Die datenschutzrechtskonforme Gestaltung von Cookie-Bannern ist weiterhin ein sich permanent in der Anforderungsverschärfung befindliches Thema. Dies mag wohl unter anderem darin begründet sein, dass Cookie-Banner, ähnlich wie Datenschutzhinweise, auch für Dritte (also insbesondere Aufsichtsbehörden) jederzeit einsehbar sind. Damit sind sie auf Rechtmäßigkeit leicht kontrollierbar.
Die sich stetig erhöhenden Ansprüche an Cookie-Banner betreffen zum einen die inhaltlichen Anforderungen. Diese haben durch das Ende 2021 eingeführte TTDSG und die „Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien“ von der DSK (=Datenschutzkonferenz) noch einmal Konkretisierungen, teilweise auch Ergänzungen, erfahren.
Zum anderen betreffen die Anforderungsverschärfungen aber auch die sprachliche, strukturelle und visuelle Darstellung von Cookie-Bannern, was unter dem Begriff „Dark Patterns“ diskutiert wird. Bisher war diese Thematik in der Praxis kaum und wenn überhaupt nur von Gerichten in vereinzelten Entscheidungen berücksichtigt worden. Die Rechtsprechung hatte sich im Hinblick auf eine unterschiedliche visuelle Gestaltung der Buttons für das Akzeptieren aller Cookies (= grüne anklickbare Schaltfläche) sowie der Buttons für die Beschränkung auf die notwendigen Cookies (= blasse Schaltfläche, die nicht als solche zu erkennen ist) damit befasst. Nach Ansicht der Rechtsprechung kann danach auch die Art der visuellen Gestaltung einer datenschutzrechtlichen Einwilligung in einem Cookie-Banner zu deren Unwirksamkeit führen.
Eine erhöhte Bedeutung dürfte Dark Patterns zudem in Zukunft schon deswegen zukommen, weil das Europäische Zentrum für digitale Rechte (NYOB) im März 2022 begonnen hat Cookie-Banner zu prüfen. Bei NYOB handelt es sich um eine NGO, die auf die Überwachung der Einhaltung des Datenschutzes in Europa ausgerichtet ist. Ab Mai 2022 wurden von NYOB mehr als 500 Unternehmen zur Anpassung ihrer Cookie-Banner aufgefordert. Im Hinblick auf Unternehmen, die der Aufforderung zur Anpassung nicht nachgekommen waren, wurden im August 2022 Beschwerden bei den jeweils zuständigen Datenschutz-Aufsichtsbehörden eingereicht. Des Weiteren enthält der Digital Services Act („DSA“) ergänzend weitere Vorschriften, die voraussichtlich ab 2024 dem Einsatz von „Dark Patterns“ entgegenwirken werden. Der DSA soll für Online-Plattformen (z.B. Social-Media-Anbieter wie Facebook) unter anderem die Nutzerrechte stärken; hierzu zählt dann auch die Regulierung von Dark Patterns. Darüber hinaus enthält der DSA Regelungen, nach denen die Europäische Kommission bestimmte Gestaltungen vorschreiben kann – diese Regeln könnten dann auch der Standard für Cookie-Banner werden.
1. EDPB Leitlinie zu Dark Patterns
Bisher war die Qualifizierung, was bereits als Dark Pattern zu bewerten ist (und damit insb. gegen die DSGVO verstößt) und was noch als zulässige sprachliche, strukturelle und visuelle Darstellung von Cookie-Bannern zu bewerten ist, mit großer Unsicherheit behaftet. Der Europäische Datenschutzausschuss (EDPB) hat im März 2022 durch seine „Guidelines 3/2022 on Dark patterns in social media platform interfaces: How to recognise and avoid them“ eine gewisse Konturierung vorgenommen. Insofern ist darauf hinzuweisen, dass sich die EDPB Leitlinie zu Dark Patterns zwar nicht konkret auf Cookie-Banner bezieht, sondern vornehmlich auf „Social Media Plattformen“ abzielt. Vereinzelt sind aber in der EDPB Leitlinie jedoch auch spezielle Hinweise und Beispiele zu Cookie-Bannern sowie übertragbare Wertungen zu finden.
Welche Anforderungen aus der EDPB Leitlinie konkret für die Gestaltung von Cookie-Bannern abgeleitet werden können, soll nachfolgend näher untersucht werden.
