LfD Niedersachsen schließt Prüfung von Webangeboten von Medienhäusern ab

Im Rahmen einer grenzüberschreitenden Prüfung von Werbeangeboten haben elf beteiligte Datenschutzaufsichtsbehörden die Webseiten von insgesamt 49 Medienunternehmen untersucht und deren Einhaltung datenschutzrechtlicher Anforderungen überprüft.

Im Fokus dieser Prüfung stand der Einsatz von Analyse- und Tracking-Mechanismen, die auf den entsprechenden Webseiten überwiegend für Werbung und die Erstellung persönlicher Nutzerprofile eingesetzt werden bzw. wurden. Die durch den Landesdatenschutzbeauftragten des Landes Niedersachsen (LfD) koordinierte unaufgeforderte Prüfung umfasste die Vorbereitung und die Auswertung der Ergebnisse, die erstmals am 16. August 2021 in einer gemeinsamen Pressemitteilung veröffentlicht wurden. Ebenso die Datenschutzkonferenz (DSK) befasste sich mit dem Thema im Rahmen der Evaluierung der zuständigen Aufsichtsbehörden und konzentrierte sich vor allem auf die Umsetzung bzw. Integration sogenannter reiner Ordnungsmodelle. Die Ergebnisse, die unter anderem auch die Akzeptanz solcher Modelle berücksichtigen, wurden später in einer Resolution veröffentlicht.

Nach drei Jahren wurde der Abschlussbericht mit den Ergebnissen der unbegründeten Prüfung veröffentlicht. Dies führte dazu, dass keines der geprüften Online-Angebote die rechtlichen Anforderungen hinsichtlich der Verwendung von Cookies und anderen Tracking-Technologien erfüllte, sodass viele Datenschutzverstöße vorlagen. Grundlage der Prüfung war ein von der zuständigen Kontrollbehörde abgestimmter Fragebogen, der unmittelbar nach der ersten technischen Vorprüfung des Online-Angebots an die zu prüfenden Medienunternehmen versandt wurde. Dies ermöglichte den Unternehmen eine schnelle Anpassung ihrer Webseiten an die Anforderungen des Datenschutzes. Gleichzeitig veröffentlichte die Aufsichtsbehörde eine Pressemitteilung und informierte damit die Öffentlichkeit über die Inspektion und die festgestellten Mängel der Webseite.

Beschwerden der Aufsichtsbehörde

Bei der durchgeführten Kontrolle stellte das LfD fest, dass die getesteten Webseiten eine hohe dreistellige Anzahl – insgesamt bis zu 760 – an Cookies und Inhalten Dritter aufwiesen, die größtenteils der Webseitenanalyse diente. Nach Angaben der Aufsichtsbehörde waren die dafür eingeholten Genehmigungen jedoch aus mehreren Gründen unwirksam. Einige eingeholten Einwilligungen durch beispielsweise Cookies waren irreführend im Design oder enthielten unzureichende oder falsche Informationen über die geschehenden Datenverarbeitungsvorgänge. In ihrer Stellungnahme konkretisierte die Aufsichtsbehörde die genauen Umstände, die zur Unwirksamkeit der Einwilligung führten:

Einwilligung durch den Benutzer: Die Einwilligung der Benutzer ist im Hinblick auf die DSGVO erforderlich, bevor Cookies zur Datenerfassung und zum Tracking verwendet werden dürfen. Es ist dabei wichtig, dem Nutzer mitzuteilen, welche Cookies verwendet werden, zu welchem Zweck und welche Daten verarbeitet werden. Der Umfang der Einwilligung reicht nicht aus, sodass massenhaft Cookies und einwilligungspflichtige Inhalte Dritter geladen werden, selbst wenn die Einwilligung durch das Einwilligungsbanner verweigert wurde. Es gab darüber hinaus keine Möglichkeit, direkt auf der ersten Ebene die Cookies und somit die Dienste von Drittanbietern abzulehnen oder den Cookiebanner ohne Entscheidung zu schließen.

Opt-out-Möglichkeiten: Es sollte darüber hinaus die Möglichkeit für den einzelnen Nutzer bestehen, sich gegen das Tracking über Cookies zu entscheiden. Webseitenbesucher wurden unterschwellig zur Einwilligung verleitet, indem beispielsweise der Einwilligungsbutton deutlich sichtbarer als der Opt-out-Button gestaltet war.

Nach einer ersten technischen Prüfung erhielten Medienunternehmen ein umfassendes Bewertungs- und Beratungsschreiben, in dem die Datenschutzverletzungen festgestellt wurden.

Inkrafttreten des Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG)

Durch das Inkrafttreten des Telekomunikation-Telemedien-Datenschutz-Gesetzes (TTSDSG) musste auch der abgestimmte Prüfkatalog entsprechend der neuen Anforderungen ergänzt werden und führte damit einher zur verzögerten aufsichtsbehördlichen Prüfung. Insbesondere die Anforderungen des § 25 TTDSG, der den Schutz der Privatsphäre regelt, hatte einen direkten Einfluss auf die Prüfung der Werbeseiten.

Im Fokus stand vor allem die Anpassung der Cookiebanner sowie die Umstellung auf sogenannte Pur-Abo-Modelle. Bei solchen Pur-Abo-Modellen werden den Besuchenden zwei Möglichkeiten eingeräumt. So steht ihnen die Möglichkeit zu, entweder ein kostenpflichtiges Pur-Abonnement abzuschließen, um das Werbeangebot ohne Nutzertracking, individuelle Profilbildung und personalisierte Werbung abzurufen oder in genau diese Datenverarbeitung einzuwilligen, um das Angebot kostenlos zu nutzen. Nach Auffassung der DSK sind solche Pur-Abo-Modelle zulässig, sofern diese die datenschutzrechtlichen Anforderungen berücksichtigen.

Fazit

Die anlasslose Prüfung sollte als eine Art Weckruf verstanden werden. Die Ergebnisse des LfD Niedersachsen zeigen, dass User-Tracking und Online-Marketing auf Webseiten polarisiert sind, Webseitenbetreiber jedoch Wissen zu einer datenschutzkonformen Umsetzung fehlt. Grundsätzlich sollten Webseitenbetreiber gute und umfassende datenschutzrechtliche Kenntnisse besitzen, um die latente Gefahr einer Beanstandung seitens einer Aufsichtsbehörde oder einer Abmahnung durch Dritte zu vermeiden.