ThinkTank_Logo_black
Das Warten hat ein Ende
Ailance™ ThinkTank ist da!
Mehr erfahren

Cookie-Banner: Annahme oder Ablehnung von Cookies muss gleichwertig möglich sein

Die Auswahlmöglichkeit im Cookie-Banner sollte gleichwertig erfolgen.
Kategorien:

Der österreichische Verwaltungsgerichtshof hat in einer aktuellen Entscheidung ausführlich zur Gestaltung von Cookie-Bannern Stellung genommen. Das Gericht stellt klar, dass die datenschutzrechtlichen Anforderungen an Cookie-Banner strikt einzuhalten sind und es keinen Spielraum für Ausnahmen gibt. Die Annahme oder Ablehnung von Cookies muss gleichwertig möglich sein.

Datenschutzbehörde greift wegen Cookie-Banner ein

Mit Bescheid vom 14. Dezember 2023 forderte die Datenschutzbehörde die o GmbH & Co KG auf, ihr Cookie-Banner anzupassen. Die Aufsichtsbehörde war aufgrund einer Datenschutzbeschwerde einer betroffenen Person tätig geworden. Dabei stellte die Behörde fest, dass das bestehende Cookie-Banner der o GmbH & Co KG nicht den Anforderungen der DSGVO entsprach. Konkret bemängelte die Behörde, dass Nutzerinnen und Nutzer auf der ersten Ebene des Cookie-Banners nur die Möglichkeit hatten, Cookies zu akzeptieren oder auf die Schaltfläche “Zwecke anzeigen” zu klicken. Die Option, Cookies direkt abzulehnen, war hingegen erst auf der zweiten Ebene des Banners nach mehreren Klicks zugänglich.

Darüber hinaus stellte die Datenschutzbehörde fest, dass das Cookie-Banner die Option zur Annahme von Cookies optisch stark bevorzugte. Die Schaltfläche für die Zustimmung war gut sichtbar, während die Option, keine Cookies zu akzeptieren, deutlich weniger sichtbar war. Diese Gestaltung stellte nach Ansicht der Behörde einen Verstoß gegen die DSGVO dar, da gemäß Art. 7 Abs. 3 DSGVO der Widerruf einer Einwilligung genauso einfach sein muss wie deren Erteilung.

Gegen diesen Bescheid legte die o GmbH & Co KG Beschwerde ein, die vom Bundesverwaltungsgericht abgewiesen wurde. In der Folge legte die o GmbH & Co KG Revision beim Verwaltungsgerichtshof ein. Dieser entschied nun, dass die Datenschutzbehörde korrekt gehandelt hat und wies die Revision zurück.

Ablehnung von Cookies schwieriger als Annahme

Der Verwaltungsgerichtshof (VwGH) stellte im vorliegenden Fall fest, dass die Gestaltung des Cookie-Banners der o GmbH & Co KG nicht den gesetzlichen Anforderungen der DSGVO entsprach. Konkret wurde beanstandet, dass die Ablehnung von Cookies für die Nutzerinnen und Nutzer ungleich schwieriger sei als deren Annahme.

Das Cookie-Banner der o GmbH & Co KG bot auf der ersten Ebene lediglich zwei Optionen: einen prominent platzierten, farblich hervorgehobenen Button “Akzeptieren” und einen weniger auffälligen Link mit der Bezeichnung “Zwecke anzeigen”. Mit einem Klick auf “Zwecke anzeigen” gelangte der Nutzer auf die zweite Ebene des Banners, auf der die Ablehnung von Cookies erst nach weiteren Klicks möglich war.

Gemäß Art. 7 Abs. 3 DSGVO muss der Widerruf einer Einwilligung jedoch ebenso einfach möglich sein wie deren Erteilung. Der VwGH stellte fest, dass die Gestaltung des Cookie-Banners dieser Vorgabe nicht entsprach. Während ein Nutzer Cookies mit nur einem Klick akzeptieren konnte, erforderte die Ablehnung mindestens zwei Klicks und war weniger intuitiv zugänglich.