2. Einzelne auf Cookie-Banner übertragbare Wertungen
Ausgehend von der EDPB Leitlinie dürften zumindest die nachfolgenden Fallgruppen von sprachlichen, strukturellen und visuellen Elementen von Cookie-Bannern in der Regel risikobehaftet sein:
Fallgruppen konkret für Cookie-Banner
- Ablenkung (S. 35): Als Fallgruppe für unzulässige sprachliche Gestaltung führt die EDPB Leitlinie explizit für Cookie-Banner solche Einwilligungstexte an, die durch die gewählte Sprachform von der rechtlichen Bedeutung und den Risiken im Zusammenhang mit dem Einwilligungstext ablenken. Konkret wird dort als Beispiel angeführt, wenn etwa eine lustige Anspielung auf „Kekse“ mit in dem Einwilligungstext für Cookies auftaucht und dadurch die rechtliche Bedeutung/Ernsthaftigkeit insgesamt in Zweifel gezogen wird.
Diese Fallgruppe mag zwar richtig sein, dürfte in der Praxis in Bezug auf Einwilligungstexte von Cookie-Bannern aber eher selten vorkommen.
- Widerruf schwieriger/komplizierter als Einwilligung (S. 36): Als hindernd und damit unzulässig wird in der EDPB Leitlinie zudem angesehen, wenn der Widerruf einer Einwilligung in die Cookie-Verwendung nicht gleichermaßen leicht erfolgen kann wie die Einwilligung selbst. Bei einem Cookie-Banner ist dies der Fall, wenn es keinen direkten Opt-out Link im Cookie-Banner bzw. in der Fußleiste der Website gibt.
Da sich dies mit der Sichtweise des DSK aus dessen Orientierungshilfe deckt, dürfte einiges dafürsprechen, dass diese Voraussetzung in jedem Fall eingehalten werden muss.
Auf Cookie-Banner übertragbare Fallgruppen
- Kontrast/Größe/Farbe von Buttons (S.19): Von großer praktischer Bedeutung ist die Fallgruppe zu Kontrast/Größe und Farbe von unterschiedlichen Einstellungsoptionen. Hier geht es darum, dass die datenintensiveren Einstellungsmöglichkeiten deutlicher hervorgehoben werden als diejenigen, die weniger umfangreiche Datenverarbeitungen/Cookie-Nutzungen erlauben. Dies ist in der Praxis eine häufig anzutreffende Gestaltung bei Cookie-Bannern: Hierbei wird die Auswahl von nur notwendigen Cookies/der Ablehn-Button kleiner und blasser dargestellt oder nicht zentral positioniert.
Unternehmen sollten vor diesem Hintergrund in jedem Fall genauer überlegen, in welchen Maß der „Cookies Akzeptieren“-Button hervorgehoben wird und ob dieses Vorgehen auch einer Risikoabwägung des jeweiligen Unternehmens standhält.
- Link anstatt Button (S. 19): Ähnlich wie bei der Fallgruppe hierüber, ist auch die visuelle/ strukturelle Hervorhebung betroffen, wenn datenintensivere Einstellungsmöglichkeiten visuell/strukturell andersartig dargestellt werden, als die anderen Einstellungsmöglichkeiten. Ein Beispiel hierfür ist etwa ein „Cookie Akzeptieren“-Button, wenn die „Cookies einstellen“ oder „Cookies Ablehnen“-Möglichkeit gleichzeitig nur als bloßer Link dargestellt werden. Denn ein Link ist in der Regel weniger auffällig als ein „echter“ Button.
- Wiederholte Anfrage der Einwilligung (S. 15/16): Eine weitere übertragbare Fallgruppe betrifft die wiederholte Anfrage nach datenschutzintensiveren Verarbeitungen. Bei Cookie-Bannern ist dies der Fall, wenn nicht erforderliche Cookies/bzw. bestimmte Kategorien von Cookies abgelehnt wurden und dann wiederholt der Cookie-Banner eingeblendet wird (damit doch „Alle Cookies akzeptieren“ angeklickt wird). Hier wird die Auswahl des Nutzers/Websitebesuchers nicht respektiert und versucht diesen zu beeinflussen. Ein solches Vorgehen dürfte in jedem Fall deutlich risikobehaftet sein.
