Um die Website zu personalisieren und Ihnen den größten Mehrwert zu bieten, verwenden wir Cookies. Unter anderem dienen sie der Analyse des Nutzerverhaltens, um herauszufinden wie wir die Website für Sie verbessern können. Durch Nutzung der Website stimmen Sie ihrem Einsatz zu. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.



Bericht über Cookie-Banner – erfüllt Ihr Banner die einschlägigen Empfehlungen?

PrintMailRate-it

​Paweł Foltman

2. Februar 2023


Am 18. Januar 2023 hat die Sondergruppe für Cookie-Banner (Task Force Cookie-Banner), die durch den Europäischen Datenschutzausschuss (EDSA) einberufen worden war, einen Bericht mit Feststellungen zu den von ihr durchgeführten Arbeiten herausgegeben.

Die Arbeitsgruppe wurde in Reaktion auf das Handeln der Organisation None Of Your Bussiness (NOYB) eingerichtet. NOYB ist eine von Max Schrems gegründete Organisation. Am bekanntesten ist sie aus den Verfahren vor dem EuGH, in deren Folge zwei Verträge zur Regelung der Datenübertragung zwischen der EU und den USA (Safe Harbour und Privacy Shield) für nichtig erklärt wurden. Gemäß der vom EuGH zugrunde gelegten Terminologie gehen die Bezeichnungen der Urteile über die Nichtigkeitserklärung dieser Entscheidungen (Schrems I und Schrems II) auf den Nachnamen von Max Schrems zurück.

Handeln der NOYB


Seit März 2021 hat die NOYB an über 700 Rechtsträger in 33 EU-Ländern Entwürfe von Klagen wegen der nicht DSGVO -konformen Anwendung von Cookie-Bannern durch diese Rechtsträger gerichtet. 
In Polen waren es u.a. TVN SA, TVP SA, Interia, PKO BP. 

Mitsamt dem Klageentwurf haben diese Rechtsträger die Aufforderung erhalten, die Cookie-Banner innerhalb eines Monats so anzupassen, dass sie mit den EU-Vorschriften übereinstimmen. 
Außerdem hat die NOYB den Aufforderungen einen Ratgeber beigefügt, in dem die Anpassung der Banner an die DSGVO Schritt für Schritt beschrieben wird.

Bei Ausbleiben einer Reaktion wurde nach einem Monat gegenüber dem Rechtsträger, der das Banner auf seiner Internetseite nicht angepasst hatte, Klage bei der zuständigen Aufsichtsbehörde 
(in Polen das Amt für den Schutz personenbezogener Daten (poln. Abk. UODO) eingereicht.

Gemäß der von der NOYB durchgeführten Analyse betrafen die meisten Verstöße u.a. Folgendes:

  • Fehlen der Schaltfläche „Alle ablehnen”,
  • vormarkierte Zustimmung,
  • Link zu „Einstellungen“ anstatt der Schaltfläche „Ablehnen”,
  • begründetes Interesse als Grundlage der Verarbeitung,
  • irreführende Farben der Schaltflächen,
  • Rücknahme der Zustimmung, die nicht so einfach war, wie deren Erteilung.

Task Force Cookie-Banner – Ziele der Gruppe


Während der Plenarsitzung im September 2021 hat der EDSA gemäß seiner Mitteilung „den Entschluss gefasst, eine Arbeitsgruppe zur Koordinierung der Antworten auf die von der NOYB eingereichten Klagen wegen Cookie-Bannern einzurichten”.

Die Arbeitsgruppe hatte zum Ziel, die Zusammenarbeit, den Informationsaustausch und die besten Praktiken zwischen den Aufsichtsbehörden zu fördern. Ihr oblag es insbesondere:

  • Meinungen zu der rechtlichen Analyse und den etwaigen Verstößen auszutauschen;
  • Unterstützung für Maßnahmen auf Landesebene zu gewährleisten;
  • die Kommunikation zu verbessern.

Bericht der Gruppe – die wichtigsten Punkte


Am 17. Januar 2023 hat die Arbeitsgruppe einen Bericht über ihre Arbeiten veröffentlicht. Gemäß der Erklärung der Gruppe stellt er keine Sammlung von Richtlinien bzw. Empfehlungen für Verantwortliche dar, sondern weist auf den minimalen Umfang der erforderlichen Analyse hin, die Aufsichtsbehörden bei der Prüfung der Klagen der NOYB durchzuführen haben.

Mit Blick auf den Umfang dieser Analyse können wir eindeutig feststellen, dass sie mit den Richtlinien der NOYB übereinstimmt. Wenn noch jemand Zweifel hat, wie Banner und Informationen über Cookies einzuführen sind, kann sich der Bericht diesbezüglich als hilfreich erweisen.

Die Arbeitsgruppe hat vor allem auf folgende Verstöße i.Z.m. Cookie-Bannern aufmerksam gemacht:

1. FEHLEN DER SCHALTFLÄCHE „ABLEHNEN” IN DER ERSTEN INFORMATIONSSCHICHT.

In diesem Fall vertreten die meisten Aufsichtsbehörden die Auffassung, dass das Fehlen dieser Schaltfläche die Anforderungen an eine ordnungsgemäß erteilte Zustimmung auf der Grundlage der ePrivacy-Richtlinie verletzt. Es gab auch abweichende Meinungen, im Bericht wurde aber leider nicht angegeben, aus welchen Mitgliedstaaten sie stammten. Die Aufsichtsbehörden hatten jedoch keine Zweifel, dass die Zustimmung zu Cookies, die diese anfordern, durch aktives Handeln des Nutzers erteilt werden muss.

