Wie ist ein Cookie-Banner zu gestalten?

Aus einem aktuellen Bericht der Cookie-Banner-Taskforce der EU ergeben sich folgende Anforderungen für die Erstellung von Cookie-Bannern:

  • Auf der ersten Ebene des Banners ist eine Ablehnungsoption anzubieten, anstatt in einer Unterebene zu verstecken.
  • Der Websitebesucher muss aktiv zustimmen, anstatt vorab angekreuzte Kästchen vorzufinden.
  • Das Verweigern der Zustimmung muss auch anders als bloß über winzige Links in einem anderen Text oder Links außerhalb des Cookie-Banners möglich sein.
  • Man hat die Zustimmung einzuholen anstatt die Geltendmachung eines berechtigten Interesses für die Nutzung nicht wesentlicher Cookies zu behaupten.
  • Der Verantwortliche hat eine dauerhafte Möglichkeit zum Widerruf der Einwilligung anzubieten.

Den gesamten Bericht finden Sie auf: https://edpb.europa.eu/system/files/2023-01/edpb_20230118_report_cookie_banner_taskforce_en.pdf

Während des Surfens im Internet entdeckt man eine Vielzahl unterschiedlicher Cookie-Banner. Diese informieren über die auf der Seite eingesetzten Cookies und lassen eine Auswahl darüber zu, welche Cookies aktiviert werden sollen. Diese Auswahl soll eine wirksame Einwilligung zum Verarbeitungsvorgang personenbezogener Daten iSd DSGVO darstellen, die unter gewissen Umständen erforderlich sein kann, falls personenbezogene Daten verarbeitet werden. Es existieren unzählige verschiedene Meinungen darüber, wie diese Banner zu gestalten sind, um die Anforderungen einer wirksamen Einwilligung zur Datenverarbeitung zu erfüllen.

Um zu prüfen, ob ein Teil der in der Praxis genutzten Cookie-Banner die Anforderungen einer wirksamen Einwilligung iSd DSGVO als auch die Anforderungen der als ePrivacy-Richtline bekannten RL 2002/58/EG erfüllen, wurde die „Cookie Banner Taskforce“ des European Data Protection Bords damit beauftragt, diese Fragen zu prüfen. Diese Taskforce veröffentlichte einen Entwurf eines Berichts über die bisherige Arbeit.

In diesem Bericht wurde auf einige häufig angetroffene Praktiken eingegangen, die entdeckt wurden.

So wurde die Praktik kritisiert, wonach Cookie-Banner zumindest in der ersten Ebene über keine Schaltfläche verfügen würden, mit deren Hilfe man das Setzen von Cookies verhindern konnte. Ebenso wurde das Vorgehen beanstandet, wonach Checkboxen für die Auswahl von Cookies bereits vorausgewählt waren. Beide Praktiken führten dazu, dass Website-Besucher hierdurch keine positive, aktive, informierte und freie Handlung setzten, um in die Setzung von Cookies einzuwilligen. Somit lag keine wirksame Einwilligung vor und war damit die gesamte Datenverarbeitung rechtswidrig.

Ebenso wurde aus diesem Grund die Praktik beanstandet, wonach man nur über einen Link anstatt eines Buttons zu setzende Cookies abwählen konnte. Dies geschah entweder über einen direkten Link oder auf einer verlinkten Seite. Besonders hervorgehoben wurde hierbei, dass es sich um Links handelte, die im Text eines Cookie-Banners eingebunden und so designed waren, dass sie nicht die Aufmerksamkeit eines durchschnittlichen Nutzers auf sich zogen.

Differenzierter wurde die Praktik irreführender Button-Farben und Button-Kontraste beurteilt. Dies musste von Fall zu Fall beurteilt werden; es konnten hierfür keine generell verbindlichen Regeln formuliert werden. Lediglich ein Vorgehen wurde deutlich kritisiert: Dabei handelte es sich um Banner, über die man entweder in das Setzen von Cookies einwilligen konnte oder alternativ andere Buttons angeboten wurden. Die Farben der Buttons der Alternativen wiesen jedoch einen so geringen Kontrast zu den Farben ihrer Beschriftungen auf, dass sie unlesbar waren.

