Die Datenschutz-NGO NOYB rund um Max Schrems beschäftigt zahlreiche Unternehmen wegen irreführender Cookie-Banner. Der Kampf gegen Cookie-Paywalls, irreführende Banner und den “One Trust”-Cookie-Banner sorgte für ein kleines Erdbeben. Die Erschütterungen waren offenbar sogar bis nach Brüssel in den Europäischen Datenschutzausschuss zu spüren. Denn man richtete für die Koordinierung dieser Beschwerden eine eigene EDSA Taskforce ein.
Am 18.01.2023 veröffentlichte diese Taskforce einen Bericht, sodass wir erste Einblicke in den Diskussionsstand und das Meinungsbild der Datenschutzbehörden in den einzelnen Mitgliedstaaten erhalten haben. Die wesentlichen Aussagen in Kürze:
DSGVO oder TKG?
Für das reine Setzen und Auslesen von Cookies oder anderen Informationen auf einem Endgerät (also einem Computer, Smartphone, Connected-Car oder dem schlauen Kühlschrank) gilt in Österreich der “Cookie-Paragraf”(§ 165 Abs 3 TKG 2021).
Die Taskforce stellt klar, dass dieser alle anderen Rechtmäßigkeitstatbestände der DSGVO verdrängt.
Die DSGVO-Vorgaben für die Datenschutzinformation und für eine gültige Einwilligung sind dennoch einzuhalten. Hierfür muss die Einwilligung freiwillig abgegeben werden. Das bedeutet eine “echte Wahlmöglichkeit”. Einwilligungen unter Zwang, Druck oder ohne sonstige Möglichkeit zur aktiven Ausübung des freien Willens (z.B. durch ein verbotenes “Opt-Out-Kästchen”) sind ungültig. Gleiches gilt, wenn der Zugang zur Website alleine von der Einwilligung zu Cookies abhängig gemacht wird (sogenannte “Cookie-Walls”). Letztlich braucht es auch die Möglichkeit, die Einwilligung jederzeit zu widerrufen. Dieser Widerruf muss genau so einfach möglich sein, wie das Erteilen.
Da der Cookie-Paragraf nur für das Setzen und Auslesen von Cookies und anderen Informationen auf dem Endgerät gilt, ist auf jede (spätere) Verarbeitung dieser Informationen wiederum nur die DSGVO anzuwenden. Für die Rechtmäßigkeit der Weiterverarbeitung ist es nach Ansicht der Taskforce dennoch erforderlich, dass bereits das Setzen bzw. das Auslesen von Informationen durch Cookies oder ähnliche Technologien in Übereinstimmung mit dem Cookie-Paragrafen erfolgte.
Die Rechtmäßigkeit der weiteren Verarbeitung von Informationen aus dem Endgerät richtet sich damit wieder nach den Rechtmäßigkeitstatbeständen der DSGVO.
Taskforce verteilt zahlreiche Red-Flags
Laut Taskforce verletzen folgende Umsetzungen den Cookie-Paragrafen:
- Keine Möglichkeit, zustimmungspflichtige Cookies abzulehnen.
- Vorausgewählte Cookie-Kategorien, die der Nutzer abwählen muss (“Opt-Out-Kästchen”).
- Fehlende Informationen im Cookie-Banner über die Zwecke und die Einwilligung.
- Keine Ablehnungsmöglichkeit am First-Layer.
- Besonderes Hervorheben des Zustimmungs-Buttons.
- Einbetten der Ablehnungsmöglichkeit in den Fließtext des Cookie-Banners, während der Zustimmungs-Button prominent hervorgehoben ist.
- Platzieren der Ablehnungsmöglichkeit abseits des Zustimmungs-Buttons und ohne ausreichende Hervorhebung.
- Auswahl von Kontrast und Farben, sodass sich die Ablehnungsmöglichkeit vom Hintergrund nicht absetzt.
- Keine Möglichkeit des jederzeitigen und einfachen Widerrufs der Einwilligung.
Da es keinen allgemeinen Standard für die Gestaltung von Cookie-Bannern gibt, wird es dennoch immer eine Frage des Einzelfalls sein, ob eine gültige Einwilligung vorliegt. Erfüllt der Cookie-Banner diese Anforderungen nicht, sind das Setzen und Auslesen von Informationen und auch jede weitere Verarbeitung unzulässig.
Keine Verarbeitung aufgrund berechtigten Interesses
Da auf das Setzen und Auslesen von Cookies der Cookie-Paragraf anzuwenden ist, kann dies nicht zur Wahrung eines berechtigten Interessens des Websitebetreibers erfolgen.
Richtiges Kategorisieren von Cookies
Es liegt in der Verantwortung der Websitebetreiber, die von ihnen verwendeten Cookies zu kategorisieren. Hierbei werden immer wieder Cookies fälschlich als “unbedingt notwendig” im Sinne des Cookie-Paragrafens oder “wesentlich” im Sinne der DSGVO eingestuft.
Ausblick
Ob der Europäische Gerichtshof und die nationalen Gerichte dieser Ansicht der Datenschutzbehörden folgen und wie die Aussagen in diesem Bericht im Einzelfall zu beurteilen sind, wird sich zeigen. Bis gefestigte Entscheidungspraxis zu diesem Thema besteht, ist es ratsam, sich an diesem hohen Maßstab zu orientieren, um ungewollten Kontakt mit den Datenschutzbehörden zu vermeiden.
Zuletzt aktualisiert: 26.01.2023