Interview mit Datenschutzanwalt Asmus Eggert

Cookie-Banner sind heute ein Compliance-Minenfeld

Minenfeld
LinkedInRedditWhatsApp

Cookie-Banner galten lange als notwendiges Übel, das man mit einem Standard-Tool „irgendwie“ abhandeln konnte. Diese Zeiten sind vorbei. Rechtsanwalt Asmus Eggert, spezialisiert auf Datenschutz- und IT-Recht, erläutert, worauf Unternehmen jetzt achten müssen – und warum viele Cookie-Banner faktisch eine tickende Zeitbombe darstellen.

Unternehmen gehen häufig davon aus, dass bei Datenschutzverstößen ausschließlich die DSGVO Anwendung und der „One-Stop-Shop“-Mechanismus Anwendung findet. Ein Trugschluss?

Anzeige

Asmus Eggert: Ja, und zwar ein sehr weit verbreiteter und unter Umständen gefährlicher Trugschluss. Viele übersehen, dass Verstöße im Zusammenhang mit Cookies und Tracking regelmäßig primär auf Grundlage der ePrivacy-Regelungen und deren nationaler Umsetzungen verfolgt werden und dort gerade kein DSGVO One-Stop-Shop gilt. Ein prominentes Beispiel ist die französische Aufsichtsbehörde CNIL, die Google wegen unzulässiger Cookie-Praktiken unmittelbar nach französischem ePrivacy-Recht sanktioniert hat – obwohl Google sich für DSGVO-Zwecke auf seine irische Niederlassung berufen wollte. Das zeigt: Jede nationale Aufsichtsbehörde kann zuständig sein, sobald auf Endgeräte von Nutzern in ihrem Hoheitsgebiet zugegriffen wird; eine Niederlassung des Unternehmens in diesem Staat ist nicht zwingend erforderlich. Unternehmen wiegen sich dann in trügerischer Sicherheit und sind umso überraschter, wenn eine oder sogar mehrere nationale Behörden plötzlich mit erheblicher Intensität – einschließlich detaillierter technischer Prüfungen – gegen sie vorgehen.

Was sind aus Ihrer Praxis die typischen Schwachstellen in Unternehmen?

Asmus Eggert: Das Hauptproblem ist in aller Regel die technische Non-Compliance, also die Diskrepanz zwischen den rechtlichen Anforderungen und der tatsächlichen Funktionsweise der Website. Drei Konstellationen begegnen mir besonders häufig. Erstens werden nicht erforderliche Cookies – insbesondere Tracking-, Analytics- oder Marketing-Cookies – bereits beim ersten Aufruf der Seite gesetzt, also bevor überhaupt eine wirksame Einwilligung vorliegt. Das ist rechtlich ein klarer Verstoß, weil nicht notwendige Technologien erst nach ausdrücklicher, informierter und freiwilliger Einwilligung zum Einsatz kommen dürfen.

Anzeige

Zweitens ist die Einwilligung inhaltlich häufig nicht hinreichend informiert. Banner mit austauschbaren Formeln wie ‚Wir verbessern Ihr Nutzungserlebnis‘ genügen den Transparenzanforderungen in der Regel nicht. Nutzer müssen verständlich und konkret erkennen können, welchen Zwecken die einzelnen Cookies und Tools dienen, welche Drittanbieter Daten erhalten, welche Technologie konkret eingesetzt wird und wie lange Daten oder Cookies gespeichert werden. Viele Banner verstecken diese Informationen hinter verschachtelten Menüs, unklaren Begriffen oder einer bewusst irreführenden Nutzerführung.

Drittens funktioniert oft die Schaltfläche ‚Alles ablehnen‘ technisch nicht oder nicht vollständig. Ein klassischer Fall ist, dass die Website trotz der Auswahl ‚Alle ablehnen‘ weiterhin Cookies setzt oder nachträglich erneut Tracking aktiviert, etwa nach einem Seitenwechsel oder einem erneuten Laden der Seite. Das ist kein bloßer Schönheitsfehler, sondern ein Rechtsverstoß. Hinzu kommt, dass Consent-Management-Tools häufig falsch konfiguriert oder nach Updates nicht mehr ordnungsgemäß betrieben werden. Non-Compliance kann dann quasi über Nacht entstehen – mit entsprechend hohem Bußgeldrisiko.

Viele Unternehmen vertrauen darauf, dass ihr Consent-Management-Anbieter ein „rechtssicheres“ Tool bereitstellt. Reicht das aus juristischer Sicht?

