Austrian Broadcasting Corporation (ORF) måste ändra sin cookie-banner på ORF.at så att den överensstämmer med GDPR. Detta har nu beslutats av den federala förvaltningsdomstolen (BVwG), som därmed upprätthåller ett beslut som fattades av den österrikiska dataskyddsmyndigheten 2024. ORF måste särskilt se till att knapparna för att "acceptera eller "avvisa spårningscookies är utformade på samma sätt så att besökarna inte luras att samtycka. För närvarande är "Acceptera i färg, vilket kan leda till oavsiktligt samtycke.
Bakgrund till ärendet. I augusti 2021, noyb 422 GDPR-klagomål mot webbplatser som använde vilseledande och olagliga cookie-banners. Bland dem fanns ORF.at (den mest besökta nyhetswebbplatsen i Österrike) vars cookiebanner vid den tidpunkten inte erbjöd något alternativ för att "Avvisa" spårningscookies på den första nivån. I sitt beslut från oktober 2024 instämde den österrikiska dataskyddsmyndigheten i sakinnehållet i noybs klagomål och beordrade ORF att placera lika framträdande knappar för "Avvisa" och "Acceptera" i sin cookiebanner. Vid den tidpunkten hade ORF redan lagt till en "Avvisa"-knapp, men hade gjort den mindre framträdande i färg än "Acceptera"-alternativet. ORF lämnade därefter in ett överklagande till den federala förvaltningsdomstolen (BVwG).
Max Schrems, ordförande för noyb: "Dataskyddsmyndigheten och nu domstolarna har tydligt bekräftat att cookie-banners måste erbjuda lika framträdande "ja"- och "nej"-alternativ - utan några mörka mönster. Det är skandalöst att till och med det offentliga tv-bolaget ORF behöver ett särskilt domstolsbeslut i denna fråga hela åtta år efter att GDPR trädde i kraft."
Förbundsförvaltningsdomstolen bekräftar ORF:s GDPR-överträdelser. Med sitt beslut har den federala förvaltningsdomstolen nu bekräftat vad som redan var klart 2024: ORF:s cookiebanner är inte förenlig med GDPR, eftersom den markerar "Acceptera" knappen i färg är vilseledande för användarna - och leder till oavsiktligt samtycke. Följaktligen är samtycket inte längre otvetydigt och strider också mot principen om öppenhet, säger den federala förvaltningsdomstolen i sitt resonemang. ORF har därför inte erhållit ett giltigt samtycke och måste omforma sin cookie-banner.
Möjliga konsekvenser. Med tanke på tydligheten i BVwG:s beslut kommer det sannolikt att få konsekvenser för otaliga andra företag. Domstolen klargör att det räcker med att implementera en "Avvisa knapp i en mindre iögonfallande färg inte är tillräckligt. Istället måste båda alternativen ges samma framträdande plats. Följaktligen är ORF inte alls det enda företaget vars cookiebanner bryter mot GDPR.
