Cookie-Banner im Fokus: Ein neues Urteil des österreichischen BVwG und seine Folgen für die Praxis
Am 31. Juli 2024 hat das österreichische Bundesverwaltungsgericht (BVwG) entschieden, dass ein Cookie-Banner Nutzern die Möglichkeit geben muss, Cookies ebenso leicht abzulehnen wie zu akzeptieren. Dieses Urteil könnte weitreichende Folgen für die Gestaltung von Cookie-Bannern haben und bringt zudem technische Standards zur Überprüfung von Websites ins Spiel. Was bedeutet das für Unternehmen, die Cookie-Banner einsetzen? Wir fassen die wesentlichen Erkenntnisse zusammen und zeigen, wie Sie das Risiko einer datenschutzrechtlichen Beanstandung minimieren können.
Die Forderung nach einer „Ablehnen“-Option auf erster Ebene
Das BVwG stellte fest, dass Cookie-Banner auf der ersten Ebene, neben einer „Akzeptieren“-Option, auch eine gleichwertige Möglichkeit zum Ablehnen der Cookies bereitstellen müssen. Dies bedeutet, dass die Ablehnungsoption visuell gleichwertig und ebenso zugänglich sein muss. Die Entscheidung basiert auf den Artikeln 6 und 7 der DSGVO, die die Einholung und das Widerrufen von Einwilligungen regeln.
Bisher haben einige Websites eine Ablehnungsoption erst auf einer zweiten Ebene angeboten. Laut Gericht genügt dies nicht den Anforderungen der DSGVO, da die „Ablehnen“-Option dadurch schwieriger zugänglich wird. Für Unternehmen heißt das: Cookie-Banner sollten so gestaltet sein, dass die Ablehnung genauso leichtfällt wie die Zustimmung – alles auf einer Ebene und ohne zusätzliche Klicks.
Neue Bedeutung des Website Evidence Collectors
Bemerkenswert an der Entscheidung ist, dass das BVwG die Verwendung des Website Evidence Collectors durch die österreichische Datenschutzbehörde als Beweissicherungsinstrument anerkannt hat. Dieses Open-Source-Tool des Europäischen Datenschutzbeauftragten ermöglicht eine präzise Erfassung von Daten, die durch Cookies verarbeitet werden. Die Anerkennung durch das Gericht könnte einen neuen Standard für die Überprüfung von Websites schaffen. Unternehmen könnten dieses Tool selbst einsetzen, um potenzielle Datenschutzrisiken zu identifizieren und Compliance sicherzustellen.
Warum das Medienprivileg nicht greift
Ein weiterer entscheidender Punkt der Entscheidung ist die Ablehnung des sogenannten Medienprivilegs für das Setzen von Tracking-Cookies auf der Website des Medienunternehmens. Das Medienprivileg soll die Pressefreiheit sichern, wenn Daten für journalistische Zwecke verarbeitet werden. Im vorliegenden Fall urteilte das BVwG jedoch, dass Nutzertracking für Marketing- und Werbezwecke nicht als journalistische Tätigkeit anzusehen ist und daher nicht unter das Medienprivileg fällt. Das bedeutet, dass Medienunternehmen bei der Nutzung von Cookies für nicht-journalistische Zwecke die gleichen Datenschutzstandards einhalten müssen wie andere Branchen.
Gleichwertigkeit der Ablehnung – mehr als nur eine Empfehlung?
Das Gericht begründet, dass die Nichtabgabe einer Einwilligung nach Art. 7 Abs. 3 DSGVO genauso einfach sein muss wie die Abgabe. Diese Interpretation geht über den eigentlichen Wortlaut des Artikels hinaus, da Art. 7 Abs. 3 DSGVO sich vorrangig auf den Widerruf einer Einwilligung bezieht. Dennoch ist dieses Urteil wegweisend, da es einen Schritt in Richtung einer höheren Nutzerfreundlichkeit und Transparenz für Konsumenten bedeutet.
Konsequenzen für Unternehmen
Unternehmen, die in Österreich tätig sind oder dort ihre Dienste anbieten, sollten ihre Cookie-Banner entsprechend der neuen Vorgaben überprüfen. Auch deutsche Aufsichtsbehörden und Gerichte haben bereits ähnliche Anforderungen an die Gestaltung von Cookie-Bannern formuliert, sodass eine entsprechende Anpassung auf dem gesamten europäischen Markt ratsam erscheint.
Die Nutzung des Website Evidence Collectors zur Überprüfung der eigenen Website kann darüber hinaus eine sinnvolle Maßnahme sein. Durch die präzise Analyse der Datenverarbeitung können Unternehmen sicherstellen, dass sie die datenschutzrechtlichen Anforderungen erfüllen. Zudem besteht der Vorteil, dass die Ergebnisse des Website Evidence Collectors potenziell auch von den Aufsichtsbehörden anerkannt werden könnten.
Fazit: Der nächste Schritt in Richtung Nutzerfreundlichkeit und Datenschutz
Mit diesem Urteil des BVwG wird einmal mehr deutlich, dass Datenschutz und Nutzerfreundlichkeit Hand in Hand gehen sollten. Unternehmen sind aufgefordert, ihre Cookie-Banner klar und zugänglich zu gestalten und Nutzern eine transparente und einfache Wahlmöglichkeit zu geben. Dies dient nicht nur der Einhaltung gesetzlicher Vorschriften, sondern stärkt auch das Vertrauen der Nutzer in den verantwortungsvollen Umgang mit ihren Daten.
Fragen Sie sich, ob Sie als Unternehmen bei Datenschutz und Datensicherheit richtig aufgestellt sind?
Unverbindlich mit einem Datenschutzbeauftragten sprechen.
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Datenschutz und IT-Compliance: Das Handbuch für Admins und IT-Leiter. Alles zu IT-Betrieb, IT-Sicherheit und Administration von Websites
- Tragbarer Tresor für die Reise zum Schutz von Wertsachen
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
Dieser Absatz enthält Affiliatelinks/Werbelinks