EDSA Taskforce veröffentlicht Bericht zu Cookie-Bannern

Über die datenschutzrechtlichen Anforderungen hinsichtlich der Gestaltung der sogenannten Cookie-Banner, herrscht bis heute leider immer noch Unklarheit. Die erste Unklarheit ist unserer Meinung nach, warum immer noch von Cookie-Bannern gesprochen wird. Eigentlich sind es doch Tools zur Einwilligungsverwaltung. Wir sprechen daher ab hier von Consent Managern. Bereits im Frühjahr 2021 ging die österreichische Datenschutzorganisation Noyb (none of your business) mit Beschwerden gegen vermeintlich fehlerhaft oder unzulässig implementierte Consent Managern in EU-Mitgliedstaaten vor, um den Druck zur Durchsetzung der Datenschutz-Grundverordnung (DSGVO), der geplanten ePrivacy-Verordnung und des Datenschutzes im Allgemeinen zu erhöhen. Da die insgesamt über 700 Beschwerden bei zahlreichen verschiedenen europäischen Aufsichtsbehörden für den Datenschutz eingereicht wurden, hat der Europäische Datenschutzausschuss (EDSA) eine Task Force „Cookie-Banner“ eingesetzt, um die Bearbeitung der Beschwerden zu beschleunigen. Die „Beschleunigung“ wird definitiv benötigt, denn von über 700 Beschwerden sind Stand Ende Januar nur 60 Fälle abgeschlossen worden.

Bericht der Taskforce

Die Task Force hat im Januar 2023 einen Bericht über ihre Tätigkeit im Zusammenhang mit den Mindestanforderungen für Cookie-Banner veröffentlicht. Bisher liegt der Berichtsentwurf nur in Englisch vor. Die Taskforce konnte sich hinsichtlich der Einschätzung der Unzulässigkeit zu den folgenden Punkten einigen:

  • Fehlen einer Möglichkeit der Ablehnung auf derselben Ebene wie die Zustimmung
  • Vorausgewählte Checkboxen
  • Eingebettete Textlinks zum Widerspruch ohne optische Hervorhebung
  • Widerspruchslinks nur außerhalb des Consent Managers.
  • fehlende Möglichkeit, die Einwilligung zu widerrufen

Während einige Fragen im Bericht beantwortet werden, bleiben andere Fragen unberücksichtigt, da möglicherweise nicht zu allen Fragen eine einheitliche Meinung erzielt werden konnte. Die Aufsichtsbehörden halten sich bezüglich der noch offenen Fragen bedeckt.

Unter anderem hat die Task Force in dem Bericht weder eine Entscheidung über den Einsatz irreführender Farben und Kontraste von Schaltflächen in den Consent Managern geäußert noch hat sie klargestellt, was eine gut sichtbare und standardisierte Stelle für den Widerruf der Einwilligung ist. Die endgültige Version des EDSA-Berichts wurde zwar noch nicht veröffentlicht, aber wie sollen die Webseitenbetreiber*innen ohne klare Leitlinien datenschutzkonforme Webseiten betreiben bzw. konfigurieren?

Ausblick

Auch der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Prof. Dr. Ulrich Kelber, begrüßt die Fortschritte in Richtung einer stärkeren Vereinheitlichung der Aufsicht in diesen Bereichen. „Eine gut gestaltete und faire Webseite benötigt keinen Cookie-Banner, da sie nur technisch notwendige Cookies einsetzt“, so der BfDI. Möchten Webseitenbetreiber aber weitere Cookies einsetzen, dürfen sie die Einwilligung des Nutzers nicht mit unlauteren oder unzulässigen Mitteln einholen und müssen sich an weitere Leitlinien und rechtliche Anforderungen halten.

Der Berichtsentwurf bestätigt teilweise die bereits zuvor vertretene strenge Auffassung der deutschen Aufsichtsbehörden – und zumindest größtenteils auch unsere eigene in der täglichen Beratungspraxis vertretene Auffassung. Für Webseitenbetreiber*innen bedeutet dies, dass sie – soweit noch nicht geschehen – ihre Consent Manager überprüfen und gegebenenfalls anpassen sollten.

Der HmbBfDI erhält künftig mehr Befugnisse bei der Anwendung des TTDSGs

Ebenfalls im Januar wurden die Befugnisse des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) bei der Anwendung des Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) erweitert.  Damit kann der HmbBfDI Anordnungen und Bußgelder gegen Telemedienanbieter in Hamburg erlassen, wenn diese z.B. Cookies unzulässig verwenden, selbst wenn in diesem Zusammenhang keine personenbezogenen Daten verarbeitet werden, die DSGVO also nicht anwendbar wäre. In anderen Ländern ist man hier noch nicht ganz so weit, sodass eine Zuständigkeit der datenschutzrechtlichen Aufsichtsbehörden dort noch nicht geklärt ist.

Fazit

Als Folge der Veröffentlichung des Berichts dürfte nun mit Überprüfungen von Webseiten durch die Aufsichtsbehörden und mit Beanstandungen durch Interessenverbände und Betroffene zu rechnen sein. Eine Website kann von überall und von jedem aufgerufen werden, daher sollte diesem Thema zunehmend Aufmerksamkeit geschenkt werden.

Wir hoffen darauf, dass nach dem Bericht eine wie auch immer geartete Leitlinie oder Orientierungshilfe des EDSA oder der DSK zur Verfügung gestellt wird. Dies wäre sicher eine enorme Hilfe für die Webseitenbetreiber*innen und dürfte auch für mehr Rechtssicherheit sorgen.

______________________________________

Die bITs GmbH berät Ihre Kunden zu allen Themen des Datenschutzes und stellt auf Wunsch den externen Datenschutzbeauftragten.

Haben Sie weitere Fragen an uns? Gerne können Sie sich dazu an uns wenden. Hier finden Sie unsere Kontaktdaten. Unser Team stellt sich übrigens hier vor.

Und einen Podcast haben wir auch. Gemeinsam mit der Mauß Datenschutz GmbH veröffentlichen wir immer wieder zu aktuellen und interessanten Themen eine neue Folge. Hören Sie doch einfach mal rein oder abonnieren Sie uns – zum Beispiel hier.