Irreführende Cookie-Banner: 7 typische Fehler

Viele der geprüften Websites hatten Cookie-Banner, die zwar das Akzeptieren der Cookies ermöglichen, jedoch keine Möglichkeit implementiert hatten, Cookies auch abzulehnen. Hierbei verdeutlichte die Taskforce noch einmal, dass nicht-essenzielle Cookies nicht ohne Einwilligung gesetzt werden dürfen und die Einwilligung durch eine aktive Handlung des Nutzers eingeholt werden muss.

Im Rahmen einer Befragung der Aufsichtsbehörden stellte die Taskforce fest, dass die die Ansicht verfolgt, dass das Fehlen einer Schaltfläche zum Ablehnen einen Verstoß gegen die Vorschriften darstellt, auch wenn Art. 5 Abs. 3 ePrivacy-Richtlinie (umgesetzt durch § 25 TTDSG) nicht ausdrücklich eine Ablehnungsmöglichkeit erwähnt.

Unternehmen sollten hier also in erster Linie prüfen, ob die Ablehnung des Setzens von Cookies im Cookie-Banner möglich ist. Wenn nicht, sollte diese Möglichkeit umgehend implementiert werden.

Ein weiterer häufig aufgetretener Fall sind bereits im Vorfeld angekreuzte Kästchen. Hier finden sich immer wieder Cookie-Banner, die bei den nicht-essenziellen Cookie-Kategorien vorausgewählte Kästchen anzeigen, die dann vom Nutzer in der zweiten Ebene des Banners entfernt werden müssen.

Auch dies stellt einen Verstoß gegen die DSGVO dar. Solch eine Opt-out-Möglichkeit stellt keine gültige Einwilligung dar, was auch im Erwägungsgrund 32 DSGVO niedergelegt ist. In diesem steht klar und deutlich, dass das „Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person“ keine rechtmäßige Einwilligung darstellt (siehe auch die diesbezügliche Rechtsprechung des EuGHs und des BGHs).

Eine weiterer Fehlertyp ist eine Verlinkung zur Ablehnung. Hierbei sind Cookie-Banner so gestaltet, dass statt einer Schaltfläche zum Ablehnen ein Link zur Ablehnung oder zur zweiten Ebene, auf der die Ablehnung möglich ist, zu finden ist. Diesbezüglich führte die Taskforce auf, dass eine Einwilligung nur rechtmäßig erfolgt ist, wenn der Nutzer im Klaren darüber ist, wozu er seine Einwilligung erteilt. Ist ein Cookie-Banner so gestaltet, dass der Eindruck entsteht, dass der Websiteinhalt erst mit Einwilligung zugänglich ist, stellt dies keine gültige Einwilligung dar. Gleiches gilt für den Fall, wenn zur Erteilung der Einwilligung gedrängt wird.

Die Taskforce verdeutlichte an zwei Beispielen, wie diese Fehlerquelle aussehen könnte.

• Einerseits wird die Einwilligung nicht rechtmäßig eingeholt, wenn die Ablehnung durch einen Link hinter einer Formulierung wie „Ablehnen“ oder „Ohne Einwilligung fortfahren“ eingebettet ist, ohne ausreichende grafische Unterstützung, die den Nutzer auf die Ablehnungsmöglichkeit aufmerksam macht.
• Genauso wenig wie die Variante, dass der Link abseits des Cookie-Banners woanders platziert wurde und auch hier keine grafische Unterstützung gegeben ist, um die Aufmerksamkeit des Nutzers darauf zu lenken.

Auch die viel diskutierte Frage, ob die Schaltflächen zum Akzeptieren und Ablehnen gleich gestaltet werden müssen, griff die Taskforce in ihrem Abschlussbericht auf. Hierbei befanden sich bei den Beschwerden zahlreiche Websites, bei denen die Farben oder der Kontrast der Schaltflächen unterschiedlich gestaltet waren, um den Nutzer dadurch zum Akzeptieren von Cookies zu verleiten.

Die Taskforce legte dar, dass Verantwortlichen kein allgemeiner Standard bezüglich der optischen Gestaltung (Farbe und Kontrast) gemacht werden kann. Vielmehr ist vorliegend eine Einzelfallbetrachtung vorzunehmen, um festzustellen, ob die verwendeten optischen Merkmale zu einer ungültigen Einwilligung führen könnten. Dennoch vertreten die Mitglieder der Taskforce, dass zumindest dann eine ungültige Einwilligung eingeholt wird, wenn der Kontrast zwischen dem Text und dem Hintergrund der Schaltflächen so gering ist, dass der Text für den Nutzer praktisch unlesbar ist.

