Der Europäische Datenschutzausschuss (EDSA) hat sich mit der Zulässigkeit und Gestaltung von Cookies und Cookie-Bannern im Lichte der e-Privacy-Richtlinie und der DSGVO beschäftigt. In einem Bericht vom 17.01.2023 hat er eine gemeinsame Position zu Cookie-Bannern angenommen. Mit den vertretenen Positionen zaubert der EDSA keine unerwarteten Überraschungen aus dem Datenschutz-Hut, dennoch gilt es für Website-Betreiber bestimmte Punkte zu beachten.
Ausgangspunkt für den EDSA-Bericht bilden die durch den Verein „NOYB – Europäisches Zentrum für digitale Rechte“ eingelegten Beschwerden gegen verschiedene Ausgestaltungen von Cookie-Bannern durch Website-Betreiber in der EU. Auch in Deutschland sind etliche dieser Verfahren anhängig. Sie können als Musterverfahren verstanden werden, deren Ausgang auch für etliche andere Websites von Bedeutung ist.
Der EDSA bemüht sich um eine einheitliche Positionierung der EU-Datenschutzaufsichtsbehörden in diesen Verfahren. Dies ist im nun veröffentlichten Bericht gelungen, auch wenn die dortigen Positionen nicht rechtsverbindlich sind. Sie dienen als Auslegungshilfe. In der Praxis haben sie erfahrungsgemäß richtungsweisende Auswirkungen auf die Behördenentscheidungen.
Die wichtigsten Aussagen im EDSA-Bericht:
- Kein „Ablehnen“-Button auf dem ersten Layer (aber auf dem zweiten Layer)
Im Bericht des EDSA heißt es, dass die weit überwiegende Mehrheit der Behörden für eine wirksame Einwilligung das Vorhandensein eines „Ablehnen“-Buttons auf irgendeinem Layer des Cookie-Banners für erforderlich halten.
Die Datenschutzkonferenz (DSK) hatte hier noch mehr gefordert und dahin tendiert, der Button müsse schon auf dem ersten Layer implementiert werden: Denn laut DSK müsse den Nutzenden eine gleichwertige Handlungsoption zur Erteilung und zur Ablehnung der Einwilligung offeriert werden (vgl. Orientierungshilfe Telemedien der DSK; s. zu den DSK-Positionen bereits unseren Newsletter aus Februar 2022).
- „Pre-ticked boxes“ auf dem zweiten Layer
Vorab angekreuzte Opt-in-Boxen für verschiedene Cookie-Kategorien auf dem zweiten Layer führen auch nach Auffassung des EDSA nicht zu einer wirksamen Einwilligung. Dies entspricht der Position des EuGH im Planet49-Verfahren und ergibt sich auch aus Erwägungsgrund 32 DSGVO sowie Art. 5 Abs. 3 ePrivacy-RL.
- Irreführende Link-Gestaltung
Cookie-Banner dürfen nicht so designt sein, dass Websitebesucher den Eindruck haben, sie müssten in die Cookienutzung einwilligen, um Zugang zu den Inhalten der Website zu erlangen. Ebenfalls unzulässig ist ein „Nudging“, das Nutzende durch die Gestaltung klar dazu bewegt, einzuwilligen. Insbesondere sollen die folgenden Gestaltungen zu einer Unwirksamkeit der Einwilligung führen
- Als einzige Alternative zur Einwilligung befindet sich ein (versteckter) Link hinter dem Begriff „Ablehnen“, der, ohne ausreichende visuelle Unterstützung, in den Text des Cookie-Banners integriert ist.
- Die einzige Alternative zur Einwilligung bildet ein Link, der außerhalb des Cookie-Banners und ohne ausreichende visuelle Unterstützung platziert ist.
