Wie soll man Cookie Banner gestalten? Bericht der Cookie Banner Taskforce des Europäischen Datenschutzausschusses
Beitrag verfasst von Dr. Rainer Knyrim und Mag. Lena Urban – KTR-Newsletter Februar 2023
Der Bericht des Europäischen Datenschutzausschusses (EDSA) über die Arbeit der Cookie Banner Taskforce vom 17.1.2023 behandelt häufige Praktiken in Zusammenhang mit Cookie Bannern und beurteilt viele davon als rechtswidrig. Zu den einzelnen Gestaltungsaspekten von Cookie Bannern trifft er folgende Aussagen:
- Ein Cookie Banner, der bloß einen Button zur Verfügung stellt, mit dem technisch nicht erforderliche Cookies akzeptiert werden können, der aber keinen Button zur Ablehnung dieser Cookies zur Verfügung stellt, verletzt nach der Ansicht der überwiegenden Mehrheit der Behörden Art 5 Abs 3 ePrivacy Richtlinie.
- Vorangehakte bzw. vorangekreuzte Kästchen stellen keine wirksame Einwilligung nach der ePrivacy Richtlinie oder der DSGVO dar.
- Cookie Banner dürfen grundsätzlich nicht so gestaltet werden, dass die Website-Nutzer den Eindruck gewinnen, dass sie ihre Einwilligung erteilen müssen, um die Website benutzen zu können. Auch darf der Cookie Banner den Nutzer nicht dazu drängen, die Einwilligung zu erteilen.
- Im Fließtext versteckte Links, die zur Ablehnung nicht erforderlicher Cookies zur Verfügung gestellt werden, führen zur Unwirksamkeit der Einwilligung.
- Wenn der Cookie Banner selbst keinen Button zur Ablehnung nicht erforderlicher Cookies zur Verfügung stellt, sondern ein entsprechender Link außerhalb des Cookie Banners platziert ist und die Aufmerksamkeit des Nutzers nicht ausreichend auf den außerhalb des Cookie Banners befindlichen Link gelenkt wird, ist die Einwilligung unwirksam.
- Hinsichtlich der farblichen Gestaltung eines Cookie Banners sowie hinsichtlich des angewendeten Kontrastes kommt es nach dem Bericht des EDSA grundsätzlich auf eine Einzelfallbeurteilung an. Die Gestaltung hinsichtlich des Kontrastes und der Farbe darf den Nutzer nicht in die Irre führen und nicht in ungewollten Einwilligungen resultieren. Solche Einwilligungen wären unwirksam. Leider nennt der Bericht des EDSA in diesem Zusammenhang nur ein einziges Beispiel: Abgesehen vom Einwilligungs-Button wird nur ein Button zur Verfügung gestellt, bei dem der Kontrast zwischen Text und Hintergrund so gering ist, dass der Text für den Nutzer de facto unleserlich ist.
- Hinsichtlich der Frage, inwieweit mit einem Cookie Banner gleichzeitig auch eine Information über eine Weiterverarbeitung im Rahmen berechtigter Interessen nach Art 6 Abs 1 lit f DSGVO stattfinden kann, führt der EDSA an, dass eine Weiterverarbeitung von Daten nicht DSGVO-konform möglich ist, wenn bereits zuvor die Voraussetzungen der ePrivacy Richtlinie nicht eingehalten wurden. Darüber hinaus geht aus den Ausführungen des EDSA hervor, dass der Nutzer klar darüber informiert werden muss, welche Datenverarbeitung im Rahmen der über einen Cookie Banner erfolgten Einwilligung erfolgt und auf welche Rechtsgrundlage eine allenfalls darauffolgende Weiterverarbeitung der Daten gestützt wird.
- Der EDSA führt weiter zur Frage der technischen Erforderlichkeit von Cookies aus, dass der Website-Betreiber eine Liste führen muss, die er ggf. auch der Aufsichtsbehörde zur Verfügung stellen können muss, in der die Erforderlichkeit der Cookies erläutert wird. Der EDSA merkt an, dass aus seiner Sicht manche Website-Betreiber Cookies oder Datenverarbeitungen als erforderlich qualifizieren, die vor dem Hintergrund der ePrivacy Richtlinie oder der DSGVO gerade nicht als erforderlich zu qualifizieren wären. Der EDSA ruft weiters eine Stellungnahme der Art 29 Datenschutzgruppe in Erinnerung, in der die Meinung vertreten wird, dass Cookies, die die von den Nutzern geäußerten Präferenzen speichern, als erforderlich angesehen werden können.
- Abschließend beschäftigt sich der Bericht mit dem Widerruf einer einmal erteilten Einwilligung. Der EDSA hebt hervor, dass Website-Nutzer ihre Einwilligung jederzeit widerrufen können müssen. Dies könnte beispielsweise mit einem Icon, das bei der Nutzung der Website durchgängig sichtbar ist, oder mit einem Link, der an einer sichtbaren und standardisierten Stelle platziert wird, umgesetzt werden. Die konkrete Umsetzung wird allerdings dem Website-Betreiber überlassen. Die Einwilligung muss jedenfalls so leicht widerrufen werden können, wie sie erteilt wird. Wann genau das der Fall ist, beschreibt der Bericht leider nicht.
Zusammenfassend kann aus dem Bericht geschlossen werden, dass Cookie Banner eine einfach aufzufindende Möglichkeit zur Verfügung stellen müssen, technisch nicht erforderliche Cookies abzulehnen bzw. ohne technisch nicht erforderliche Cookies die Website zu benutzen. Eine Gestaltung des Cookie Banners dahingehend, den Nutzer in eine bestimmte Richtung zu drängen, ist unzulässig. Über die Datenverarbeitungstätigkeiten und die jeweiligen Rechtsgrundlagen ist genau zu informieren. Darüber hinaus muss der Website-Betreiber prüfen, ob als erforderlich qualifizierte Cookies tatsächlich erforderlich sind. Ferner muss es jederzeit die Möglichkeit geben, eine erteilte Einwilligung zu widerrufen. Sind diese Anforderungen nicht erfüllt, führt dies zur Unwirksamkeit der Einwilligung. Jede darauf gestützte Datenverarbeitung wäre demnach rechtswidrig.
Gerne stehen wir für eine Überprüfung implementierter Cookie Banner sowie dazugehöriger Informationstexte zur Verfügung. Darüber hinaus haben wir erst kürzlich einen Leitfaden für datenschutzkonformes Arbeiten im digitalen Marketing fertiggestellt, der als Handlungsanleitung herangezogen werden kann. Wenn Sie Interesse an diesem (kostenpflichtigen) Leitfaden haben, setzen Sie sich gerne mit uns in Verbindung!