Wie soll man Cookie Banner gestalten? Bericht der Cookie Banner Taskforce des Europäischen Datenschutzausschusses

Beitrag verfasst von Dr. Rainer Knyrim und Mag. Lena Urban – KTR-Newsletter Februar 2023

Der Bericht des Europäischen Datenschutzausschusses (EDSA) über die Arbeit der Cookie Banner Taskforce vom 17.1.2023 behandelt häufige Praktiken in Zusammenhang mit Cookie Bannern und beurteilt viele davon als rechtswidrig. Zu den einzelnen Gestaltungsaspekten von Cookie Bannern trifft er folgende Aussagen:

  • Ein Cookie Banner, der bloß einen Button zur Verfügung stellt, mit dem technisch nicht erforderliche Cookies akzeptiert werden können, der aber keinen Button zur Ablehnung dieser Cookies zur Verfügung stellt, verletzt nach der Ansicht der überwiegenden Mehrheit der Behörden Art 5 Abs 3 ePrivacy Richtlinie.
  • Vorangehakte bzw. vorangekreuzte Kästchen stellen keine wirksame Einwilligung nach der ePrivacy Richtlinie oder der DSGVO dar.
  • Cookie Banner dürfen grundsätzlich nicht so gestaltet werden, dass die Website-Nutzer den Eindruck gewinnen, dass sie ihre Einwilligung erteilen müssen, um die Website benutzen zu können. Auch darf der Cookie Banner den Nutzer nicht dazu drängen, die Einwilligung zu erteilen.
    • Im Fließtext versteckte Links, die zur Ablehnung nicht erforderlicher Cookies zur Verfügung gestellt werden, führen zur Unwirksamkeit der Einwilligung.
    • Wenn der Cookie Banner selbst keinen Button zur Ablehnung nicht erforderlicher Cookies zur Verfügung stellt, sondern ein entsprechender Link außerhalb des Cookie Banners platziert ist und die Aufmerksamkeit des Nutzers nicht ausreichend auf den außerhalb des Cookie Banners befindlichen Link gelenkt wird, ist die Einwilligung unwirksam.
  • Hinsichtlich der farblichen Gestaltung eines Cookie Banners sowie hinsichtlich des angewendeten Kontrastes kommt es nach dem Bericht des EDSA grundsätzlich auf eine Einzelfallbeurteilung an. Die Gestaltung hinsichtlich des Kontrastes und der Farbe darf den Nutzer nicht in die Irre führen und nicht in ungewollten Einwilligungen resultieren. Solche Einwilligungen wären unwirksam. Leider nennt der Bericht des EDSA in diesem Zusammenhang nur ein einziges Beispiel: Abgesehen vom Einwilligungs-Button wird nur ein Button zur Verfügung gestellt, bei dem der Kontrast zwischen Text und Hintergrund so gering ist, dass der Text für den Nutzer de facto unleserlich ist.
  • Hinsichtlich der Frage, inwieweit mit einem Cookie Banner gleichzeitig auch eine Information über eine Weiterverarbeitung im Rahmen berechtigter Interessen nach Art 6 Abs 1 lit f DSGVO stattfinden kann, führt der EDSA an, dass eine Weiterverarbeitung von Daten nicht DSGVO-konform möglich ist, wenn bereits zuvor die Voraussetzungen der ePrivacy Richtlinie nicht eingehalten wurden. Darüber hinaus geht aus den Ausführungen des EDSA hervor, dass der Nutzer klar darüber informiert werden muss, welche Datenverarbeitung im Rahmen der über einen Cookie Banner erfolgten Einwilligung erfolgt und auf welche Rechtsgrundlage eine allenfalls darauffolgende Weiterverarbeitung der Daten gestützt wird.
  • Der EDSA führt weiter zur Frage der technischen Erforderlichkeit von Cookies aus, dass der Website-Betreiber eine Liste führen muss, die er ggf. auch der Aufsichtsbehörde zur Verfügung stellen können muss, in der die Erforderlichkeit der Cookies erläutert wird. Der EDSA merkt an, dass aus seiner Sicht manche Website-Betreiber Cookies oder Datenverarbeitungen als erforderlich qualifizieren, die vor dem Hintergrund der ePrivacy Richtlinie oder der DSGVO gerade nicht als erforderlich zu qualifizieren wären. Der EDSA ruft weiters eine Stellungnahme der Art 29 Datenschutzgruppe in Erinnerung, in der die Meinung vertreten wird, dass Cookies, die die von den Nutzern geäußerten Präferenzen speichern, als erforderlich angesehen werden können.
  • Abschließend beschäftigt sich der Bericht mit dem Widerruf einer einmal erteilten Einwilligung. Der EDSA hebt hervor, dass Website-Nutzer ihre Einwilligung jederzeit widerrufen können müssen. Dies könnte beispielsweise mit einem Icon, das bei der Nutzung der Website durchgängig sichtbar ist, oder mit einem Link, der an einer sichtbaren und standardisierten Stelle platziert wird, umgesetzt werden. Die konkrete Umsetzung wird allerdings dem Website-Betreiber überlassen. Die Einwilligung muss jedenfalls so leicht widerrufen werden können, wie sie erteilt wird. Wann genau das der Fall ist, beschreibt der Bericht leider nicht.

