Der Europäische Datenschutzausschuss hat am 18.01.2023 ein Papier zur Gestaltung der Cookie-Einwilligungsbuttons auf betreffenden Internetseiten veröffentlicht. Neben der zu erwartenden Forderung, dass ein Button mit der Funktion „Ablehnen“ auf der gleichen Ebene wie der Button mit der Funktion „Zustimmen“ vorhanden sein muss, enthält das Papier weitere Anforderungen.
In dem jetzt veröffentlichten Berichtsentwurf der Arbeitsgruppe des Europäischen Datenschutzausschusses (EDSA) werden Ausgestaltungen von Cookie-Bannern, die man in der täglichen Praxis nach wie vor recht häufig vorfinden wird, als unzulässig erachtet.
Nach den Ausführungen der Arbeitsgruppe sind demzufolge die folgenden Konstellationen bei der Ausgestaltung eines Cookie-Banners als unzulässig anzusehen:
- dem Button „Akzeptieren“ oder „Annehmen“ steht auf der obersten Ebene kein „Ablehnen“ Button entgegen
- bei der Option „individuelle Auswahl“ oder ähnlich sind die nachfolgenden Auswahlmöglichkeiten standardmäßig auf „Ein“ bzw. „Zulassen“ voreingestellt
- eingebettete Textlinks zur Ablehnung, die dann auf andere Seiten außerhalb des Banners verweisen
- eine Farbauswahl der Buttons, die den Nutzer zum Anklicken des „Annehmen“ Buttons verleitet
- eine fehlende Widerrufsmöglichkeit einer zu einem früheren Zeitpunkt erteilten Einwilligung zum Speichern von Cookies
Grundsätzlich dürften diese Forderungen nicht überraschen, schaut man sich die Definition der Einwilligung im Art. 4 (11) an:
„Einwilligung“ der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.
Hiernach sind, bei entsprechender Betrachtung, irreführende Ausgestaltungen der Cookie-Banner sicher keine Grundlage für eine wirksame Einwilligung. Der Aspekt der informierten Weise sollte grundsätzlich bei allen Einwilligungen berücksichtigt werden. Im Zweifel muss der Verantwortliche schließlich nachweisen können, dass die Verarbeitung auf der Basis einer wirksamen Einwilligung der betroffenen Person beruht. Unter BEachtung des Art. 7 DSGVO muss zudem eine einmal erteilte Einwilligung ohne Angabe von Gründen jederzeit widerrufbar sein.
Die Ausführungen des Papiers des EDSA decken sich im Übrigen weitestgehend mit den Ausführungen der deutschen Aufsichtsbehörden (OH Telemedien) aus dem Dezember 2021.