Datenschutzorganisation startet Kampagne gegen Webseiten-Betreiber in der EU auf Basis eigener Interpretation der Regeln für Cookie-Banner

Wolf-Tassilo Böhm, Gail Crawford, Charlotte Guerin, Myria Saarinen, Amy Smyth, Tim Wybitul
Latham & Watkins LLP
Contact
LinkedIn
Facebook
X
Send
Embed

Latham & Watkins LLPDie Datenschutzorganisation noyb droht mit über 10.000 Beschwerden wegen möglicher rechtswidriger Verwendung von Cookies.

Am 31. Mai 2021 startete die Datenschutzorganisation noyb (die Abkürzung steht für „none of your business“) eine groß angelegte Kampagne, um möglicherweise rechtswidrige Cookie-Banner und unzulässigen Einsatz von Cookies und vergleichbaren Tracking-Technologien zu bekämpfen. In einer Pressemitteilung gab noyb an, bereits den Betreibern von mehr als 500 vielbesuchter Webseiten Entwürfe für Beschwerden übersandt zu haben. Noch im Laufe dieses Jahres planen die Datenschutzaktivisten nach eigenen Angaben, noch bis zu 10.000 weitere Beschwerden einzureichen.

Die derzeitige Rechtslage beider Verwendung von Cookies ist von einer Vielzahl unbestimmter, auslegungsbedürftiger Rechtsbegriffe geprägt. Zahlreiche Fragen sind in diesem Zusammenhang bislang nicht oder jedenfalls nicht höchstrichterlich entschieden. Vor diesem Hintergrund haben Betreiber von Webseiten teilweise noch erheblichen Interpretationsspielraum bei der Umsetzung der rechtlichen Anforderungen an die Verwendung von Cookies und an die Gestaltung von Cookie-Bannern. Die von noyb initiierte Kampagne zielt hingegen darauf ab, noyb’s eigene, restriktive Interpretation der anwendbaren Cookie-Regelungen innerhalb der EU vor allem durch Drohung mit Beschwerden bei den Datenschutzbehörden durchzusetzen. Betroffene Unternehmen, die ihre Cookie-Praktiken nicht an noyb‘s eigene Auffassung der rechtlichen Anforderungen anpassen, werden sich daher wohl Beschwerden bei den zuständigen Datenschutzbehörden ausgesetzt sehen.

Kategorien behaupteter Verstöße

Die Datenschutzorganisation noyb, die der bekannte Aktivist Maximilian Schrems 2017 in Österreich gegründet hatte, nutzt nach eigenen Angaben speziell entwickelte Software, um auf Webseiten eingesetzte Cookie-Banner und die Verwendung von Cookies und vergleichbaren Tracking-Technologien auf Einhaltung mit einschlägigen Regelungen (siehe unten) zu prüfen. Anhand der Ergebnisse dieser Überprüfungen erstellt noyb Entwürfe für Beschwerden gegen die betroffenen Webseiten-Betreiber.

noyb konzentriert sich dabei im Wesentlichen auf acht Kategorien vermeintlicher Verstöße gegen die Anforderungen der Richtlinie 2002/58/EG („ePrivacy-RL“) sowie der Datenschutz-Grundverordnung („DSGVO“):

  • Typ A – Keine Wahlmöglichkeit / Keine Schaltfläche zum Ablehnen sämtlicher Cookies auf der ersten Ebene des Cookie-Banners
  • Typ B – Vorausgewählte Kästchen auf der zweiten Ebene (nach Auffassung der Autoren dürfte diese Kategorie jede Gestaltung betreffen, nach der der Webseiten-Besucher Cookies aktiv abwählen muss – der Wortlaut ist jedoch nicht eindeutig)
  • Typ C – Irreführendes “Link”-Design / Link statt einer Schaltfläche zum Ablehnen von Cookies
  • Typ D – Irreführende Farben der Schaltflächen (nach Auffassung der Autoren soll dies wohl jegliche Farbgebung betreffen, die Einfluss auf das Verhalten des Nutzers haben soll)
  • Typ E – Irreführender Kontrast der Schaltflächen (nach Auffassung der Autoren soll dies wohl jegliche Farbe die Einfluss auf das Verhalten des Nutzers haben soll betreffen)
  • Typ H – Berufen auf „berechtigte Interessen“ als Rechtsgrundlage zur Verwendung von Cookies
  • Typ I – Ungenaue Klassifizierung von Cookies
  • Typ K – Kein Symbol zum Widerruf der Einwilligung
  • Typ L – Schaltfläche zum Schließen auf dem Cookie-Banner

