Bericht über Cookie-Banner – erfüllt Ihr Banner die einschlägigen Empfehlungen?

Die Arbeitsgruppe wurde in Reaktion auf das Handeln der Organisation None Of Your Bussiness (NOYB) eingerichtet. NOYB ist eine von Max Schrems gegründete Organisation. Am bekanntesten ist sie aus den Verfahren vor dem EuGH, in deren Folge zwei Verträge zur Regelung der Datenübertragung zwischen der EU und den USA (Safe Harbour und Privacy Shield) für nichtig erklärt wurden. Gemäß der vom EuGH zugrunde gelegten Terminologie gehen die Bezeichnungen der Urteile über die Nichtigkeitserklärung dieser Entscheidungen (Schrems I und Schrems II) auf den Nachnamen von Max Schrems zurück.

Seit März 2021 hat die NOYB an über 700 Rechtsträger in 33 EU-Ländern Entwürfe von Klagen wegen der nicht DSGVO -konformen Anwendung von Cookie-Bannern durch diese Rechtsträger gerichtet. 

In Polen waren es u.a. TVN SA, TVP SA, Interia, PKO BP. 

Mitsamt dem Klageentwurf haben diese Rechtsträger die Aufforderung erhalten, die Cookie-Banner innerhalb eines Monats so anzupassen, dass sie mit den EU-Vorschriften übereinstimmen. 

Außerdem hat die NOYB den Aufforderungen einen Ratgeber beigefügt, in dem die Anpassung der Banner an die DSGVO Schritt für Schritt beschrieben wird.

Bei Ausbleiben einer Reaktion wurde nach einem Monat gegenüber dem Rechtsträger, der das Banner auf seiner Internetseite nicht angepasst hatte, Klage bei der zuständigen Aufsichtsbehörde 

(in Polen das Amt für den Schutz personenbezogener Daten (poln. Abk. UODO) eingereicht.

Gemäß der von der NOYB durchgeführten Analyse betrafen die meisten Verstöße u.a. Folgendes:

Während der Plenarsitzung im September 2021 hat der EDSA gemäß seiner Mitteilung „den Entschluss gefasst, eine Arbeitsgruppe zur Koordinierung der Antworten auf die von der NOYB eingereichten Klagen wegen Cookie-Bannern einzurichten”.

Die Arbeitsgruppe hatte zum Ziel, die Zusammenarbeit, den Informationsaustausch und die besten Praktiken zwischen den Aufsichtsbehörden zu fördern. Ihr oblag es insbesondere:

Am 17. Januar 2023 hat die Arbeitsgruppe einen Bericht über ihre Arbeiten veröffentlicht. Gemäß der Erklärung der Gruppe stellt er keine Sammlung von Richtlinien bzw. Empfehlungen für Verantwortliche dar, sondern weist auf den minimalen Umfang der erforderlichen Analyse hin, die Aufsichtsbehörden bei der Prüfung der Klagen der NOYB durchzuführen haben.

Mit Blick auf den Umfang dieser Analyse können wir eindeutig feststellen, dass sie mit den Richtlinien der NOYB übereinstimmt. Wenn noch jemand Zweifel hat, wie Banner und Informationen über Cookies einzuführen sind, kann sich der Bericht diesbezüglich als hilfreich erweisen.

Die Arbeitsgruppe hat vor allem auf folgende Verstöße i.Z.m. Cookie-Bannern aufmerksam gemacht:

1. FEHLEN DER SCHALTFLÄCHE „ABLEHNEN” IN DER ERSTEN INFORMATIONSSCHICHT.

In diesem Fall vertreten die meisten Aufsichtsbehörden die Auffassung, dass das Fehlen dieser Schaltfläche die Anforderungen an eine ordnungsgemäß erteilte Zustimmung auf der Grundlage der ePrivacy-Richtlinie verletzt. Es gab auch abweichende Meinungen, im Bericht wurde aber leider nicht angegeben, aus welchen Mitgliedstaaten sie stammten. Die Aufsichtsbehörden hatten jedoch keine Zweifel, dass die Zustimmung zu Cookies, die diese anfordern, durch aktives Handeln des Nutzers erteilt werden muss.

