Bislang gehen europäische Datenschutzbehörden gegen tricksende Cookie-Banner eher zögerlich vor. Nun hat der Europäische Datenschutzausschuss jedoch einen Berichtsentwurf zu Cookie-Bannern veröffentlicht, der irreführende Hinweise und Designs auf Schaltflächen ausschließen soll. Dennoch bleiben Fragen offen.

Kaum ein Internetnutzer kennt sie nicht, die sogenannten Cookie-Banner. Auf den ersten Blick erscheinen sie lästig, schließlich dauert ein Besuch im Internet, seit Cookie-Banner auf jeder Webseite Pflicht sind, gefühlt doppelt so lange wie zuvor. Das sollte jedoch nicht darüber hinwegtäuschen, wie wichtig Cookie-Banner für den Datenschutz im Internet sind. Denn Cookies können weitreichende Rückschlüsse über Surfverhalten, Vorlieben und Lebensgewohnheiten der Nutzer liefern. Dieses Wissen wird dann etwa für personalisierte Werbung herangezogen. Cookie-Banner informieren Webseiten-Besucher daher über die Verwendung von Cookies und lassen den Nutzern die Wahl, ob sie diese akzeptieren wollen oder nicht. Um dennoch an die Datenschutz-Einwilligung ihrer Nutzer zu kommen, bedienen sich viele Webseiten künstlicher Hürden und Design-Tricks, wie etwa versteckte Ablehn-Optionen oder komplizierte Auswahlmenüs.

Um dieser Entwicklung entgegenzuwirken, haben die EU-Datenschutzbeauftragten gemeinsame Leitlinien für die Identifikation unfairer und rechtswidriger Cookie-Banner ausgearbeitet. Laut einem nun veröffentlichten Berichtsentwurf der Arbeitsgruppe des Europäischen Datenschutzausschusses (EDSA) sollen künftig acht häufig im Rahmen von Cookie-Bannern zu beobachtende Praktiken als irreführend einzustufen sein, sodass entsprechende Einwilligungen ungültig sind.

Soforthilfe vom Anwalt

Sie brauchen rechtliche Beratung? Rufen Sie uns an für eine kostenlose Ersteinschätzung oder nutzen Sie unser Kontaktformular.

Wir sind bekannt aus

Ebenbürtige Ablehnungsfunktion erforderlich

Als Verstoß gegen die E-Privacy-Richtlinie werten die Datenschützer, wenn dem „Akzeptieren“-Button auf erster Ebene keine ebenbürtige „Ablehnen“-Option gegenübersteht. Ebenfalls unvereinbar mit der Datenschutz-Grundverordnung (DSGVO) und der Richtlinie für den Datenschutz in der elektronischen Kommunikation seien außerdem bereits vorangekreuzte Kästchen anstelle einer aktiven Zustimmungsmöglichkeit. Zu umständlich seien auch eingebettete Textlinks zur Ablehnung oder Verweise auf eine andere Seite außerhalb des Banners, um erst dort die Datenerhebung verweigern zu können.

Farbliche Abstufungen unerwünscht

Weiterhin kritisierte die Task-Force die Gestaltung vieler Vorschaltseiten. Demnach könnten Farbwahl und Kontraste bei Schaltflächen dazu führen, dass die Option „Alle akzeptieren“ gegenüber den anderen verfügbaren deutlich hervorgehoben wird. Auch dies werteten die Datenschützer als irreführend. Daneben stehe auch das Vorspiegeln berechtigter Interessen an der Installation nicht notwendiger Cookies oder das Ausgeben solcher Browserdateien als „essenziell“ auf der schwarzen Liste. Das gelte auch für eine fehlende dauerhafte Möglichkeit, eine zunächst erteilte Zustimmung zu widerrufen.

Berichtsentwurf lässt Fragen offen

Dennoch werden einige Fragen im EDSA-Berichtsentwurf nicht vollständig geklärt oder sogar ausgelassen. Nicht klargestellt hat die Arbeitsgruppe etwa, welche Farben und Kontraste von Schaltflächen konkret als irreführend gelten oder wo ein gut sichtbarer und standardisierter Platz für den Widerruf der Einwilligung sein könnte. Bislang ist die endgültige Fassung des EDSA-Berichts jedoch noch nicht veröffentlicht. Dieser könnte zur Klärung der Fragen beitragen.

Die Task-Force gründete sich im September 2021, nachdem die österreichische Bürgerrechtsorganisation Noyb (kur für none of your business) die ersten 500 Beschwerden gegen Cookie-Banner eingereicht hatte. Laut dem Verein sind daraus mittlerweile mehr als 700 Beschwerden geworden.

aha