Neues zur Gestaltung von Cookiebannern: EDSA gibt praxisrelevante Hinweise

Zustimmen, Ablehnen, mehr Informationen, berechtigtes Interesse, Einwilligung – Cookies. Die kleinen Textdateien, zwischendurch tot geglaubt, erfreuen sich immernoch und spätestens seit den letzten Urteilen von BGH und EuGH größter Relevanz. Anbieter von Telemedien treiben hier viele Fragen um. Eine davon ist die überzeugende Gestaltung der Consenttools, mit denen die Einwilligung in die Nutzung von Cookies und anderen Vorgängen eingeholt wird. 

Eine praktische Unterstützung könnte ein neuer Taskforce-Bericht des Europäischen Datenschutzausschusses (EDSA) darstellen. Die Taskforce war vor dem Hintergrund diverser Beschwerden des Vereins NOYB gegründet worden, die sich gegen die Gestaltung von Cookiebannern richteten. Der Bericht wiederum versucht sich darin, eine einheitliche Mindestposition aus den Ansichten der einzelnen nationalen Datenschutzbehörden zu ziehen. Rechtsverbindlich sind die Aussagen zwar nicht, sie können aber dennoch als Auslegungshilfe dienen. Wem besonders an einer verbraucherfreundlichen Gestaltung seiner Cookiebanner gelegen ist, der sollte außerdem einen Blick in die jüngst veröffentlichten Design Guidelines einer vom Bundesministerium für Umwelt und Verbraucherschutz geförderten Initiative werfen. 

Na wo ist er denn, der Ablehnbutton?

Cookiebanner oder Consenttools sind in aller Regel in mehreren Ebenen geschichtet: Von der ersten, die etwa beim ersten Besuch der Seite aufploppt, kann man durch Betätigung einer entsprechenden Schaltfläche etwa zu weiteren Informationen oder Einstellmöglichkeiten gelangen, die sich auf einer zweiten Ebene verstecken. In vielen Fällen findet sich auch erst dort die unmittelbare Möglichkeit, seine Einwilligung zu verweigern bzw. abzulehnen, während die Einwilligung bereits auf erster Ebene möglich ist.

Den Anforderungen, wie sie die E-Privacy-Richtlinie gestaltet, entspricht das laut den Teilnehmern der Taskforce allerdings nicht. Im Ergebnis müssten Einwilligung und Ablehnung demnach gleichwertig positioniert und wohl auch gut, auf den ersten Blick, erkennbar sein. 

Pre-Check: Bereits gesetzte Häkchen sind mit Vorsicht zu genießen

Wer einwilligen will, der muss auch aktiv werden, das ist seit der Planet49-Entscheidung des EuGH weitgehend klar. Aus Sicht eines Website-Betreibers bedeutet das: Will ich eine wirksame Einwilligung des Besuchers haben, sollte ich diesen dafür aktiv werden lassen. Voraktivierte bzw. vorausgefüllte Checkboxen sind da für sich allein genommen nicht unbedingt hinreichend, jedenfalls wenn sonst keine gesonderte Einwilligungshandlung erfolgen muss.

Das thematisiert der EDSA hinsichtlich der zweiten Ebene von Cookiebannern. So findet sich dort häufig eine feinere Auflistung der verwendeten Cookies bzw. eine granulare Darstellung (z.B. Funktional, Analyse etc.) samt Checkboxen. Sind hier die Häkchen bei einwilligungsbedürftigen Cookies oder Cookiegruppen automatisch gesetzt, stellt das laut dem Bericht die Wirksamkeit der dann abgegeben Einwilligung infrage. 

Überraschung: Wenn zum Ablehnen ein Link im Fließtext dient 

Hin und wieder tritt auch die Ausgestaltung auf, dass die Einwilligung auf der ersten Ebene des Cookiebanners erfolgen kann, und die Ablehnung sogar auch – nur nicht durch Button bzw. Schaltfläche. Dann ist diese Option womöglich einfach ein Link im Informationstext, der sich in aller Regel auf der ersten Ebene des Cookiebanners findet. Eine Gestaltung, die der nötigen Freiwilligkeit einer wirksamen Einwilligung tendenziell nicht zuträglich ist, so der Bericht. Damit seine Einwilligung wirksam sein kann, sollte der Betroffene unter anderem verstehen, worin er einwilligt, wie er das macht, und dass er eben auch die Wahl hat, das nicht zu tun. Dafür muss nicht nur der textliche Inhalt eines Consenttools sorgen, sondern zwangsläufig auch dessen Design.

