Runde zwei der Beschwerdewelle 01.12.2022, 12:30 Uhr

Cookie-Banner weiterhin im Visier

Jeder kennt sie und jeder ist genervt: Cookie-Einwilligungsabfragen. Doch nach Ansicht der europäischen Datenschutzorganisation NOYB sind viele rechtswidrig gestaltet.
Cookies auf Webseiten: Beschäftigen noch immer Unternehmen, Datenschützer und Gerichte.
(Quelle: Shutterstock/Kojaif Stock)
Es sind besonders wertvolle Kekse für Webseiten-Betreiber: Cookies, kleine Datensätze, die genutzt werden, um Besucher einer Webseite identifizierbar zu machen. Mit ihrer Hilfe können individuelle Profile erstellt werden, die weitreichende Rückschlüsse über Surfverhalten, Vorlieben und Lebensgewohnheiten zulassen. Dieses Wissen wird etwa für personalisierte Werbung herange­zogen – ein lukratives Geschäftsmodell. Doch was im Marketing attraktiv ist, ist datenschutzrechtlich nicht immer zulässig. Zwar greift die Datenschutz-Grundverordnung (DSGVO) das Thema Cookies selbst nicht auf, dennoch ist die Rechtslage in Deutschland eindeutig: Werden «Informationen in der Endeinrichtung des Endnutzers gespeichert» oder wird «der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind», ermöglicht, so geht das nur, wenn hierfür die Einwilligung des Nutzers vorliegt (so geregelt in § 25 TTDSG). Ausnahmen sind nur für die Technologien erlaubt, die zwingend zum Bereitstellen der Webseite erforderlich sind.

Nicht immer rechtskonform

Rechtssicherheit für Webseiten-Betreiber sollen sogenannte Cookie-Einwilligungsabfragen bringen. Doch mit der Umsetzung dieser Cookie-Banner tun sich viele Unternehmen schwer. Im Mai 2021 schickte die Organisation NOYB von Max Schrems 422 Beschwerdeschreiben an Unternehmen in Europa und in den USA – weitere 226 folgten bei 18 Aufsichtsbehörden im August. Und das wird wohl nicht das Ende sein: Auf der Website des Vereins heisst es, dass «in den kommenden Monaten bis zu 10'000 Websites gescannt, geprüft, verwarnt und schliesslich das Gesetz durchgesetzt» werden sollen. Während der Fokus hierbei bislang nur auf der Consent-Management-Plattform (CMP) von OneTrust liegt, sollen künftig auch andere CMP-Marktteilnehmer unter die Lupe genommen werden.

Anforderungen an eine CMP

Auch die französische Aufsichtsbehörde CNIL geht gegen unzureichende Cookie-Banner vor: Erst kassierte Google ein Bussgeld in Höhe von 100 Millionen Euro und dann Amazon eines von 35 Millionen Euro. Grund dafür waren das Setzen von Werbe-Cookies ohne vorherige Einwilligung und unzureichende sowie intransparente Cookie-Banner.
Dabei ist es recht simpel: Nach dem Gesetz müssen die Anbieter ihre Systeme fair gestalten und den Nutzern eine echte Wahlmöglichkeit bieten – Cookies ja oder nein. Schaut man sich die Praxis an, sieht man diese Option recht selten. Stattdessen wird versucht, Nutzer zur Abgabe ihrer Einwilligung etwa durch geschickt gewählte Farb- und Schriftgestaltung (sogenanntes Nudging) zu verleiten.
Das Einmaleins für ein Cookie-Banner, das nicht zu einer Beschwerde oder gar einem Millionen-Bussgeld führt, ist gar nicht schwer: Zunächst dürfen bei Aufruf der Website keine Tracking- oder Werbe-Cookies gesetzt werden. Im Cookie-Banner sollte kurz und verständlich erläutert werden, zu welchen Zwecken Cookies genutzt werden. Hier kann eine Kategorisierung sinnvoll sein, zum Beispiel erforderliche Cookies, Analyse, Marketing. Daneben ist bei einer Einwilligung auf das jederzeitige Widerrufsrecht zu verweisen. Zudem sollten die Datenschutzerklärung und, falls vorhanden, die Cookie-Richtlinie verlinkt werden. Und, wie erwähnt, muss am Ende der Nutzer eine echte Wahlmöglichkeit haben – also muss es je eine Schaltfläche zum Annehmen und Ablehnen von Cookies geben.
Zur Person
Melanie Ludolph
ist Rechtsanwältin bei Fieldfisher, einer inter­nationalen Wirtschaftskanzlei mit besonderer Expertise im Technologie-, IT- und Datenschutzrecht. Zuvor hat sie mehrere Jahre für ein spezialisiertes Beratungsunternehmen gearbeitet und dort Unternehmen und internationale Konzerne aus unterschiedlichen Branchen zu allen Themen des Datenschutzrechts und angrenzender Rechtsgebiete beraten. Für Computerworld stellt Melanie Ludolph jeden Monat aktuelle Themen aus dem IT- und Datenschutzrecht vor. www.fieldfisher.de



Das könnte Sie auch interessieren