- Nicht konsistente Begriffe/Erklärungen (S. 22/24): Ebenfalls häufig im Zusammenhang mit Cookie-Bannern anzutreffen ist die Fallgruppe der nicht konsistenten/einheitlichen Verwendung von Begriffen. Oftmals werden z.B. Kategorien von Cookies in der Datenschutzerklärung, auf die für genauere Informationen im Cookie-Banner verwiesen wird, anders bezeichnet. „Funktionelle Cookies“ heißen dann z.B. auf einmal „Performance Cookies“ usw. Für den Nutzer/Websitebesucher bleibt hierdurch insgesamt unklar, welche Cookies nunmehr zu welchem Zweck verwendet werden und worin er eigentlich einwilligt, wenn er die Cookies akzeptiert. Je umfangreicher die Abweichungen, desto höhere dürfte das Risiko sein.
- Nicht fertiggestellte Implementierungen (S. 21): Die wohl häufigste Fallgruppe dürften nicht richtig implementierte Datenschutzinformationen oder -funktionen sein. Es ist in der Praxis sehr häufig zu sehen, dass etwa Links im Cookie-Banner zu den Datenschutzhinweisen nicht funktionieren oder die Cookie-Einstellungen nach Akzeptieren der Cookies nicht dort zu finden sind, wo es beschrieben wird. Indem etwa Cookies nachträglich nicht mehr abgelehnt werden können, weil die Einstellungsmöglichkeiten nirgends zu finden sind, wird das Recht die Einwilligung jederzeit widerrufen zu können (Art. 7 Abs. 3 DSGVO), verletzt.
Neben diesen aufgeführten Fallgruppen, gibt es noch eine Vielzahl von weiteren sprachlichen, strukturellen und visuellen Elementen, die ggf. als Dark Pattern bewertet werden könnten. Aus Sicht einer Aufsichtsbehörde wird es wohl auch darauf ankommen, inwiefern mehrere solcher Elemente in einem Cookie-Banner zusammentreffen und damit in einer Zusammenschau die tatsächliche Datenverarbeitung von der Erwartungshaltung eines Nutzers/Websitebesuchers abweicht.
3. Best Practice-Empfehlungen für die Ausgestaltung des Cookie-Banners
- Sachlichkeit: Der Einwilligungstext sollte sachlich formulierte Informationen über den Einsatz von Cookies enthalten. Wortspiele sind ebenso zu vermeiden wie Bezugnahmen, die die Ernsthaftigkeit der Einwilligungserklärung in Zweifel ziehen könnten.
- Vollständigkeit und Transparenz. Die Informationen in dem Cookie-Banner müssen darüber hinaus in datenschutzrechtlicher Hinsicht vollständig sowie in einfacher, verständlicher Sprache formuliert sind. Hier kann auch auf Beispiele zurückgegriffen werden, um bestimmte Datenverarbeitungen für den Nutzer greifbar zu machen.
- Gleichlauf von Einwilligung/Widerruf: Der Prozess des Widerrufs der Einwilligung muss faktisch genau so einfach gestaltet sein wie die Erteilung der Einwilligung.
- Einmalige Abfrage: Keine wiederholte Abfrage der Einwilligung, um die Entscheidung der Nutzung hinsichtlich der Cookie-Auswahl eines Nutzers/Websitebesuchers zu beeinflussen.
- Optische Gestaltung der Buttons: Die Buttons für die jeweiligen Auswahloptionen sollten sich idealerweise von der Gestaltung des Designs nicht unterscheiden (z.B. keine optische Hervorhebung des „Alles Akzeptieren“-Buttons durch Farbwahl oder Fettdruck).
- Keine Vorauswahl: Eine wirksame Einwilligung in die Cookie-Verwendung bedarf einer freiwilligen Entscheidung des Nutzers/Websitebesuchers. Sind bestimmte Datenschutzpräferenzen bereits vorausgewählt (z.B. Kästchen bereits angekreuzt) schließt dies eine wirksame Einwilligung aus.
- Datenschutzinformationen: Der Link zu den Datenschutzinformationen muss in jedem Fall funktionstüchtig sein. Die Datenschutzinformationen selbst sind übersichtlich und leicht verständlich zu gestalten (z.B. durch ausklappbares Inhaltsverzeichnis).
Ausblick
Teilweise hatte sich im Bereich der Cookie-Banner eine Gestaltung als Standard etabliert, die darauf abzielte es dem Nutzer möglichst schwer zu machen, so wenige Cookies wie möglich zuzulassen. Ob diese Art von Cookie-Bannern auch weiterhin von größeren Unternehmen verwendet werden, wird sich in den nächsten Monaten zeigen. Dies wird maßgeblich auch davon abhängen, inwiefern NYOB Druck auf Unternehmen mit derartigen Cookie-Bannern ausüben kann und inwiefern die Aufsichtsbehörden insofern mitziehen und auch tatsächlich dagegen vorgehen.
