I. Überschie­ßende Daten­ver­ar­beitung über CMP

1

Pop-up-Fenster, die Nutzern den Zugang zu Websites versperren sind weit verbreitet. Die Rede ist von sog. Consent Management Platforms (CMP). Dort stellen Nutzer ein, welche Daten die Website und ihre Partner aus dem Endgerät oder über ihr Verhalten sammeln und verar­beiten dürfen.

1. „CMP“ – Begriff und Spiel­arten

2

Die Bezeichnung dieser Pop-up Fenster als CMP bedarf einer kurzen Erläu­terung:

3

Der häufig genutzte Begriff Personal Infor­mation Management System (PIMS)¹ wäre hier insofern etwas unglücklich, als er eigentlich für eine weiter­rei­chende Art von Dienst steht, der einer generellen Verwaltung der eigenen Daten durch Betroffene dient und begrifflich auf perso­nen­be­zogene Daten verengt ist. Die Einwil­ligung bzw. das Management der Einstel­lungen erfolgt vorliegend aber explizit auch aus nicht-daten­schutz­recht­lichen Gründen, da die ePrivacyRL (2002/58/EG, 2009/136/EG) eine vom Daten­schutz unabhängige Einwil­ligung in die Nutzung des Endge­rä­te­spei­chers verlangt (dazu unten IV.).

4

Die Bezeichnung „Cookie Consent Banner“ hingegen übersieht, dass es in diesen Pop-up Fenstern nicht nur um Cookies, sondern in aller Regel auch um die Einwil­ligung in Tracking­tech­niken geht, die ohne Cookies auskommen (z.B. Device-Finger­printing). Der Begriff CMP trifft das tatsäch­liche Geschehen genauer und wird auch von den Anbietern dieser Pop-up-Fenster genutzt.

a) CMP-Anbieter

5

Die Anbieter von CMP decken sich nicht mit den Websi­te­be­treibern (faz.net, spiegel.de etc.), sondern bilden eine eigene Branche.² Zu den am weitesten verbrei­teten Drittan­bietern zählen OneTrust (woher auch die neue CMP von Grindr stammt),³ QuantCast, TrustArc, Cookiebot und Crownpeak.⁴ Diese Branche selbst beschreibt CMP als „a tool that enables a website or app to be GDPR-compliant. It does this by prompting users for consent, collecting and managing that infor­mation, and passing the data to downstream ad partners“.⁵

6

Demnach steht Daten­schutz-Compliance im Vorder­grund und grund­sätzlich ist die Idee übersicht­licher Daten­schutzein­stel­lungen auch zu begrüßen, zumal die Granu­la­rität der Einwil­ligung gem. ErwGr 43 S. 2 DSGVO von großer Bedeutung für die Freiwil­ligkeit ist.⁶ Das etwas anders gelagerte Ziel der Daten­sammlung für Werbezwecke wird aber schon von den CMP-Anbietern selbst einge­plant. So stellt eine bekannte jüngere Studie CMPs ein denkbar schlechtes Zeugnis für ihre „dark patterns“ aus, d.h. für Inter­fa­ce­de­signs, die dazu dienen, Nutzer durch manipu­lativ gestaltete Inter­ak­ti­ons­ab­läufe zu einem erwünschten Verhalten zu bewegen.⁷

b) Erschei­nungs­formen

7

CMP zieren inzwi­schen eine große Bandbreite an Homepages. Dabei gibt es aber Unter­schiede. Bei Homepages, die eine Leistung mit Marktwert erbringen und sich durch Daten ihrer Besucher finan­zieren (z.B. Nachrich­ten­portale/Online-Zeitungen, Rezep­te­seiten) scheinen CMP weitaus ausge­feilter zu sein als bei Homepages, die auf direkten Zahlungen ihrer Besucher (z.B. kleinere Online-Shops), öffent­lichen Geldgebern oder anderen Finanz­quellen bzw. Motiva­tionen (z.B. Bürger­be­we­gungen, Privat­seiten) beruhen. Letztere bieten häufig einen leichten Weg zur Abwahl von Cookies und Trackern, z.B. durch den Button „Alle ablehnen“. Nachrich­ten­seiten ist zugute zu halten, dass sie ein besonders teures, zugleich umkämpftes und daher bei Nutzern auf geringe Zahlungs­be­reit­schaft treffendes Geschäfts­modell betreiben. Das erklärt, warum diese Seiten eine besonders hohe Zahl an Trackern einsetzen.⁸

8

Auffällig ist, dass CMP in aller Regel keine Indif­ferenz zulassen. Nutzer müssen etwas wählen bzw. abwählen, anders gelangen sie nicht auf die Website. Dies hat insofern das Momentum einer take it or leave it-Situation, als selbst das Abwählen aller Daten­ver­ar­bei­tungen eine Handlung erfordert und nur selten die Abwahl jeglichen Trackings angeboten wird. Hiervon zu unter­scheiden sind einfache Cookie-Infor­ma­ti­ons­banner („Diese Homepage verwendet Cookies.“ – oder dergleichen), die man schließen kann, ohne eine Entscheidung zu treffen. Ob das Schließen dann als Einwil­ligung gedeutet wird, ist wohl einzel­fall­ab­hängig. Daten­schutz­rechtlich – soviel vorweg – bedarf es jeden­falls eines aktiven Opt-ins, anders erfolgt keine Einwil­ligung.⁹ Die bloße Infor­mation über einwil­li­gungs­pflichtige Cookies hat hier keine Relevanz, auch § 15 Abs. 3 TMG (dazu unten IV.) erfordert zumindest die Möglichkeit zum Opt-out.

2. CMP auf Websites

9

In welchem Umfang werden Daten erhoben, wenn man ohne technische Schutz­vor­keh­rungen (AdBlocker, Tracking­blocker etc.) eine große Nachrich­ten­seite besucht und über die CMP alle Datener­he­bungen akzep­tiert? Und wozu dienen diese Daten?

10

In wenigen Stich­proben mit gängiger Software („Little Snitch“) lässt sich ein ungefährer Blick auf die im Falle einer solchen Rundu­mein­wil­ligung¹⁰ erhobenen Daten erlangen: Zunächst einmal explo­diert  (...)