Seit 2006 erinnert der 28. Jänner als Europäischer Datenschutztag an die Unterzeichnung des Übereinkommens zum Schutz des Menschen bei der automatisierten Verarbeitung personenbezogener Daten im Jahre 1985. Unsere DORDA Datenschutzexperten nehmen dieses Datum daher wie gewohnt zum Anlass, ein kurzes Update zu aktuellen datenschutzrechtlichen Entwicklungen auf europäischer Ebene zu geben:
Rechtskonforme Cookie Banner – Quo Vadis?
Die transparente Gestaltung von Cookie Bannern beschäftigt die Europäischen Datenschutzbehörden nun schon seit vielen Jahren. Hintergrund ist, dass weder die DSGVO noch die (gegebenenfalls nun wirklich bald durch die ePrivacy VO ersetzte) E-Privacy RL konkrete Anforderungen definiert. Im Sinne des technologieneutralen Ansatzes ist das zwar konsistent, führt aber in der Praxis zu zahlreichen Auslegungs- und Detailfragen. Diese werden von den europäischen Datenschutzbehörden durchaus unterschiedlich beantwortet. Auch die von einigen Behörden zur Orientierung erlassenen Guidelines weichen in Bezug auf wesentliche Details – wie etwa Funktionen und Beschriftung von Buttons oder Detaillierungsgrad der Informationen im first und second layer – ab. Parallel dazu gibt es aber in allen EU Mitgliedsstaaten zahlreiche anhängige Verfahren – nicht zuletzt auch aufgrund der von NOYB eingeleiteten Beschwerdewelle (DORDA hatte dazu im Rahmen der DSGVO Clarity Talks bereits im Detail berichtet).
In Frankreich wurden nun von CNIL, der französischen Datenschutzbehörde, erstmals erhebliche Strafen gegen Facebook / Meta (EUR 60 Mio) und Google (EUR 150 Mio) wegen der konkreten Umsetzung von Cookie-Bannern ausgesprochen. Nach Ansicht der CNIL waren insbesondere Annahme- und Ablehnungsmöglichkeit für Cookies nicht gleichwertig ausgestaltet: So waren die Websites bereits nach einem Klick auf "Accept Cookies" zugänglich, während für eine Ablehnung mehrere Klicks notwendig waren. Zudem war der Button für die Ablehnung irreführend ebenfalls mit "Accept Cookies" gekennzeichnet. Nutzern wurde dadurch, so die Behörde, der unzutreffende Eindruck vermittelt, dass es generell nicht möglich sei, Cookies abzulehnen. Dies verletze daher das Erfordernis einer freiwilligen Einwilligung. Die Höhe der Strafen wurde jeweils mit der großen Anzahl an betroffenen Nutzern und den hohen Einnahmen, die durch entsprechende Werbeeinnahmen erzielt werden, begründet. Die Argumente der CNIL decken sich in einigen Punkten mit den Forderungen von NOYB, die zuletzt fast 500 Beschwerden iZm der Ausgestaltung von Cookie Bannern bei zahlreichen Europäischen Datenschutzbehörden eingebracht haben. Aufgrund der unterschiedlichen Linien der Datenschutzbehörden sind abweichende Entscheidungen anderer nationaler Datenschutzbehörden nicht ausgeschlossen, sondern aufgrund der schon angesprochenen abweichenden Positionierungen fast sogar vorprogrammiert. Schlussendlich wird hier also der EuGH mit seinem Privileg der autonomen Auslegung der europarechtlichen Vorschriften ein klärendes Wort sprechen müssen. Zeitlich könnte seine Entscheidung aber von der immer näher rückenden ePrivacy VO überholt werden. Diese befindet sich weiterhin in den Trilogverhandlungen und sollte mit großer Verspätung dieses Jahr nun endlich kommen. Rund um die rechtskonforme Ausgestaltung von Cookies bleibt es daher weiter spannend. Siehe dazu auch die aktuelle Entscheidung der DSB zum Einsatz von Google Analytics, die einen weiteren Aspekt der Cookie-Setzung betreffen: Den damit einhergehenden internationalen Datentransfer. Darüber und zu den potentiellen Auswirkungen in der Praxis haben wir gesondert detailliert berichtet.
Zahlreiche spannende Auslegungsfragen beim EuGH
Neben dem facettenreichen Thema der Ausgestaltung von Cookie Bannern und dem internationalen Datentransfer zwischen der EU und den USA gibt es zahlreiche weitere spannende Fragen, die voraussichtlich noch dieses Jahr vom EuGH beantwortet werden:
Das deutsche Kammergericht hat dem EuGH dagegen zuletzt Fragen zur Zurechnung von Verhalten in Zusammenhang mit Bußgeldverfahren gestellt. Es wollte wissen, ob eine Strafe unmittelbar gegen ein Unternehmen verhängt werden kann, ohne dass eine Ordnungswidrigkeit einer natürlichen Person festgestellt wurde (Vorlage des Kammergerichts zu 3 W 250/21; EuGH C-807/21). Das ist derzeit sowohl in Deutschland als auch in Österreich (in § 30 DSG) noch Voraussetzung. Sollte der EuGH hier zu einem anderen Ergebnis kommen, würde sich dies somit auch entsprechend in Österreich auswirken. Für die mittlerweile genau aus diesem Grund aufgehobene Strafe gegen die Post kommt das freilich zu spät. Die Datenschutzbehörde hat aber als lessons learned diesmal sofort reagiert und als Konsequenz der anhängigen Vorlagefrage zahlreiche Verwaltungsstrafverfahren bis zum Vorliegen der Entscheidung des EuGH ausgesetzt.
Zu den bereits bekannten anhängigen Fragen rund um die Zulässigkeit und Ausmaß von immateriellen Schadenersatzansprüchen auf Basis der DSGVO (vgl unseren Newsletter LINK) gesellt sich eine weitere Frage wegen einer Vorlage des LG Saarbrücken (5 O 151/19): Dieses möchte neben der Frage, welche Datenschutzverletzungen zu einem Anspruch berechtigen, auch klären, welche Zumessungskriterien bei der Berechnung greifen. Die ersten wegweisenden Entscheidungen dazu werden 2022 mit Spannung erwartet – die DORDA Datenschutzexperten werden Sie, wie gewohnt, auf dem Laufenden halten.