Only God Can Nudge Me? – Zu den Ergebnissen der Task Force „Cookie-Banner”
Was war passiert?
None of your Business („noyb“), eine österreichische Datenschutz-NGO, untersuchte nach eigenen Angaben mithilfe einer selbstentwickelten Software die meistbesuchten europäischen Webseiten nach rechtswidrigen Cookie-Bannern. Gründer und bis heute prominentes Gesicht der NGO ist Maximilian Schrems – Datenschutzexpert:innen spätestens seit der sog. „Schrems I“-Entscheidung des EuGH aus 2015 bekannt. Als (Zwischen-)Ergebnis standen im August 2021 422 formale Beschwerden, die noyb bei unterschiedlichen europäischen Aufsichtsbehörden einreichte. Um eine entsprechende Reaktion zu koordinieren, richtete der EDSA im September 2021 eine Task Force „Cookie-Banner“ ein, die ein gemeinsames Verständnis der betroffenen Aufsichtsbehörden zu den Beschwerdepunkten erarbeiten sollte. Der entsprechende Abschlussbericht wurde kürzlich veröffentlicht und verhält sich zu verschiedenen, in der Praxis üblichen, Gestaltungsvarianten von Cookie-Bannern.
Was ist der rechtliche Hintergrund von Cookie-Bannern?
Cookies sind kleine Textdateien, die beim Surfen im Internet im Browser der Nutzer:innen für einen festgelegten Zweck gespeichert werden. Dieser Zweck kann technisch notwendig sein, beispielsweise um Spracheinstellungen zu speichern oder einen Log-In-Prozess realisieren zu können. Daneben werden Cookies jedoch auch von Webseitenbetreibenden oder Dritten (First- oder Third-Party-Cookies) zur Analyse des Nutzungsverhaltens oder zum sog. Retargeting genutzt. Erforderlich ist in diesem Fall, dass Besucher:innen der Webseite in das Ablegen und Auslesen von Cookies einwilligen (§ 25 Abs. 1 TTDSG).
In der Praxis hat sich etabliert, dass diese Einwilligung mithilfe eines Cookie-Banners eingeholt wird.
Webseitenbetreibende benutzen dabei oftmals „Layering“, also die Darstellung der Informationen auf verschiedenen Ebenen. Nach einer allgemein gehaltenen Darstellung auf erster Eben
können Besucher:innen nach Klick auf die Schaltfläche „Mehr Details“ (oder vergleichbaren Formulierungen) auf die zweite Ebene in eine Detailansicht wechseln. Eine Schaltfläche, mit der Besuchende alle nicht erforderlichen Cookies ablehnen können, befindet sich häufig erst auf dieser zweiten Ebene:
How to Cookie-Banner: Die sieben Aussagen des Abschlussberichts
Der Abschlussbericht adressiert sieben Problemfelder im Zusammenhang mit Cookie-Bannern, die sich an den Beschwerdepunkten von noyb orientieren.
1. Ablehn-Button auf erster Ebene
Mit großer Mehrheit waren die beteiligten Aufsichtsbehörden der Ansicht, dass eine Ablehn-Option mittels einer entsprechenden Schaltfläche auf derselben Ebene bereitgestellt werden muss, auf der Nutzende die Einwilligung erteilen können. Nach den üblichen Gestaltungsvarianten bedeutet dies, dass auf der ersten Ebene neben der Zustimmung auch eine Ablehn-Option bereitzustellen ist.
Die Task Force entschied damit (wenn auch uneinheitlich) in die Richtung der dänischen Datenschutzbehörde, die bereits 2020 eine vergleichbare Auffassung vertrat. Dies sei notwendig, da die Nichterteilung der Einwilligung nicht schwieriger zu erreichen und dadurch aufwändiger als deren Erteilung sein darf.
2. Opt-In-Lösung auf zweiter Ebene
Bei einigen der von der Beschwerde betroffenen Cookie-Bannern waren die Auswahlfelder über die verschiedenen Cookie-Kategorien bereits vorausgefüllt, sodass die bereits gesetzten Häkchen durch Nutzende herausgenommen werden mussten, bevor sie die Auswahl speicherten.
Die Task Force hält dieses Vorgehen für unzulässig und spricht sich – unter Verweis auf EG 32 S. 3 zur DSGVO – für eine zwingende Opt-In-Lösung aus.
3. Ablehn-Link muss ebenfalls allgemeinen Einwilligungsanforderungen entsprechen
Nach eigenen Angaben von noyb stand in etwa der Hälfte der beanstandeten Cookie-Banner ein Link anstelle eines Buttons zur Verfügung, durch den Nutzende entweder direkt oder mittels Weiterleitung auf eine zweite Ebene Ihre Zustimmung verweigern konnten.
Grundsätzlich spricht nach Ansicht der Task Force nichts gegen diese Ausgestaltung, solange die allgemeinen Anforderungen an die Freiwilligkeit und Informiertheit der Einwilligung gewahrt bleiben. Daran fehlt es insbesondere, wenn die Ablehn-Option zwar entsprechend (mit Bezeichnungen wie „Ablehnen“ o.ä.) deklariert ist, aber ohne weitere Kenntlichmachung entweder in einem Fließtext oder außerhalb des Cookie-Banners platziert ist.
