Mit der Einführung des Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG, zum 01.12.2021) und dem Ratsentwurf zur ePrivacy-VO wird das Tracking auf Internetseiten und in mobilen Apps wieder thematisiert. Auch Datenschutz-Initiativen und Datenschutzaufsichtsbehörden nehmen das Momentum zum Anlass, um ein aus Ihrer Sicht nicht datenschutzkonformes Tracking zu bemängeln bzw. zu sanktionieren. Dabei wird das "Wie" einer Einwilligung zum Tracking mit beiden Normen keine Änderung zum bestehenden Status-Quo erfahren. Denn immer noch sind die Anforderungen des BGH Urteil vom 28.05.2020 – I ZR 7/16 „Cookie-Einwilligung II" alleine maßgeblich.
Seit diesem Urteil rätseln nun viele Webagenturen und Online-Werber, welcher Grad an Rechtsunsicherheit noch akzeptabel ist, ohne eben im Fadenkreuz von Aufsichtsbehörden und Datenschutz-Initiativen zu gelangen und Bußgeld zu riskieren. Und dieser Grad ist - wie alles im (rechtlichen) Risikomanagement - abhängig von ihrer Risikoaffinität oder ihrer Risikoaversion.
Ich mache das Dilemma mal an einem Beispiel klar: Stellen Sie sich vor, Sie sich ein Betrieber eines Online-Shops. Sie nutzen Online-Marketing auf Instagram, Tiktok, YouTube, Twitter und natürlich Google. Sie können - dank der Einbindung von Infonline, Google Analytics und Facebook Pixel sehr genau sagen, welche Werbekampagne Ihnen welchen Umsatz gebracht hat. Sie steuern ihr Online-Marketingbudget genau danach und nutzen nur die Kanäle, mit denen Sie die höchste Umsatzrendite haben.
Plötzlich lesen Sie von diesen Untersuchungen der Datenschutz-Aufsichtsbehörden. Sie sehen auch, dass mehrere Mitbewerber ihre nicht rechtskonforme Einwilligung für das Tracking auf "Ja"/"Nein" umstellen. Jetzt fragen Sie sich, ob Sie gleich ziehen sollen, oder ob Sie Ihr Einwilligungsbanner mit "Nudging" und "Dark Pattern" aufrecht erhalten sollten. Beide Begriffe beschrieben Methoden, mit denen Benutzer von Internetseiten dazu gebracht werden sollen, dem Tracking zuzustimmen (und dies nie mehr zu widerrufen).
Schauen Sie selber mal bei Ihren Consent-Bannern nach, ob folgende Methoden von Nudging/dark patterns genutzt werden:
- Keine Option, Cookies auf der ersten Ebene vollständig abzuwählen
- Vorauswahl von Cookies/Verarbeitungstätigkeiten
- Verweise anstatt Buttons, um Cookies/Verarbeitungstätigkeiten abzuwählen
- Trügerische Kontrastwahl bei Buttons
- Trügerische Farbwahl bei Buttons
- Nutzung eines vermeintlichen, berechtigten Interesses
- Technische Notwendigkeit wird als Rechtsgrundlage für (z. B.) Werbe-Tracking genutzt
- Keine oder nur versteckte Möglichkeiten, eine erteilte Einwilligung zu widerrufen
Was derzeit noch nicht im Fokus der Aufsichtsbehörden, aber auch nicht die nonchalante Art ist, ist ein dauerhaftes Nachfragen, falls beim ersten Mal keine Einwilligung zum Tracking erteilt wurde.
Egal was Sie bei Ihren Consent-Bannern finden - falls Sie eine der oben genannten Methoden verwenden, sollten wir uns über die Risiken im Umgang mit diesen Methoden austauschen. Also, bitte treten Sie gerne mit mir in Kontakt, falls Sie ihrem persönlichen, "akzeptablen Grad an Rechtsunsicherheit" herausfinden möchten.
Viele Grüße aus Bad Aachen
Ingo Goblirsch
Ingo Goblirsch LL.M.
Externer Datenschutzbeauftragter
Datenschutz & Informationssicherheit
Bad Aachen
Photo by Egor Myznik on Unsplash. Thank you!