noyb’s Erwartungen an die Betreiber von Webseiten

Sofern noyb einen oder mehrere mögliche Verstöße feststellt, erhält der Betreiber eine Benachrichtigung von noyb. Diese beinhaltet den Entwurf einer Beschwerde an eine Datenschutzbehörde mit der Aufforderung, die vermeintlichen Verstöße innerhalb einer Karenzzeit von einem Monat zu beheben. Hierfür sollen die Webseiten-Betreiber Cookie-Banner und Einwilligungen an noyb’s Auffassung der Anforderungen von ePrivacy RL und DSGVO an die Nutzung von Cookies anpassen. noyb hat hierfür zudem die Plattform „WeComply!“ bereitgestellt. Dieses ermöglicht es den betroffenen Webseiten-Betreibern, ihren eigenen „Fall“ zu überprüfen und eine Anleitung herunterzuladen, wie sie ihre jeweilige Webseite an die von noyb  zugrunde gelegten Standards anpassen können. Webseiten-Betreiber können die Plattform auch dazu nutzen, um noyb über den Stand Umsetzung der Empfehlungen zu benachrichtigen. noyb kündigte bereits an, gegen jede betroffene Webseite, die nicht sämtliche der strikten und seitens der Organisation vorgegebenen Anforderungen innerhalb der einmonatigen Karenzzeit erfüllt, eine Beschwerde bei der zuständigen Datenschutzaufsichtsbehörde einzureichen.

Rechtlicher Rahmen

Unternehmen, die Websites betreiben, müssen gegenwärtig sowohl die Anforderungen der ePrivacy-RL und der DSGVO an den Einsatz von Cookies und vergleichbarer Tracking-Technologien als auch die einschlägigen Hinweise der zuständigen Datenschutzbehörden beachten. Dee Entwurf der geplanten ePrivacy-Verordnung wird derzeit in Brüssel intensiv diskutiert Künftig soll die ePrivacy-Verordnung die aktuelle ePrivacy-RL ersetzen. Als EU-Verordnung wäre die ePrivacy-Verordnung in sämtlichen Mitgliedstaaten direkt und unmittelbar anwendbar. Der Verordnungsentwurf ist derzeit jedoch noch Gegenstand kontroverser politischer Debatten. Derzeit sind weder ein finaler Entwurf noch ein konkretes Umsetzungsdatum abzusehen.

Die rechtlichen Anforderungen, behördlichen Leitlinien und bewährte Verfahren zum rechtmäßigen Einsatz von Cookies sind bislang nicht klar definiert und zwischen den Mitgliedstaaten kaum harmonisiert. Zudem sind bloße Hinweise oder Einschätzungen der Datenschutzbehörden für Gerichte nicht rechtsverbindlich. Daher haben Richter jeweils im Einzelfall offene Fragen zu klären. Hierbei können sie sich an den Aussagen von Datenschutzbehörden orientieren – sie sind dazu aber keinesfalls verpflichtet.

In Deutschland setzt § 15 Abs. 3 Telemediengesetz („TMG“) die Vorgaben der ePrivacy-RL an die Verwendung von Cookies nach Auffassung des Bundesgerichtshofs (gerade noch) richtlinienkonform um. Diese Regelung war Gegenstand der sog. Planet49-Entscheidung des Europäischen Gerichtshofes („EuGH“) sowie der „Cookie-Einwilligung II“-Entscheidung des BGH (Urt. vom 28. Mai 2020 – I ZR 7/16).

Ab dem 1. Dezember 2021 wird das „Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien“ („TTDSG“) die relevanten Regelungen des derzeit geltenden TMG ablösen.

In Frankreich traten die aktualisierten Leitlinien der Commission Nationale de l’Informatique et des Libertés („CNIL“) zu Cookies am 1. April 2021 in Kraft. Ende Mai kontaktierte die CNIL in rund 20 förmlichen Mitteilungen an Website-Betreiber, weil die Behörde festgestellt hatte, dass die Nutzer Cookies nicht so einfach ablehnen können, wie sie deren Einsatz diese zuvor akzeptierten konnten.

Die Regelungen im Vereinigten Königreich zur Umsetzung der ePrivacy Richtlinie sowie der britischen DSGVO spiegeln im Wesentlichen die europäischen Vorgaben wider. Allerdings werden weder künftige EuGH-Entscheidungen noch die ePrivacy-Verordnung im Vereinigten Königreich rechtsverbindlich sein. Hieraus können sich zunehmende Abweichungen der rechtlichen Rahmenbedingungen sowie in der Durchsetzungspraxis ergeben.

Rechtliche Risiken für Unternehmen

Betroffene Unternehmen sollten die rechtliche Risiken, die aus der neuen Kampagne von noyb resultieren, nicht unterschätzen. Falls die Datenschutzorganisation im Namen betroffener Personen Beschwerden bei Aufsichtsbehörden einreicht, sind diese verpflichtet, Untersuchungen einzuleiten und können aufgrund ihrer weitreichenden Befugnisse nach der DSGVO Abhilfemaßnahmen ergreifen. Wenn eine Datenschutzbehörde feststellt, dass ein Unternehmen nach ihrer Auffassung gegen die Vorschriften der DSGVO verstoßen hat, kann die Behörde auch ein Bußgeld verhängen.

