Zurück zur Übersicht
06.04.2023Fachbeitrag

Update Datenschutz Nr. 139

EDSA Task Force – Bericht zur Ausgestaltung von Cookie Bannern

Der Einsatz von Cookies und ähnlichen Technologien (nachfolgend zusammen als „Cookies“ bezeichnet) stellt Anbieter von Telemedien, wie Webseiten und Applikationen, seit Jahren vor große Herausforderungen. Ein wesentliches Thema betrifft hier vor allem die rechtskonforme Ausgestaltung von sog. Cookie-Bannern, über die die Anbieter Einwilligungen für den Einsatz von einwilligungsbedürftigen Cookies abfragen.

Eine Ursache hierfür war jedenfalls in Deutschland die jahrelang umstrittene Rechtslage zur Umsetzung der maßgeblichen Vorgaben der e-Privacy-Richtlinie in Deutschland. Zwar hat der deutsche Gesetzgeber hierauf im letzten Jahr mit der Einführung des neuen § 25 TTDSG reagiert. Auch wenn die Einführung dieser Vorschrift verschiedene Unsicherheiten beseitigt hat, bestehen in der Praxis gleichwohl weiterhin viele offenen Fragen im Zusammenhang mit der rechtskonformen Ausgestaltung von Cookie-Bannern, etwa ob eine Option zum Ablehnen von einwilligungsbedürftigen Cookies – beispielsweise in Form einer „Alle Cookies ablehnen“-Schaltfläche – vorgehalten werden muss und wie die Option ausgestaltet sein muss, ohne das Verhalten der Nutzer nicht unzulässig zu beeinflussen.
 
Gleichzeitig hat die vom Datenschutzaktivisten Max Schrems ins Leben gerufene NGO „NOYB“ in den letzten Jahren mehrere hundert Anbieter von Telemedien in ganz Europa wegen des mutmaßlich rechtswidrigen Einsatzes von Cookies abgemahnt und bei den Datenschutzaufsichtsbehörden entsprechende Beschwerden eingereicht. Im Mittelpunkt stand bei diesen Abmahnungen bzw. Beschwerden vor allem die nach Ansicht von NOYB unzulässige Ausgestaltung der von den jeweiligen Anbietern eingesetzten Cookie-Banner. Die Datenschutzaufsichtsbehörden in Deutschland haben auf diese Beschwerden bislang nicht oder zumindest nur sehr zurückhaltend reagiert. Nachdem die Datenschutzkonferenz („DSK“) Ende letztens Jahres allerdings eine aktuelle Fassung der Orientierungshilfe für Anbieter von Telemedien veröffentlicht hat, in der verschiedene Hinweise zur Ausgestaltung von Cookie-Bannern enthalten sind (abrufbar hier; siehe hierzu auch unser Update Datenschutz Nr. 93, abrufbar hier), ist nunmehr eine zunehmende Aktivität der deutschen Datenschutzaufsichtsbehörden im Umgang mit diesen Beschwerden zu verzeichnen.

Dies gilt aber nicht nur auf deutscher Ebene. Auch der Europäische Datenschutzausschuss („EDSA“) hat auf die Beschwerden von NOYB in unterschiedlichen Mitgliedstaaten reagiert und eine Task Force gegründet, die sich aus Mitgliedern der einzelnen Datenschutzaufsichtsbehörden zusammensetzt und mit der rechtskonformen Ausgestaltung von Cookie-Bannern in den einzelnen Mitgliedstaaten beschäftigt. Die einzelnen Positionen der verschiedenen Mitglieder hat die Task Force in ihrem Bericht konsolidiert (abrufbar hier).

Ergebnisse der Task Force

Inhaltlich beschäftigt sich der Bericht der Task Force mit unterschiedlichen Fragestellungen zur Ausgestaltung von Cookie-Bannern und orientiert sich dabei offensichtlich an den einzelnen Beschwerdepunkten von NOYB.

Im Wesentlichen können die Ergebnisse der Task Force wie folgt zusammengefasst werden:

