Der EDSA hat einen Bericht über die Arbeit seiner „Cookie-Banner-Taskforce“ zum Thema Cookie-Banner veröffentlicht. Dieser Bericht ist das Ergebnis der Zusammenarbeit mehrerer europäischer Datenschutzbehörden, die sich mit der Bearbeitung von Beschwerden über Cookie-Banner befassen, die bei der Organisation NOYB eingegangen sind.
Der Bericht listet eine Reihe gängiger Praktiken auf, die auf den Cookie-Bannern von Websites im europäischen Raum beobachtet werden, und bringt deren Übereinstimmung mit den verschiedenen geltenden Vorschriften (insbesondere der ePrivacy-Richtlinie und der DSGVO) zum Ausdruck. Es kann den Verantwortlichen für Websites und Apps dabei helfen, die Einwilligung (oder Ablehnung) des Benutzers einzuholen, damit Cookies (und/oder andere ähnliche Technologien) gelesen oder auf ihrem Gerät platziert werden.
Der Bericht der Task Force untersucht unter anderem die folgenden Praktiken:
- Vorab aktivierte Kästchen . Die Task Force weist darauf hin, dass vorab angekreuzte Kästchen keine gültige Einwilligung im Sinne der DSGVO oder der ePrivacy-Richtlinie darstellen, unabhängig von der Ebene des Banners, das das ankreuzbare Kästchen enthält.
- Täuschendes Design . Die Task Force macht auf verschiedene Arten betrügerischer Praktiken bei der Bannerformatierung aufmerksam.
- Das berechtigte Interesse . Bestimmte Websites berufen sich auf ein berechtigtes Interesse und lehnen die Weiterverarbeitung von Daten nach dem Setzen oder Auslesen von Cookies ab. Der Bericht erinnert daran, dass das berechtigte Interesse keine Rechtsgrundlage für das Setzen von Cookies selbst sein kann und dass, wenn das Setzen oder Auslesen von Cookies nicht im Einklang mit der Datenschutzrichtlinie für elektronische Kommunikation steht, die anschließende weitere Verarbeitung möglicherweise nicht im Einklang mit der DSGVO steht.
- Fehlen einer Schaltfläche vom Typ „Alle ablehnen“ auf derselben Ebene wie die Schaltfläche „Alle akzeptieren“ . Die meisten Datenschutzbehörden, darunter auch die Datenschutzbehörde, betrachteten dies als einen Verstoß und meinten, dass der Benutzer einer Website gleichzeitig die Möglichkeit haben sollte, das Platzieren/Lesen von Cookies auf seinem Gerät zu akzeptieren oder abzulehnen.
Die GBA möchte daran erinnern, dass der Anwendungsbereich der DSGVO und des Artikels 5 Absatz 3 der ePrivacy-Richtlinie weit gefasst ist und auch andere Arten von Technologien abdeckt (wie unter anderem die Verwendung von „lokalem Speicher“).
Sie betont außerdem, dass der Bericht lediglich Beispiele für schwerwiegende Verstöße enthält, die jedoch nicht erschöpfend sind. Daraus kann nicht geschlossen werden, dass jede Praxis, die nicht im Bericht erwähnt wird, automatisch den geltenden Regeln entspricht.