Nachdem einfache Cookie-Banner, welche eine Einwilligung zu Cookies und Tracking bei Weiternutzung der Webseite vorausgesetzt haben, durch ein EuGH-Urteil im Oktober 2019 für unzulässig erklärt wurden, gehen Datenschützer nun auch gegen Cookie-Consent-Lösungen vor, welche im Anschluss an dieses Urteil erdacht wurden.

Hierbei geht es nicht um die Cookie-Banner allgemein, die derzeit eingesetzt, sondern um besonders intransparente Ausformungen und das sogenannte „Nudging“, welches Nutzer dazu verleiten soll, Cookies und Tracking zu erlauben.

Aufsichtsbehörden in EU-Staaten machen ernst

Insbesondere die französische Datenschutzaufsichtsbehörde CNIL sowie die Italienische Datenschutzaufsicht haben Guidelines dazu erlassen, wie nach ihrer Ansicht zulässige Cookie-Banner auszusehen haben. Seit kurzem gehen Sie auch gegen Webseitenbetreiber vor, die gegen diese Guidelines verstoßen und fordern sie auf, ihre Cookie-Banner entsprechend anzupassen.

Als besonders problematisch und unzulässig werden bei Cookie-Bannern Designs angesehen, welche nicht direkt auf der ersten Ebene die Ablehnung von Cookies und Tracking möglich machen, sondern dies beispielsweise hinter einer Schaltfläche „Einstellungen“ verstecken. Dies gilt den Aufsichtsbehörden als intransparent und unübersichtlich, lässt sich aber auch aus den Datenschutzgrundsätzen der DSGVO heraus begründen.

Weiterhin soll das sogenannte „Nugding“, bei dem mithilfe von Farbgebung, Anordnung und Schriftgröße bei der Gestaltung von Cookie-Bannern die Nutzer zum Akzeptieren von Cookies gedrängt werden, eingeschränkt werden.

In Deutschland selbst geht seit August auch die Berliner Beauftragte für Datenschutz und Informationsfreiheit gegen Cookie-Banner vor, welche nach Ansicht der Behörde nicht den Grundsätzen der DSGVO entsprechen. Vermehrt werden Berliner Unternehmen dazu aufgefordert, ihre Cookie-Banner anzupassen. Die Ablehnung von Cookies muss ebenso einfach sein wie die Einwilligung. Besonders darin liegt der Schwerpunkt der Überprüfungen. Wenn die Ablehnung von Cookies erst in einer zweiten Ebene unter den Einstellungen möglich ist, ist nach Ansicht der Berliner Datenschutzbeauftragten genau dies nicht mehr gegeben.

Auch Max Schrems hat inzwischen nach Überprüfung verschiedener Webseitenbetreiber mit seiner Organisation noyb gehandelt (https://www.datarea.de/datenschutzaktivisten-gegen-cookie-banner/) und Unternehmen, die nach der Überprüfung im Mai, der Aufforderung, ihre Cookie-Banner anzupassen, nicht nachgekommen sind, an die zuständigen europäischen Aufsichtsbehörden gemeldet. Noyb hat sich dabei insbesondere auf Cookie-Banner konzentriert, welche die Ablehnung erst auf einer zweiten Ebene ermöglichen, Trackingtools fälschlicherweise als technisch notwendige Cookies, die nicht abgelehnt werden können, angeben oder ebenfalls Nudging-Methoden einsetzen.

Was sich für Rückschlüsse ziehen lassen

All diese Vorgänge zeigen, dass noch immer nicht abschließend geklärt ist, wie Cookie-Banner datenschutzkonform zu gestalten sind. Datenschützer auf verschiedensten Ebenen versuchen Transparenz und Datenschutzkonformität für Webseitenbesucher herzustellen und beginnen zu handeln. Seien dies die öffentlichen Aufsichtsbehörden, die mittels Anordnungen und Guidelines nach ihrer Ansicht datenschutzkonforme Cookie-Banner erzwingen wollen oder private Datenschutzaktivisten wie noyb, die dies mit ihren eigenen Mitteln erreichen wollen. Eines eint sie: mit dem aktuellen Wildwuchs von Einwilligungslösungen sind sie nicht zufrieden, da die Nutzer hier oft – trotz Einwilligungslösungen – tatsächlich nicht die Souveränität über ihre Daten haben.

Zukünftig wird uns dieses Thema weiterhin begleiten, auch in Form von Klagen und Rechtsprechung, die aufgrund der derzeit stattfindenden Vorgänge gerichtlich festlegen, wie Cookie-Banner auszugestalten sind.

Sicher ist jedoch voraussichtlich, dass sich Transparenz und echte Einwilligungslösungen ohne Schikane für die Nutzer auch schon jetzt lohnen, da zukünftig die Gestaltung von Cookie-Bannern aufgrund der derzeitigen Vorgänge wohl eher strenger als lockerer ausgelegt wird.