  • Eindeutige aktive Handlung zur Erteilung einer Einwilligung: Zunächst betont die Task Force, dass einwilligungsbedürftige Cookies nur auf Grundlage einer eindeutigen und durch eine aktive Handlung erteilte Einwilligung eingesetzt werden dürfen. Standardmäßig müssen einwilligungsbedürftige Cookies somit deaktiviert sein und dürfen erst nach Erteilung einer solchen aktiven Einwilligung gesetzt werden.
  • Vorhalten einer Option zum Ablehnen von einwilligungsbedürftigen Cookies: Die Mehrheit der Task Force Mitglieder verlangt, dass auf der gleichen Ebene, auf der Nutzer Ihre Einwilligung zum Einsatz von einwilligungsbedürftigen Cookies erteilen können, auch eine entsprechende Möglichkeit zum Ablehnen vorhanden sein muss. Ist somit auf der ersten Ebene eines Cookie-Banners ein Einwilligungs-Button vorhanden, muss dort – so jedenfalls die Mehrheit der Task Force Mitglieder – auch eine Option zum Ablehnen vorgesehen werden. Gleichzeitig betont die Task Force, dass einige Mitglieder eine solche Ablehnen-Option nicht zwingend verlangen, da die ePrivacy-RL gerade nicht ausdrücklich eine entsprechende Funktion zum Ablehnen von Cookies vorsieht. Auch enthält der Bericht leider keine eindeutigen Hinweise, wie eine solche Ablehnen-Option konkret ausgestaltet sein muss. Auf Grundlage der weiteren Ausführungen der Task Force selbst ist aber erkennbar, dass anscheinend verschiedene Ausgestaltungsmöglichkeiten in Betracht kommen können. Zu nennen ist etwa ein „Ablehnen“-Button oder ein „Ablehnen“-Textlink. Voraussetzung ist allerdings, dass beide vorgenannten Optionen klar erkennbar und nicht versteckt sind (siehe hierzu unten).
  • Keine vorausgewählten Checkboxen: Nach einheitlicher Ansicht der Task Force dürfen Checkboxen, die die Einwilligung in den Einsatz von einwilligungsbedürftigen Cookies ermöglichen, nicht vorausgewählt sein (sog. „pre-ticked boxes“). Solche vorausgewählten Checkboxen seien aufgrund von Erwägungsgrund 32 DSGVO unzulässig, denn dieser mache deutlich, dass das Stillschweigen auf bereits angekreuzte Kästchen keine Einwilligung darstelle und demnach nicht ausreiche.
  • Kein irreführendes Link-Design: Teilweise verfügen Cookie-Banner anstelle eines explizit erkennbaren „Ablehnen“-Buttons lediglich über eingebettete Textlinks, über die der Nutzer eine Einwilligung verweigern kann (z. B. mit der Bezeichnung „Ablehnen“ oder „Fahrtfahren ohne Zustimmung“). Nach Ansicht der Task Force ist die Verwendung solcher eingebetteter Textlinks unzulässig, wenn diese für Nutzer nicht ausreichend erkennbar sind. Ebenfalls unzulässig sei, wenn ein solcher Textlink außerhalb des Cookie-Banners platziert werde, ohne dass der Nutzer ausreichend auf diesen Link aufmerksam gemacht wird. Entsprechend sollten eingebettete Textlinks, falls diese verwendet werden, nach Maßgabe der Task Force stets optisch ausreichend hervorgehoben werden. Dies bedeutet somit, dass die Verwendung solcher Textlinks alternativ zu einem „Ablehnen“-Button grundsätzlich in Betracht kommt.
  • Keine irreführende Farb- und Kontrastgestaltung: Die Task Force betont hierzu, dass Anbietern von Telemedien keine pauschalen Vorgaben für die Farb- und Kontrastgestaltung eines Cookie-Banners auferlegt werden können und stattdessen stets eine Prüfung im Einzelfall erforderlich sei. Maßgeblich sei insoweit, dass die gewählten Farben und Kontraste den Nutzer nicht zur Abgabe einer unbeabsichtigten Einwilligung veranlassen dürfen. Der Bericht ist an dieser Stelle sehr generisch und enthält nur wenige konkrete Hinweise. Einigkeit besteht auf Seiten der Task Force jedenfalls dahingehend, dass falls ein Button zum Ablehnen einer Einwilligung vorgehalten werde, dieser gut lesbar gestaltet sein müsse. Ein ähnlicher Kontrast zwischen dem Text und dem Hintergrund eines solchen „Ablehnen“-Buttons, sodass der Text nicht lesbar ist, sei demnach unzulässig. Es sollte somit darauf geachtet werden, dass der „Ablehnen“-Button mit Blick auf die Farb- und Kontrastgestaltung ausreichend wahrnehmbar ist für die Nutzer.
  • Kein Abstellen auf berechtigtes Interesse: Die Task Force stellt fest, dass sich der Einsatz von Cookies ausschließlich nach der ePrivacy-RL bzw. der jeweiligen nationalen Regelung richtet, während die anschließende Verarbeitung der durch die Cookies erfassten personenbezogenen Daten der DSGVO unterfällt. Entsprechend kann nach den Ausführungen der Task Force der Einsatz von einwilligungsbedürftigen Cookies selbst nicht auf ein berechtigtes Interesse gemäß Art. 6 Abs. 1 Lit. f DSGVO gestützt werden. Sind zudem schon die Voraussetzung der ePrivacy-RL für den Einsatz von einwilligungsbedürftigen Cookies nicht erfüllt, folge hieraus wiederum, dass auch eine anschließende Verarbeitung nicht im Einklang mit der DSGVO stehen kann. Ein nicht im Einklang mit ePrivacy-RL stehender Einsatz von Cookies, soll somit auch auf die Zulässigkeit der Verarbeitung nach der DSGVO durchschlagen.
  • Zutreffende Kategorisierung von „essentiellen“ bzw. „unbedingt erforderlichen“ Cookies: Ein weiterer Punkt betrifft die oftmals falsche Kategorisierung von Cookies. So würden Cookies etwa fälschlicherweise als essentiell bzw. unbedingt erforderlich eingestuft, obwohl es sich hier um einwilligungsbedürftige Cookies handele. Hierzu führt die Task Force aus, dass Anbieter in der Lage sein müssen, den Aufsichtsbehörden auf Verlangen eine Liste mit sämtlichen Cookies bereitzustellen und zu dokumentieren, welche der eingesetzten Cookies tatsächlich essentiell bzw. unbedingt erforderlich sind.
  • Einfache Möglichkeit zum Widerruf einer Einwilligung: Nach den Ergebnissen der Task Force sind sich sämtliche Mitglieder einig, dass Anbieter von Telemedien ihren Nutzern leicht zugängliche Lösungen bereitstellen müssen, über die diese ihre erteilte Einwilligung jederzeit widerrufen können. Die Task Force betont hierzu, dass stets eine Prüfung der jeweils konkret eingesetzten Lösung erforderlich sei. Maßgebend ist hierbei, dass der Widerruf genau so einfach wie die Erteilung der Einwilligung möglich sein muss. Entsprechend empfiehlt die Task Force, dass ein ständig sichtbares Symbol oder einen Link, der an einer sichtbaren und standardisierten Stelle platziert wird, bereitgehalten wird, über den der Nutzer eine entsprechende Lösung zum Widerruf aufrufen kann.