2. VORMARKIERTE AUSWAHLFELDER (CHECKBOX).

Den Autoren des Berichts zufolge kann nicht von einer ordnungsgemäß erteilten Zustimmung die Rede sein, wenn sie durch „Schweigen, vormarkierte Felder oder keine Aktivität seitens des Nutzers” erteilt wurde. Dies betrifft auch die Entfernung der Markierung (opt-out) z.B. die populäre Auswahloption „Alle bestätigen“ und „Zu Einstellungen wechseln“

3. IRREFÜHRENDE FORMULIERUNG VON LINK-INHALTEN.

Dies betrifft die Situation, wenn das Banner nicht die Schaltfläche „Alle ablehnen“, sondern einen Link zu der Option der Ablehnung von Cookies (direkter Link zur Ablehnung oder Link zur zweiten Schicht) enthält. Die Mitglieder der Arbeitsgruppe waren sich darüber einig, dass der Eigentümer einer Internetseite Cookie-Banner nicht so projektieren darf, dass die Nutzer den Eindruck haben, dass die ihre Zustimmung erteilen müssen, um Zugang zum Inhalt der Seite zu erlangen, oder so, dass sie den Nutzer unmissverständlich dazu bewegen, seine Zustimmung zu erteilen. Als Beispiele solcher Tätigkeiten wurden zwei Situationen genannt:

  • die einzige Alternative (außer der Erteilung der Zustimmung) besteht in der Platzierung des Links mit einer Formulierung wie „Ablehnen“ oder „Ohne Freigabe fortfahren“ im Textabschnitt des Cookie-Banners ohne ausreichende visuelle Unterstützung, um den durchschnittlichen Nutzer auf diese Alternative aufmerksam zu machen;
  • die einzige Alternative (außer der Erteilung der Zustimmung) besteht in der Platzierung des Links mit einer Formulierung wie „Ablehnen“ oder „Ohne Freigabe fortfahren“ außerhalb des Cookie-Banners, wo sich die Schaltflächen zur Freigabe von Cookies befinden, ohne ausreichende visuelle Unterstützung, um den durchschnittlichen Nutzer auf diese Alternative außerhalb des Rahmens aufmerksam zu machen.

4. IRREFÜHRENDE FARBIGE KENNZEICHNUNG VON BANNERN.

Die Gruppe wies nicht darauf hin, welche Farben für konkrete Schaltflächen geeignet sind und ob jede Situation einer gesonderten Analyse bedarf. Es ist jedoch zumindest zu überprüfen, ob der angewandte Kontrast und die Farben die Nutzer nicht offensichtlich irreführen und nicht den ungewollten – und damit ungültigen – Eindruck erwecken, dass sie ihre Zustimmung erteilt haben. Als Beispiel wurde die Situation genannt, in der der Kontrast zwischen dem Text und dem Hintergrund der Schaltfläche so minimal ist, dass der Text praktisch für jeden Nutzer unleserlich ist.

5. BEGRÜNDETES INTERESSE ALS GRUNDLAGE FÜR DIE DATENVERARBEITUNG.

Der Bericht bestätigt, dass die Rechtsgrundlage für das Ablegen/Auslesen von Cookies nach Art. 5 Abs. 3 der ePrivacy-Richtlinie nicht das begründete Interesse des Verantwortlichen sein darf.

6. INKORREKTE EINSTUFUNG NOTWENDIGER DATEIEN.

Obwohl die Einstufung, welche Dateien tatsächlich notwendig sind, Probleme bereiten kann, gehört dies zu den Pflichten des Verantwortlichen. Laut der Arbeitsgruppe wird die Einstufung in wesentliche/streng notwendige Cookies missbraucht.

7. DIE RÜCKNAHME DER EINWILLIGUNG MUSS SO EINFACH WIE DEREN ERTEILUNG SEIN.

Die Eigentümer von Internetseiten müssen leicht zugängliche Lösungen einführen, die den Nutzern die Rücknahme der Einwilligung zu einem beliebigen Zeitpunkt ermöglichen, z.B. ein Symbol bzw. ein Link an einer sichtbaren und üblichen Stelle.

Der Bericht ist keine Sammlung von Richtlinien, auf die sich ein Verantwortlicher, der die Verwaltung von Cookies umsetzt, direkt stützen kann. Es ist jedoch ein nützliches Werkzeug und ein Hinweis, wie die Aufsichtsbehörden die einzelnen Bereiche der Verwaltung von Cookies auslegen werden, und deutet auf den Mindestumfang der Prüfung hin, der die Internetseite im Falle einer Klage unterzogen werden wird. Berücksichtigt werden auch die Vorschriften des betreffenden Mitgliedstaats und der Sachverhalt der konkreten Angelegenheit.

Kontakt

Contact Person Picture

Paweł Foltman

Attorney at law (Polen)

+48 696 139 865

Anfrage senden


Deutschland Weltweit Search Menu