EDSA Cookie Banner Taskforce stellt Berichtsentwurf vor
Der Europäische Datenschutzausschuss, das Koordinationsgremium der nationalen Datenschutzaufsichtsbehörden, hat 2021 als Reaktion auf über 700 von der österreichischen Non-Profit-Organisation „None of your business“ („NOYB“) bei nationalen Aufsichtsbehörden eingereichten Beschwerden gegen diverse über Cookie Banner eingeholte Einwilligungen eine Cookie Banner Taskforce eingesetzt. Diese Task Force hatte den Auftrag, die Bearbeitung und Beantwortung zu koordinieren, um eine möglichst einheitliche, konsistente Aufsichtsmeinung innerhalb der EU sicherzustellen.
Am 18. Januar 2023 hat die Cookie Banner Taskforce einen Berichtsentwurf vorgelegt, der die Positionen der verschiedenen Aufsichtsbehörden zu Gestaltung und Inhalten von Cookie Bannern zusammenfasst. Dem Berichtsentwurf zufolge soll sich die Frage, „ob“ eine Einwilligung erforderlich ist, nach den mitgliedstaatlichen Gesetzen bemessen, die die ePrivacy Richtlinie umsetzen. Auf die nachgelagerten Datenverarbeitungen sowie die Gestaltung der Einwilligung wäre die DSGVO anwendbar.
Hinsichtlich der Gestaltung der Einwilligung stellt es nach Ansicht der meisten Aufsichtsbehörden einen Verstoß gegen die DSGVO dar, wenn im Cookie Banner selbst kein „Ablehnen“-Button enthalten ist. Die Möglichkeit der Einwilligung und des „Ablehnens“ müssten auf derselben Ebene erfolgen, sonst liege keine wirksame Einwilligung vor. Vorausgewählte Kästchen ohne aktive Zustimmung des Nutzers führen laut Berichtsentwurf ebenfalls nicht zu einer wirksamen Einwilligung. Dies gelte auch für im Text eingebettete „Ablehnen“-Links. Auch eine farbliche oder sonstige Gestaltung des Cookie Banners, welche den Nutzer zur Einwilligung drängen soll, sei unzulässig. In den geprüften Cookie Bannern fehle zudem oftmals die Funktion, eine einmal erteilte Einwilligung dauerhaft zu widerrufen.
Der Berichtsentwurf bemängelt auch inhaltliche Defizite vieler Cookie Banner. In der Praxis würde die Nutzung von Cookies mit berechtigten Interessen nach Art 6 Abs. 1 Satz 1 lit f DSGVO begründet, obwohl nach Auffassung der Aufsichtsbehörden keine überwiegenden Interessen für eine Datenverarbeitung vorlägen, und daher eine Einwilligung erforderlich sei. Auch würden in der Praxis oft Cookies als notwendige Cookies eingestuft, obwohl sie gar nicht für die Nutzung der Webseite zwingend erforderlich seien
Fazit:
Der Berichtsentwurf bestätigt die schon zuvor vertretene strenge Auffassung der deutschen Aufsichtsbehörden. Für Webseitenbetreiber bedeutet dies, dass sie – sofern noch nicht geschehen – ihr Cookie Banner prüfen und – falls erforderlich – anpassen sollten. Nach Finalisierung des Berichtes dürfte zunehmend mit Webseitenkontrollen durch die Aufsichtsbehörden und Beanstandungen von Interessengruppen und Betroffenen zu rechnen sein – nicht zuletzt deswegen, weil sich der Sachverhalt auf den Webseiten für jedermann im Internet ersichtlich ist.