Ausblick & Handlungsempfehlungen

Der Bericht der Task Force enthält einige wertvolle Hinweise und Empfehlungen zu verschiedenen Fragestellungen, die die Ausgestaltung von Cookie-Bannern bietet. Gleichzeitig lässt der Bericht aber auch viele Punkte offen und verweist hier auf die Auslegung durch die jeweilige nationale Aufsichtsbehörde. Dies ist insoweit nachvollziehbar, da die Mitgliedstaaten die für den Einsatz von Cookies maßgeblichen Vorgaben der e-Privacy-Richtlinie teilweise abweichend in nationales Recht umgesetzt haben.

Auffallend ist auch, dass die Task Force nicht bei allen Punkten zu einer einheitlichen Lösung kommt, sondern teilweise abweichende Meinungen der einzelnen Mitglieder bestehen. Dies betrifft gerade die Frage, ob und in welcher Form eine „Ablehnen“ Option vorgehalten werden muss. Leider enthält der Bericht keine weiteren Informationen, welche Mitglieder konkret welchen Standpunkt vertreten. Dies bedeutet somit, dass selbst bei Einhaltung der Hinweise in dem Bericht keine absolute Rechtssicherheit besteht, denn es kommt stets auf die Vorgaben der nationalen Aufsichtsbehörden an, die im Zweifel von den Ergebnissen der Task Force abweichen können.

Wie bereits eingangs erwähnt, befindet sich die gesamte Thematik zur Ausgestaltung von Cookie-Bannern weiter auf dem Radar der Aufsichtsbehörden und gerade in Deutschland ist eine zunehmende Aktivität zu vernehmen. Anbieter von Telemedien in Deutschland sollten somit hinsichtlich der Ausgestaltung der von ihnen eingesetzten Cookie-Banner nicht nur die Hinweise der Task Force in dem gegenständlichen Bericht prüfen, sondern auch die Vorgaben der DSK in der bereits erwähnten Orientierungshilfe.

Als PDF herunterladen
Als PDF herunterladen

Ansprechpartner

Michael Kuska, LL.M., LL.M.
Düsseldorf

Ansprechpartner

Michael Kuska, LL.M., LL.M.
Düsseldorf

Weitere Artikel

23.04.2024
Aktuelles zum Spannungsfeld zwischen Design- und Urheberschutz
27.03.2024
Die Umsetzung der NIS2-Richtlinie in Deutschland: Herausforderung bei der Bestimmung des Anwendungsbereichs bei Konzernen
20.03.2024
Achtung Online-Marketer: Neues EuGH-Urteil zum IAB TCF
13.03.2024
EU-Digitalrecht: Formelle Einigung im EU-Parlament zur KI-Verordnung, zum Cyber Resilience Act und zum European Media Freedom Act
06.03.2024
Neues OLG-Urteil: Unterliegt die private E-Mail-Nutzung dem Fernmeldegeheimnis?
28.02.2024
Änderungen im BDSG und TTDSG – Was sich ändert und worauf insbesondere Unternehmen zu achten haben
27.02.2024
Online-Coaching und das Fernunterrichtsschutzgesetz – 180-Grad Wende der Rechtsprechung
21.02.2024
Offenlegung der Identität des Bewerters bei Kununu
09.02.2024
Verdeckte Kontrollen als Datenschutzverstoß im Kündigungsschutzprozess
07.02.2024
Aktuelles zu Auskunftsansprüchen gegen Plattformen nach DSA & TTDSG
01.02.2024
Endlich mehr Kohle! – Neue Rechtsprechung zum Schadensersatz bei Patentverletzungen
30.01.2024
Arbeitnehmerüberwachung: Französische Datenschutzbehörde verhängt 32 Millionen Euro Strafe gegen großen Online-Versandhändler

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.