Hier empfiehlt es sich, die Schaltflächen identisch zu gestalten, um Einwilligungen rechtskonform einzuholen.

Des Weiteren führt die Taskforce die inhaltliche Problematik auf, dass auf der zweiten Ebene des Cookie-Banners das berechtigte Interesse nach Art. 6 Abs. 1 lit. f) DSGVO angeführt wird, obwohl auf erster Ebene die Einwilligung eingeholt werden sollte. Dadurch sollen Websitebetreiber den Anschein erwecken, dass die Verarbeitung über das berechtigte Interesse erfolgt, obwohl nach Auffassung der Behörden hier kein überwiegendes Interesse besteht. Hier ist also erneut auf die Trennung der Grundlagen für das Setzten der Cookies und die anschließende Verarbeitung zu achten.

Im Rahmen der Voraussetzungen verdeutlichte die Taskforce, dass eine nach Art. 5 Abs. 3 ePrivacy-Richtlinie (bzw. § 25 Abs. 1 TTDSG im deutschen Recht) fehlerhaft eingeholte Einwilligung für das Setzen bzw. Auslesen von Cookies zur Folge hat, dass auch die nachfolgende Verarbeitung nicht mit der DSGVO vereinbar ist. Auch stellt das berechtigte Interesse gem. Art. 5 Abs. 3 ePrivacy-Richtlinie (bzw. des jeweiligen nationalen Gesetzes) keine gültige Rechtsgrundlage für das Setzen bzw. Auslesen von Cookies dar.

Falsch ist auch die fehlerhafte Kategorisierung von nicht essenziellen Cookies als essenzielle Cookies. Die Taskforce stellte fest, dass die Bewertung von Cookies hinsichtlich der Wesentlichkeit praktische Schwierigkeiten aufwirft, da sich die Merkmale von Cookies ständig ändern.

Websitebetreiber können zwar anhand diverser Tools eine Analyse der Website durchführen, um zu prüfen, welche Cookies beim Besuch ihrer Website gesetzt werden. Eine Kategorisierung der Cookies in essenzielle und nicht essenzielle erfolgt durch diese Tools jedoch in der Regel nicht.

Auch wurde im Rahmen dieses Aspekts durch die Taskforce die Stellungnahme Nr. 04/2012 zur Ausnahmeregelung für die Zustimmung zu Cookies der Artikel-29-Datenschutzgruppe in Erinnerung gerufen. Hierbei macht die Taskforce vor allem darauf aufmerksam, dass Cookies, die es den Websitebetreibern ermöglichen, die von Nutzern geäußerten Präferenzen bzgl. der Einwilligungen zu verschiedenen Cookies und Tools zu speichern, als essenzielle gelten.

Im Rahmen der Überprüfung stellte die Taskforce auch fest, dass der Zugang zur Widerrufsmöglichkeit in diversen Formen auftritt. Einige Verantwortliche haben zum Beispiel keine Möglichkeit implementiert, bei der ein Widerrufssymbol auf jeder Unterseite angezeigt wird, das bei einem Klick den Cookie-Banner erneut öffnet, über welchen die Einwilligung dann widerrufen werden kann.

Die Taskforce stellte klar, dass Websitebetreiber eine leicht zugängliche Lösung anbieten müssen, die den Widerruf der Einwilligung jederzeit ermöglicht. Diesbezüglich ist insbesondere auch auf Art. 7 Abs. 3 S. 4 DSGVO hinzuweisen, nach dem der Widerruf der Einwilligung so einfach wie die Erteilung der Einwilligung sein muss. Auch dies stellt die Taskforce nochmal deutlich dar und listet folgende Voraussetzungen auf, die zusätzlich zu den Bedingungen für die Einholung der Einwilligung nach Art. 7 DSGVO beachtet werden sollten:

• Möglichkeit, die Einwilligung zu widerrufen,
• Möglichkeit, die Einwilligung jederzeit zu widerrufen und
• Widerruf der Einwilligung muss so einfach sein wie die Erteilung der Einwilligung.

Auch hier wird jedoch angemerkt, dass wie auch bei der optischen Gestaltung kein allgemeiner Standard vorgeschrieben werden kann und vorliegend eine Einzelfallprüfung vorgenommen werden muss, um zu prüfen, ob die eingebundene Lösung den genannten rechtlichen Anforderungen genügt.