Sind die derzeit üblichen Cookie-Banner datenschutzkonform? Zumindest nach Ansicht des Bundesverbandes der Verbraucherzentralen ist das überwiegend nicht der Fall. Knapp 100 Unternehmen wurden vor kurzem wegen ihrer Cookie-Banner abgemahnt. Doch nicht nur aus Richtung des Bundesverbandes der Verbraucherzentralen weht der Wind gegen Betreiber von Webseiten derzeit rau. Auch die vom berühmten Datenschutzaktivisten Max Schrems gegründete NGO „None of your business" überprüft Cookie-Banner und meldet Verstöße an die zuständigen Aufsichtsbehörden, wenn der Webseitenbetreiber den ihm gegenüber aufgezeigten Missstand nicht beseitigt. Dabei ist das Aufdecken von Verstößen mit geringem Aufwand möglich, da Webseiten – und die dazugehörigen Cookie-Banner – für jedermann abrufbar sind.

Grund genug, sich mit den wichtigsten Anforderungen an ein zulässiges Cookie-Banner auseinanderzusetzen:

Opt-in des Seitenbesuchers zwingend notwendig

Der Webseitenbesucher muss aktiv durch Anklicken der Speicherung von Cookies auf seinem Computer zustimmen können. Voreingestellte Anklickboxen, die der Webseitenbesucher abwählen muss, wenn er mit dem Einsatz von Cookies nicht einverstanden ist („Opt-out"), sind nicht zulässig. Die durch die Cookies ausgelöste Datenverarbeitung wäre dann rechtswidrig und bußgeldbewehrt. Eine Ausnahme besteht allein für Cookies, die für den Betrieb der Seite technisch erforderlich sind.

Keine Einflussnahme durch die farbliche Gestaltung der Auswahlfelder („Nudging")

Darüber hinaus darf der Webseitenbetreiber keinerlei Einfluss auf die Cookie-Entscheidung des Webseitenbesuchers nehmen (so die Ansicht des Europäischen Datenschutzausschusses in den Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679, dort Rn. 14). Aktuell wird insbesondere diskutiert, ob der Einwilligungs-Button optisch ansprechender – beispielsweise in grün – gestaltet werden darf, wenn der Button, über den der Webseitenbesucher seine Einwilligung versagt oder Einschränkungen vornimmt, optisch weniger wahrnehmbar – beispielsweise in grau – dargestellt wird und so an die übliche Darstellung von Schaltflächen angelehnt ist, die nicht ausgewählt werden können. Zumindest nach Ansicht des LG Rostock (Urt. v. 15.09.2020, Az. 3 O 762/19, S. 21 – nicht rechtskräftig) ist das unzulässig. Weitere Entscheidungen zum Cookie-Layout werden sicherlich folgen.

Kein Zwei-Klick-Modell

Diskutiert wird auch über die Zulässigkeit des „Zwei-Klick-Modells", bei dem der Webseitenbesucher mit einem Klick in den uneingeschränkten Einsatz von Cookies einwilligen kann, die Beschränkung des Cookie-Einsatzes auf bestimmte Verarbeitungszwecke (z.B. Statistik, Funktional oder Marketing) allerdings erst durch weitere Klicks („Details anzeigen") möglich ist. Es spricht viel dafür, dass das „Zwei-Klick-Modell" ebenfalls nicht zulässig ist, da die Einwilligung oft nur wegen des zusätzlichen Aufwandes, der mit einer Konfiguration verbunden wäre, erteilt wurde. Eine solche gewissermaßen erzwungene Einwilligung wäre bei einer strengen datenschutzrechtlichen Sicht nicht mehr freiwillig erteilt. So sieht es wohl auch die dänische Datenschutzbehörde. Es ist auch hier nur eine Frage der Zeit, bis sich deutsche Gerichte dazu äußern werden.

Wir werden Sie selbstverständlich weiter über die aktuellen Entwicklungen rund um Cookies & Co. auf dem Laufenden halten.