"Akzeptieren"-Schaltfläche farblich hervorgehoben

Neben der erschwerten Ablehnungsoption kritisierte der VwGH auch die optische Gestaltung des Cookie-Banners. Ein zentraler Kritikpunkt war die ungleiche optische Gestaltung der Auswahlmöglichkeiten im Cookie-Banner. Im vorliegenden Fall war der Button zur Zustimmung zu Cookies deutlich prominenter als die Option zur Ablehnung. Der “Akzeptieren”-Button war farblich hervorgehoben und befand sich in einer auffälligen Position auf der ersten Ebene des Cookie-Banners. Im Gegensatz dazu war die Ablehnungsoption lediglich als unscheinbarer Link mit der Bezeichnung “Zwecke anzeigen” integriert, der optisch zurücktrat und von Nutzern weniger intuitiv wahrgenommen wurde.

Der VwGH betonte, dass eine solche Gestaltung die Entscheidungsfreiheit der Nutzer einschränkt und nicht den Anforderungen der DSGVO entspricht. Nach Art. 7 Abs. 3 DSGVO muss der Widerruf einer Einwilligung ebenso einfach möglich sein wie deren Erteilung. Dazu gehört auch, dass beide Optionen optisch gleichwertig angeboten werden. Indem die Ablehnungsoption durch ein weniger sichtbares und unscheinbares Designelement versteckt wurde, wurde den Nutzern die Ablehnung unnötig erschwert.

Das Gericht wies auch darauf hin, dass diese ungleiche Gestaltung nicht mit dem Hinweis auf “branchenübliche Standards” gerechtfertigt werden könne. Vielmehr müsse sichergestellt sein, dass der Nutzer auf den ersten Blick erkennen kann, wie er seine Einwilligung verweigern oder widerrufen kann. Auch der Europäische Datenschutzausschuss (EDSA) empfiehlt, dass auf der ersten Ebene eines Cookie-Banners stets eine ebenso auffällige und gleichwertige Schaltfläche für die Ablehnung von Cookies wie für deren Annahme vorhanden sein sollte.

Keine Ausnahmen bei Einsatz von Cookies

Im Rahmen des Verfahrens berief sich die o GmbH & Co KG auf das sogenannte Medienprivileg nach § 9 Abs. 1 DSG. Dieses Privileg sieht bestimmte Ausnahmen von den allgemeinen Datenschutzvorgaben vor, wenn personenbezogene Daten für journalistische Zwecke verarbeitet werden. Die Revisionswerberin argumentierte, dass ihre Cookie-Nutzung unter diesen journalistischen Kontext falle, da die Website auch der Informationsvermittlung diene.

Der VwGH stellte klar, dass das Medienprivileg nur dann zur Anwendung kommt, wenn die betreffende Datenverarbeitung direkt der Übermittlung von Informationen, Meinungen oder Ideen an die Öffentlichkeit dient. Dabei bezog sich das Gericht explizit auf die Rechtsprechung des Europäischen Gerichtshofs, der festgelegt hat, dass journalistische Zwecke insbesondere dann vorliegen, wenn die Verarbeitung personenbezogener Daten unmittelbar mit der Verbreitung von Informationen über Themen von öffentlichem Interesse verbunden ist.

Das Setzen von Cookies zu Marketing-, Werbe- und Analysezwecken erfüllt diese Voraussetzung nach Ansicht des VwGH nicht. Der Einsatz von Cookies dieser Art zielt nicht darauf ab, über Fragen von öffentlichem Interesse zu berichten oder journalistische Inhalte zu vermitteln. Vielmehr stehen bei derartigen Cookies die wirtschaftlichen und kommerziellen Interessen der Website-Betreiber im Vordergrund. Da es sich hierbei nicht um journalistische Tätigkeiten im Sinne des § 9 Abs. 1 DSG handelt, war das Medienprivileg in diesem Fall nicht anwendbar.