Die Mitglieder der Taskforce waren sich darin einig, dass es jedenfalls nicht den Anforderungen an eine wirksame Einwilligung entspricht, wenn die einzige angebotene Alternative ein Link ist, der sich etwa hinter einer Floskel wie „Weiter ohne Akzeptieren“ oder „Verweigern“ versteckt, der einfach in einen Absatz des Informationstextes im Cookie Banner eingefügt ist. Betreffen soll das auch den Fall, dass sich dieser Link als einzige Option neben der Einwilligung gar ganz außerhalb des Cookiebanners befindet, wenn es denn keine ausreichende visuelle Unterstützung für den Betroffenen zum Auffinden dieses Links gibt.

Farben und Kontraste: Wenn die Buttons zu bunt werden

Alle Augen auf den Akzeptieren-Button: Viele Website-Betreiber geben sich viel Mühe, um ihre Cookiebanner optisch ansprechend zu gestalten. Nicht aus den Augen verlieren sollte man dabei aber auch die Auswirkungen, die diese Gestaltung auf die Informationsvermittlung und das Einwilligungsmanagement an sich haben kann – so wie beispielsweise Rechtstexte in zu kleiner Schriftgröße rechtliche Konsequenzen nach sich ziehen können, so ist das auch mit dem Design von Consenttools.

Dass man den Verantwortlichen hier keinen allgemeinen Standard aufzwingen kann, darin sind sich die Mitglieder der Taskforce wieder einig. Es sollte aber auch berücksichtigt werden, dass Kontraste und Farben je nach Einzelfall dazu geeignet sind, den betroffenen Website-Besucher in die Irre zu führen. Offenkundig sei das allerdings etwa in dem Fall, wenn eine Schaltfläche zum Ablehnen der Einwilligung einen so geringen Kontrast zum Hintergrund aufweist, dass ihr Text praktisch für jeden Betroffenen unlesbar ist. Zu einer wirksamen Einwilligung führe solch eine Gestaltung dann nicht mehr. Insgesamt sei die Bewertung aber eben vom Einzelfall anhängig.  

Verpatzte Einwilligung: Ich hab übrigens auch noch ein berechtigtes Interesse?

Hier wird es juristisch nochmal ein kleines bisschen anspruchsvoller. Ausgangspunkt für dieses Thema des EDSA-Berichts sind die Rechtsgrundlagen für die Speicherung und den Zugriff auf Cookies einerseits sowie die daran ggf. anschließende Verarbeitung der gewonnenen Daten andererseits – das lässt sich nämlich nicht unbedingt über einen Kamm scheren. Die „Verwendung“ von Cookies richtet sich nach Art. 5 Abs. 3 ePrivacy-Richtlinie (bzw. der nationalen Umsetzung, in Deutschland das TTDSG), die daran anschließende Verarbeitung personenbezogener Daten nach der DSGVO.

Grundsätzlich zumindest denkbar ist es, dass die Verwendung nicht notwendiger Cookies so von einer Einwilligung abhängt, die nachfolgende Verarbeitung, die etwa dem Ausspielen personalisierter Werbung dienen könnte, aber auf ein berechtigtes Interesse gestützt wird. Die Taskforce kam dabei jetzt zu folgendem Schluss: Selbst da, wo es grundsätzlich möglich wäre, kann die nachfolgende Verarbeitung nicht mehr auf ein berechtigtes Interesse gestützt werden, wenn die Einwilligung für die Cookies, aus denen die nötigen Daten dafür gezogen werden, nicht wirksam erteilt wurde. Kurzum dürfte das bedeuten, dass Website-Betreibern an der Einholung wirksamer Einwilligungen gelegen sein sollte, weil sie andernfalls auch noch die Rechtmäßigkeit der Verarbeitungsvorgänge riskieren, die an die Verwendung der Cookies anschließen. 

Technisch notwendige Cookies – stimmt doch gar nicht!

