Irreführende Cookie-Banner: 7 typische Fehler

Inhalt

Cookie-Consent-Banner zur Einwilligung in das Setzen von Cookies finden sich inzwischen auf nahezu jeder Website. Doch viele dieser Banner sind nicht datenschutzkonform, wie der Abschlussbericht einer Taskforce des Europäischen Datenschutzausschusses (EDSA) aufzeigt. Das Dokument enthält sieben wichtige Hinweise dazu, wie Sie Ihre Cookie-Consent-Banner nicht gestalten bzw. einsetzen sollten.

Abschlussbericht der Taskforce Cookie-Banner

Der Europäische Datenschutzausschuss (EDSA) veröffentlichte am 17. Januar 2023 den Abschlussbericht der Cookie-Banner-Taskforce. Die Taskforce wurde als Reaktion auf Beschwerden des Europäischen Zentrums für digitale Rechte (NOYB) des bekannten Datenschutzaktivisten Max Schrems über Cookie-Banner eingerichtet. NYOB hatte über 3.600 Websites geprüft und auf dieser Grundlage über 700 Beschwerden eingebracht. Auch die Verbraucherzentrale Bundesverband e.V. hatte im September 2021 mitgeteilt, dass ihre Überprüfung ergab, dass etwa jedes zehnte Cookie-Banner rechtswidrig ist.

In seinem Abschlussbericht erläuterte der EDSA zunächst den anwendbaren Rechtsrahmen für die Überprüfung der Cookie-Banner. So gelten für die Platzierung oder das Auslesen von Cookies die nationalen Rechtsvorschriften zur Umsetzung der ePrivacy-Richtlinie. Die Verarbeitungen, die im Anschluss erfolgen, sind jedoch nach der Datenschutz-Grundverordnung (DSGVO) zu bewerten. Dies bedeutet, dass die Einwilligung für das Setzen von Cookies an den Anforderungen der DSGVO zu messen ist, wenn sie auch die anschließende Datenverarbeitung rechtlich legitimieren soll.

Im Rahmen der eingereichten Beschwerden stellte die ESDA-Taskforce die am häufigsten vertretenen fehlerhaften Varianten von Cookie-Consent-Bannern dar und zeigte auf, welche Aspekte falsch waren und worauf zu achten ist. Die Taskforce identifizierte hierbei folgende Fehlertypen.

Fehlerhafte Cookie-Consent-Banner

“Kein Ablehnen möglich”

Viele der geprüften Websites hatten Cookie-Banner, die zwar das Akzeptieren der Cookies ermöglichen, jedoch keine Möglichkeit implementiert hatten, Cookies auch abzulehnen. Hierbei verdeutlichte die Taskforce noch einmal, dass nicht-essenzielle Cookies nicht ohne Einwilligung gesetzt werden dürfen und die Einwilligung durch eine aktive Handlung des Nutzers eingeholt werden muss.

Im Rahmen einer Befragung der Aufsichtsbehörden stellte die Taskforce fest, dass die die Ansicht verfolgt, dass das Fehlen einer Schaltfläche zum Ablehnen einen Verstoß gegen die Vorschriften darstellt, auch wenn Art. 5 Abs. 3 ePrivacy-Richtlinie (umgesetzt durch § 25 TTDSG) nicht ausdrücklich eine Ablehnungsmöglichkeit erwähnt.

Unternehmen sollten hier also in erster Linie prüfen, ob die Ablehnung des Setzens von Cookies im Cookie-Banner möglich ist. Wenn nicht, sollte diese Möglichkeit umgehend implementiert werden.

“Opt-out”

Ein weiterer häufig aufgetretener Fall sind bereits im Vorfeld angekreuzte Kästchen. Hier finden sich immer wieder Cookie-Banner, die bei den nicht-essenziellen Cookie-Kategorien vorausgewählte Kästchen anzeigen, die dann vom Nutzer in der zweiten Ebene des Banners entfernt werden müssen.

Auch dies stellt einen Verstoß gegen die DSGVO dar. Solch eine Opt-out-Möglichkeit stellt keine gültige Einwilligung dar, was auch im Erwägungsgrund 32 DSGVO niedergelegt ist. In diesem steht klar und deutlich, dass das „Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person“ keine rechtmäßige Einwilligung darstellt (siehe auch die diesbezügliche Rechtsprechung des EuGHs und des BGHs).

