Am 31. Mai kündigte die NGO NOYB, hinter der Max Schrems steht, eine Beschwerdewelle an, gerichtet gegen Cookie-Banner. Konkret ist nach Ansicht der NOYB die weit verbreitete Ausgestaltung der Banner mit einem ersten Übersichtslayer und den Klickoptionen „Alle akzeptieren“ –deutlich hervorgehoben – sowie – weniger augenfällig –„Einstellungen“ oder „ablehnen“ DSGVO-widrig. Über 500 Beschwerden sollen in der ersten Woche an diverse Websitebetreiber in der EU verschickt worden sein. Mit einer speziellen Software scannt NOYB dafür die Websites nach verschiedenen Kriterien. Die Drohung: Ändert euer Cookie-Banner oder wir beschweren uns bei der zuständigen Datenschutzaufsichtsbehörde. Droht hier Ungemach? Und wie kann reagiert werden, wenn ein solches Schreiben eintrifft?
Die datenschutz- und ePrivacy-konforme Ausgestaltung von Cookie-Bannern auf Websites ist ein Dauerbrenner. Von statischen Seiten mit wenigen Verarbeitungsvorgängen bis hin zu Websites mit umfangreichem Werbetracking begegnen Nutzern die Banner in der unterschiedlichsten Ausgestaltung. Eine optimale Lösung – benutzerfreundlich, transparent und wirkungsvoll im Betreibersinne – hat dabei wohl noch niemand gefunden.
Vermehrt durchgesetzt hat sich in den letzten Monaten eine Gestaltung auf mehreren Ebenen: Ebene 1 informiert im groben Überblick, mit einem kurzen Text und den Optionen „Alle akzeptieren“ oder „Einstellungen“, ggf. auch – meist weniger deutlich ersichtlich – „nur notwendige Cookies akzeptieren“. Auf Ebene 2 und Ebene 3 gibt es dann zunehmend detaillierte Informationen mit einer Übersicht über die verschiedenen Zwecke (Ebene 2, etwa „Analyse – Marketing – Personalisierung“) und dann auf Ebene 3 eine Listung aller einzelnen Anbieter mit den jeweiligen Verarbeitungszwecken. Diese Gestaltung dient zweierlei: dem Benutzer, der sich durch die Details nur nach Wunsch klicken muss; genauso aber auch dem Websitebetreiber, da die Conversion Rate bei derartiger Gestaltung oft besser ist.
Die Vorteile für den Benutzer jedenfalls sieht NOYB so nicht. Aus ihrer Sicht sind – verkürzt – derartige Cookie-Banner regelmäßig datenschutzrechtswidrig, da sie zu einem „Alle akzeptieren“ verleiten und nicht genau so simpel einen Klick auf „Alle ablehnen“ ermöglichen. Es fehle an einer von der DSGVO geforderten simplen Ja/Nein-Option.
Die Vorgehensweise: NOYB schreibt die Unternehmen direkt an und offeriert einen Monat Umstellungszeit. Wenn diese nicht genutzt werde, würden Beschwerden bei den Datenschutzaufsichtsbehörden eingereicht. Geplant ist auf diesem Weg eine Zustellung von bis zu 10 000 Beschwerden weltweit inkl. Schritt-für-Schritt-Anleitung für die Unternehmen, wie sie ihre Softwareeinstellungen ändern können.
Es lohnt sich, die Entwicklung zu monitoren, werden vergleichbareCookie-Banner genutzt. Sollte Ihr Unternehmen ein Beschwerdeschreiben von NOYB erhalten, ist eine konkrete Prüfung anzuraten: Die Rechtsposition der NOYB ist eine Auffassung der möglichen Lesarten der DSGVO. Hier sollte ein genauer Blick auf die konkrete Gestaltung des Cookie-Banners erfolgen und sorgfältig abgewogen werden, ob eine Umgestaltung tatsächlich angebracht ist.