Der Europäische Datenschutzausschuss (EDSA/EDPB) hat seinen vom 17. Januar 2023 datierten "Report of the work undertaken by the Cookie Banner Taskforce" veröffentlicht. Dieser Report legt die Auffassung einer Taskforce der EU-Datenschutzaufsichtsbehörden dar, die sich mit den über 700 "Cookie-Banner-Beschwerden" der NGO des Datenschutz-Aktivisten Max Schrems, NOYB, befasst.
Kernaussagen des Reports:
(i) Der EDSA weist darauf hin, dass der mit der EU- Datenschutzgrundverordnung (EU DSGVO) eingeführte One-Stop-Shop Mechanismus nicht für Fragen im Zusammenhang mit Cookies gelte, da Cookie-bezogene Rechtsfragen primär unter die EU Richtlinie für elektronische Kommunikation (EU ePrivacy Directive) fallen - und nicht unter die EU DSGVO.
(ii) Die Verwendung von vorangekreuzten Kästchen für die Erteilung einer Einwilligung für den Einsatz von technisch nicht notwendigen Cookies sei unzulässig.
(iii) Täuschende "Link-Design"-Praktiken, die z.B. lediglich einen Link (anstelle einer Schaltfläche) zur Ablehnung des Einsatzes von technisch nicht notwendigen Cookies enthalten, seien unzulässig. Dies gelte auch für Praktiken, die den Nutzern den Eindruck vermitteln, dass sie zustimmen müssen, um auf eine bestimmte Website zuzugreifen, oder die den Nutzer eindeutig zur Zustimmung drängen.
(iv) Irreführende Praktiken, die unterschiedliche Farben und Kontraste der Cookie-Banners verwenden, um die Schaltfläche "Alle akzeptieren" gegenüber den übrigen Schaltflächen hervorzuheben, seien unzulässig. Während die Gültigkeit eines Designs von Fall zu Fall beurteilt werden sollte, dürften alle Schaltflächen i.d.R. idealerweise die gleiche Grösse, Farbe, Schriftart und Kontrast aufweisen, um sicherzustellen, dass die Zustimmung tatsächlich "freiwillig" abgegeben werden könne.
(v) Lediglich die Mehrheit der EU-Datenschutzaufsichtsbehörden sei der Ansicht, dass auf der ersten Ebene des Cookie-Banners eine Schaltfläche "Alle ablehnen" vorhanden sein müsse, damit der Einsatz von technisch nicht notwendigen Cookies ebenso einfach akzpetiert wie abgelehnt werden könne.
(vi) Der Einsatz technisch nicht notwendiger Cookies (z. B. gezielte Werbe-Cookies) könne sich nur auf eine gültige Einwilligung und nicht auf "berechtigte Interessen" abstützen.
(vii) Die Betreiber von Websites sollten leicht zugängliche Lösungen einführen, die es den Nutzern ermöglichen, ihre Einwilligung jederzeit zu widerrufen, z. B. durch die Verwendung eines kleinen, ständig sichtbaren Symbols oder eines Links an einer sichtbaren und standardisierten Stelle.
(viii) Zusammenspiel zwischen der EU ePrivacy Directive und der EU DSGVO: Der EDSA hat auch klargestellt, dass die Nichteinhaltung der Vorgaben für den Einsatz technisch nicht notwendiger Cookies gemäss EU ePrivacy Directive dazu führe, dass eine nachgelagerte Verarbeitung personenbezogener Daten gemäss DSGVO (sofern eine solche überhaupt stattfindet), nicht zulässig sei.
(ix) Schliesslich hat der EDSA den nachfolgenden Disclaimer im Zusammenhang mit dem vorliegenden Report veröffentlicht:
"The positions presented in this document result from the coordination of the members of the TF with a view to handling the “cookies banner” complaints received from NOYB. They reflect the common denominator agreed by the SAs in their interpretation of the applicable provisions of the ePrivacy Directive, and of the applicable provisions of the GDPR, for the analysis to be led when handling these complaints. These positions reflect a minimum threshold in this multi-layered legal framework to assess the placement/reading of cookies and subsequent processing of the data collected. They do not constitute stand-alone recommendations or findings to obtain a greenlight from a competent authority. The positions do not prejudge the analysis that will have to be made by the authorities of each complaint and each website concerned. These positions have to be combined with the application of additional national requirements stemming from the national laws transposing the ePrivacy Directive in the Member States, as well as to further clarifications and guidance provided by the national competent authorities to enforce the law transposing the ePrivacy Directive at national level, which remain fully applicable".
Michal Cichocki