“Verlinkung statt Schaltflächen”

Eine weiterer Fehlertyp ist eine Verlinkung zur Ablehnung. Hierbei sind Cookie-Banner so gestaltet, dass statt einer Schaltfläche zum Ablehnen ein Link zur Ablehnung oder zur zweiten Ebene, auf der die Ablehnung möglich ist, zu finden ist. Diesbezüglich führte die Taskforce auf, dass eine Einwilligung nur rechtmäßig erfolgt ist, wenn der Nutzer im Klaren darüber ist, wozu er seine Einwilligung erteilt. Ist ein Cookie-Banner so gestaltet, dass der Eindruck entsteht, dass der Websiteinhalt erst mit Einwilligung zugänglich ist, stellt dies keine gültige Einwilligung dar. Gleiches gilt für den Fall, wenn zur Erteilung der Einwilligung gedrängt wird.

Die Taskforce verdeutlichte an zwei Beispielen, wie diese Fehlerquelle aussehen könnte.

  • Einerseits wird die Einwilligung nicht rechtmäßig eingeholt, wenn die Ablehnung durch einen Link hinter einer Formulierung wie „Ablehnen“ oder „Ohne Einwilligung fortfahren“ eingebettet ist, ohne ausreichende grafische Unterstützung, die den Nutzer auf die Ablehnungsmöglichkeit aufmerksam macht.
  • Genauso wenig wie die Variante, dass der Link abseits des Cookie-Banners woanders platziert wurde und auch hier keine grafische Unterstützung gegeben ist, um die Aufmerksamkeit des Nutzers darauf zu lenken.

“Optische Gestaltung”

Auch die viel diskutierte Frage, ob die Schaltflächen zum Akzeptieren und Ablehnen gleich gestaltet werden müssen, griff die Taskforce in ihrem Abschlussbericht auf. Hierbei befanden sich bei den Beschwerden zahlreiche Websites, bei denen die Farben oder der Kontrast der Schaltflächen unterschiedlich gestaltet waren, um den Nutzer dadurch zum Akzeptieren von Cookies zu verleiten.

Die Taskforce legte dar, dass Verantwortlichen kein allgemeiner Standard bezüglich der optischen Gestaltung (Farbe und Kontrast) gemacht werden kann. Vielmehr ist vorliegend eine Einzelfallbetrachtung vorzunehmen, um festzustellen, ob die verwendeten optischen Merkmale zu einer ungültigen Einwilligung führen könnten. Dennoch vertreten die Mitglieder der Taskforce, dass zumindest dann eine ungültige Einwilligung eingeholt wird, wenn der Kontrast zwischen dem Text und dem Hintergrund der Schaltflächen so gering ist, dass der Text für den Nutzer praktisch unlesbar ist.

Hier empfiehlt es sich, die Schaltflächen identisch zu gestalten, um Einwilligungen rechtskonform einzuholen.

“Vorwand eines berechtigten Interesses”

Des Weiteren führt die Taskforce die inhaltliche Problematik auf, dass auf der zweiten Ebene des Cookie-Banners das berechtigte Interesse nach Art. 6 Abs. 1 lit. f) DSGVO angeführt wird, obwohl auf erster Ebene die Einwilligung eingeholt werden sollte. Dadurch sollen Websitebetreiber den Anschein erwecken, dass die Verarbeitung über das berechtigte Interesse erfolgt, obwohl nach Auffassung der Behörden hier kein überwiegendes Interesse besteht. Hier ist also erneut auf die Trennung der Grundlagen für das Setzten der Cookies und die anschließende Verarbeitung zu achten.

Im Rahmen der Voraussetzungen verdeutlichte die Taskforce, dass eine nach Art. 5 Abs. 3 ePrivacy-Richtlinie (bzw. § 25 Abs. 1 TTDSG im deutschen Recht) fehlerhaft eingeholte Einwilligung für das Setzen bzw. Auslesen von Cookies zur Folge hat, dass auch die nachfolgende Verarbeitung nicht mit der DSGVO vereinbar ist. Auch stellt das berechtigte Interesse gem. Art. 5 Abs. 3 ePrivacy-Richtlinie (bzw. des jeweiligen nationalen Gesetzes) keine gültige Rechtsgrundlage für das Setzen bzw. Auslesen von Cookies dar.

