Die Datenschutzorganisation noyb.eu mit Sitz in Österreich, Vorstandsvorsitzender Max Schrems, hatte 2021 begonnen, mithilfe einer Software die Cookie-Banner, die Unternehmen auf ihren jeweiligen Websites platzieren, zu untersuchen. Im Ergebnis hat noyb Beschwerden an hunderte Unternehmen gesendet, deren Cookie-Banner aus Sicht dieser Organisation z.B. gegen die Datenschutz-Grundverordnung (DSGVO) verstoßen.
Das führte in einem großen Teil der betroffenen Fälle bereits zu einer Verbesserung. Denn die angeschriebenen Unternehmen nahmen die Beschwerden ernst und passten ihre Cookie-Banner rechtskonform an. Einzelheiten hierzu finden Sie unter https://ogy.de/noyb-ablehnen-buttons.
Die Beschwerdeaktion von noyb hat der Europäische Datenschutzausschuss (EDSA) zum Anlass genommen, eine Taskforce einzusetzen, um Cookie-Banner zu untersuchen und zu beurteilen. Diese Taskforce hat am 17. Januar 2023 ihren Bericht vorgelegt. Der Bericht ist – bisher nur in englischer Sprache – öffentlich verfügbar unter https://ogy.de/cookie-banner-taskforce.
Feststellungen des EDSA zu Cookie-Bannern nicht allgemeingültig
Der EDSA stellt ausdrücklich klar, dass die Inhalte des Berichts keine allgemeinen Empfehlungen zur Gestaltung von Cookie-Bannern enthalten. Der Bericht soll Einzelfallprüfungen der zuständigen Aufsichtsbehörde nicht vorwegnehmen. Es ist danach jeder Datenschutzaufsichtsbehörde vorbehalten, im konkreten Einzelfall zu prüfen, ob verwendete Cookie-Banner rechtskonform sind oder nicht.
Verantwortliche können aber aus dem Bericht einiges herauslesen. Es finden sich dort ganz klare Hinweise, was Verantwortliche bei der Gestaltung von Cookie-Bannern möglichst vermeiden sollten (siehe unten Tabelle „Übersicht der Fälle“). Im Umkehrschluss ergeben sich daraus auch Anhaltspunkte, wie Cookie-Banner auszusehen haben, damit sie rechtskonform sind (siehe unten die Checkliste zur Gestaltung von Cookie-Bannern als Download).
Gliederung der Cookie-Banner nach Fallgruppen
Der Bericht der Taskforce ist nach unterschiedlichen Fallgruppen bzw. Erscheinungsformen der untersuchten Cookie-Banner gegliedert:
- Button zur Ablehnung von Cookies fehlt
- vorangehakte bzw. vorausgefüllte Kästchen
- kein Button, sondern Link zur „Ablehnung“ von Cookies
- Cookie-Banner verwendet überhaupt keine Buttons, sondern nur Links zur nächsten Ebene bzw. zur „Ablehnung“
- Möglichkeit zur „Ablehnung“ ist komplett außerhalb des Cookie-Banners platziert
- Button-Farbe bzw. Button-Kontrast leitet den Nutzer optisch zur „Zustimmung“
- Unlesbarkeit des Textes aufgrund Button-Farbe bzw. Button-Kontrast; nur „Zustimmung“ ist klar erkennbar
- Geltendmachung berechtigter Interessen
- Fehlklassifizierung essenzieller Cookies
- Widerrufsmöglichkeit fehlt vollständig
Bestandteile wirksamer Einwilligung auch bei Cookie-Bannern beachten
Für das Verständnis der Fälle, die die Taskforce untersucht hat, ist es wichtig, sich die einzelnen Bestandteile einer wirksamen Einwilligung ins Gedächtnis zu rufen. Die betroffene Person muss eine Einwilligung entsprechend der Definition in Art. 4 Nr. 11 DSGVO wie folgt abgeben:
- freiwillig
- für den bestimmten Fall / Zweck
- in informierter Weise
- unmissverständlich
Einzelheiten sind nachzulesen in den Leitlinien des EDSA 05/2020 zur Einwilligung unter https://ogy.de/guidelines-consent bzw. Fit für die DSGVO, Ausgabe 31 (https://ogy.de/fit-dsgvo-einwilligung) und in den Kurzpapieren der Datenschutzkonferenz (Kurzpapier Nr. 20, https://ogy.de/dsk-kpnr-20).
Dazu hat die Taskforce klargestellt, dass bei einem intransparenten Cookie-Banner keine wirksame Einwilligung vorliegt. Eine solche Intransparenz besteht immer dann, wenn der Nutzer nicht klar versteht, ob er überhaupt einwilligen muss und wie er das tun kann. Das betrifft auch die Fälle, in denen der Nutzer getäuscht oder durch die Gestaltung des Cookie-Banners zu einem bestimmten Verhalten, meist zur Zustimmung, hingeführt wird.
Checkliste zur Gestaltung von Cookie-Bannern (siehe Download am Ende des Beitrags)
