Cookie Banner Task Force
Im Jahr 2021 hatte der Verein des österreichischen Datenschützers Max Schrems (NOYB) 422 Beschwerden bei unterschiedlichen europäischen Aufsichtsbehörden eingereicht. Grund hierfür waren datenschutzrechtliche Verstöße durch manipulative Gestaltungen von Cookie-Bannern, sogenanntes Nudging bzw. Dark Patterns. Als Reaktion darauf hat der Europäische Datenschutzausschuss (EDSA) eine Task Force zur Bewertung von Cookie-Consent-Bannern eingerichtet. Im Januar 2023 wurde nun ein Bericht veröffentlicht, der einheitliche Kriterien zur Gestaltung von Cookie-Bannern beinhaltet und damit insbesondere den verschiedenen Datenschutzbehörden die Bewertung im Einzelfall erleichtern soll.
Vorab ist festzuhalten, dass die Stellungnahme des EDSA keine Garantie für Datenschutzkonformität bietet. Sie dient als Überblick über die unzulässigen Gestaltungsmöglichkeiten und stellt allenfalls eine Empfehlung dar, wie Cookie-Banner rechtmäßig gestaltet werden können. In jedem Fall ist eine Einzelfallbetrachtung der jeweiligen Website sowie der wirtschaftlichen Interessen durchzuführen.
Folgende Aspekte wurden in der Praxis aus Sicht der Datenschützer besonders oft falsch gemacht:
– Keine Ablehnungsschaltfläche auf der ersten Ebene
Der Cookie-Banner enthält eine Schaltfläche zur Zustimmung zu einer Speicherung von Cookies und eine Schaltfläche für weitere Optionen. Eine Schaltfläche zum Ablehnen der Cookies fehlt. Zustimmungspflichtige Cookies dürfen nicht ohne Zustimmung gesetzt werden. Die Zustimmung muss gerade durch eine aktive Handlung des Nutzers erfolgen. Jedoch wird eine konkrete Ablehnungsoption nicht ausdrücklich in Art. 5 Abs. 3 der Datenschutzrichtlinie für elektronische Kommunikation vorausgesetzt.
– Angekreuzte Kästchen
Nachdem der Nutzer auf die Schaltfläche “Einstellungen” der ersten Ebene geklickt hat, erscheinen auf der zweiten Ebene des Cookie-Banners mehrere Optionen (typischerweise für jede Kategorie von Cookies, die die Kontrollstelle speichern möchte) mit im Voraus angekreuzten Kästchen. Vorab angekreuzte Kästchen für die Zustimmung führen jedoch nicht zu einer gültigen Einwilligung.
Erwägungsgrund 32 Satz 3 DSGVO:
Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person sollten daher keine Einwilligung darstellen.
Ein ähnlicher Wortlaut findet sich auch in Artikel 5 Absatz 3 der Datenschutzrichtlinie für elektronische Kommunikation.
– Irreführendes „Link-Design“
Als Ablehnungsoption wird auf dem Cookie-Banner statt einer Schaltfläche eine Link angezeigt, der direkt zur Ablehnung oder zu einer zweiten Ebene führt, auf welcher der Nutzer die Hinterlegung von Cookies ablehnen kann.
Dabei muss klar angegeben werden:
1) Worum geht es in dem Banner?
2) Zu welchem Zweck wird die Zustimmung eingeholt?
3) Wie kann die Zustimmung zu Cookies erteilt werden?
Eine Einwilligung ist nur dann gültig, wenn der Nutzer verstehen kann, wozu er seine Einwilligung gibt und wie er sie erteilt. Entsteht bei dem Nutzer aufgrund der Gestaltung des Cookie-Banners der Eindruck, er müsste die Erklärung abgeben, um auf den Inhalt der Webseite zugreifen zu können, so liegt schon gar keine freiwillige Einwilligung vor. Außerdem darf der Nutzer auch nicht zur Abgabe der Zustimmung gedrängt werden. In beiden Fällen läge eine unwirksame Zustimmung vor. Um das zu verhindern, könnte beispielsweise die Fortsetzung der Navigation ohne den Cookies der ersten Ebene sein.
Nicht erlaubt sind hingegen Cookie-Banner die als einzige Alternative zur Zustimmungserteilung einen Link enthalten, der hinter Formulierungen wie „ablehnen“ oder „Fortfahren ohne Zustimmung“
o in einem Textabsatz des Cookie-Banners eingebettet ist oder
o in einem Textabsatz eingebettet ist, der außerhalb der Schaltfläche des Cookie-Banners liegt auf dem sich die Schaltfläche zur Zustimmungserteilung befindet
und der Nutzer nicht hinreichend auf die Alternative hingewiesen wird, zB. durch visuelle Hervorhebung.