Optionen außerhalb des Cookie-Banners nicht ausreichend

Auch wurde die Frage geprüft, ob alternative Maßnahmen zur Ablehnung von Cookies, die außerhalb des eigentlichen Cookie-Banners angeboten werden, ausreichend sind, um den Anforderungen der DSGVO zu entsprechen. Die Revisionswerberin argumentierte, dass auf ihrer Website ein gut sichtbarer Link in der Fußzeile zur Verfügung stehe, der es den Nutzern ermögliche, ihre Einwilligung nachträglich zu widerrufen. Dieser Link mit der Bezeichnung “Cookie-Einstellungen und Widerruf” sei jederzeit erreichbar und stelle daher eine geeignete und nutzerfreundliche Möglichkeit dar, den Widerruf der Einwilligung sicherzustellen.

Dieser Argumentation wurde vom VwGH jedoch als nicht ausreichend erachtet. Eine solche nachgelagerte Widerrufsmöglichkeit können nur als ergänzende Option, nicht aber als gleichwertige Alternative zur sofortigen Ablehnung von Cookies angesehen werden. Auch verlange die DSGVO von den Verantwortlichen, die Möglichkeit zur Ablehnung von Cookies unmittelbar und gleichwertig zur Annahme von Cookies auf der ersten Ebene des Cookie-Banners anzubieten. Der Verweis auf spätere Widerrufsmöglichkeiten genüge dieser Anforderung nicht.

Lese-Tipp: Cookie Consent Management – sichere Einwilligung für Unternehmen

Anforderungen an Unternehmen für Cookie-Banner

Die Entscheidung stellt klar, dass Unternehmen ihre Cookie-Banner so gestalten müssen, dass die Ablehnung von Cookies genauso einfach ist wie deren Annahme. Konkret bedeutet dies, dass bereits auf der ersten Ebene des Cookie-Banners ein optisch gleichwertiger Button zur Ablehnung von Cookies vorhanden sein muss.

Die alleinige Bereitstellung eines nachgelagerten Links zur Ablehnung von Cookies im Footer oder in einer separaten Menüstruktur ist nicht ausreichend und verstößt gegen die Vorgaben der DSGVO.

Darüber hinaus macht das Urteil deutlich, dass der Verweis auf vermeintlich “branchenübliche” Standards keine Rechtfertigung für unzureichende Cookie-Banner darstellt. Unternehmen müssen aktiv prüfen, ob ihre Einwilligungsmechanismen den Grundsätzen der Transparenz, Einfachheit und Gleichwertigkeit genügen.

Verstöße gegen diese Anforderungen können erhebliche Sanktionen nach sich ziehen. Die Datenschutzbehörden sind befugt, Unternehmen zur Anpassung ihrer Cookie-Banner zu verpflichten und bei Verstößen Bußgelder zu verhängen. Unternehmen sind daher gut beraten, ihre bestehenden Cookie-Banner zu überprüfen und sicherzustellen, dass diese den Anforderungen der DSGVO entsprechen.

Quelle: Beschluss des Verwaltungsgerichtshofs vom 16. Januar 2025 (Ra 2024/04/0424-9)

Sie möchten überprüfen, ob Ihr Cookie-Banner rechtskonform ist? Dann melden Sie sich gerne bei uns – wir beraten Sie gerne.
☎️ +49 (228) 926165-100
📧  info@2b-advice.com

Kontakt aufnehmen
Tags:
Share this post :

Beliebte Kategorien

Newsletter

Abonnieren Sie unseren Datenschutz-Newsletter, um die neuesten Updates, Tipps und Erkenntnisse direkt in Ihren Posteingang zu erhalten.
Subscribe

Letzte Beiträge

de_DEGerman
en_USEnglish it_ITItalian fr_FRFrench de_DEGerman