Am 18. Januar veröffentlichte der Europäische Datenschutzausschuss einen Bericht mit den Ergebnissen seiner Cookie-Banner-Taskforce. In dem Bericht wird erläutert, wie eine gültige Einwilligung durch ein GDPR-konformes Cookie-Banner eingeholt werden kann. Das meiste davon läuft auf eine einfache Regel hinaus: Täuschen Sie den Nutzer nicht.
Das Dokument ist nicht rechtsverbindlich, wird aber sicherlich Auswirkungen auf die Durchsetzung der Cookie-Regeln haben. In der Tat könnte es der Beginn eines harten Durchgreifens gegen betrügerische Cookie-Banner in ganz Europa sein.
- Was sind der EDPB und die Task Force für Cookie-Banner?
- Um welche Cookies geht es?
- Was besagt der Bericht?
- Werden wir ein hartes Durchgreifen bei Cookie-Bannern erleben?
- Schlussfolgerungen
Lassen Sie uns eintauchen!
Was sind der EDPB und die Task Force für Cookie-Banner?
Beginnen wir mit etwas Kontext. Der Europäische Datenschutzausschuss (EDPB) ist ein unabhängiges Gremium der Europäischen Union, das die einheitliche Durchsetzung des EU-Datenschutzrechts in den Mitgliedstaaten gewährleistet. Er setzt sich aus Vertretern aller Datenschutzbehörden im Europäischen Wirtschaftsraum sowie dem Europäischen Datenschutzbeauftragten (im Wesentlichen eine Datenschutzbehörde, die die EU-Institutionen beaufsichtigt) zusammen.
Der Ausschuss veröffentlicht häufig Leitlinien, die zwar nicht rechtsverbindlich, aber in der Praxis sehr einflussreich sind. Das Gremium hat auch andere Befugnisse auf der Grundlage der Datenschutz-Grundverordnung, z. B. die Beilegung von Meinungsverschiedenheiten zwischen Datenschutzbehörden (wie in den jüngsten Entscheidungen zu Meta, über die wir in unserem Blog berichtet haben).
Der EDSB richtete 2021 die Taskforce für Cookie-Banner ein, um ein kohärentes Vorgehen bei einer Reihe von Beschwerden zu gewährleisten, die von der Datenschutz-NGO noyb eingereicht wurden, um die Behörden zu einer strengeren Durchsetzung der Datenschutz-Grundverordnung und der Datenschutzrichtlinie für elektronische Kommunikation zu bewegen. Die Strategie scheint aufzugehen, und noyb scheint mit dem Ergebnis recht zufrieden zu sein.
Der Bericht der Taskforce ist nicht verbindlich und sollte nicht als "Gesetz" angesehen werden. Allerdings setzt sich der EDPB aus Vertretern der Datenschutzbehörden zusammen, und die Datenschutzbehörden selbst entscheiden über Beschwerden in Bezug auf Cookies, so dass das Dokument einen guten Hinweis darauf gibt, wie Fälle von nun an behandelt werden könnten.
Um welche Cookies geht es?
Um es klar zu sagen: Bei Cookie-Bannern geht es um nicht wesentliche Cookies. Diese Unterscheidung ist wichtig, da die EU-Datenschutzrichtlinie die Zustimmung zu Cookies vorschreibt, es sei denn, sie sind entweder für die Kommunikation oder für die Bereitstellung eines vom Nutzer angeforderten Dienstes erforderlich (so genannte "wesentliche" Cookies).
So verwenden beispielsweise Online-Händler Cookies, um die Artikel im Einkaufswagen eines Nutzers zu verfolgen. Diese Cookies gelten als wesentliche Cookies und bedürfen keiner Zustimmung. Auch für Cookies zu Sicherheitszwecken ist keine Zustimmung erforderlich. Für nicht wesentliche Cookies wie Webanalyse-Cookies und Marketing-Cookies ist hingegen immer eine Zustimmung erforderlich. Aus diesem Grund sieht man im Internet so viele Cookie-Banner.
Websites benötigen Ihre Zustimmung für nicht wesentliche Cookies. Gleichzeitig befürchten sie (zu Recht), dass Sie der Nachverfolgung nicht zustimmen könnten, wenn Sie eine transparente Wahlmöglichkeit haben. Aus diesem Grund sind viele Cookie-Banner so geschickt gestaltet, dass die Ablehnung von Cookies so verwirrend und lästig wie möglich ist. Dies ist ein Beispiel für irreführendes Design: fragwürdige UI-Design-Entscheidungen, die darauf abzielen, den Benutzer zu einer gewünschten Aktion zu bewegen oder ihn auszutricksen. Wir haben dieses Thema bereits vor einiger Zeit in unserem Blog behandelt.
Der Bericht der Task Force liest sich wie eine schöne Zusammenfassung der häufigsten Fälle von irreführendem Design in Cookie-Bannern und vertritt eine sehr klare Haltung: Lassen Sie es.
Was besagt der Bericht?
