Melden Sie sich zu unserem Newsletter an!

In unserem monatlich erscheinenden Newsletter informieren wir Sie über alle wichtigen Ereignisse, Neuerungen sowie Urteile. Melden Sie sich an und sichern Sie sich unsere Flowchart "Kaltakquise: Benötige ich eine Einwilligung?".

Jetzt anmelden!

© Jack Sparrow, Pexels

EDSA Taskforce: Best Practices für Cookie-Banner

Cookies sind schon lange nicht mehr nur leckere Kekse. Wenn wir uns im Internet bewegen, begegnen uns Cookies und die dazugehörigen Cookie-Banner nahezu überall. Denn in den meisten Fällen ist die Verwendung von Cookies ohne die ausdrückliche, freiwillige und eindeutig und in informierter Weise gegebene nachweisbare Einwilligung der Betroffenen nicht erlaubt. Allerdings sehen die Banner von Website zu Website sehr unterschiedlich aus, sind teilweise kompliziert und das Erteilen von Einwilligungen ist oft deutlich einfacher als die Verweigerung der Zustimmung.

Das Spektrum geht hier von „nicht sonderlich nutzungsfreundlich“ bis zu „offensichtliche Behinderung und Irreführung“. Letztere werden als Dark Patterns bezeichnet. Der EDSA (Europäischen Datenschutzausschuss) hat dazu im vergangenen Jahr eine neue Leitlinie verabschiedet, um die Betroffenen auf Social Media Plattformen vor diesen nachteiligen Designpraktiken zu schützen.

Daher ist es kein Wunder, dass Betroffene vielfach Beschwerde bei europäischen Datenschutzaufsichtsbehörden gegen verschiedene Praktiken eingelegt haben. Daraufhin hat der Europäische Datenschutzausschuss eine „Cookie Banner Taskforce“ ins Leben gerufen. Diese hat nun einen Abschlussbericht vorgelegt und geht darin auf Best Practices bzw. Worst Practices ein.

Wir haben für Sie den Abschlussbericht zusammengefasst und zeigen, worauf Sie bei Ihrem Cookie-Banner achten sollten. 

Keine vorangekreuzten Kästchen

Damit Einwilligungen rechtsgültig sind, müssen sie bestimmte Anforderungen erfüllen. Dazu gehört unter anderem, dass sie freiwillig und unmissverständlich in Form einer bestätigenden Handlung gegeben werden müssen. Cookies, die eine Zustimmung erfordern, dürfen daher nicht automatisch gesetzt oder in Kästchen vorangekreuzt werden. In Erwägungsgrund 32 heißt es konkret: „Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person sollten daher keine Einwilligung darstellen.“

Im Umkehrschluss bedeutet das, dass Einwilligungen, die über vorangekreuzte Kästchen eingeholt werden, nicht rechtsgültig sind. Somit sind auch die darauf aufbauenden Verarbeitungen nicht rechtsgültig und stellen insofern einen Datenschutzverstoß dar. 

Vorangekreuzte Kästchen verhindern rechtsgültige Einwilligungen.

© Tara Winstead, Pexels

Mehrere Layer

Häufig werden bei Cookie-Bannern mehrere Layer oder Schichten genutzt, um beispielsweise tiefergehende Informationen darzustellen. Das kann durchaus sinnvoll sein, um Cookie-Banner übersichtlich zu gestalten. Allerdings ist es problematisch, wenn User:innen Verarbeitungen im ersten Layer zustimmen können, die Ablehnung aber erst im zweiten Layer möglich ist. Das erweckt den Eindruck, dass ein Ablehnen nicht möglich ist. Von Freiwilligkeit kann in diesem Fall keine Rede sein. Vielmehr muss der Grundsatz, dass die Ablehnung genauso leicht möglich sein muss wie die Einwilligung selbst, beachtet werden. Daher muss es im ersten Layer möglich sein, Verarbeitungen sowohl anzunehmen als auch abzulehnen.

Ablehnen-Button

Die Gestaltung und Platzierung der Buttons sollten ebenfalls gleichwertig sein. So sollte es neben einen Annehmen-Button in Cookie-Bannern auch einen Ablehnen-Button geben. Fehlt dieser Button, verletzt das laut Taskforce die Anforderungen für eine eindeutige Einwilligung. Außerdem sollte der Button gestalterisch genau so klar erkennbar sein wie der Button für die Einwilligung. Dazu gehört beispielsweise auch, dass der Kontrast zwischen Buttonfarbe und Schriftfarbe so groß sein sollte, dass der Text problemlos lesbar ist. Links, die im Text eingebettet oder sogar außerhalb des Banners eingebunden und somit nur schwer ersichtlich sind, reichen nicht aus. Dies verhindert die Einholung einer rechtsgültigen Einwilligung. 