Die Rechtsfolgen von Verstößen gegen ePrivacy-Gesetze sind in den einzelnen EU-Mitgliedsstaaten unterschiedliche geregelt. Auch im Vereinigten Königreich unterscheiden sich die rechtlichen Vorgaben von denen der EU-Mitgliedsstaaten. So sieht beispielsweise das deutsche TMG derzeit noch keine Bußgelder für Verstöße gegen die Regeln für das Setzen von und den Zugriff auf Cookies vor. Dies ändert sich jedoch mit dem kommenden TTDSG. Im Vereinigten Königreich können für Verstöße gegen bestimmte ePrivacy-Vorschriften Bußgelder verhängt werden. Das Maximalbußgeld von 500.000 GBP für Verstöße gegen ePrivacy-Vorschriften liegt dabei deutlich unter dem Höchstsatz der im Vereinigten Königreich geltenden nationalen Version der DSGVO von 17,5 Millionen GBP für bestimmte DSGVO-Verstöße, einschließlich fehlender Einwilligungen.

In Frankreich können Unternehmen, die gegen das dort geltenden nationale Gesetz zur Umsetzung der ePrivacy-Richtlinie verstoßen, mit einer Geldstrafe von bis zu 10 Millionen Euro oder zwei Prozent ihres weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) belegt werden. Die hohen ePrivacy-Bußgelder der CNIL vom Dezember 2020 (in Höhe von insgesamt 135 Millionen Euro) zeigen nicht nur, wie unterschiedlich Sanktionen für ePrivacy-Verstöße in den EU-Mitgliedsstaaten und dem Vereinigten Königreich ausfallen können. Sie sind auch ein Beleg für das Risiko, das von einer Durchsetzung der ePrivacy-Vorschriften auf nationaler Ebene ausgeht. Die ePrivacy-Richtlinie sieht bekanntlich keine Regelungen zu einer federführende Aufsichtsbehörde vor, wie sie etwa die DSGVO vorsieht.

Für betroffene Unternehmen besteht zudem das weitere Risiko zivilrechtlicher Forderungen und Verfahren. Unter den Voraussetzungen des Art. 82 DSGVO könnten betroffene Personen, die die jeweiligen Webseiten besucht haben, gegebenenfalls Ansprüche auf materiellen und immateriellen Schadensersatz geltend machen. Spezialisierte Verbraucheranwälte und Prozessfinanzierer haben bereits mehrfach behördliche Verfahren und die damit verbundene Presseberichterstattung zum Anlass genommen, in einer Vielzahl von Fällen immateriellen Schadensersatz nach Art. 82 DSGVO zu fordern und auch gerichtlich geltend zu machen. Darüber hinaus drohen mögliche einstweilige Verfügungsverfahren und zivilrechtliche Unterlassungsklagen. In einzelnen Fällen haben Verbraucher oder Verbraucherschutzorganisationen entsprechende Ansprüche bereits im Wege des einstweiligen Rechtsschutzes geltend gemacht. In Deutschland stehen die Zivilgerichte solchen Unterlassungsforderungen bislang eher kritisch gegenüber. In Bezug auf immateriellen Schadensersatz gibt es aber mittlerweile durchaus Gerichte, die Klägern Schmerzensgeld nach Art. 82 DSGVO zusprechen. Einen entsprechenden Überblick zu relevanten Gerichtsentscheidungen finden Sie in der Latham-DSGVO-Schadensersatztabelle. Von dieser noyb-Kampagne Betroffene Unternehmen sollten daher auch die Abwehr möglicher zivilrechtlicher Forderungen in ihre Verteidigungsstrategien einbeziehen.

Nächste Schritte

Manche der möglichen Verstöße, gegen die sich noyb‘s aktuelle Kampagne richtet, können für betroffene Unternehmen durchaus das Risiko behördlicher Untersuchungen und Vollstreckungsmaßnahmen mit sich bringen. Entgegen der Darstellungen von noyb sind die rechtlichen Anforderungen an wirksame Einwilligungen in den Einsatz von Cookies jedoch weder eindeutig, noch ist noyb‘s Interpretation der Rechtslage zwingend. Der Großteil der von noyb angeführten vermeintlichen Verstöße gegen die DSGVO und die ePrivacy-RL bietet Argumentationsspielräume, welchen Unternehmen zur Verteidigung ihrer Vorgehensweisen bei der Verwendung von Cookies nutzen können.

Mangels klarer und einheitlicher Leitlinien seitens der Behörden und mangels umfassender Rechtsprechung zu allen relevanten Auslegungsfragen sollten Unternehmen ihre jeweiligen rechtlichen Risiken individuell bewerten. Auf dieser Grundlage sollten betroffene Unternehmen dann ihre Handlungsoptionen definieren und ihre konkrete Strategie zum Umgang mit der Kampagne festlegen.

Send Print Report

DISCLAIMER: Because of the generality of this update, the information provided herein may not be applicable in all situations and should not be acted upon without specific legal advice based on particular situations.

© Latham & Watkins LLP | Attorney Advertising

Written by:

Latham & Watkins LLP
Latham & Watkins LLP
Contact
more
less

Latham & Watkins LLP on:

Reporters on Deadline

"My best business intelligence, in one easy email…"

Your first step to building a free, personalized, morning email brief covering pertinent authors and topics on JD Supra:
Sign Up Log in
*By using the service, you signify your acceptance of JD Supra's Privacy Policy.
Custom Email Digest
- hide
- hide