Cookie-Banner auf heise online war rechtswidrig

Cookie-Paywall-Illustration
Noyb hatte 2021 Datenschutzbeschwerden gegen sieben deutschsprachige Nachrichtenseiten eingereicht. (Quelle: Noyb.eu – CC BY-NC 3.0)

Nach Ansicht der niedersächsischen Landesbeauftragten für den Datenschutz war ein auf der IT-Nachrichtenseite heise online eingesetztes Cookie-Banner rechtswidrig. Die Behörde hat daher eine Verwarnung ausgesprochen. Der Verlag setzt das beanstandete Cookie-Banner inzwischen nicht mehr ein.

Die Nachrichtenseite hatte Anfang 2021 ein sogenanntes Pur-Abo eingeführt. Beim Besuch der Website wurden Leserinnen und Leser fortan per Cookie-Banner vor die Wahl gestellt, entweder personalisierte Werbung und Tracking zu akzeptieren – oder ein kostenpflichtiges Abonnement ohne Werbe-Tracking abzuschließen. Ähnliche Banner setzen auch viele weitere Online-Medien ein. Die österreichische Organisation Noyb hatte gegen dieses von ihr auch als Cookie-Paywall beziehungsweise “Pay oder Okay” bezeichnete Modell Beschwerde bei der zuständigen Landesdatenschutzbeauftragten eingelegt.

“Alles oder nichts”

Laut dem nun veröffentlichten Beschluss der Behörde, war das bei heise.de eingesetzte Einwilligungsbanner rechtswidrig. Solche Banner könnten zwar grundsätzlich zulässig sein, die konkrete Vorgehensweise von heise.de habe jedoch nicht mit der Datenschutzgrundverordnung (DSGVO) im Einklang gestanden, da keine spezifische Einwilligung für einzelne Zwecke möglich war.

Auf der ersten Ebene des Einwilligungsbanners sei darauf verwiesen worden, dass sich im “Privacy-Manager” weitere Informationen fänden. Bei einem Klick darauf seien zwar weitere Informationen zu Verarbeitungszwecken angezeigt worden – individuelle Einstellungen konnten die Nutzerinnen und Nutzer jedoch nicht vornehmen.

Die Datenschutzbehörde stellte außerdem fest, dass schon beim Aufruf der Seite Cookies gesetzt und Nutzerdaten “über das für die Nutzung der Webseite erforderliche Maß verarbeitet” wurden – also noch, bevor die Nutzer Aktionen auf der Webseite ausgeführt oder eine der im Einwilligungsbanner verfügbaren Schaltflächen angeklickt hatten.

Felix Mikolasch, Datenschutzjurist bei Noyb, erklärte: “Bei ‘Pay oder Okay’-Lösungen gilt meist ‘alles oder nichts’: entweder man gibt zu allem seine Zustimmung oder muss bezahlen. Die DSGVO verlangt eine ‘spezifische’ Einwilligung für jede Art der Verarbeitung.” Der Jurist kritisierte auch, dass die Behörde nur eine Verwarnung ausgesprochen hat: “Wir begrüßen die Entscheidung aus Niedersachsen. Aber nachdem jahrelang gegen das Gesetz verstoßen wurde, ist eine Verwarnung alleine keine angemessene Reaktion. Eine bloße Verwarnung wird andere Unternehmen nicht davon abhalten, ebenso eine rechtswidrige ‘Pay or Okay’-Lösung einzuführen.” Dennoch wertet die Organisation die Entscheidung als weiteren “Schlag für alle Nachrichtenseiten, die ein solches Modell auf ihren Websites verwenden”.

Das beanstandete Cookie-Banner kommt auf heise.de allerdings nicht mehr zum Einsatz: Laut Datenschutzbehörde wurde es im Januar 2023 “wesentlich geändert”. Es entspreche damit nicht mehr dem Banner, auf das sich die Beschwerden bezogen hatten. Noyb kritisiert hingegen, das neue Banner sei “noch komplizierter”, weil erst auf der zweiten Ebene einige Datenverarbeitungszwecke abgelehnt werden könnten. Studien zufolge würden nur etwa 2 Prozent der Nutzerinnen die zweite Ebene eines Cookie-Banners ansteuern – wodurch fast niemand die Widerspruchsoptionen sehen könne.

Ein Sprecher von Noyb erklärte auf Anfrage von Posteo, es sei derzeit noch schwierig abzuschätzen, welche konkreten Folgen die Entscheidung für heise.de haben werde.

Datenschutzjurist Mikolasch sagte: “Die Entscheidung der LfD scheint bereits durch die Verwendung eines neuen Banners überholt worden zu sein. Wir werden weiter gegen den ‘Pay oder Okay’-Ansatz vorgehen.”

Österreichische Datenschützer hatten ähnlich entschieden

Laut Noyb spiegelt die Entscheidung der niedersächsischen Datenschutzbehörde auch die Bewertung der Datenschutzkonferenz von sogenannten Pur Abos wider. Der Zusammenschluss der Datenschutzbehörden von Bund und Ländern hatte im März 2023 erklärt, bei den Pur-Abo-Modellen müsse die Wirksamkeit von Einwilligungen von Nicht-Abonnenten sichergestellt werden.

Noyb hatte im Jahr 2021 bei den zuständigen Behörden Datenschutzbeschwerden wegen der Cookie-Banner der deutschsprachigen Angebote Spiegel.de, Zeit.de, heise online, FAZ.net, derStandard.at, krone.at und t-online.de eingelegt. Auch viele weitere Medienhäuser setzen auf ähnliche Modelle.

Die Organisation hatte kritisiert, Nutzerinnen und Nutzer könnten nicht “frei” entscheiden, ob sie in die Datenverarbeitung durch die Medien einwilligen – sondern müssten ein kostenpflichtiges Abonnement abschließen, wenn sie nicht einwilligen wollten. Damit würden die Vorgaben der DSGVO umgangen.

Die Organisation hatte auch den Kostenaspekt kritisiert: Viele Leserinnen und Leser würden mehrere Nachrichtenseiten besuchen. Um die Weitergabe ihrer Daten durch all diese Angebote zu verhindern, würden für sie “substanzielle Kosten” entstehen.

Auch die österreichische Datenschutzbehörde DSB hatte im Fall von derStandard.at im April 2023 entschieden, dass die dortige Umsetzung des Pur-Abos rechtswidrig sei. Zwar hatte die Behörde die Zulässigkeit von “Pay oder OK”-Modellen generell bejaht, aber auch verlangt, dass Nutzer zu jeder Datenverarbeitung spezifisch “ja” oder “nein” sagen können. Noyb hatte anlässlich der Entscheidung erklärt, es sei unklar, wie diese Vorgabe mit der “Abo-Pflicht” bei einem Nein zusammenwirken soll und Berufung vor dem österreichischen Bundesverwaltungsgericht angekündigt. Die Organisation schließt auch nicht aus, dass eine finale Entscheidung über “Pay oder Okay” erst vor dem Europäischen Gerichtshof ergehen wird.

Bezüglich möglicher Auswirkungen der beiden Entscheidungen auf andere Medienhäuser erklärte ein Sprecher von Noyb auf Anfrage, es sei naheliegend, “dass es in den derzeit laufenden Beschwerden zu vergleichbaren Entscheidungen der zuständigen Datenschutzbehörden kommen wird”. (js)