Erstens stimmte die große Mehrheit der Datenschutzbehörden darin überein, dass Cookie-Banner dem Nutzer auf der ersten Ebene eine Option zum Ablehnen aller Cookies bieten müssen (oder eine verständliche, klar formulierte Option mit demselben Effekt).
Dies ist eine große Sache. Viele Banner bieten keine direkte Ablehnungsoption an, sondern stellen den Benutzer auf der ersten Ebene vor die Wahl zwischen "Alle akzeptieren" und "Anpassen". Um Cookies abzulehnen, muss der Nutzer auf die Option "Anpassen" klicken und eine zweite Ebene des Banners mit detaillierteren Informationen aufrufen, wo schließlich die Option zur Ablehnung nicht notwendiger Cookies angeboten wird. Cookie-Banner ohne eine sofort zugängliche Ablehnungsoption sind verwirrend und nutzen die Klickmüdigkeit des Nutzers in unfairer Weise aus. Wir können es kaum erwarten, dass sie verschwinden.
Um das klarzustellen: Es ist in Ordnung, dem Nutzer eine feinere Kontrolle über Cookies zu bieten, solange Sie eine Ablehnungsoption in der ersten Ebene anbieten. Eine erste Ebene, die eine dreifache Wahlmöglichkeit bietet, z. B. alle akzeptieren/alle ablehnen/anpassen, ist also in Ordnung, vorausgesetzt, dass alle drei Optionen gleichermaßen sichtbar und zugänglich sind.
In dem Bericht werden auch andere gängige Praktiken verurteilt, darunter:
- dieVerwendung von angekreuzten Kästchen, um eine gültige Zustimmung einzuholen. Es gibt bereits eine Rechtsprechung zu dieser Frage1, aber einige Websites verwenden sie trotzdem.
- dasVerstecken der Ablehnungsschaltfläche mit kleinen Schriftarten, kontrastarmen Farben und dergleichen.
Fazit: Jeder clevere Trick, um den Nutzer dazu zu bringen, Cookies zu akzeptieren, ist wahrscheinlich illegal.
Werden wir ein hartes Durchgreifen bei Cookie-Bannern erleben?
Wir können die Zukunft nicht vorhersagen, aber wir hoffen es, und wir haben gute Gründe, dies anzunehmen.
Wie wir bereits erläutert haben, beschreibt der Bericht eine gemeinsame Grundlage, die von den Datenschutzbehörden selbst gefunden wurde. Das Dokument ist zwar nicht verbindlich, aber die Datenschutzbehörden werden sich bei der Durchsetzung der Vorschriften wahrscheinlich daran halten.
Außerdem gibt es ermutigende Entwicklungen in Frankreich. Etwa zur gleichen Zeit, als der Bericht veröffentlicht wurde, verhängte die französische Datenschutzbehörde (CNIL) Geldstrafen gegen TikTok und Microsoft wegen Verstößen gegen die Datenschutzrichtlinie für elektronische Kommunikation (wir haben hier über die Fälle berichtet). In beiden Fällen ging es um das Fehlen einer Ablehnungsschaltfläche in der ersten Ebene der Cookie-Banner - zufällig eines der Themen, mit denen sich die EDPB-Taskforce befasst. Die CNIL ist eine einflussreiche Datenschutzbehörde, und ihre Entscheidungen können ein wichtiges Beispiel für andere sein.
Nicht zuletzt werden ein paar zögerliche Datenschutzbehörden die Durchsetzung nicht aufhalten können. Anders als die Datenschutz-Grundverordnung lässt die Datenschutzrichtlinie für elektronische Kommunikation keinen Raum für Forum Shopping, da die Regeln für die Zuständigkeit völlig anders sind. Die Datenschutzbehörden können gegen Unternehmen Bußgelder für Verstöße gegen die ePrivacy-Richtlinie verhängen, die im Zuständigkeitsbereich ihres Staates begangen werden, unabhängig davon, wo das Unternehmen seinen Sitz hat. Mitgliedstaaten mit mangelnder Durchsetzung sind also kein sicherer Hafen für Unternehmen, die auf dem europäischen Markt tätig sind und die Vorschriften nicht einhalten.
Schlussfolgerungen
Fazit: Wenn Sie auf Ihrer Website Webanalyse- oder Marketing-Cookies verwenden, sollten Sie sich an die Hinweise im Bericht halten und ein transparentes und konformes Cookie-Banner anbieten. Das bedeutet, dass Ihre Cookies leicht abzulehnen sind, und wird wahrscheinlich dazu führen, dass viele Nutzer sie ablehnen. Daran führt kein Weg vorbei.
Es sei denn, Sie verzichten ganz auf Cookies und erhalten alle Informationen, die Sie benötigen, ohne die Privatsphäre Ihrer Nutzer zu verletzen. Das ist unsere Vision: Wir von Simple Analytics wollen unseren Kunden Einblicke geben, ohne Nutzer zu verfolgen oder persönliche Daten zu sammeln. Wenn sich das für Sie gut anhört, probieren Sie uns doch einfach mal aus!
#1 CJEU C-673/17 Planet49.