BayLDA Tätigkeitsbericht 2017/2018: Bayerische Behörde rät zur Einholung einer expliziten, aktiven Einwilligung für Cookies

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) veröffentlichte im März seinen 8. Tätigkeitsbericht und informierte die Öffentlichkeit detailliert über die Schwerpunkte seiner Arbeit. Der Tätigkeitsbericht 2017/18 befasst sich im Besonderen mit den Beschwerden und Datenschutzvorfällen in den Jahren 2017 und 2018 - über alle Bereiche hinweg.

Drastischer Anstieg an Beschwerden in 2018

BayLDA Analyse - keine einzige Website trackt DSGVO-konform

Quelle: BayLDA

Laut der Behörde haben sich seit dem Inkrafttreten der DSGVO Ende Mai 2018 die Anzahl der Beschwerden im Vergleich zum Vorjahr mehr als verdoppelt: Die Zahl der Beschwerden stieg auf 3643 im Jahr 2018 .*
Zusätzlich kann ein Anstieg der wahrgenommen Beratungen vermerkt werden sowie der Meldungen über Datenschutzverletzungen. Das BayLDA schreibt dazu:

Insgesamt 2471 Meldungen gingen im Jahr 2018 ein – sage und schreibe 2376 davon seit dem 25. Mai 2018. Dies ist ein absoluter Rekordwert in unserer Geschichte als bayerische Aufsichtsbehörde.

Im Vorjahr lag der Wert der Meldungen über Datenschutzverletzungen bei 136. Die Behörde geht von einem weiteren Anstieg solcher Meldungen in den Jahren 2019 und 2020 aus.

*Zu berücksichtigen gilt es hierbei allerdings, dass auch sog. nicht glaubhafte Beschwerden gezählt wurden, also solche Beschwerden, bei denen eine Rechtsverletzung nicht begründet werden konnte. Ab dem kommendem Jahr werden diese unter dem Begriff “Kontrollanregungen” zusammengefasst und nicht mehr in die Analyse der Beschwerden miteinbezogen

Die Informationspflicht unter DSGVO gilt für alle Webseiten Betreiber

In seinem Tätigkeitsbericht aus dem Jahr 2017/18 klärt das Bayerische Landesamt für Datenschutzaufsicht weiterhin darüber auf, wie Datenschutzerklärungen konkret umgesetzt werden müssen. Zwar lege die DSGVO keine festgelegte Wortwahl oder vorgeschriebene Formulierungen fest, jedoch müssten alle Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ (Art.12 ABs. 1 Satz 1 DSGVO) auf der Website zur Verfügung gestellt werden.

Grundsätzlich dienen die Datenschutzerklärungen demnach dazu, eine faire und transparente Verarbeitung zu gewährleisten. Das BayLDA bestätigt, dass die Informationspflicht jeden Webseiten Betreiber betrifft. Der Nutzer ist deshalb direkt beim Betreten der Webseite darüber zu informieren, dass die IP-Adresse des Nutzer verarbeitet wird, da sie als Steuerungsinformation zur Übertragung von Informationen zwischen dem Dienstanbieter (bzw. dem Hosting der Website beauftragten Hosting-Unternehmen) und dem Nutzer erforderlich ist.

Die Informationspflicht kann vernachlässigt werden, wenn die IP-Adresse nicht vom Hosting Unternehmen an den Dienstanbieter weitergeleitet wird und keine Möglichkeit des Abrufs durch den Dienstanbieter besteht. Diesen speziellen Fall prüft das BayLDA dann nach folgenden Kriterien: BayLDA Infoblätter

Bei der Nutzung und Verarbeitung personenbezogener Daten muss die Datenschutzerklärung die Verwendung dieser Daten also konkret und korrekt wiedergeben.

Cookies bedürfen einer datenschutzkonformen Einwilligung

Auch die allseits bekannten, beim Betreten einer Website angezeigten, Cookie Banner sollten die Einwilligung der Nutzer DSGVO-konform einholen und über die Verarbeitung der Daten informieren. In seinem Bericht erklärt das BayLDA, dass eine „Vielzahl der Cookie-Banner (…) die datenschutzrechtlichen Anforderungen“ nicht erfüllt.

Weiterhin weist die Behörde darauf hin, dass eine wirksame Einwilligung nur dann eine solche ist, wenn aktiv zugestimmt wird, d.h. Auswahlmöglichkeiten dürfen nicht im Cookie-Banner voreingestellt sein.

Hinzu kommt, dass Cookie-Banner zunächst alle Skripte einer Webseite (oder App) blockieren müssen, die potentiell Nutzerdaten erfassen könnten.


