nudging cookie banner tracking edsa taskforce

EDSA Taskforce veröffentlicht Bericht zu Cookie-Bannern

/von

Über die datenschutzrechtlichen Anforderungen hinsichtlich der Gestaltung sogenannter Cookie Banner herrscht bis heute leider immer noch Unklarheit. Die erste Unklarheit ist unserer Meinung nach, warum immer noch von Cookie Bannern gesprochen wird. Eigentlich sind es doch Tools zur Einwilligungsverwaltung. Wir sprechen daher ab hier von Consent Managern. Bereits im Frühjahr 2021 ging die österreichische Datenschutzorganisation Noyb (none of your business) mit Beschwerden gegen vermeintlich fehlerhaft oder unzulässig implementierte Consent Manager in EU-Mitgliedstaaten vor, um den Druck zur Durchsetzung der Datenschutz-Grundverordnung (DSGVO), der geplanten ePrivacy-Verordnung und des Datenschutzes im Allgemeinen zu erhöhen. Da die insgesamt über 700 Beschwerden bei zahlreichen verschiedenen europäischen Aufsichtsbehörden für den Datenschutz eingereicht wurden, hat der Europäische Datenschutzausschuss (EDSA) eine Task Force „Cookie-Banner“ eingesetzt, um die Bearbeitung der Beschwerden zu beschleunigen. Die „Beschleunigung“ wird definitiv benötigt, denn von über 700 Beschwerden sind Stand Ende Januar nur 60 Fälle abgeschlossen worden.

Bericht der Taskforce

Die Task Force hat im Januar 2023 einen Bericht über ihre Tätigkeit im Zusammenhang mit den Mindestanforderungen für Cookie-Banner veröffentlicht. Bisher liegt der Berichtsentwurf nur in Englisch vor. Die Taskforce konnte sich hinsichtlich der Einschätzung der Unzulässigkeit auf die folgenden Punkte einigen:

  • Fehlen einer Möglichkeit zur Ablehnung auf derselben Ebene wie die Zustimmung
  • Vorausgewählte Checkboxen
  • Eingebettete Textlinks zum Widerspruch ohne optische Hervorhebung
  • Widerspruchslinks nur außerhalb des Consent Managers
  • Fehlende Möglichkeit, die Einwilligung zu widerrufen

Während einige Fragen im Bericht beantwortet werden, bleiben andere Fragen unberücksichtigt, da möglicherweise nicht zu allen Fragen eine einheitliche Meinung erzielt werden konnte. Die Aufsichtsbehörden halten sich bezüglich der noch offenen Fragen der bedeckt.

Unter anderem hat die Task Force in dem Bericht weder eine Entscheidung über den Einsatz irreführender Farben und Kontraste von Schaltflächen in den Consent Managern geäußert noch hat sie klargestellt, was eine gut sichtbare und standardisierte Stelle für den Widerruf der Einwilligung ist. Die endgültige Version des EDSA-Berichts wurde zwar noch nicht veröffentlicht, aber wie sollen die Webseitenbetreiber*innen ohne klare Leitlinien datenschutzkonforme Webseiten betreiben bzw. konfigurieren?

Ausblick

Auch der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Prof. Dr. Ulrich Kelber, begrüßt die Fortschritte in Richtung einer stärkeren Vereinheitlichung der Aufsicht in diesen Bereichen. „Eine gut gestaltete und faire Webseite benötigt keinen Cookie-Banner, da sie nur technisch notwendige Cookies einsetzt“, so der BfDI. Möchte Webseitenbetreiber aber weitere Cookies einsetzen, dürfen sie die Einwilligung der Nutzer*innen nicht mit unlauteren oder unzulässigen Mitteln einholen und müssen sich ebenfalls an weitere Leitlinien und rechtliche Anforderungen halten.

Der Berichtsentwurf bestätigt teilweise die bereits zuvor vertretene strenge Auffassung der deutschen Aufsichtsbehörden – und zumindest größtenteils auch unsere eigene in der täglichen Beratungspraxis vertretene Auffassung. Für Webseitenbetreiber*innen bedeutet dies, dass sie – soweit noch nicht geschehen – ihre Consent Manager überprüfen und gegebenenfalls anpassen sollten.

Der HmbBfDI erhält künftig mehr Befugnisse bei der Anwendung des TTDSGs

Ebenfalls im Januar wurden die Befugnisse des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) bei der Anwendung des Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) erweitert.  Damit kann der HmbBfDI Anordnungen und Bußgelder gegen Telemedienanbieter in Hamburg erlassen, wenn diese z.B. Cookies unzulässig verwenden, selbst wenn in diesem Zusammenhang keine personenbezogenen Daten verarbeitet werden, die DSGVO also nicht anwendbar wäre. In anderen Bundesländern ist man hier noch nicht ganz so weit, sodass eine Zuständigkeit der datenschutzrechtlichen Aufsichtsbehörden dort noch nicht geklärt ist.

Fazit

Als Folge der Veröffentlichung des Berichts dürfte nun mit Überprüfungen von Webseiten durch die Aufsichtsbehörden und mit Beanstandungen durch Interessenverbände und Betroffene zu rechnen sein. Eine Website kann von überall und von jedem aufgerufen werden, daher sollte diesem Thema zunehmend Aufmerksamkeit geschenkt werden.

Wir hoffen darauf, dass nach dem Bericht eine wie auch immer geartete Leitlinie oder Orientierungshilfe des EDSA oder der DSK zur Verfügung gestellt wird. Dies wäre sicher eine enorme Hilfe für die Webseitenbetreiber*innen und dürfte auch für mehr Rechtssicherheit sorgen.

Das könnte Sie auch interessieren
Wann wird eine Einwilligung beim Einsatz von Matomo benötigt?
Einsatz von Tag-Management-Tools und der Datenschutz
schadenersatz betroffenenrechte auskunftsrecht löschrechtBetroffenenrechte – Beginn der Frist zur Beantwortung
tracking newsletter notwendige dienste cookies facebook gemeinsame verantwortlichkeitDas Dilemma mit den „technisch notwendigen“ Diensten und Cookies
e-mail verschlüsselung s/mime pgp nutzung kontaktdatenKönnen Mitglieder oder Kund*innen per Mail angeschrieben werden?
google consent mode v2Der Google ConsentMode v2
Datenübermittlung in die USA – Privacy Shield-Nachfolger EU-US DPFusa scc standardvertragsklauseln trans-atlantic data protection framework tadpf eu-us data protection framework dpftelefax kopieAuskunft nach Art. 15 DSGVO – was ist eine Kopie?