Eine Arbeitsgruppe des Europäischen Datenschutzausschusses (EDSA) hat in Reaktion auf noyb's 700+ Cookie-Banner-Beschwerden einen Berichtsentwurf veröffentlicht. Die europäischen Datenschutzbehörden (DPAs) unterstützen darin weitgehend die Beschwerden von noyb. Wenn die Datenschutzbehörden diesen Bericht tatsächlich durchsetzen, könnten irreführende Cookie-Banner bald der Vergangenheit angehören.
Irreführende Cookie-Banner bald abgeschafft? Die meisten Nutzer:innen verknüpfen vor allem irrtierende Cookie-Banner mit der Datenschutz-Grundverordnung. Die schlimmsten Fälle dürften bald der Vergangenheit angehören, da die folgenden gängigen Praktiken laut dem EDSA-Berichtsentwurf eindeutig als rechtswidrig verstanden werden:
- Fehlende Ablehn-Option auf derselben Ebene wie die Zustimmung
- Bereits angekreuzte Kästchen anstelle einer aktiven Zustimmung
- Eingebettete Textlinks zur Ablehnung
- Links außerhalb des Cookie-Banner zur Verweigerung der Zustimmung
- der Vorwand des berechtigten Interesses an der Installation nicht notwendiger Cookies
- Keine permanente Möglichkeit, die Zustimmung zu widerrufen
Ala Krinickytė, Datenschutzjuristin bei noyb: "Wir sind sehr froh, dass sich die Behörden auf ein Mindestmaß für den Schutz vor missbräuchlichen Bannern geeinigt haben. Cookie-Banner wurden zum Aushängeschild für die Umgehung der Datenschutz-Grundverordnung. Die Behörden müssen dringend Maßnahmen ergreifen, um das Vertrauen der Bürger in die europäischen Datenschutzgesetze zu gewährleisten."
Der Entscheidungsentwurf ist das Ergebnis der Zusammenarbeit der Datenschutzbehörden im Rahmen der EDSA-Taskforce zu Cookie-Bannern, die im September 2021 nach der Einreichung der ersten 500 Cookie-Banner-Beschwerden von noyb entstand. Der Berichtsentwurf bestärkt geltendes Recht und setzt eine Mindestmaß für die Bewertung von Cookie Bannern fest. Viele nationale Richtlinien gehen wesentlich weiter, und auch noyb vertritt die Auffassung, dass das Gesetz weitere Schutzmaßnahmen erfordert, zum Beispiel im Rahmen des Fairness Prinzips nach der DSGVO.
Teilweises Schweigen der Datenschutzbehörden. Einige Fragen werden im EDSA-Berichtsentwurf nicht vollständig geklärt und ausgelassen. Dies kann in Zukunft zu weiteren Diskussionen und Unsicherheiten führen. Unter anderem hat die Taskforce keine Entscheidung über irreführende Farben und Kontraste von Schaltflächen getroffen und auch nicht geklärt, was ein gut sichtbarer und standardisierter Platz für den Widerruf der Einwilligung ist. Die endgültige Fassung des EDSA-Berichts wurde noch nicht veröffentlicht.
Felix Mikolasch, Datenschutzjurist bei noyb:"Zu einigen strittigen Fragen schweigen die Behörden, zum Beispiel zu irreführenden Button-Farben. Wir brauchen klarere Leitlinien, um Nutzer weiter zu schützen."
Stand der noyb-Beschwerden. Im März 2021 hat noyb das Internet nach rechtswidrigen Cookie Bannern gescannt und mehr als 700 Beschwerden in ganz Europa eingebracht. Von den ursprünglich gescannten Websites haben mindestens 56 % regelkonformere Cookie-Banner eingeführt, darunter Coca-Cola, Raiffeisen und Mastercard. Bis zum heutigen Tag wurden 60 Fälle der über 700 Beschwerden abgeschlossen.
Erste Gerichtsverfahren. noyb ging wegen einer Entscheidungen der Bayerischen Datenschutzbehörde vor Gericht. Im Gegensatz zu anderen Datenschutzbehörden hat die Bayerische Datenschutzbehörde keine Maßnahmen gegen Cookie-Banner ergriffen, die eindeutig irreführend waren und Nutzer:innen zur Einwilligung drängten. Die bayerische Datenschutzbehörde argumentiert vor allem damit, dass Betroffene kein Recht darauf haben, dass eine Datenschutzbehörde tätig wird, und dass das Banner fragwürdig war, die Datenschutzbehörde aber keine Notwendigkeit sah, tätig zu werden. noyb hofft, dass die zuständigen Gerichte die Entscheidung der Datenschutzbehörde nun aufheben und sie zwingen, die Rechte der Nutzer:innen zu wahren.