De Oostenrijkse omroeporganisatie (ORF) moet haar cookiebanner op ORF.at aanpassen aan de GDPR. Dit is nu besloten door de Federale Administratieve Rechtbank (BVwG), die daarmee een beslissing van de Oostenrijkse gegevensbeschermingsautoriteit uit 2024 bevestigt. Specifiek moet de ORF ervoor zorgen dat de knoppen om 'accepteren of weigeren tracking cookies op dezelfde manier zijn ontworpen zodat bezoekers niet worden misleid om akkoord te gaan. Momenteel is de accepteren misleidend in kleur, wat kan leiden tot onbedoelde toestemming.
Achtergrond. In augustus 2021, noyb 422 GDPR-klachten ingediend tegen websites die misleidende en onrechtmatige cookiebanners gebruikten. Onder hen was ORF.at (de meest bezochte nieuwswebsite in Oostenrijk) wiens cookiebanner destijds geen optie bood om tracking cookies op het eerste niveau te "Weigeren". In haar beslissing van oktober 2024 stemde de Oostenrijkse gegevensbeschermingsautoriteit in met de inhoud van de klacht van noyb en beval de ORF om "Weiger" en "Accepteer" knoppen van gelijke zichtbaarheid op haar cookie banner te plaatsen. Op dat moment had ORF al een knop "Weigeren" toegevoegd, maar deze was minder opvallend van kleur dan de optie "Accepteren". ORF ging vervolgens in beroep bij het Bundesverwaltungsgericht (BVwG).
Max Schrems, voorzitter van noyb: "De gegevensbeschermingsautoriteiten en nu ook de rechtbanken hebben duidelijk bevestigd dat cookiebanners even prominent 'ja' en 'nee' moeten aanbieden - zonder donkere patronen. Het is schandalig dat zelfs de publieke omroep ORF een specifieke rechterlijke uitspraak over deze kwestie nodig heeft, acht jaar nadat de GDPR van kracht werd."
Federaal Administratief Hof bevestigt GDPR-overtredingen door ORF. Met haar beslissing heeft het Federale Administratieve Hof nu bevestigd wat al duidelijk was in 2024: ORF's cookiebanner voldoet niet aan de GDPR, omdat het markeren van de "Accepteren" knop in kleur misleidend is voor gebruikers - en leidt tot onbedoelde toestemming. Bijgevolg is de toestemming niet langer ondubbelzinnig en druist ze ook in tegen het transparantiebeginsel, aldus de Federale Administratieve Rechtbank in haar motivering. De ORF heeft daarom geen geldige toestemming gekregen en moet haar cookiebanner opnieuw vormgeven.
Mogelijke gevolgen. Gezien de duidelijkheid van de beslissing van het Bundesverwaltungsgericht zal deze waarschijnlijk gevolgen hebben voor talloze andere bedrijven. De rechtbank maakt duidelijk dat het simpelweg implementeren van een 'Weigeren knop in een minder opvallende kleur niet voldoende is. In plaats daarvan moeten beide opties evenveel aandacht krijgen. ORF is dus zeker niet het enige bedrijf waarvan de cookiebanner in strijd is met de GDPR.
