In diesem Fall vor dem österreichischen Bundesverwaltungsgericht vom 26.04.2024 geht es um die Wirksamkeit der eingeholten Einwilligung durch einen Cookie-Banner. Diese Entscheidung ist insofern interessant, als es bisher streitig war, ob die IP-Adresse nun stets ein personenbezogenes Datum sei, oder nicht. Dabei gibt es einige Argumente, mit denen sich das Bundesverwaltungsgericht nun auseinandergesetzt hat.
Das Urteil gilt nicht direkt für deutsche Internetseiten, lässt sich aber im Rahmen der Beurteilung auf deutsche Internetseiten übertragen.
- Zusammenfassung des Sachverhalts
Das Bundesverwaltungsgericht hatte einen Fall zu klären, bei dem der vermeintlich Betroffene (Webseitenbesucher) beim Besuch der Website der Beschwerdeführerin (ein Medienunternehmen) feststellte, dass das Setzen von Cookies und Tracking-Pixeln ohne eine freiwillige Einwilligung erzwungen wurde, um Zugang zur Website zu erhalten. Die Datenschutzbehörde (DSB) gab der Beschwerde statt und ordnete an, dass die Beschwerdeführerin die Datenverarbeitung einstellen und den Cookie-Banner so gestalten müsse, dass eine gültige Einwilligung vorliegt.
Wie sah das Cookie Banner aus?
Der Cookie-Banner der Beschwerdeführerin sah folgendermaßen aus:
Zwei Auswahloptionen:
- „Einstellungen verwalten“ (grauer Button): Ermöglichte den Nutzern, die Einstellungen für Cookies zu verwalten und alle nicht notwendigen Cookies abzulehnen.
- „Alle akzeptieren“ (roter Button): Akzeptierte alle Cookies ohne weitere Einstellungen.
Nach Ablehnung aller Cookies:
- Ein neues Pop-up-Fenster erschien, das auf die zwingende Zustimmung zu mehreren Tracking-Cookies hinwies, um Zugang zur Website zu erhalten.
- Dies zwang die Nutzer, die Cookies zu akzeptieren, wenn sie die Website weiterhin nutzen wollten.
Medienprivileg vor DSGVO?
Die Beschwerdeführerin argumentierte, dass das Medienprivileg gemäß § 9 Abs. 1 DSG (das sog. Medienprivileg) angewendet werden müsse, da die Verarbeitung der Daten für journalistische Zwecke erfolgte und damit nicht unter die Regelungen der DSGVO falle. Zudem sei die Einwilligung der Nutzer freiwillig, da sie die Wahl hätten, die Website nicht zu nutzen. Die Beschwerdeführerin verwies auch auf ihr berechtigtes Interesse an der Datenverarbeitung nach Art. 6 Abs. 1 lit. f DSGVO und betonte, dass eine „Pay or Okay“-Lösung für kleinere Nachrichtenportale wirtschaftlich nicht tragbar sei.
Entscheidung des (österreichischen) Bundesverwaltungsgerichts
Das Bundesverwaltungsgericht bestätigte die Anwendbarkeit der DSGVO auf den vorliegenden Fall, da die Beschwerdeführerin als Verantwortliche im Sinne von Artikel 4 Nr. 7 DSGVO die Zwecke und Mittel der Datenverarbeitung durch Cookies auf ihrer Website bestimmte. Das BVerwG stellte fest, dass die von den Cookies gesammelten Daten personenbezogene Daten darstellen. Auf das Medienprivileg konnte die Beschwerdeführerin sich nicht berufen, da das Medienprivileg nicht auf die Platzierung von Cookies für Werbezwecke anwendbar ist, weil sie nicht ausschließlich journalistischen Zwecken dient.
Gesammelte Daten als personenbezogene Daten?
Die von den Cookies gesammelten Daten wurden als personenbezogene Daten gemäß Artikel 4 Nr. 1 DSGVO eingestuft, da sie eindeutige Kennnummern enthalten, die es ermöglichen, Nutzer zu identifizieren. Diese Kennnummern erlauben es der Beschwerdeführerin, zwischen neuen und wiederkehrenden Besuchern ihrer Website zu unterscheiden. Schon aus der Kombination der übermittelten Informationen beim Aufruf einer Website wie z.B. Online-Kennungen, IP-Adresse, Informationen zum Browser, Betriebssystem, Bildschirmauflösung, Sprachauswahl usw., kann ein „digitaler Fußabdruck“ generiert werden, der es erlaubt, das Endgerät und in weiterer Folge den konkreten Nutzer eindeutig zu individualisieren.
Einwilligung unfreiwillig? Zum Modell „Daten gegen Dienstleistung“
Das Gericht stellte fest, dass das Modell „Daten gegen Dienstleistung“ grundsätzlich zulässig ist, sofern es klare und verständliche Informationen über die Gegenleistung gibt. Die Beschwerdeführerin hatte die Nutzer ausreichend informiert, dass ein Betrieb der Website ohne Zustimmung zu den Cookies nicht möglich sei, und bot Alternativen wie ein Digitalabonnement an. Zudem entschied das Bundesverwaltungsgericht, dass die Gestaltung des Cookie Banners den Nutzern klar und deutlich vermittelte, dass die Zustimmung zu den Cookies erforderlich war, um die Website kostenlos zu nutzen. Dies erfüllte die Anforderungen an eine informierte Einwilligung.
Fazit: Kein „Pay or Okay” Modell notwendig
Das Bundesverwaltungsgericht entschied, dass das Banner zur Einholung der Einwilligung jedenfalls in der Form rechtmäßig war, dass der Besucher klar darauf hingewiesen wird, dass er nur dann die Inhalte wahrnehmen darf, wenn er in die Nutzung von Analyse- und Marketing-Tools einwilligt. Ein Pay or Okay- Modell ist nicht verpflichtend gewesen, da keine marktbeherrschende Stellung vorlag und Nutzer alternative Quellen für journalistische Inhalte zur Verfügung standen.
Kommentar
Normalerweise wäre das Cookie Banner bereits deswegen problematisch, weil der Besucher erst in einem zweiten Schritt alle optionalen Tools abwählen kann, wobei er mit einem einzigen Klick die Einwilligung insgesamt erteilen kann und dieser Weg für den Besucher in der Regel der einfachere Weg ist. In diesem Fall hier ließe sich die klare Mitteilung, dass die Inhalte der Webseite nur angesehen werden dürfen, wenn auch optionale Tools genutzt werden dürfen, aber nicht wirklich anders darstellen. Man könnte es gleich auf die erste Seite verlagern, würde aber gerade diejenigen abschrecken, die ohnehin kein Problem mit dem Tracking haben.
Insofern hilft die Entscheidung jedenfalls in Österreich weiter, die Cookie-Banner datenschutzkonform zu gestalten.
