„Auf unseren Webseiten verwenden wir Cookies. Näheres dazu in unserer Datenschutzerklärung“ So oder so ähnlich prangten den Besuchern mit Wirksamkeit der DS-GVO 2018 auf vielen Webseiten Cookie-Banner entgegen. Mal kurz, mal lang, mal mit Link auf die Datenschutzerklärung. Eine genaue Vorschrift dazu gab es nicht. Dieser Fachbeitrag beschäftigt sich mit Dark-Patterns und Nudging.
Keine Datensammlung ohne Rechtsgrundlage
Die Cookie-Banner, die auch heute noch ab und an und fälschlicherweise auf Webseiten zu finden sind, wurden seit dem sogenannten „Planet 49“ Urteil des EuGH (C-673/17 – Planet49) weitestgehend durch sogenannte „Consent Tools“ abgelöst. Diese Mechanismen zur Einblendung von Fenstern und Overlays werden inzwischen bei fast allen Webseiten beim ersten Besuch eingesetzt, um vom Besucher eine Einwilligung zur Verarbeitung seiner Daten, die er durch sein Besuchsverhalten auf einer Webseite oder in einer App hinterlässt, einzuholen. Die Einwilligung kann sich dabei auf Verarbeitungen zum Tracken, Messen und Auswerten (z.B. Google Analytics) erstrecken oder auch darauf, Inhalte von Drittanbietern (z.B. Nachrichten von Twitter) einzublenden oder um Daten an Dritte (z.B. Facebook) weitergeben zu dürfen.
Da viele Webseitenbesucher nicht unbedingt freiwillig jeder „Überwachung“ bzw. „Datensammlung“ zustimmen wollen, wurden Webseitenbetreiber und Dienstleister in dieser Branche kreativ. Durch gezielte Einflussnahme versucht der Webseitenbetreiber die Wahrscheinlichkeit zu erhöhen, dass der Besucher die gewünschte Einwilligung erteilt. Hierfür werden häufig sog. „Dark Patterns“ eingesetzt, um auf den Besucher der Webseite einzuwirken. Aber was genau sind Dark Pattern?
Dark-Patterns und Nudging
Dark Patterns sind Benutzerschnittstellen-Designs, die Besucher dazu verleiten sollen, eine Handlung auszuführen, die nicht zwangsläufig in ihrem eigenen Interesse liegt. Dies wird umgesetzt durch Maßnahmen wie Irreführung, Zurückhaltung von Informationen, Beeinflussung des Nutzerverhaltens durch sozialen Druck ((angebliche) Bewertungen durch andere Nutzer), vermeintliche Verknappung („nur noch wenige Produkte vorrätig, greifen Sie zu“), Dringlichkeit („nur noch kurze Zeit“) oder erzwungene Handlungen. Bezogen auf Cookies und Webseiten, beobachtet man hierbei häufig Umstände wie z.B. unzureichende Informationen, Vorauswahl von Auswahlfeldern aber auch absichtliche Irreführungen. Meistens sind es nur unterschiedliche Farben der Auswahlfelder (Ablehnen ist grün, Annehmen ist rot), die dem Besucher eine „Stupser“ (Nudging) geben, schnell an den eigentlichen Inhalt der Webseite zu gelangen. Oft muss sich der Besucher für das Ablehnen durch unzählige Untermenüs klicken, da nur das Akzeptieren durch eine schnellen 1-Click möglich ist.
Der Besucher der Webseite wird also derart manipuliert, dass er gegen seinen inneren Wunsch, überwacht und ausgeforscht zu werden, der Datenverarbeitung, dem Tracking oder der Datenweitergabe, zustimmt. Doch sind diese Methoden zulässig?
Mit Blick auf Rechtsprechung und Veröffentlichungen der Aufsichtsbehörden lassen sich folgende Aussagen feststellen:
- Erwägungsgrund 66 der EU-Richtlinie 2009/136/EG, sog. „Cookie-Richtlinie“, verlangt lediglich das Ablehnen von Cookies „so benutzerfreundlich wie möglich“ zu gestalten.
- Der BGH stellt im „Planet49“ Urteil (C-673/17 – Planet49) fest, dass eine aktive Einwilligung der Besucher der Webseiten erforderlich ist, wenn Cookies zur Speicherung und Analyse des Nutzerverhaltens gesetzt werden sollen.
- Weiterhin macht der EuGH „Planet49“ Urteil (C-673/17 – Planet49) deutlich, dass es keine zulässige Einwilligung bei vorausgewählten „Checkboxen“ darstellt.
- Der Erwägungsgrund 32, Satz 3 der EU-Verordnung 2016/679 (DS-GVO) zur Einwilligung besagt: „Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person sollten daher keine Einwilligung darstellen.“
- Die Landesbeauftragte für den Datenschutz Niedersachsen schreibt in Ihrer Handreichung „Datenschutzkonforme Einwilligungen auf Webseiten – Anforderungen an Consent-Layer“ (November 2020): „Wird Nudging vom Verantwortlichen mit dem Ziel eingesetzt, den Betroffenen zur Erteilung der Einwilligung zu verleiten, so kann damit je nach konkreter Ausgestaltung gegen unterschiedliche rechtliche Vorgaben für die datenschutzrechtliche Einwilligung verstoßen werden. Fest steht, dass einem erlaubten Nudging Grenzen gesetzt sind und verhaltensmanipulierende Ausgestaltungen zu einer Unwirksamkeit der Einwilligung führen können.“
Fazit und Empfehlung
Es lässt sich mithin festhalten, dass der Einsatz von Dark Patterns und Nudging zulässig sein kann, der Einsatz aber kritisch zu betrachten ist. Streng genommen dürfte jede Handlung, durch die eine freiwillige Abgabe einer Einwilligung beeinflusst wird, dazu führen, dass eine unter diesen Umständen abgegebene Einwilligung zumindest angreifbar ist und ein hohes rechtliches Risiko mit sich bringt.
Dies auch vor dem Hintergrund, dass nicht nur die Rechtsprechung sich in den letzten Jahren zunehmend kritischer zu wirksamen Einwilligungen, Trackings und Cookie-Bannern geäußert hat, mahnen inzwischen auch Verbraucherzentralen wegen unzulässigen Cookie-Bannern ab. Und auch der aus den Medien bekannte Max Schrems und dessen Datenschutzverein NYOB haben Anfang des Jahres über 10.000 Webseiten untersucht, ob die Gestaltung der Cookie Banner gegen geltendes Recht verstößt. Vermeintliche Verstöße wurden an Aufsichtsbehörden gemeldet, die wiederum diesen Eingaben nachgeht und die betroffenen Unternehmen anschreibt und um eine Stellungnahme bittet.
Neben dem Risiko einer Abmahnung oder einem möglichen Bußgeld verliert der Webseitenbetreiber vor allem eins: Seine gesammelten personenbezogenen Daten. Denn ohne einer der genannten Bedingungen für die Rechtmäßigkeit der Verarbeitung gemäß Artikel 6 DS-GVO wäre die Datenverarbeitung unzulässig und die personenbezogenen Daten zu löschen.
Unsere Empfehlung kann daher nur sein, auf unnötiges Nudging und Dark Patterns zu verzichten, um das Risiko einer Abmahnung oder eines Bußgeldes wegen eines Verstoßes gegen die DS-GVO aufgrund unzulässiger Einwilligungen in die Datenverarbeitung zu entgehen.