2. VORMARKIERTE AUSWAHLFELDER (CHECKBOX).

Den Autoren des Berichts zufolge kann nicht von einer ordnungsgemäß erteilten Zustimmung die Rede sein, wenn sie durch „Schweigen, vormarkierte Felder oder keine Aktivität seitens des Nutzers” erteilt wurde. Dies betrifft auch die Entfernung der Markierung (opt-out) z.B. die populäre Auswahloption „Alle bestätigen“ und „Zu Einstellungen wechseln“

3. IRREFÜHRENDE FORMULIERUNG VON LINK-INHALTEN.

Dies betrifft die Situation, wenn das Banner nicht die Schaltfläche „Alle ablehnen“, sondern einen Link zu der Option der Ablehnung von Cookies (direkter Link zur Ablehnung oder Link zur zweiten Schicht) enthält. Die Mitglieder der Arbeitsgruppe waren sich darüber einig, dass der Eigentümer einer Internetseite Cookie-Banner nicht so projektieren darf, dass die Nutzer den Eindruck haben, dass die ihre Zustimmung erteilen müssen, um Zugang zum Inhalt der Seite zu erlangen, oder so, dass sie den Nutzer unmissverständlich dazu bewegen, seine Zustimmung zu erteilen. Als Beispiele solcher Tätigkeiten wurden zwei Situationen genannt:

4. IRREFÜHRENDE FARBIGE KENNZEICHNUNG VON BANNERN.

Die Gruppe wies nicht darauf hin, welche Farben für konkrete Schaltflächen geeignet sind und ob jede Situation einer gesonderten Analyse bedarf. Es ist jedoch zumindest zu überprüfen, ob der angewandte Kontrast und die Farben die Nutzer nicht offensichtlich irreführen und nicht den ungewollten – und damit ungültigen – Eindruck erwecken, dass sie ihre Zustimmung erteilt haben. Als Beispiel wurde die Situation genannt, in der der Kontrast zwischen dem Text und dem Hintergrund der Schaltfläche so minimal ist, dass der Text praktisch für jeden Nutzer unleserlich ist.

5. BEGRÜNDETES INTERESSE ALS GRUNDLAGE FÜR DIE DATENVERARBEITUNG.

Der Bericht bestätigt, dass die Rechtsgrundlage für das Ablegen/Auslesen von Cookies nach Art. 5 Abs. 3 der ePrivacy-Richtlinie nicht das begründete Interesse des Verantwortlichen sein darf.

6. INKORREKTE EINSTUFUNG NOTWENDIGER DATEIEN.

Obwohl die Einstufung, welche Dateien tatsächlich notwendig sind, Probleme bereiten kann, gehört dies zu den Pflichten des Verantwortlichen. Laut der Arbeitsgruppe wird die Einstufung in wesentliche/streng notwendige Cookies missbraucht.

7. DIE RÜCKNAHME DER EINWILLIGUNG MUSS SO EINFACH WIE DEREN ERTEILUNG SEIN.

Die Eigentümer von Internetseiten müssen leicht zugängliche Lösungen einführen, die den Nutzern die Rücknahme der Einwilligung zu einem beliebigen Zeitpunkt ermöglichen, z.B. ein Symbol bzw. ein Link an einer sichtbaren und üblichen Stelle.

Der Bericht ist keine Sammlung von Richtlinien, auf die sich ein Verantwortlicher, der die Verwaltung von Cookies umsetzt, direkt stützen kann. Es ist jedoch ein nützliches Werkzeug und ein Hinweis, wie die Aufsichtsbehörden die einzelnen Bereiche der Verwaltung von Cookies auslegen werden, und deutet auf den Mindestumfang der Prüfung hin, der die Internetseite im Falle einer Klage unterzogen werden wird. Berücksichtigt werden auch die Vorschriften des betreffenden Mitgliedstaats und der Sachverhalt der konkreten Angelegenheit.