Asmus Eggert: Natürlich nicht. Verantwortlich bleibt immer der Betreiber der Website. In den seltensten Fällen ist übrigens das Tool an sich das Problem; es scheitert fast immer an der korrekten Konfiguration, an der Implementierung oder an fehlender Kontrolle. Selbst wenn der Anbieter ein ‚rechtssicheres‘ Out-of-the -box System verspricht: Wenn die Einbindung fehlerhaft ist, Kategorien falsch zugeordnet werden oder trotz Widerspruch weiterhin Cookies gesetzt werden, haftet das Unternehmen als Verantwortlicher.

‚Einmal eingerichtet‘ bedeutet eben nicht ‚dauerhaft rechtssicher‘. Aus meiner Sicht ist daher eine regelmäßige Überprüfung der Website zwingend erforderlich, also insbesondere eine technische Funktionsprüfung sowie ergänzend regelmäßige stichprobenartige Tests speziell der Ablehnungs- und Widerrufsszenarien. Ferner sollte es klare Rollen- und Verantwortlichkeitszuweisungen mit der IT geben und jede Änderung der Konfiguration nachvollziehbar dokumentiert werden.

Richtig konfigurierte Consent-Management-Plattformen („CMP“) unterstützen die Website-Compliance erheblich, etwa durch eine zentrale Verwaltung der Einwilligungen, inklusive sauberer Protokollierung der Nutzerentscheidungen, Vorlagen für Cookie-Banner und regelmäßige Anpassungen an neue rechtliche Anforderungen. Optimal ist es, wenn diese Implementierung in enger Abstimmung mit entsprechenden Datenschutzexperten erfolgt.

Wie weit reicht die Transparenzpflicht – wie offen müssen Unternehmen wirklich sein?

Asmus Eggert: Deutlich transparenter, als es viele Marketing-Abteilungen gerne hätten. Transparenz ist keine Option, sondern gesetzliche Pflicht. Zwingend erforderlich sind deshalb klare und verständliche Beschreibungen der einzelnen Zwecke der eingesetzten Cookies und ggf. weiteren Tracking-Mechanismen, eine nachvollziehbare und vollständige Liste der eingesetzten Drittanbieter, eine gleichwertige Gestaltung von ‚Zustimmen‘ und ‚Ablehnen‘ Button im Cookie-Banner bereits auf der ersten Ebene des Cookie-Banners, sowie eine jederzeitige und einfache Widerrufsmöglichkeit der Einwilligung.

Versteckte ‚Ablehnen‘-Links, die nur über mehrere Klicks oder in kaum erkennbarer Form erreichbar sind, genügen diesen Anforderungen nicht. Ebenso problematisch sind sogenannte Dark Patterns, also bewusst irreführende Gestaltungen, die Nutzer zur Einwilligung drängen sollen, etwa durch mehrere sich überlagernde Pop-ups, verwirrende Optionen oder optisch stark dominierende Zustimmungsbuttons. Solche Gestaltungen stehen regelmäßig im Widerspruch zu den Anforderungen an eine freiwillige und informierte Einwilligung.

Wenn es in solchen Fällen zu Bußgeldern kommt: Orientiert sich die Bußgeldhöhe nur am Umsatz der jeweiligen Landesgesellschaft?

Asmus Eggert: Nein. Im ePrivacy-Bereich – also etwa bei Cookies und Tracking – sind zunächst die jeweiligen nationalen Umsetzungsgesetze maßgeblich. Viele Mitgliedstaaten haben dabei aber den Bußgeldmechanismus ihres Datenschutzrechts ganz oder teilweise übernommen. In diesen Fällen wird dann aber der Unternehmensbegriff aus dem europäischen Wettbewerbsrecht zugrunde gelegt, sodass bei der Bemessung der Geldbuße nicht nur die lokale Tochtergesellschaft, sondern der gesamte wirtschaftliche Verbund betrachtet wird – im Ergebnis also häufig der weltweite Umsatz des Konzerns. Für größere E-Commerce-Plattformen oder international tätige Anbieter kann dies sehr schnell zu sieben- oder achtstelligen Beträgen führen und damit ein erhebliches Sanktionspotenzial entfalten.

In Deutschland ist der Bußgeldrahmen für Verstöße gegen die Cookie-/Endgeräte-Regelung des § 25 TDDDG zwar formal auf bis zu 300.000 Euro begrenzt (§ 28 TDDDG). Blickt man aber in andere EU-Staaten, zeigt sich, wie hoch das Risiko im ePrivacy-Bereich tatsächlich sein kann: In Frankreich kann die CNIL bei Verstößen gegen die nationale ePrivacy-Umsetzung nach dem französischen Datenschutzgesetz Geldbußen von bis zu 10 Mio. Euro oder – im Fall eines Unternehmens – bis zu 2 % des weltweiten Jahresumsatzes verhängen und hat diesen Rahmen in Cookie-Verfahren gegen Google, Amazon & Co. bereits in Form neunstelliger Bußgelder genutzt. In Spanien sieht die LSSI für Cookie-Verstöße gestaffelte Bußgelder bis 600.000 Euro vor (bei sehr schweren Verstößen), während in Italien Cookie-Sachverhalte regelmäßig über das Datenschutzrecht mit dem vollen DSGVO-Bußgeldrahmen von bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes geahndet werden können.