Ablehnen-Buttons sollten genauso gut erkennbar sein wie Zustimmen-Buttons.

© Justus Menke, Unsplash

Nudging und manipulative Gestaltung

Außerdem sollten Cookie-Banner nicht so designt sein, dass Benutzer:innen dadurch zur Einwilligung gedrängt werden oder das Gefühl haben, sie müssen einwilligen, um den Inhalt der Seite sehen zu können. Unter diese Rubrik fallen zahlreiche manipulierende Formen des sogenannten Nudgings, deren Ziel es ist, das Verhalten der Websitebesucher in eine bestimmte Richtung zu beeinflussen. So werden bestimmte Dinge erschwert durch Gestaltung, irreführende Verlinkung oder missverständliche Formulierungen. Am Ende verlieren die Nutzer:innen die Geduld, verzichten auf eine Ablehnung und drücken genervt auf den Zustimmen-Button.

Banner sollten also eindeutig gestaltet sein und klar informieren, worin Nutzer:innen einwilligen. Das Ablehnen von Cookies sollte dabei genauso einfach sein wie das Annehmen. Ein Standard-Banner mit Farben und Kontrast will und kann die Taskforce allerdings nicht vorschreiben. Ob ein Cookie-Banner und somit die damit eingeholten Einwilligungen datenschutzkonform und rechtsgültig sind, bleibt eine Einzelfallentscheidung

Einfache Lösung für den Widerruf

Laut DSGVO Art. 7 Abs. 3 muss der Widerruf genauso einfach sein wie das Erteilen einer Einwilligung. Das sollte sich auch im Design des Cookie-Banners bzw. des Einwilligungsmanagements zeigen. Die Taskforce empfiehlt, leicht zugängliche Lösungen für den Widerruf anzubieten. Zum Beispiel in Form eines (pulsierenden) Icons oder Links an einer gut sichtbaren und standardisierten Stelle. So können Besucher:innen der Website jederzeit darauf zugreifen und ihre Einwilligung widerrufen.

Auch hier können die Aufsichtsbehörden keine spezifischen Vorgaben machen. Sie können lediglich vorschreiben, dass entsprechende Lösungen angeboten werden müssen. 

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Kelber begrüßt den Abschlussbericht der Taskforce. Die Ergebnisse entsprechen „nun zum größten Teil dem, was wir in Deutschland schon in der Orientierungshilfe Telemedien festgehalten haben.“ Kelber betont allerdings auch, dass eine gut gemachte und faire Internetseite kein Cookie-Banner benötigt, solange sie nur technisch notwendige Cookies einsetzt. 

Heißt also: Ohne einwilligungspflichtige Verarbeitungen ist auch kein Cookie-Banner notwendig.

Person sitzt mit einer Zeitung auf einer Bank

Sie wollen up to date bleiben?

In unserem monatlich erscheinenden Newsletter informieren wir Sie über alle wichtigen Ereignisse, Neuerungen sowie Urteile. Melden Sie sich an und sichern Sie sich die Ergebnisse unserer aktuellen Datenschutz-Umfrage!

Newsletter Anmeldung

Quellen

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (2023): „EDSA entscheidet über Cookie-Banner und Cloud-Dienste“, 18. Januar 2023, https://www.bfdi.bund.de/SharedDocs/Pressemitteilungen/DE/2023/02_EDSA-Cookie-Banner-Cloud-Dienste.html, letzter Zugriff am 09. Februar 2023.

European Data Protection Board (2023): “Report of the work undertaken by the Cookie Banner Taskforce”, 18. Januar 2023, https://edpb.europa.eu/our-work-tools/our-documents/report/report-work-undertaken-cookie-banner-taskforce_en, letzter Zugriff am 09. Februar 2023. 

Wir verwenden Cookies
Cookie-Einstellungen
Unten finden Sie Informationen über die Zwecke, für welche wir und unsere Partner Cookies verwenden und Daten verarbeiten. Sie können Ihre Einstellungen der Datenverarbeitung ändern und/oder detaillierte Informationen dazu auf der Website unserer Partner finden.
Analytische Cookies Alle deaktivieren
Funktionelle Cookies
Andere Cookies
Wir verwenden technische Cookies, um die Inhalte und Funktionen unserer Webseite darzustellen und Ihren Besuch bei uns zu erleichtern. Analytische Cookies werden nur mit Ihrer Zustimmung verwendet. Mehr über unsere Cookie-Verwendung
Einstellungen ändern Alle akzeptieren
Cookies