Alle Cookies ablehnen?

Sollte ein „Alle Cookies ablehnen“-Button im Cookie-Banner vorhanden sein?

Vielen sind die Banner, die beim Aufrufen einer Webseite zur Einwilligung in die Verwendung diverser Cookies auffordern, lästig. Ein „Alle Cookies ablehnen“-Button existiert auf vielen Webseiten nicht. Vielmehr muss man sich durch ein Einstellungs-Menü navigieren und dort das Setzen von Cookies deaktivieren. Um schnell weitersurfen zu können, geben Nutzer dann oft lieber ihre Zustimmung. Diese „Faulheit“ nutzen Webseitenbetreiber, um eine möglichst hohe Zustimmungsquote zu erzielen.

Die Frage ist, wie das Fehlen eines „Alle Cookies ablehnen“-Button zu bewerten ist.

Fakt ist, dass für das Setzen von nicht notwendigen Cookies (d.h. insbesondere solchen zur Marketinganalyse) die Einwilligung des Nutzers erforderlich ist.

Mit Urteil vom 01.10.2019 (Az. C-673/17) hatte der EuGH eine generelle Einwilligungspflicht für all solche Cookies bestätigt, die für den Betrieb einer Webseite und die Bereitstellung der Seitenfunktion aus technischen Gründen nicht zwingend notwendig sind.

Der Bundesgerichtshof (BGH) hat mit seiner Entscheidung vom 28.05.2020 (I ZR 7/16 – Cookie-Einwilligung II – BGH Urteil Cookies) zudem die genauen Anforderungen an die Einwilligung in die Cookie-Speicherung klargestellt.

Seitenbetreiber, welche technisch nicht notwendige Cookies weiter setzen wollen, sind seitdem gehalten, wirksame Einwilligungslösungen auf ihren Websites zu implementieren. Dies haben wir bereits in unseren Blog-Beiträgen hier und hier dargestellt.

Muss nun aber zwingend ein Button im Cookie-Banner vorhanden sein, mit dem sofort das Setzen aller Cookies abgelehnt werden kann?

Die Datenschutzaufsichtsbehörden scheinen sich hier einig zu sein: Die Zustimmung zu Cookies sollte ebenso unkompliziert wie deren Ablehnung möglich sein.

So hat u.a. die französische Datenschutzaufsichtsbehörde CNIL (Commission Nationale de l’Informatique et des Libertés) ca. 60 Unternehmen dazu aufgefordert, ihre Praxis in Bezug auf die Gestaltung von Cookie-Bannern anzupassen und insbesondere das Ablehnen von Cookies ebenso leicht zu gestalten wie das Akzeptieren von Cookies (Pressemitteilung in Englisch hier). Dieses Vorgehen ist Teil der Maßnahmen zur Durchsetzung der von der CNIL veröffentlichten „Leitlinien und Empfehlungen zum Einsatz von Cookies und anderen Trackingtechnologien“.

Ebenso äußert sich die italienischen Datenschutzaufsichtsbehörde Garante. In den Garante-Guidelines zu Cookies führt diese aus:

„Der Mechanismus, der das Weitersurfen ohne Zustimmung ermöglicht, muss ebenso benutzerfreundlich und zugänglich sein wie der Mechanismus für die Erteilung der Zustimmung.“

Und weiter: "Um sicherzustellen, dass die Nutzer nicht durch die Gestaltung eines Cookie-Banner beeinflusst werden, so dass sie eine Option der anderen vorziehen, ist es von grundlegender Bedeutung, dass Befehle und Zeichen in gleicher Größe, Betonung und Farbe verwendet werden und dass alle diese Befehle und Zeichen gleichermaßen leicht zu sehen und zu verwenden sind.“

Am 31. Dezember 2021 verhängte die CNIL gegen Google ein Bußgeld in Höhe von insgesamt 150 Millionen Euro (90 Millionen Euro für Google LLC und 60 Millionen Euro für Google Ireland Limited), weil die Nutzer von google.fr und youtube.com Cookies nicht so einfach ablehnen können wie sie zu akzeptieren.