– Täuschende Schaltflächenfarben und -kontrast
Der Cookie-Banner ist in Bezug auf Farben und Kontraste so konfiguriert, dass die Schaltfläche “Akzeptieren” gegenüber den verfügbaren Optionen deutlich hervorgehoben wird. Dabei muss im Einzelfall geprüft werden, ob die verwendeten Kontraste und Farben für die Nutzer offensichtlich irreführend sind und zu einer unbeabsichtigten und damit ungültigen Zustimmungserteilung führen.
Als offensichtlich irreführend für die Nutzer sieht die Task Force einen Cookie-Banner, wenn der Kontrast zwischen dem Text und dem Hintergrund der Schaltfläche einer Handlungsalternative so gering ist, dass der Text praktisch für jeden Nutzer unlesbar ist.
– Behauptetes berechtigtes Interesse und Liste der Zwecke
Auf der ersten Ebene des Cookie-Banners wird die Möglichkeit hervorgehoben, den Lese-/Schreibvorgang zu akzeptieren. Eine Ablehnungsmöglichkeit wird nicht angezeigt. Der Nutzer könnte daher davon ausgehen, dass eine Ablehnung der Speicherung und Weiterverarbeitung der Cookies gar nicht möglich ist.
Auf der zweiten Ebene des Cookie-Banners kann zwischen der Ablehnung der Lese- und Schreibvorgängen und der weiteren Verarbeitung ausgewählt werden. Dabei wird die Weiterverarbeitung als berechtigtes Interesse des für die Verarbeitung Verantwortlichen gemäß Art. 6 Abs. 1 lit. f DSGVO dargestellt. Als berechtigte Interessen werden dabei insbesondere das Erstellen eines personalisierten Nutzerprofils oder personalisierte Werbeanzeigen aufgezählt.
Wird der Begriffs des berechtigten Interesses für die nachfolgenden Verarbeitungen “in den tieferen Schichten des Banners” miteinbezogen, so könnte das zu einer Irreführung des Nutzers führen. Es könnte der Eindruck entstehen, dass sie zweimal ablehnen müssen, um die Verarbeitung ihrer personenbezogenen Daten zu verhindern.
– Unzutreffend eingestufte „wesentliche Cookies“
Cookies und Verarbeitungsvorgänge, die personenbezogene Daten verarbeiten, werden als “wesentlich” oder “unbedingt notwendig” bezeichnet, obwohl dies weder dem gewöhnlichen Verständnis nach Artikel 5 Absatz 3 der Datenschutzrichtlinie für elektronische Kommunikation noch dem der DSGVO entspricht.
Die Feststellung welche Cookies tatsächlich wesentlich sind stellt sich in der Praxis als Problem dar. Einerseits verändern sich die Merkmale von Cookies regelmäßig, sodass die Erstellung einer dauerhaften und zuverlässigen Liste unmöglich erscheint. Andererseits können bestimmte Tools zwar eine Liste mit den auf der Webseite verwendeten Cookies erstellen. Diese überprüfen jedoch nicht die Art der Cookies, weshalb eine Wertung dadurch nicht ersetzt werden kann.
Unter anderem können beispielsweise solche Cookies als wesentlich angesehen werden, die es den Websitebetreibern ermöglichen, die von den Nutzern geäußerten Präferenzen in Bezug auf einen Dienst zu speichern.
– Kein Widerrufssymbol
Auf den Seiten der Website fehlt ein Symbol oder ein Link, dass es den Nutzern ermöglicht, zu ihren Datenschutzeinstellungen zurückzukehren und dort ihre Einwilligung zu widerrufen. Denkbare Möglichkeiten sind z.B. ein kleines, schwebendes und ständig sichtbares Symbol oder ein Link, der an einer sichtbaren und standardisierten Stelle angebracht ist.
Zusätzlich zu den Anforderungen, die die DSGVO und Artikel 5 Absatz 3 der Datenschutzrichtlinie für elektronische Kommunikation an die Gültigkeit der Einwilligung stellen, sind drei weitere kumulative Bedingungen zwingend erforderlich:
1) die Möglichkeit, die Einwilligung zu widerrufen,
2) die Möglichkeit, die Einwilligung jederzeit zu widerrufen,
3) der Widerruf der Einwilligung muss so einfach sein wie die Erteilung der Einwilligung.
Foto von RUMEYSA AYDIN auf Unsplash
Leave a Reply
Want to join the discussion?Feel free to contribute!