Zusammenfassend kann aus dem Bericht geschlossen werden, dass Cookie Banner eine einfach aufzufindende Möglichkeit zur Verfügung stellen müssen, technisch nicht erforderliche Cookies abzulehnen bzw. ohne technisch nicht erforderliche Cookies die Website zu benutzen. Eine Gestaltung des Cookie Banners dahingehend, den Nutzer in eine bestimmte Richtung zu drängen, ist unzulässig. Über die Datenverarbeitungstätigkeiten und die jeweiligen Rechtsgrundlagen ist genau zu informieren. Darüber hinaus muss der Website-Betreiber prüfen, ob als erforderlich qualifizierte Cookies tatsächlich erforderlich sind. Ferner muss es jederzeit die Möglichkeit geben, eine erteilte Einwilligung zu widerrufen. Sind diese Anforderungen nicht erfüllt, führt dies zur Unwirksamkeit der Einwilligung. Jede darauf gestützte Datenverarbeitung wäre demnach rechtswidrig.

Gerne stehen wir für eine Überprüfung implementierter Cookie Banner sowie dazugehöriger Informationstexte zur Verfügung. Darüber hinaus haben wir erst kürzlich einen Leitfaden für datenschutzkonformes Arbeiten im digitalen Marketing fertiggestellt, der als Handlungsanleitung herangezogen werden kann. Wenn Sie Interesse an diesem (kostenpflichtigen) Leitfaden haben, setzen Sie sich gerne mit uns in Verbindung!

Artikel drucken

Beiträge

Newsletter Februar 2023

Besser spät als nie – Österreich setzt Whistleblowing-Richtlinie um

Vor Kurzem wurde das neue HinweisgeberInnenschutzgesetz (HSchG) vom Nationalrat beschlossen. Damit wird die EU-Richtlinie 2019/1937/EU (Whistleblowing-Richtlinie) nun auch in Österreich mit Verspätung umgesetzt. Für (größere) Unternehmen gibt es einen recht kurzen Zeitrahmen für die Implementierung von Hinweisgebersystemen und keine „Nachfrist“.

Warnung nach OGH-Entscheidung – keine „Kenntnisnahme der Datenschutzinformation“

Der OGH hat kürzlich entschieden, dass eine Bestätigung der „Kenntnisnahme“ der Datenschutzinformation durch einen Verbraucher dazu führt, dass diese einer Klauselprüfung nach dem Konsumentenschutzgesetz unterzogen werden kann und Klauseln aufgehoben werden. Lesen Sie unsere Analyse der Entscheidung, damit Ihnen dies nicht auch passiert, hier.

Webinar Dateninitiative der EU, Ausbildung zum Datenschutzbeauftragten

2020 hat die EU eine umfangreiche Dateninitiative gestartet, die aus vielen neuen Gesetzen besteht. Einige sind bereits beschlossen, im September 2023 wird schon der Data Governance Act anwendbar sein. Weitere „EU-Acts“ werden folgen. In unseren Seminaren bringen wir Sie auf den neuesten Stand! Netzwerkrabatt für die Ausbildung zum „Zertifizierten Datenschutzbeauftragten“.

Heroes of Data Privacy

Unter dem Titel „Heroes of Data Privacy“ versammeln sich zum Fünf-Jahres-Jubiläum der DSGVO namhafte Datenexperten, Rechtsexperten, Marketingexperten und Technologen im Wiener Marx Palast und bieten zwei Tage lang ein umfangreiches Programm und praxisorientierten Wissensaustausch – die Konferenz findet auf Englisch statt.

Wie soll man Cookie Banner gestalten? Bericht der Cookie Banner Taskforce des Europäischen Datenschutzausschusses

In unserem letzten Newsletter berichteten wir über die von Max Schrems‘ NOYB eingebrachten zahlreichen Beschwerden gegen Cookie Banner. Mittlerweile gibt es einen Bericht der Cookie Banner Taskforce des Europäischen Datenschutzausschlusses über dessen Arbeit.