- Schaltflächen mit irreführender Farbgestaltung oder Kontrastierung
Ebenfalls ein klassischer Fall: Der „Alle akzeptieren“-Button ist im Cookie-Banner durch entsprechende Farbwahl oder höheren Kontrast deutlich hervorgehoben. Der EDSA trifft keine allgemeingültige Aussage, ob dies zulässig ist. Den Verantwortlichen kann vielmehr, so der EDSA überzeugend, kein genereller Standard für die Gestaltung des Cookie-Banners im Hinblick auf Farbe und Kontrast vorgegeben werden. Letztlich ist im Einzelfall zu beurteilen, ob die Gestaltung offensichtlich irreführend ist und dann zur Unwirksamkeit der Einwilligung führt. Jedenfalls irreführend sei es, wenn der Kontrast des Buttons für die einzige Alternative zur Einwilligung so gestaltet ist, dass der Text für die Nutzenden unlesbar ist.
- Berufung auf ein berechtigtes Interesse
Ist nach der ePrivacy-RL und dem deutschen TTDSG eine Einwilligung in das Setzen von Cookies erforderlich, kann eine nachfolgende Verarbeitung laut EDSA nicht im Einklang mit der DSGVO stehen. Der EDSA sieht damit eine „Infizierung“ späterer Verarbeitungen, die durchaus streitbar ist. Die Position verdeutlicht aber nochmals, dass in der gesamten Verarbeitungskette auf eine rechtskonforme Vorgehensweise zu achten ist.
- Fälschlich als „notwendig“ deklarierte Cookies
Teilweise kommt es vor, dass Verantwortliche solche Cookies als „notwendig“ oder „zwingend erforderlich“ bezeichnen, die nach Art. 5 Abs. 3 ePrivacy-RL und der DSGVO eigentlich nicht als solche anzusehen sind. Der EDSA erkennt insoweit an, dass die Einordnung von Cookies als „unbedingt erforderlich“ in der Praxis Schwierigkeiten bereitet. Er erwähnt aber auch eine Verpflichtung der Website-Betreiber, eine Liste der eingesetzten Cookies vorzuhalten und deren Notwendigkeit gegenüber den Behörden nachweisen zu können. Zur Bestimmung, wann ein Cookie als notwendig anzusehen ist, verweist der Report ergänzend auf die Stellungnahme Nr.4/2012 der Artikel-29-Datenschutzgruppe zu den Ausnahmen von Cookie-Einwilligungen. Demnach sollen u.a. solche Cookies als notwendig erachtet werden, die es den Website-Betreibern erlauben, die von den Nutzenden im Hinblick auf einen bestimmten Dienst zum Ausdruck gebrachten Präferenzen (z.B. Spracheinstellungen) beizubehalten.
- Keine „Widerrufen“-Schaltfläche
Als letzten Punkt hält der Report fest, dass Website-Betreiber einfach zugängliche Lösungen bereithalten müssen, um eine Einwilligung jederzeit zu widerrufen. Als konkrete Möglichkeiten nennt der EDSA den Einsatz eines kleinen „schwebenden“ und dauerhaft sichtbaren Symbols oder eines Links der an einer sichtbaren und einheitlichen Stelle platziert ist. Erforderlich sei, dass der Widerruf jederzeit und ebenso einfach wie die Erteilung der Einwilligung möglich ist.
- Hilfestellung durch Design-Guidelines
Für die praktische Umsetzung eines fairen und verbraucherfreundlichen Cookie-Banner-Consent-Managements hat eine vom BMUV geförderte europäische Stakeholder-Initiative Design-Guidelines sowie ein Muster-Cookie-Banner entwickelt und am 26.01.2023 veröffentlicht. Diese demonstrieren anschaulich, wie die verschiedenen Layer des CMP im Sinne von Autonomie, Fairness und Transparenz gestaltet sein könnten und was es dabei zu beachten gilt. Wie der Name bereits sagt, handelt es sich hierbei nicht um verbindliche Vorgaben, sondern lediglich um Empfehlungen.