Am Montag (31.05.2021) gingen vom Verein “Noyb” über 500 Datenschutz-Beschwerden an verschiedene (vor allem europäische) Unternehmen. Grund der Beschwerde ist ein fehlender Ablehn-Button im Consent-(Cookie-)Banner der Website, bzw. die zu komplizierte Ablehn-Möglichkeit.
Noyb ist ein österreichischer Verein von Datenschutz-Aktivisten, gegründet von Max Schrems und wurde vor allem durch das Schrems II Urteil bekannt.
Seit Einführung der Europäischen Datenschutz-Grundverordnung (DSGVO) im Mai 2018 besteht eine ständige Diskussion darüber, wie genau ein Cookie-/CMP-Banner bezüglich seiner Funktionalität und Gestaltung auszusehen hat. Unstrittig ist in jedem Fall, dass die Nutzung Cookies und ähnlichen Technologien in vielen Fällen der Zustimmung der Webseiten-Besucher und Besucherinnen bedarf. Unklar ist jedoch, wie genau diese Zustimmung-Abfrage bei einer Website aussehen soll.
Die DSGVO (Art.7) knüpft einige Bedingungen an die Zustimmung/Einwilligung des Nutzers, macht jedoch keine Angaben, wie der Einwilligungs-Dialog selbst gestaltet sein muss. In Erwägungsgrund 42 (5) wird näher erläutert, dass die Freiwilligkeit der Einwilligung nur dann gegeben ist, wenn der Nutzer eine “echte oder freie Wahl” hat. Damit ist zwar klar, dass der Nutzer auch die Möglichkeit haben muss, die Einwilligung zu verweigern. Allerdings gibt es auch hier keine klaren Vorgaben, wie eine solche Verweigerungs-Option auszusehen hat.
Mangels eindeutiger Vorschriften haben sich nun in der Praxis mehrere Formen der Cookie-Banner herausgebildet, welche es mehr oder minder einfach machen, die Zustimmung zur Nutzung von Cookies und ähnlichen Technologien beim Betreten einer Website zu verweigern. Dies hat zu einer Debatte zwischen Datenschützern und Webseiten-Betreibern geführt, in welcher (z.B.) ‘Noyb’ eine zentrale Rolle spielt. Dieser vertritt, wie auch andere Datenschützer, die Auffassung, dass ein Cookie-Banner gemäß der DSGVO den Anwenderinnen und Anwendern eine klare Auswahl zwischen “Ja” und “Nein” gewähren muss. Die Ablehnung muss also genauso schnell mit einem Klick erfolgen können wie die Zustimmung und ein “verstecken” dieser Option hinter Begriffen wie “Anpassen” oder “Einstellungen” ist dieser Auffassung nach nicht zulässig.
Es gibt auch abseits von ‘Noyb’ weitere Gerichtsverfahren, die eine gleiche Gestaltung von Zustimmen- und Ablehnen-Button anstreben, etwa die Rechtsprechung vom LG Rostock, 15.09.2020 - 3 O 762/19.
Nun haben Max Schrems und sein Verein ‘Noyb’ eine Software entwickelt, die verschiedene Arten von rechtswidrigen Cookie-Bannern erkennen und automatisch Beschwerden generieren kann. Laut Aussage von ‘Noyb’ wird den jeweiligen Unternehmen eine einmonatige Frist eingeräumt um die eigenen Banner an die Einstellungen anzupassen, welche ‘Noyb’ für datenschutzkonform hält.
Noyb kritisiert bei den Beschwerden folgende Punkte der Consent-Banner:
- Keine Ablehn-Möglichkeit im ersten Banner-Dialog (First Layer)
- Vorausgewählte Kategorien, Zwecke oder Services
- Ablehnen-Link anstatt eines Ablehnen-Buttons
- Irreführender Kontrast des Ablehn-Buttons
- Irreführende Farbe des Ablehn-Buttons
- Falsch eingesetzte Rechtmäßigkeits-Bedingung “Berechtigtes Interesse” (DSGVO, Art. 6.1 f)
- Falsch eingesetzter Zweck “Essentiell”
- Die Widerrufsmöglichkeit des Consent ist nicht so einfach wie die Einwilligung (DSGVO, Art. 7.3)
Noyb gibt in seinem Artikel keine konkreten Angaben oder Beispiele, hat aber einen englischsprachigen Leitfaden anhand von Onetrust CookiePro erstellt, wie die einzelnen Punkte umzusetzen sind. Leider gibt es auch darin keine Negativ/Positiv Beispiele.
Konkret ist beispielsweise folgendes Cookie-Banner nach Noyb unzulässig:
Hier fehlt der Ablehn-Button. Korrigiert könnte das dann so aussehen:
Selbst hier könnten Datenschützer wie Noyb noch die blasse Farbgebung des Ablehn-Buttons und/oder die Icon-Auswahl kritisieren.
Ein Consent-Banner nach den Vorstellungen von Noyb ist aus Sicht des Datenschutzes vorbildlich. Auf der anderen Seite sinken damit die Zustimmungsraten teilweise auf weit unter 50%, wodurch verlässliche Auswertungen kaum noch möglich sind. Deshalb sollten sich Website-Betreiber vielleicht auch mit der Frage beschäftigen, ob die eingesetzten Tracking-Pixel eventuell auf datenschutz-freundliche Varianten umgestellt werden können, um Daten auch ohne Einwilligung erfassen zu können. Hierbei stehen wir gern mit Rat und Tat zur Verfügung.