Die Landesbeauftragte für den Datenschutz Niedersachsen (LfD Niedersachsen) har utfärdat en reprimand mot Heise Medien GmbH & Co.KG för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att medieföretaget Heise Medien ändrat cookie-bannern på sin webbplats. Den nya webbplatsen gav användaren möjlighet att välja mellan att samtycka till behandling av personuppgifter för individanpassad reklam eller att köpa en prenumeration som gjorde det möjligt att använda Heise Mediens webbplats utan spårare och externa annonser. Flera klagomål till LfD Niedersachsen följde, däribland ett där den registrerade fick hjälp av noyb.
LfD Niedersachsen utredning ledde till slutsatsen att cookies som inte var strikt nödvändiga installerats på användarens enhet redan innan användaren faktiskt interagerade med cookie-bannern. Enligt GDPR krävs ett samtycke från den registrerade för denna typ av behandling. Genom att automatiskt installera cookies och annan icke nödvändig teknik innan en användare interagerat med cookie-bannern, bröt Heise Medien mot artikel 6.1 (a) GDPR.
LfD Niedersachsen konstaterade också att i det första lagret av cookie-bannern måste innehålla ytterligare information för att samtycket ska vara giltigt. LfD Niedersachsen ansåg bland annat att konkreta ändamål med behandlingen, information om att personuppgifterna matchades med uppgifter från andra källor i syfte att profilera den registrerade, information om att personuppgifter delats utanför EES, samt antalet andra personuppgiftsansvariga till vilka uppgifter lämnas ut saknades.
LfD Niedersachsen konstaterade vidare att det inte var tydligt om förklaringarna i det första lagret i cookie-bannern avsåg prenumerationsalternativet, alternativet med spårare eller båda. Enligt LfD Niedersachsen gav användningen av ordet acceptera i stället för samtycke inte den registrerade intrycket att denne hade ett fritt val. Dessutom var samtycket inte specifikt, vilket är en direkt följd av bristen på information om behandlingen av personuppgifter.
När det gäller lagligheten i den så kallade pay-or-okay-modellen ansåg LfD Niedersachsen att tillvägagångssättet som sådant inte strider mot GDPR så länge abonnenter och användare erbjuds en liknande eller samma tjänst om de vill betala. Efter en närmare granskning av webbplatsen konstaterade LfD Niedersachsen dock att acceptera-alternativet innebar ett samtycke inte bara till spårare utan även till individanpassat innehåll, produktutveckling och annat. Enligt LfD Niedersachsen måste samtycket vara specifikt med avseende på de enskilda ändamålen och behandlingsåtgärderna. I detta fall kunde användare som inte var villiga att betala inte välja ändamål och behandlingar, utan var tvungna att ge ett brett och ospecifikt samtycke. Ett sådant samtycke var enligt LfD Niedersachsen inte giltigt.
Slutligen konstaterade LfD Niedersachsen också att det inte var lätt för den registrerade att återkalla sitt samtycke. Mot bakgrund av ovanstående utfärdade LfD Niedersachsen en reprimand mot Heise Medien i enlighet med artikel 58.2 (b) GDPR.