Nur zur Erinnerung: Im ePrivacy-Bereich knüpft die Zuständigkeit der Aufsichtsbehörden nicht an eine Niederlassung im jeweiligen Mitgliedstaat an, sondern an den Zugriff auf Endgeräte von Nutzern in diesem Hoheitsgebiet. Und weil es im ePrivacy-Recht keinen One-Stop-Shop-Mechanismus gibt, können Verfahren von Aufsichtsbehörden in jedem einzelnen EU-Mitgliedstaat eröffnet werden.

Was sollten Unternehmen jetzt konkret veranlassen?

Asmus Eggert: Wer sein Consent-Management nicht regelmäßig überprüft, setzt sich einem bei erheblichem Haftungsrisiko aus. In der Praxis empfehle ich regelmäßig drei Maßnahmenblöcke.

Zunächst ist eine technische Ist-Analyse der Website erforderlich. Dabei geht es nicht nur um den Einsatz automatisierter Cookie-Scanner, sondern um eine tatsächliche technische Prüfung: Welche Cookies, Skripte und Tracking-Technologien werden zu welchem Zeitpunkt gesetzt, was passiert in den verschiedenen Entscheidungsszenarien wie ‚Alle ablehnen‘, ‚Zustimmen‘ oder ‚Teilweise zustimmen‘ und werden Nutzerentscheidungen bei weiteren Seitenaufrufen, auf anderen Unterseiten oder in unterschiedlichen Browsern konsistent beachtet.

Im zweiten Schritt sollten Cookie-Banner und die dort hinterlegten Informationen überarbeitet werden. Der Fokus sollte auf klaren und verständlichen Zweckbeschreibungen, einer vollständigen und gepflegten Drittanbieter-Liste, einem gleichwertig platzierten und gestalteten ‚Ablehnen‘-Button auf der ersten Ebene und einer Einwilligungsarchitektur liegen, die eine informierte und freiwillige Entscheidung tatsächlich ermöglicht. Die Nutzung einer Consent-Management-Plattform zur zentralen Verwaltung, Kategorisierung und Dokumentation der Einwilligungen ist hierfür ein sinnvolles Instrument, ersetzt aber keinesfalls die juristische und technische Kontrolle.

Drittens muss ein kontinuierlicher Governance-Prozess etabliert werden. Viele Fehler entstehen, weil neue Tools, etwa für Marketing oder User-Tracking, eingebunden werden, ohne dies im Cookie-Banner zu berücksichtigen. Deshalb braucht es klare interne Prozesse, nach denen jedes neue Skript, jeder Relaunch und jeder Wechsel von Drittanbietern einen Prüfmechanismus auslösen. Wer gegenüber der Aufsichtsbehörde nachweisen kann, dass ein strukturiertes Prüf- und Kontrollsystem existiert und ernsthaft betrieben wird, steht im Falle eines Verfahrens deutlich besser da.

Ihr Fazit?

Asmus Eggert: Cookie-Banner sind ein zentraler Baustein der ePrivacy und datenschutzrechtlichen Compliance. Aufsichtsbehörden prüfen rechtlich und mittlerweile auch technisch sehr tief und sanktionieren Verstöße zunehmend konsequent. Jedes Unternehmen, vom Start-up bis zum internationalen Konzern, sollte sein Webseiten-Consent-Management kurzfristig und dann regelmäßig einer rechtlichen und technischen Überprüfung unterziehen. Wer das versäumt, riskiert nicht nur Reputationsschäden, sondern empfindliche Bußgelder.


Asmuss Eggert

Asmus

Eggert

Geschäftsführer

mip Consult GmbH

Asmus Eggert, Rechtsanwalt und Diplom-Betriebswirt (BA), berät vorrangig in den Bereichen Datenschutzrecht und IT-Recht, als TÜV-zertifizierter Datenschutzbeauftragter und Auditor sowie durch einen absolvierten Fachanwaltslehrgang für IT-Recht. (Bildquelle mip Consult)
Anzeige

Weitere Artikel

Synthient-Datensammlung: Eine Warnung für alle
DORA 9 Monate nach der Einführung
OpenAI blockiert Zugriff auf Chat-Daten
Verschlüsselung für optimalen Datenschutz
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.