Trotz klar formulierter Anforderungen der Aufsichtsbehörden sind viele Cookie-Banner nicht rechtskonform gestaltet. Damit laufen Website-Betreiber Gefahr, abgemahnt zu werden.
Dass Datenschutzbehörden und Verbraucherzentralen Cookie-Banner im Visier haben, zeigt zum Beispiel ein Prüfverfahren seitens der Verbraucherzentrale Rheinland-Pfalz, das unter anderem zu Abmahnungen bei chefkoch.de oder der Firma Deichmann führte.
Um Sanktionen zu vermeiden, sollten diese drei häufig anzutreffenden Missstände unbedingt behoben werden:
1. Keine Ablehnungsmöglichkeit auf der ersten Ebene
Gemäß Art. 7 DSGVO muss der Widerruf der Einwilligung (Ablehnung) genauso einfach sein wie die Einwilligung selbst. Die Ablehnung darf also gegenüber der Zustimmung nicht erschwert werden, indem mehr Klicks erforderlich sind.
Beispiel für ein rechtswidriges Consent-Banner mit erschwerter Ablehnungsmöglichkeit:
2. Hervorheben des Einwilligungs-Buttons
Wenn Unterschiede in der optischen Gestaltung der Buttons Nutzer zur Einwilligung „verführen“ sollen, handelt es sich um sogenanntes „Nudging“. Dagegen sprechen sich die Datenschutzbehörden deutlich aus:
„Im Zusammenhang mit dem Consent-Layer auf Webseiten wird Nudging eingesetzt, um den User zur Abgabe einer Einwilligung zu „schubsen“: Beispielsweise ist in Consent-Fenstern die „Zustimmen“-Option oft im Vergleich zur „Ablehnen“-Option auffälliger gestaltet – durch Farbe, Schriftschnitt und sonstige Hervorhebungen. Zum Beispiel ist der Button „Zustimmung“ in Grün oder Blau mit weißer Fettschrift gestaltet und der „Ablehnen“- Button in Grau mit weißer Standardschrift.“
(Quelle: Handreichung der niedersächsischen Datenschutzbehörde)
Der beim Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit für Telemedien zuständige Referatsleiter Ulrich Kühn konkretisiert dies auf Anfrage hin:
„Es muss eine visuelle und begriffliche Gleichwertigkeit der Schaltfläche zur Einwilligung und dem Verzicht darauf gegeben sein; dies betrifft sowohl die Auffindbarkeit/Erkennbarkeit beider Varianten als auch den damit verbundenen Aufwand. Dies leiten wir aus dem Rechtsgedanken der Gleichwertigkeit von Einwilligung und Widerruf in Art. 7 Abs. 3 S. 4 DS-GVO her. Die Bewertungskriterien sind bspw. Farbgebung, Schriftart (fett), Schriftgröße, Erkennbarkeit als Schaltfläche oder Anordnung.“
(Quelle: Auszug aus einer E-Mail von Referatsleiter Ulrich Kühn vom 19. März 2021)
Beispiel für ein rechtswidriges Consent-Banner mit illegalem „Nudging“:
3. Unzulängliche und irreführende Informationen
Der beim Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit für Telemedien zuständige Referatsleiter Ulrich Kühn fordert folgende Mindestinformationen auf der ersten Ebene:
- konkrete Zwecke der Verarbeitung sowie ein Link auf Detailinfos
- individuelle Profilbildung und Anreicherung mit Daten von anderen Webseiten zu umfassenden Nutzungsprofilen
- Verarbeitung von Daten auch außerhalb des EWR
- wie vielen Verantwortlichen werden die Daten offengelegt
- Identität des Verantwortlichen (EuGH zu planet49, Rn.75)
Im Hinblick auf den Transfer personenbezogener Daten beispielsweise in die USA reicht zudem nicht ein einfacher Hinweis, vielmehr müssen laut Art. 49 DSGVO Nutzer vor der Einwilligung „über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen“ unterrichtet werden. Dies kann mit einem Warnhinweis dieser Art erfolgen, wenn US-amerikanische Tools, wie z.B. Google Analytics eingesetzt werden:
„Mir ist bekannt, dass bei der Datenverarbeitung in den USA nach dem Recht der Europäischen Union gewährleistete Rechte dabei ggf. nur eingeschränkt gewährleistet werden können. Mir ist insbesondere bekannt, dass US-amerikanische Behörden auf bei Google über mich gespeicherten Daten zugreifen können, ohne dass mir dieser Zugriff angezeigt wird. Dieser Zugriff kann dazu führen, dass mir unter Umständen die Einreise in die USA verwehrt wird oder ich mit anderen Sanktionen oder weitergehender Beobachtung durch US-Behörden rechnen muss.“
Beispiel für ein rechtswidriges Consent-Banner mit unzulänglichen Informationen und illegalem Nudging:
Fazit
Es hat einige Zeit gebraucht, bis sich Website-Betreiber von impliziten Cookie-Bannern verabschiedet haben, die eine Einwilligung per Nutzung der Website unterstellt haben. Auch von Nudging-Praktiken werden sich Marketer verabschieden müssen, wenn sie nicht Sanktionen in Kauf nehmen wollen. Dies bedeutet jedoch zwangsläufig, dass im Zuge der rechtskonformen Umstellung die Einwilligungsraten deutlich absinken werden. Eine nachhaltige Datenstrategie beinhaltet daher unbedingt ein Consent-unabhängiges Tracking unter Einhaltung der Anforderungen an Einwilligungs-freie Web-Analyse der Aufsichtsbehörden. Wie etracker Analytics diese Anforderungen erfüllt, erfährst du in diesem Artikel.