4. Keine weitergehenden Anforderungen an Farbe oder Aufbau
Neue bzw. konkrete Vorgaben zur Gestaltung von Cookie-Bannern gibt der Abschlussbericht nicht. Die Task Force betont vielmehr, dass die Beurteilung im Einzelfall vorzunehmen ist, denn weder die e-Privacy-RL noch die DSGVO würden ein festes Gestaltungsschema vorgeben. Die Grenze sei hingegen erreicht, sobald „eine alternative Aktion (außer der Zustimmung) in Form einer Schaltfläche angeboten wird, bei der der Kontrast zwischen dem Text und dem Hintergrund so gering ist, dass der Text bzw. die Schaltfläche für praktisch jeden Nutzer unlesbar ist.“ (Anmerkung: Übersetzung des englischen Texts d.d. Autor)
5. Kein „Berechtigtes Interesse“ im Zusammenhang mit Analyse-Cookies
Einige Webseitenbetreibende stützten die Verarbeitungstätigkeit im Zusammenhang mit der Analysefunktionen (bspw. die Erstellung von Nutzerprofilen) auf ein „berechtigtes Interesse“ i.S.d. Art. 6 Abs. 1 Satz 1 UAbs. 1 lit. f) DSGVO.
Die Task Force stellte zunächst zutreffend fest, dass gemäß des insoweit maßgeblichen Art. 5 Abs. 3 e-Privacy-RL (bzw. seinem nationalen Äquivalent des § 25 TTDSG) abseits von „unbedingt erforderlichen“ Cookies eine Einwilligung der Nutzenden notwendig ist. Wird diese nicht eingeholt, sind alle in diesem Zusammenhang stehenden Verarbeitungstätigkeiten nicht mit der DSGVO in Einklang zu bringen. Außerdem könne der Begriff des berechtigten Interesses verwirrend wirken ist damit vor dem Hintergrund der allgemeinen Einwilligungsanforderungen problematisch.
6. Korrekte Bezeichnung der Art der Cookies
Auch bei der korrekten Bezeichnung der Art der Cookies wies nach Angaben der noyb ungefähr jedes fünfte beanstandeten Cookie-Banner Fehler auf. Denn vereinzelt wurden in der Kategorie „unbedingt erforderliche/wesentliche Cookies“ fälschlicherweise auch andere Cookies aufgeführt.
Selbst wenn Nutzende mittels technischer Tools die gesetzten Cookies anzeigen lassen können, gibt dies keinen Aufschluss über Art und Funktion, sodass Betroffene keine eigenen Überprüfungen in der Praxis anstellen können. Webseitenbetreiber:innen müssen daher Listen führen, die die Wesentlichkeit der Cookies belegen und die auf Nachfrage den Aufsichtsbehörden vorzulegen sind. Als Hilfestellung zur Abgrenzung kann die Stellungnahme 04/2012 v. 07.06.2012 der Art. 29-Datenschutzgruppe dienen.
7. Einfach zugänglicher Weg für den Widerruf muss gewährleistet sein
Zuletzt setzt sich der Bericht noch mit der Verfügbarkeit des Widerrufs der einmal erteilten Einwilligung auseinander, der – insoweit gelten auch die weiteren Bedingungen zur Einwilligung gemäß Art. 7 DSGVO – jederzeit und einfach möglich sein muss.
Vergleichbar zur Gestaltung des Cookie-Banners selbst steht den Webseitenbetreibenden auch insoweit ein Freiraum zu, in dem sie die gesetzlichen Anforderungen umsetzen können. Als regelmäßig ausreichend benennt der Bericht beispielsweise ein Symbol (klein, schwebend und ständig sichtbar) oder einen Link an einer sichtbaren und standardisierten Stelle, über den Besuchende den Widerruf erklären können.
Und jetzt?
Wenig überraschend spricht sich mit dem Abschlussberichts eine große Mehrheit der europäischen Aufsichtsbehörden für eine strenge Interpretation der gesetzlichen Vorgaben für Cookie-Banner aus. Insbesondere müssen solche Banner danach bereits auf erster Ebene eine verpflichtende „Ablehn-Option“ vorsehen.
Der Abschlussbericht liefert darüber hinaus keine wesentlichen Neuerungen zur ohnehin ausführlichen Rechtsprechung und Literaturaufarbeitung über die Gestaltung von Cookie-Bannern. Das mag auf den ersten Blick ernüchternd klingen. Die gute Nachricht ist immerhin, dass sich der Rahmen für eine zulässige Gestaltung künftig deutlich rechtssicherer bestimmen lassen dürfte. Innerhalb dieses Rahmens gibt es weiterhin Gestaltungsspielraum.
Und sonst so?
Weitere Informationen zur Gestaltung von Cookie-Bannern können Betroffene auch der im Dezember 2022 erschienenen Orientierungshilfe der deutschen Aufsichtsbehörden entnehmen, die hier abrufbar ist.
Zu einem verwandten Thema, nämlich der datenschutzkonformen Gestaltung von Benutzeroberflächen auf Social-Media-Plattformen, hat der EDSA am 14. Februar 2023 ebenfalls eine entsprechende Leitlinie angenommen. Diese enthält praktische Empfehlungen zur Bewertung von Designmustern der Nutzeroberflächen und wird in den nächsten Tagen auf der Webseite des EDSA veröffentlicht.