Aus einem aktuellen Bericht der Cookie-Banner-Taskforce der EU ergeben sich folgende Anforderungen für die Erstellung von Cookie-Bannern:
- Auf der ersten Ebene des Banners ist eine Ablehnungsoption anzubieten, anstatt in einer Unterebene zu verstecken.
- Der Websitebesucher muss aktiv zustimmen, anstatt vorab angekreuzte Kästchen vorzufinden.
- Das Verweigern der Zustimmung muss auch anders als bloß über winzige Links in einem anderen Text oder Links außerhalb des Cookie-Banners möglich sein.
- Man hat die Zustimmung einzuholen anstatt die Geltendmachung eines berechtigten Interesses für die Nutzung nicht wesentlicher Cookies zu behaupten.
- Der Verantwortliche hat eine dauerhafte Möglichkeit zum Widerruf der Einwilligung anzubieten.
Den gesamten Bericht finden Sie auf: https://edpb.europa.eu/system/files/2023-01/edpb_20230118_report_cookie_banner_taskforce_en.pdf
Während des Surfens im Internet entdeckt man eine Vielzahl unterschiedlicher Cookie-Banner. Diese informieren über die auf der Seite eingesetzten Cookies und lassen eine Auswahl darüber zu, welche Cookies aktiviert werden sollen. Diese Auswahl soll eine wirksame Einwilligung zum Verarbeitungsvorgang personenbezogener Daten iSd DSGVO darstellen, die unter gewissen Umständen erforderlich sein kann, falls personenbezogene Daten verarbeitet werden. Es existieren unzählige verschiedene Meinungen darüber, wie diese Banner zu gestalten sind, um die Anforderungen einer wirksamen Einwilligung zur Datenverarbeitung zu erfüllen.
Um zu prüfen, ob ein Teil der in der Praxis genutzten Cookie-Banner die Anforderungen einer wirksamen Einwilligung iSd DSGVO als auch die Anforderungen der als ePrivacy-Richtline bekannten RL 2002/58/EG erfüllen, wurde die „Cookie Banner Taskforce“ des European Data Protection Bords damit beauftragt, diese Fragen zu prüfen. Diese Taskforce veröffentlichte einen Entwurf eines Berichts über die bisherige Arbeit.
In diesem Bericht wurde auf einige häufig angetroffene Praktiken eingegangen, die entdeckt wurden.
So wurde die Praktik kritisiert, wonach Cookie-Banner zumindest in der ersten Ebene über keine Schaltfläche verfügen würden, mit deren Hilfe man das Setzen von Cookies verhindern konnte. Ebenso wurde das Vorgehen beanstandet, wonach Checkboxen für die Auswahl von Cookies bereits vorausgewählt waren. Beide Praktiken führten dazu, dass Website-Besucher hierdurch keine positive, aktive, informierte und freie Handlung setzten, um in die Setzung von Cookies einzuwilligen. Somit lag keine wirksame Einwilligung vor und war damit die gesamte Datenverarbeitung rechtswidrig.
Ebenso wurde aus diesem Grund die Praktik beanstandet, wonach man nur über einen Link anstatt eines Buttons zu setzende Cookies abwählen konnte. Dies geschah entweder über einen direkten Link oder auf einer verlinkten Seite. Besonders hervorgehoben wurde hierbei, dass es sich um Links handelte, die im Text eines Cookie-Banners eingebunden und so designed waren, dass sie nicht die Aufmerksamkeit eines durchschnittlichen Nutzers auf sich zogen.
Differenzierter wurde die Praktik irreführender Button-Farben und Button-Kontraste beurteilt. Dies musste von Fall zu Fall beurteilt werden; es konnten hierfür keine generell verbindlichen Regeln formuliert werden. Lediglich ein Vorgehen wurde deutlich kritisiert: Dabei handelte es sich um Banner, über die man entweder in das Setzen von Cookies einwilligen konnte oder alternativ andere Buttons angeboten wurden. Die Farben der Buttons der Alternativen wiesen jedoch einen so geringen Kontrast zu den Farben ihrer Beschriftungen auf, dass sie unlesbar waren.
Der Bericht ging auch auf die Problematik ein, wonach Cookies als essenziell klassifiziert wurden, obwohl es sich um keine essenziellen Cookies handelte.
Abschließend wurde erwähnt, dass viele Websites keine Möglichkeit anbieten würden, eine einmal über den Cookie-Banner erteilte Einwilligung zu widerrufen. Selbst von jenen Websitebetreibern, die eine derartige Möglichkeit anbieten würden, wurde dies nicht derart umgesetzt, dass diese Widerrufsmöglichkeit einfach zugänglich war.
Zusammengefasst liegt in allen diesen Fällen keine wirksame Einwilligung und somit keine ausreichende Rechtsgrundlage für die Verarbeitung von Daten vor. Sofern personenbezogene Daten verarbeitet werden, ist dies daher rechtswidrig. Gerne beraten wir Sie individuell hierzu.