Auch in Deutschland hatte Google schon Ärger bekommen. Die Verbraucherzentrale NRW hat vor dem LG Berlin Klage gegen Google erhoben und begründete dies wie folgt: Mit Tricks bei der Gestaltung der Cookie-Banner versuchen Unternehmen, die Einwilligung der Verbraucher zu erschleichen, um an möglichst viele persönliche Informationen zu gelangen, diese zu sammeln und zu verarbeiten. Es muss für Verbraucher genauso leicht sein, Cookies abzulehnen wie sie zu akzeptieren. Nur so kann die unbedachte Preisgabe von Daten verhindert werden. Ein Nutzer müsse bei Google nur einmal klicken, um allen Cookies zuzustimmen. Wer sich jedoch dafür entscheide, nur notwendige Cookies zuzulassen, müsse erst eine andere Bedienebene innerhalb des Cookie-Dialogs aufrufen. Auf dieser müssen dann mindestens drei verschiedene Kategorien von Cookies einzeln abgelehnt werden. Damit verstoße Google gegen Normen aus dem Telekommunikations-Telemedien-Datenschutz-Gesetz (TTDSG) sowie gegen EU-Recht.

Im Kontext der Klage der Verbraucherzentrale NRW gab Google dann bekannt, dass die betreffende Praxis aufgegeben werde und ein „Alle Cookies ablehnen“-Button in den Cookie-Bannern bald europaweit verfügbar sein werde, um den Anweisungen der Aufsichtsbehörden gerecht zu werden. Google hat mittlerweile die eigenen Cookie-Banner in der Suchmaschine u.a. auf seiner deutschen Website mit einem „Alle Cookies ablehnen“-Button als neuen Google-Standard ausgestattet.

Zusätzlich erhöhen auch private Initiativen den Druck auf Unternehmen, ihre Cookie-Banner zu überarbeiten. Die Datenschutz-Organisation noyb („none of your business“) legte im letzten Jahr ganze 422 Beschwerden bei europäischen Aufsichtsbehörden ein.

Wir empfehlen daher dringend bei Cookie-Bannern einen „Alle Cookies ablehnen“-Button analog zum Zustimmen-Button zu verwenden. Nur so kann sichergestellt werden, dass es zu einer freiwilligen und damit datenschutzkonformen Einwilligung durch den Websitenutzer kommt.

Wenn Sie Ihr Cookie-Banner überarbeiten, beachten Sie insbesondere folgende Punkte:

  • Informieren Sie Ihre Nutzer klar über die Zwecke, die hinter der Verwendung von Cookies stehen (z.B. Ausspielung personalisierter Werbung oder der Austausch von Informationen mit Social-Networking-Plattformen) sowie über die Identität der Betreiber, die Cookies verwenden
  • Es sollten keine Voreinstellungen getroffen sein. Damit ist sichergestellt, dass Nutzer*innen eine aktive Entscheidung treffen können
  • Die Verweigerung der Verwendung von Cookies muss genauso einfach sein, wie deren Akzeptanz, d.h. die Nutzer dürfen keinen komplexen Verfahren zur Ablehnung von Cookies unterworfen werden
  • Vermeiden Sie bei der Gestaltung des Zustimmungsbuttons Gewichtungen, die manipulierenden Charakter haben (z.B. farblich hervorgehobener Button für die Zustimmung, hellgrauer Button für die Ablehnung)
  • Nutzer müssen die Möglichkeit haben, ihre Zustimmung zur Verwendung von Cookies jederzeit zu widerrufen

Eine gute Checkliste zu den Anforderungen an Cookie-Banner hat die niedersächsische Aufsichtsbehörde hier veröffentlicht. Arbeiten Sie diese durch, dann sollten Sie auf der sicheren Seite sein.

Wenn Sie Hilfe benötigen, kontaktieren Sie uns gerne.

Nora Lynn Rodiek, Dipl.-Jur. & B.Sc. (Univ.), Senior Consultant & Legal Counsel bei der mip Consult GmbH, Studium: Jura & Wirtschaftswissenschaften. Datenschutzbeauftragte (DEKRA), Fachkraft für Datenschutz (DEKRA), Betrieblicher Gesundheitsmanager (TÜV).

Der richtige Weg zum Beratungsgespräch

Schreibe einen Kommentar