Taskforce des EDSA veröffentlicht Bericht zur Gestaltung und zu Inhalten von Cookie Bannern
Am 18. Januar 2023 hat die Cookie Banner Taskforce des Europäischen Datenschutzausschusses (EDSA) einen Bericht veröffentlicht, der die Positionen der verschiedenen Aufsichtsbehörden der EU-Länder zur Gestaltung und zu Inhalten von Cookie Bannern zusammenfassend darlegt. Fazit: Eine einheitliche Auffassung aller europäischen Aufsichtsbehörden zum „Alles Ablehnen“ – Button besteht nicht. Einheitliche Regelungen, etwa zum Design eines Cookie-Banners sind kaum umsetzbar. In rechtlichen Verfahren zu Cookie Bannern wird es auf die Prüfung des Einzelfalles ankommen.
Der Gründung der Taskforce im Jahr 2021 gingen zahlreiche Beschwerden der österreichischen Non-Profit Organisation „None of your business“ (NOYB) gegen verschiedene, über Cookie Banner eingeholte Einwilligungen voraus. Die Cookie Banner Taskforce des EDSA spricht in dem Bericht nun Empfehlungen aus, macht jedoch keine rechtlich verbindlichen Vorgaben. Vorrangig gelten weiterhin die jeweiligen nationalen Vorschriften sowie Weisungen und Einzelfallentscheidungen der jeweils zuständigen Aufsichtsbehörden. Nichtsdestotrotz werden sich die Aufsichtsbehörden hinsichtlich ihrer Prüfungen und Entscheidungen an diesem Bericht orientieren, weshalb sich ein genaues Hinsehen lohnt, dies v.a. in Bezug auf Punkte, bei denen keine Einheitlichkeit erzielt wurde oder ein allgemein gültiger Ansatz nicht möglich ist.
So war medial bereits zu lesen, dass der EDSA, bzw. die Aufsichtsbehörden es als Verstoß gegen die DSGVO erachten würden, wenn in einem Cookie Banner auf dem First Layer kein „Alles Ablehnen“- Button enthalten ist. Die Möglichkeit der Einwilligung und des „Ablehnens“ müssten auf derselben Ebene erfolgen, sonst liege keine wirksame Einwilligung vor. Der Bericht stellt jedoch heraus, dass einige Aufsichtsbehörden der Ansicht sind, dass sie in diesem Fall keinen Verstoß bejahen können, da Artikel 5 Absatz 3 der ePrivacy Richtlinie nicht ausdrücklich eine „Ablehnmöglichkeit“ erwähnt. Der BVDW schließt sich dieser Ansicht an. Denn auch die DSGVO macht keine konkreten Vorgaben zur Möglichkeit des Ablehnens einer Einwilligung. Ein “Alles Ablehnen” Button auf der ersten Ebene geht weit über das gesetzlich Verlangte hinaus. Auch die Vorgabe des Art. 4 Nr. 11 DSGVO, dass die Einwilligung u.a. eine in informierter Weise abgegebene Willensbekundung sein muss, wird z.B. mit einem “Einstellungen“ oder „Einstellungen und Ablehnen” Button, der auf eine zweite Ebene führt, nicht konterkariert. Das Erfordernis der Transparenz, als wesentlicher Grundsatz der DSGVO, bleibt gewahrt. Die Nutzerinnen und Nutzer werden durch einen solchen Button in einfacher Weise zu einer zweiten Ebene geleitet, auf der alle Informationen zugänglich sind, die es ermöglichen, eine freie, echte und eben auch informierte Wahl hinsichtlich eines Einwilligens, Ablehnens oder individueller Einstellungen zu treffen. Zudem hat die Artikel-29-Datenschutzgruppe in ihren Leitlinien für Transparenz dargelegt, dass mehrschichtige und gesonderte Informationen ein geeigneter Weg sein können, um die doppelte Verpflichtung zu erfüllen, auf der einen Seite präzise und vollständig und auf der anderen Seite verständlich zu sein. Die DSGVO verlangt an keiner Stelle, dass alle Informationen auf einer ersten Ebene zu finden sein müssen.
Der Bericht beschäftigt sich zudem mit der grundlegenden Gestaltung und den Inhalten von Cookie Bannern und stellt im Rahmen dessen klar heraus, dass ein allgemeiner Standard für Banner in Bezug auf Farbe und/oder farblichen Kontrast den für die Datenverarbeitung Verantwortlichen nicht auferlegt werden kann. Um die Konformität eines Banners zu beurteilen, muss pro Einzelfall geprüft werden, ob die verwendeten Kontraste und Farben für die Nutzerinnen und Nutzer nicht offensichtlich irreführend sind und nicht zu einer unbeabsichtigten und damit ungültigen Einwilligung führen. Es werden lediglich einige Beispiele genannt, die offenkundig irreführend wären, so z.B. der Fall, dass nur eine Handlungsalternative (außer der Erteilung der Einwilligung) in Form einer Schaltfläche angeboten wird, wobei der Kontrast zwischen dem Text und dem Hintergrund der Schaltfläche so gering ist, dass der Text für praktisch jeden unlesbar ist. Auch an dieser Stelle betonen die Mitglieder der Taskforce jedoch, dass jeder einzelne Cookie Banner von Fall zu Fall beurteilt werden muss.
Der Bericht greift ferner das Thema der „essentiellen“ bzw.“ unbedingt notwendigen“ Cookies auf und kommt zu dem Ergebnis, dass die Bewertung von Cookies, also ob diese als wesentlich gelten, praktische Schwierigkeiten aufwirft, insbesondere aufgrund der Tatsache, dass sich die Merkmale von Cookies regelmäßig ändern, was die Erstellung einer bleibenden Liste solcher Cookies kaum möglich macht. Auch greift der Bericht diesbezüglich die Stellungnahme Nr. 04/2012 der Artikel 28 Gruppe auf, wonach Cookies, die es den Inhabern von Websites ermöglichen, die von den Nutzern und Nutzerinnen geäußerten Präferenzen in Bezug auf einen Dienst zu speichern, als wesentlich gelten.
Aus dem Bericht geht weiterhin hervor, was die DSGVO in Artikel 7 Abs. 3 ohnehin festschreibt: Der Widerruf der Einwilligung muss so einfach sein, wie die Erteilung der Einwilligung. Und eben nicht, wie so oft zu lesen, die Ablehnung. Dabei, so die Taskforce, kann den Inhabern von Websites jedoch nur vorgeschrieben werden, dass leicht zugängliche Lösungen umgesetzt und angezeigt werden, sobald die Einwilligung eingeholt wird. Sie können nicht dazu verpflichtet werden, eine spezielle Lösung für den Widerruf zu finden, insbesondere keine Hovering-Lösung. Auch hier wird betont, dass im Endeffekt immer eine Einzelfallprüfung der angezeigten Lösung für den Widerruf der Einwilligung notwendig sein wird.
Der im Bericht stetig wiederkehrende Hinweis auf eine notwendige Einzelfallprüfung hinsichtlich einer Vielzahl an Fragestellungen in Bezug auf Cookie Banner zeigt, dass eine allgemeingültige und für alle Anwendungsfälle durchsetzbare Regulierung der solchen kaum realistisch zu sein scheint.