Der Bericht ging auch auf die Problematik ein, wonach Cookies als essenziell klassifiziert wurden, obwohl es sich um keine essenziellen Cookies handelte.

Abschließend wurde erwähnt, dass viele Websites keine Möglichkeit anbieten würden, eine einmal über den Cookie-Banner erteilte Einwilligung zu widerrufen. Selbst von jenen Websitebetreibern, die eine derartige Möglichkeit anbieten würden, wurde dies nicht derart umgesetzt, dass diese Widerrufsmöglichkeit einfach zugänglich war.

Zusammengefasst liegt in allen diesen Fällen keine wirksame Einwilligung und somit keine ausreichende Rechtsgrundlage für die Verarbeitung von Daten vor. Sofern personenbezogene Daten verarbeitet werden, ist dies daher rechtswidrig. Gerne beraten wir Sie individuell hierzu.

Am 28. Mai 2020 entschied der BGH zu Cookie-Bannern

Die bisherige deutsche Rechtslage führte zu „Cookie-Bannern“, bei denen Nutzer keine echte Wahlmöglichkeit hatten, sondern nur auf „Ok“ klicken konnten, um das nervige Banner aus dem Weg zu räumen.

1. Unbedingt erforderliche Cookies brauchen keine aktive Einwilligung

Zuerst das „Erfreuliche“: Wenn Cookies unbedingt erforderlich sind, sind Cookie-Banner, die nur weggeklickt werden können, rechtmäßig.

Unbedingt erforderlich können sein technisch notwendige und andere Cookies, die im Interesse des Nutzers sind, wie insb. Session-Cookies, die für einen Online-Warenkorb oder die Spracheinstellungen der Webseite verwendet werden bzw. die Seite ohne sie nicht betrieben werden kann. Es bleibt aber von den Datenschutzbehörden und Gerichten zu klären, wann Cookies unbedingt erforderlich sind und wann nicht.

2. Alle nicht unbedingt erforderlichen Cookies erfordern jetzt eine aktive Einwilligung

Andere Cookies werden aber genutzt, um pseudonymisierte Informationen über das Nutzerverhalten zu erlangen und personalisierte Werbeanzeigen zu platzieren, wie insb beim Tracking, zB Google Analytics.

Derartige Cookies sind rechtswidrig, wenn Cookie-Banner nur „weggeklickt“ werden können.

Solche Cookies für Werbe- bzw. Marketingzwecke benötigen jetzt eine aktive Einwilligung. Nutzer müssen die Möglichkeit haben, aktiv in nicht erforderliche Werbe- und Tracking Cookies im Sinne eines Opt-in einzuwilligen. Einwilligungskästchen müssen vom Nutzer aktiv angekreuzt werden; die bloße Bestätigung vorangekreuzter Felder genügt nicht.

Für die Anwendbarkeit der ePrivacy-Richtlinie ist es irrelevant, ob Cookies einen Personenbezug haben oder nicht. Darüber hinaus gilt bei Cookies, die einen Personenbezug haben, die DSGVO.

Zudem ließ der BGH für die Werbeeinwilligung eine Verlinkung auf eine Liste nicht genügen, denn diese Form der Gestaltung sei gerade zu darauf angelegt, den Nutzer dazu zu veranlassen, von einer Detailauswahl abzusehen und einfach alle Partnerunternehmen zu akzeptieren. In dieser Form jedoch sei dann die für die Einwilligung notwendige Informiertheit nicht gegeben.

4. Damit müssen sehr viele Seiten-Betreiber ihre Cookie-Banner ändern

Das Urteil wird große Auswirkungen auf die gesamte Werbewirtschaft im Internet haben, sowohl auf Webseiten-Betreiber als auch auf Anbieter von Tracking-Diensten. Kaum ein Nutzer wird freiwillig in das Sammeln von Daten zu seinem Surfverhalten zustimmen, wenn er die freie Wahl hat. Personalisierte Werbung im Netz zu platzieren, wird damit sehr viel schwieriger. Professionelle Rechtsberatung ist jedenfalls empfehlenswert.

Link zum Artikel auf WBS Law