Wie Datenschutzbehörden über Einwilligungsbanner entscheiden

22. Juli 2024

Mit der stetig ansteigenden Sammlung von Daten, wächst auch der Einsatz von Cookie-Bannern auf Webseiten. Parallel hierzu nimmt auch die Zahl an Beschwerden über Datenschutzverstöße zu. 2023 veröffentlichte eine hierfür eingesetzte Taskforce einen Bericht, der zu den Verstößen Position bezog und Empfehlungen abgab. Die Datenschutzorganisation noyb hat nun am 11.07.2024 ebenfalls einen umfassenden Bericht veröffentlich. Dieser stellt dar, wie die Datenschutzbehörden (DPAs) über Einwilligungsbanner im Vergleich zu den Ergebnissen der Taskforce tatsächlich entscheiden. Der Bericht soll Unternehmen bei der Integration von Einwilligungsbannern helfen.

Cookie-Banner-Taskforce des EDSA

Ende September 2021 gab der Europäische Datenschutzausschuss (EDSA) bekannt, dass er eine Cookie-Banner-Taskforce eingerichtet hat. Aufgabe dieser sei es, die eingereichten Beschwerden im Zusammenhang mit Cookie-Bannern und die daraus resultierenden Antworten zu koordinieren. Im Mai 2021 hatte noyb nämlich über 500 Beschwerden über den Einsatz von Cookie-Banner eingereicht. Die Beschwerden bezogen sich hauptsächlich auf das Fehlen einer Schaltfläche “Alle ablehnen” sowie auf irreführende Designs. Auch sei die Ablehnung der Cookies oft schwieriger als eine Einwilligung.

Der EDSA richtete die Taskforce im Anschluss über Art. 70 Abs. 1 lit. u Datenschutzgrundverordnung (DSGVO) ein. Im Januar 2023 veröffentlichte die Taskforce dann einen Bericht (Report of the work Undertaken by the Cookie Banner Taskforce). Dieser legte ihre Meinungen und Empfehlungen zu den festgestellten Verstößen dar. Allerdings betont der Bericht, dass es sich bei den Ergebnissen lediglich um Mindestanforderungen handelt. Nationale Datenschutzbehörden können also höhere Standards setzen.

Consent Banner Report von noyb

Noyb hat nun ebenfalls einen 60-seitigen Bericht (Consent Banner Report) veröffentlicht. Darin vergleicht die Bürgerrechtsorganisation die Erkenntnisse der EDSA-Taskforce mit den Positionen und tatsächlichen Handlungen der nationalen DPAs. Noyb erklärt, dass man davon überzeugt ist, dass der Bericht eine „wertvolle Ressource für Unternehmen bei der Einrichtung von Einwilligungsbannern“ sein kann. Außerdem hoffe man, dass der Inhalt auch langfristig zur Verbesserung der Datenschutzvorgaben führen wird.

Teilweise höherer Standard durch DPAs

In der Pressemitteilung veröffentlicht noyb auch eine Übersicht, die die Unterschiede und Übereinstimmungen in den Meinungen und Entscheidungen der DPAs und des EDSA bildlich darstellt. Noyb hat acht Kriterien herausgearbeitet und dann verglichen, welche Behörde diese für ein ordnungsgemäßes Cookie-Banner verlangt. Die Übersicht zeigt, dass sieben europäische DPAs tatsächlich einen höheren Standard im Bezug auf Einwilligungsbannern anwenden, als es der EDSA vorschreibt. Österreich und Luxembourg führen hierbei mit sechs Kriterien.

Deutschland, Frankreich und Italien belegen hingegen die letzten Plätze, da sie laut noyb drei Kriterien nicht verlangen (3.3-3.5. im Bericht). Nach der Übersicht von noyb sehen diese drei Behörden weder eine Link-Option oder das Durchklicken durch verschieden farbige oder kontrastreiche Buttons als irreführend an. Bezüglich Deutschland ist die Übersicht, die von “Germany DSK (DPAs)” spricht, allerdings irreführend. Tatsächlich schreibt nämlich die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) diese Kriterien in ihren Richtlinien als Voraussetzung vor. Noyb arbeitet dann im Anschluss jedoch heraus, dass die Landesdatenschutzbehörden von Bayern, Berlin und Hessen in vergangenen Entscheidungen Einwilligungsbanner entgegen der Vorgaben der DSK als rechtmäßig bewertet haben. Insofern existiert in der deutschen Entscheidungspraxis eine Divergenz zwischen den Vorgaben der DSK und den Meinungen der Landesdatenschutzbehörden.

Interessant ist auch, dass weder der EDSA noch eine DPA zwingend verlangen, dass der Widerruf so einfach sein muss wie die Einwilligung.

Fazit

Der Bericht von noyb bietet einen wertvollen Einblick in die unterschiedlichen Ansätze und Interpretationen der Datenschutzbehörden in Europa in Bezug auf Cookie-Banner. Er verdeutlich wie anders die Datenschutzbehörden teilweise im Vergleich zum EDSA über Einwilligungsbanner entscheiden. Für Unternehmen ist es unerlässlich, die Anforderungen sowohl der EDSA-Taskforce als auch die teilweise strengeren Vorgaben der nationalen Datenschutzbehörden zu berücksichtigen. Durch die Anpassung ihrer Einwilligungsmechanismen können Unternehmen nicht nur die Einhaltung der Datenschutzvorgaben sicherstellen, sondern auch zur Schaffung eines transparenteren und nutzerfreundlicheren Internets beitragen.