Mit diesem Punkt rennt die Taskforce offene Türen ein: Es geht um technisch notwendige Cookies – für die ja bekanntlich keine Einwilligung nötig ist. Die praktisch entscheidende Frage ist dann aber: Welche Cookies sind denn nun konkret technisch notwendig? Hier verweist der Bericht auf eine Veröffentlichung der sogenannten Art. 29-Datenschutzgruppe, die bei der Einordnung eine Hilfestellung geben soll, wobei die Einordnung in Einzelfällen dennoch schwierig bleiben kann. Vor diesem Grund ist der Hinweis des Berichts in dieser Sache praktisch im Ergebnis kaum hilfreich: Problematisch sei es, wenn Cookies als technisch notwendig einsortiert werden, wenn sie es gar nicht sind. Dass man es hier mit einer Herausforderung zu tun hat, auch vor dem Hintergrund ständig wechselnder Features einzelner Cookies, erkennt aber auch die Taskforce. 

Wer ja sagt, muss auch widersprechen können

Wer eine datenschutzrechtliche Einwilligung erteilt, der muss diese auch widerrufen können. Das ist nicht nur irgendeine Auffassung, sondern steht so auch in Art. 7 Abs. 3 DSGVO. Das ist aber noch nicht alles: Die Norm sieht ebenfalls vor, dass der Widerruf so einfach sein muss, wie die Erteilung der Einwilligung selbst, und er muss auch jederzeit ausgeübt werden können. 

Der Umsetzung dieser Anforderungen widmet sich der letzte Punkt im Bericht der Taskforce. Häufig würden diese nämlich nicht eingehalten werden. Und tatsächlich ist es wohl öfters so, dass der Banner nach der Erteilung der Einwilligung verschwindet, als wäre er nie dagewesen, und mit ihm scheinbar jede weitere Einstellungsmöglichkeit. Nun wäre es auch tragisch, müsste man die Consentbanner nicht nur beim Öffnen der Website ertragen, sondern auch bei der gesamten weiteren Nutzung – glücklicherweise ist das aber auch nicht pauschal gefordert.

Was die Taskforce auf manchen Websites indessen vermisst, sind sichtbare „schwebende“ Symbole, mit denen sich das Consenttools erneut öffnen lässt und die die Ablehnung von Cookies auch während des Besuchs der Website ermöglichen. Der Bericht stellt hier allerdings ausdrücklich klar, dass auch solche schwebenden Symbole nicht per se Pflicht sind, sondern eben lediglich eine gute Umsetzung der Anforderungen darstellen können. Wenn der Website-Betreiber eine andere ausreichende Lösung findet, sei das auch super. 

Hilfestellung durch die deutsche Datenschutzkonferenz gibt es auch 

Für Website-Betreiber bietet es sich an, ihre eigene Umsetzung anhand dieses Berichts des Europäischen Datenschutzausschusses einmal zu überprüfen. Wobei auch an dieser Stelle nochmal der Hinweis erfolgt, dass die Aussagen letztlich nicht rechtsverbindlich sind und Gerichte die Einzelheiten etwa durchaus anders sehen könnten. Sie stellen also nur eine Auffassung dar, wenn womöglich auch eine gewichtige.

Für die Umsetzung in Deutschland sollten Website-Betreiber auch einen Blick auf die Materialien der Datenschutzkonferenz, dem Gremium der einzelnen Datenschutzbehörden, werfen. Die sind zwar ebenfalls nicht rechtsverbindlich, stellen aber die konsolidierte Auffassung der Behörden dar, mit denen man es im Fall der Fälle schließlich zu tun bekommen könnte. Hier bietet sich insbesondere die erst im Dezember 2022 aktualisierte Orientierungshilfe Telemedien an. 

Design Guidelines zum verbraucherfreundlichen Consent Management 

Wer nicht nur an einer möglichst rechtssicheren Umsetzung seines Cookie Consent Managements interessiert ist, sondern darüber hinaus noch einen Schritt auf Betroffene zugehen möchte, dem sei noch folgendes Angebot ans Herz gelegt: Erst vor wenigen Wochen hat eine vom Bundesministerium für Umwelt und Verbraucherschutz geförderte Stakeholder-Initiative Design Guidelines sowie ein Muster-Cookie-Banner vorgestellt. Vertreter aus Wirtschaft, Zivilgesellschaft, Wissenschaft und Verwaltung waren daran beteiligt und haben sich der Frage gewidmet, wie Consent Tools im Hinblick auf Autonomie, Fairness und Transparenz, letztlich ein verbraucherfreundliches Design, gestaltet werden können. Mehr Informationen sowie die Design Guidelines (englisch) selbst gibt es auf der Website des BMUV.