Ist der Internet-Auftritt der Stadt Frankfurt rechtskonform? – fragt der FDP-Stadtverordnete Dr. Uwe Schulz
Der FDP-Stadtverordnete Dr. Uwe Schulz, Rechtsanwalt und rechtspolitischer Sprecher seiner Fraktion, hat darauf aufmerksam gemacht, dass der Internet-Auftritt der Stadt Frankfurt ein rechtlich fragwürdiges Verfahren bei der Einbindung von Cookies von Drittanbietern enthält:
In seiner Frage vom 29.10.2020 (F 2928) stellt der Stadtverordnete eingangs fest: „Beim Besuch des Internetauftritts der Stadt, www.frankfurt.de, erscheint ein sogenanntes Cookie-Banner, bei dem die Einwilligung, Häkchen, für das Setzen des nicht erforderlichen Analyse-Cookies vorausgewählt ist.“ Daran schließt sich die Frage an: „Hält der Magistrat dies mit den Vorgaben der Planet49-Rechtsprechung des EuGH, Urteil vom 01.10.2019 – Rechtssache C-673/17, für vereinbar?“
Die Verbraucherzentrale, die dieses Urteil erstritten hat, stellte in ihrer Bewertung heraus: „Möchte ein Unternehmen auf einer Webseite Cookies zur plattformübergreifenden Auswertung des Surf- und Nutzungsverhaltens seiner Kundinnen und Kunden einsetzen, geht dies nicht ohne vorherige informierte Einwilligung der Betroffenen. Eine bereits vorangekreuzte Einverständniserklärung genügt dafür nicht.“ Diesem Maßstab erscheint das Verfahren mit voreingestelltem Zustimmungs-Häkchen bei „Optional: Statistik-Cookie…“ nicht zu genügen.
Der Hessische Datenschutzbeauftragte erklärt zu dieser Problematik auf seiner Homepage: „Bestimmte Produkte bzw. Dienste von Drittanbietern verarbeiten die für Zwecke des jeweiligen Webseiten- bzw. App-Anbieters erhobenen personenbezogenen Daten der Nutzer darüber hinaus auch zu ihren eigenen Zwecken. Der Einsatz solcher Dienste kann auf Grundlage der Kriterien, die in der Orientierungshilfe aufgestellt worden sind, regelmäßig (vorbehaltlich einer konkreten Prüfung im Einzelfall) nicht auf gesetzliche Rechtsgrundlagen gestützt werden. Vielmehr sind solche Produkte und Dienste nur auf Grundlage einer wirksamen Einwilligung der Nutzer datenschutzkonform einsetzbar. Hinsichtlich der Vorgaben, denen eine solche Einwilligung genügen muss, wird auf die Leitlinie des Europäischen Datenschutzausschusses zur Einwilligung (https://www.datenschutzkonferenz-online.de/media/wp/20180410_wp259_ rev01.pdf) sowie auf das aktuelle Urteil des EuGH im Verfahren „Planet49“ (EuGH, Urt. v. 01. Oktober 2019, C-673/17, http://curia.europa.eu/juris/document/document.jsf?text=&docid=21 8462&pageIndex=0&doclang=DE&mode=lst&dir=&occ=first&part=1&cid=497860) verwiesen.“ Eindeutiger in der Sache äußern sich die Datenschutzbeauftragten aus Hamburg und NRW:
- Der Hamburger Datenschutzbeauftragte erklärt u. a.: „Der EuGH macht klar, dass – auch in Deutschland – das Setzen bzw. Abrufen von Cookies oder anderer Informationen, die im Endgerät des Nutzers gespeichert sind, einwilligungsbedürftig ist. Das auf vielen Websites bereitgestellte Opt-Out-Verfahren reicht nicht aus… Das Gericht präzisiert auch die Anforderungen, die an eine entsprechende Einwilligung zu stellen sind. Sie setzt ein aktives Verhalten des Nutzers voraus, das ohne jeden Zweifel und freiwillig erfolgt. Dies schließt etwa Modelle aus, die an eine reine Weiternutzung des Angebots anknüpfen. Die…Informationspflicht wird in einer Weise ausgelegt, dass die betroffenen Personen vorab umfassend aufzuklären sind. Eine Einwilligung kann nur in voller Kenntnis der Sachlage erteilt werden. Danach muss der Webseitenbetreiber den Nutzer jedenfalls über die Funktionsdauer von Cookies sowie über den Zugriff Dritter auf diese informieren.“
- Die Datenschutzbeauftragte für Nordrhein-Westfalen stellt fest: „In seinem Urteil… hat der EuGH entschieden, dass nach geltendem Recht keine wirksame Einwilligung vorliegt, wenn der Nutzer zur Verweigerung seiner Einwilligung ein bereits angekreuztes Kästchen abwählen muss. Vielmehr wird als Voraussetzung für eine wirksame datenschutzrechtliche Einwilligung auch online ein aktives Verhalten des Betroffenen vorausgesetzt… Darüber hinaus hat der EuGH deutlich gemacht, dass das Setzen und Abrufen von Cookies oder anderen Informationen, die im Endgerät des Nutzers gespeichert sind, grundsätzlich einer Einwilligung bedürfen. Gemeint sind Cookies, die nicht erforderlich für die Bereitstellung des vom Nutzer aufgerufenen Dienstes sind… Danach bedarf es für websiteübergreifende Cookies und Tools, die das Nutzerverhalten website- oder geräteübergreifend zusammenfassen (Tracking), in der Regel einer vorherigen informierten Einwilligung der Nutzer. Bei der Verwendung von IP-Adressen, Cookies oder anderen Nutzungsdaten, die für den Betrieb des Telemediendienstes notwendig sind, können sich Verantwortliche hingegen häufig auf das berechtigte Interesse nach Artikel 6 Absatz 1 lit. f DSGVO berufen.“
Man darf gespannt sein, wie der Magistrat der Stadt Frankfurt den Sachverhalt bewertet und die Frage des FDP-Stadtverordneten Dr. Uwe Schulz beantwortet.