“Falsche Kategorisierung als essenzielle Cookies”

Falsch ist auch die fehlerhafte Kategorisierung von nicht essenziellen Cookies als essenzielle Cookies. Die Taskforce stellte fest, dass die Bewertung von Cookies hinsichtlich der Wesentlichkeit praktische Schwierigkeiten aufwirft, da sich die Merkmale von Cookies ständig ändern.

Websitebetreiber können zwar anhand diverser Tools eine Analyse der Website durchführen, um zu prüfen, welche Cookies beim Besuch ihrer Website gesetzt werden. Eine Kategorisierung der Cookies in essenzielle und nicht essenzielle erfolgt durch diese Tools jedoch in der Regel nicht.

Auch wurde im Rahmen dieses Aspekts durch die Taskforce die Stellungnahme Nr. 04/2012 zur Ausnahmeregelung für die Zustimmung zu Cookies der Artikel-29-Datenschutzgruppe in Erinnerung gerufen. Hierbei macht die Taskforce vor allem darauf aufmerksam, dass Cookies, die es den Websitebetreibern ermöglichen, die von Nutzern geäußerten Präferenzen bzgl. der Einwilligungen zu verschiedenen Cookies und Tools zu speichern, als essenzielle gelten.

“Kein Widerrufssymbol”

Im Rahmen der Überprüfung stellte die Taskforce auch fest, dass der Zugang zur Widerrufsmöglichkeit in diversen Formen auftritt. Einige Verantwortliche haben zum Beispiel keine Möglichkeit implementiert, bei der ein Widerrufssymbol auf jeder Unterseite angezeigt wird, das bei einem Klick den Cookie-Banner erneut öffnet, über welchen die Einwilligung dann widerrufen werden kann.

Die Taskforce stellte klar, dass Websitebetreiber eine leicht zugängliche Lösung anbieten müssen, die den Widerruf der Einwilligung jederzeit ermöglicht. Diesbezüglich ist insbesondere auch auf Art. 7 Abs. 3 S. 4 DSGVO hinzuweisen, nach dem der Widerruf der Einwilligung so einfach wie die Erteilung der Einwilligung sein muss. Auch dies stellt die Taskforce nochmal deutlich dar und listet folgende Voraussetzungen auf, die zusätzlich zu den Bedingungen für die Einholung der Einwilligung nach Art. 7 DSGVO beachtet werden sollten:

  • Möglichkeit, die Einwilligung zu widerrufen,
  • Möglichkeit, die Einwilligung jederzeit zu widerrufen und
  • Widerruf der Einwilligung muss so einfach sein wie die Erteilung der Einwilligung.

Auch hier wird jedoch angemerkt, dass wie auch bei der optischen Gestaltung kein allgemeiner Standard vorgeschrieben werden kann und vorliegend eine Einzelfallprüfung vorgenommen werden muss, um zu prüfen, ob die eingebundene Lösung den genannten rechtlichen Anforderungen genügt.

Fazit

Websitebetreiber sollten die Einbindung ihrer Cookie-Consent-Banner und insbesondere die technische Implementierung der Cookies dahinter prüfen. Dahingehend sollten sie die oben aufgeführten Hinweise berücksichtigen, um eine rechtskonforme Implementierung zu gewährleisten.

Ebenso ist auf die im Dezember 2022 aktualisierte Orientierungshilfe Telemedien der DSK hinzuweisen, die sich mit der deutschen Umsetzung der ePrivacy-Richtlinie in Form des TTDSG auseinandersetzt und die Anforderungen diesbezüglich klarstellt.

Mit dem Abschlussbericht ist die Arbeit der Taskforce beendet. Dass die Cookie-Banner-Thematik jedoch auch in Zukunft noch ein Thema bleiben wird, wozu es Entscheidungen und Stellungahmen geben wird, ist sicher. Insbesondere erwähnte dies die Taskforce in Bezug auf den Fehlertyp bezüglich des berechtigten Interesses, bei dem man sich geeinigt hat, die Diskussion wieder aufzunehmen, sobald Fälle auftreten, bei denen eine Diskussion notwendig wäre, um ein einheitliches Vorgehen zu gewährleisten.

Aber auch davon unabhängig bleibt die Thematik rund um Cookies im Rahmen der Einwilligungsverwaltung nach § 26 TTDSG spannend. Diesbezüglich bleibt abzuwarten, wie sich die geplante Einwilligungsverwaltungs-Verordnung auf die Cookie-Landschaft in Deutschland auswirken wird.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Weiterlesen

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.