Exkurs:
Genau diese Anforderungen an eine DSGVO-konforme Einwilligung hatte die BayLDA anlässlich des Safer Internet Days 2019 bei 40 reichweitenstarken Unternehmens-Webseiten überprüft - mit dem Ergebnis, dass keine einzige der Webseiten Einwilligungen konform einholt. Für die betroffenen Webseiten hat dies Konsequenzen in Form möglicher Bußgeldverfahren. Mehr erfahren: BayLDA Tracking-Analyse

Tracking nur mit aktiver Nutzer-Einwilligung

Webseiten können Browser-Kennungen nutzen, um ihre Nutzer zu tracken. Die meisten Tracking-Verfahren nutzen Cookies, um das Nutzerverhalten zu analysieren. Ist die Information über den Einsatz der Cookies an eine aktive Einwilligung des Nutzers geknüpft, ist Web-Tracking weiterhin möglich.

Eine weitere Möglichkeit der Identifizierung des Nutzers und dessen Verhaltens ist das Browser-Fingerprinting. Dabei wird ein möglichst eindeutiger Hash-Wert in einem Browser generiert, der Basiswerte (Betriebssystem, Softwarestand) sowie Merkmale (auf dem PC installierte Schriften, etc.) einbezieht. Browser-Fingerprinting ermöglicht die Profilbildung des Nutzers, ohne dass dieser viele Möglichkeiten der Ergreifung von Gegenmaßnahmen besitzt.

Das BayLDA spricht sich daher nur für den Einsatz von Browser-Fingerprinting Technologien mit vorheriger expliziter und aktiver Einwilligung des Nutzers aus:

Wir sind der Auffassung, dass ein Einsatz von Browser-Fingerprinting-Technologien nur mit Einwilligung der Nutzer zulässig ist. Auf eine Interessenabwägung nach Art. 6 Abs. 1 Buchstabe f DS-GVO können sich Verwender dieser Technologie nicht schützen, da die schützenswürdigen Interessen der Nutzer hier eindeutig überwiegen.

Aus diesem Grund wird die Behörde in Kooperation mit dem Lehrstuhl für IT-Sicherheitsinfrastrukturen der Friedrich-Alexander-Universität Erlangen-Nürnberg evaluieren, um zu prüfen, ob durch automatische Prüfverfahren der Einsatz von Browser-Fingerprinting Technologien festgestellt werden kann. Sollte das Prüfverfahren die Verwendung von Browser-Fingerprinting Technologien ohne DSGVO-konforme Einwilligung des Nutzers aufdecken, plant das BayLDA neben aufsichtlichen Maßnahmen die Einleitung von Bußgeldverfahren.

Bußgeldverfahren in 2017/2018 noch auf einem niedrigen Niveau

Innerhalb des Berichtszeitraums 2017/2018 wurden über alle Bereiche hinweg 216 Bußgeldverfahren vom BayLDA verarbeitet - in nur 10 Fällen wurde tatsächlich ein Bußgeldbescheid erlassen.

Kommt die Optin-Pflicht für Cookies?

Meinung Usercentrics:
Seit Beginn des Jahres häufen sich auch in Europa die Bußgelder infolge von DSGVO-Verstößen: 50 Millionen Euro Strafe gegen Google durch die französische Datenschutzbehörde CNIL im Januar und drohende Verfahren gegen 40 reichweitenstarke Webseiten durch das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) im Februar. In beiden Fällen wurde die Nutzereinwilligung nicht rechtmäßig eingeholt.

Auch ein aktuelles Gutachten des EuGH Generalanwalts und die Praxis von AdTech Riesen wie Google und Facebook kommen zum selben Schluss: für Cookies benötigt man unter DSGVO die aktive, vorherige und granulare Einwilligung des Nutzers.

Für Webseitenbetreiber hat dies enorme Auswirkungen und erfordert sofortiges Handeln. Optin wird somit über kurz oder lang zum “Must-Have” für Webseiten-Betreiber. Für Unternehmen gilt es daher wachsam zu bleiben, die Entwicklungen zu beobachten und frühzeitig zu überprüfen, wie ich mein Einwilligungsmanagement auf ein höheres Level heben kann. Consent Management Plattformen (CMPs) unterstützen dabei, alle Anforderungen an ein DSGVO-konformes Einwilligungsmanagement technologisch umzusetzen.

Wissen ›
Usercentrics Knowledge Hub: Hier teilen wir unser Wissen und geben Ihnen tiefgehende Einblicke.
Presse ›
Usercentrics in der Presse: Hier finden Sie eine Übersicht unserer Pressemitteilungen sowie eine Historie unserer Artikel.
Whitepaper ›
Geballtes Wissen: Mit unseren Whitepapern erhalten Sie strategische und operative Einblicke.
Webinare ›
Sie haben eines unserer Live-Webinare verpasst? Die Aufzeichnungen haben wir hier für Sie bereitgestellt.
Legal Update
Immer up-to-date: Mit unserem Legal Update halten wir Sie auf dem Laufenden über aktuelle Trends rund ums Thema Datenschutz.
Neues Whitepaper
Checklisten und praktische Hinweise zum korrekten Umgang mit Cookies und User-Identifiern nach DSGVO.