seite zu betreten. Für den Besucher entsteht somit wieder eine Wahlmöglichkeit.
Ob dies wiederum zulässig ist, ist ebenfalls nicht verbindlich geklärt. Doch es gibt zumindest Anzeichen: „Als Cookie-Wall wird ein Verfahren bezeichnet, das von Nutzenden eines Online-Angebots einfordert Cookies zu akzeptieren, um das Angebot nutzen zu können. Ausnahmsweise sind Cookie-Walls dann zulässig, wenn ein vergleichbarer Dienst auch ohne Tracking angeboten wird, beispielsweise als bezahlter Dienst“, heißt es in der Mitteilung des Bundesdatenschutzbeauftragten vom 7. Mai 2020.
Und auch die österreichische Datenschutzbehörde hat sich bereits mit einer Cookie Wall auseinandergesetzt, die eine Bezahloption vorsieht. Das Angebot war dann „frei von Werbung, frei von Daten-Tracking und frei von der Setzung von Fremdcookies“, die Kosten mit wenigen Euro nicht außer Verhältnis. Den Aspekt der Freiwilligkeit sieht sie in dem betroffenen Einzelfall als nicht problematisch an (Details zur Entscheidung hier).
Nach alledem: Zusammenfassung
Einwilligung in Werbe-Cookies oder halt kein Zutritt zur Seite – dieser Gedanke steckt hinter klassischen Cookie Walls. Auch wenn das Modell als solches nicht ausdrücklich durch Gesetz verboten ist und keine höchstrichterliche Rechtsprechung es verbietet, sind Datenschutzbehörden von der Unzulässigkeit überzeugt. Auch der Europäische Datenschutzausschuss macht das mit seiner jüngsten Mitteilung deutlich. Tritt neben die beiden Optionen allerdings eine Bezahloption, mit der entsprechende einwilligungsbedürftige Cookies nicht gesetzt werden, lässt sich schon eher diskutieren – aber auch das wohl am Besten mit einem Fachmann, wenn man solch eine Lösung selbst nutzen will.
Kommentar schreiben