Gratis Checkliste: Datenschutzkonforme Gestaltung von Cookie-Bannern

Untersuchung von Cookie-Bannern durch noyb.eu

Die österreichische Datenschutzorganisation noyb.eu, geleitet von Max Schrems, startete 2021 eine Software-basierte Analyse der Cookie-Banner, die Unternehmen auf ihren Websites verwenden. Diese Untersuchung führte zu Beschwerden an hunderte Unternehmen, deren Cookie-Banner aus Sicht von noyb.eu möglicherweise gegen die Datenschutz-Grundverordnung (DSGVO) verstießen.

In vielen Fällen haben die Unternehmen ihre Cookie-Banner entsprechend angepasst, um den gesetzlichen Anforderungen gerecht zu werden. Weitere Informationen finden Sie unter https://ogy.de/noyb-ablehnen-buttons .

EDSA-Taskforce zur Bewertung von Cookie-Bannern

Aufgrund der noyb-Beschwerden setzte der Europäische Datenschutzausschuss (EDSA) eine Taskforce ein, um Cookie-Banner zu bewerten. Der Bericht dieser Taskforce, veröffentlicht am 17. Januar 2023, ist auf https://ogy.de/cookie-banner-taskforce verfügbar.

Erkenntnisse des EDSA-Berichts

Der EDSA-Bericht enthält keine allgemeinen Empfehlungen zur Gestaltung von Cookie-Bannern, sondern gibt Hinweise auf spezifische Probleme. Jede Datenschutzbehörde muss individuell prüfen, ob ein Cookie-Banner den gesetzlichen Anforderungen entspricht.

Dennoch können Verantwortliche aus dem Bericht lernen, was bei der Gestaltung von Cookie-Bannern vermieden werden sollte und wie rechtskonforme Cookie-Banner aussehen können. Eine Checkliste zur Gestaltung finden Sie weiter unten.

Kategorien von Cookie-Banner-Verstößen

Der Bericht der Taskforce klassifiziert Cookie-Banner in verschiedene Kategorien von Verstößen:

• Fehlender Ablehnungs-Button
• Vorangehakte Kästchen
• Link statt Button zur Ablehnung von Cookies
• Nur Links zur nächsten Ebene oder zur Ablehnung
• Ablehnungsmöglichkeit außerhalb des Cookie-Banners
• Button-Farbe lenkt zur Zustimmung
• Unlesbarer Text aufgrund von Button-Farbe/Kontrast
• Geltendmachung berechtigter Interessen
• Fehlklassifizierung essenzieller Cookies
• Fehlende Widerrufsmöglichkeit

Bestandteile einer wirksamen Einwilligung

Für eine wirksame Einwilligung gemäß Art. 4 Nr. 11 DSGVO muss die betroffene Person folgende Kriterien erfüllen:

• Freiwilligkeit
• Bestimmter Zweck
• Informiertheit
• Unmissverständlichkeit

Weitere Details sind in den EDSA-Leitlinien 05/2020 zur Einwilligung.

Die Taskforce betonte, dass ein intransparentes Cookie-Banner keine wirksame Einwilligung ermöglicht, insbesondere wenn die Nutzerführung zur Zustimmung verleitet.

Rechtliche Regelungen für Cookie-Banner

Die Konformität von Cookie-Bannern hängt von mehreren rechtlichen Bestimmungen ab. Die Platzierung wird nach der ePrivacy-Richtlinie bzw. nationalem Recht, in Deutschland nach dem Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG), geprüft. Weitere Verarbeitungsschritte unterliegen der DSGVO.

Wann sind Cookie-Banner notwendig?

Cookie-Banner sind erforderlich, wenn eine Website die Einwilligung der Nutzer zur Verarbeitung bestimmter Daten benötigt, z.B. bei der Nutzung von Tracking-Tools. Reine technische Cookies, die dem Betrieb der Website dienen, erfordern keine Einwilligung und somit kein Cookie-Banner (siehe Meffert, Datenschutz PRAXIS 09/2022, S. 14, Cookies: Welche sind nach § 25 TTDSG einwilligungsfrei?).