In der Entscheidung des Bundesverwaltungsgerichts (BVwG) vom 31. Juli 2024, W108 2284491-1/15E, hat dieses eine sehr wichtige Frage zur Ausgestaltung des Cookie-Banners auf einer Webseite getroffen. Konkret ging es um die Gestaltung des Cookie-Banners auf einer Website, bei der die Option „Ablehnen“ für Cookies versteckt war, was zu Verstößen gegen die DSGVO führte.

Hintergrund des Falls

Der Beschwerdeführer hatte eine Website besucht, deren Cookie-Banner eine Schaltfläche für das Akzeptieren aller Cookies, jedoch keine klare Option zum Ablehnen enthielt. Dies veranlasste den Beschwerdeführer, bei der Datenschutzbehörde eine Beschwerde einzureichen. Der Vorwurf lautete, dass die Einwilligung zur Datenverarbeitung nicht ordnungsgemäß eingeholt wurde, da die Option zum Ablehnen absichtlich versteckt war und die Gestaltung des Banners irreführend war. Dies wurde als Verletzung des Transparenzprinzips nach Art 5 Abs 1 lit a DSGVO und des Grundsatzes der „informierten Einwilligung“ angesehen.

Wie hat die Datenschutzbehörde entschieden?

Die Datenschutzbehörde stellte mit Bescheid vom 14.12.2023, D124.5045 2023-0.661.011, fest, dass das Cookie-Banner in seiner ursprünglichen Form nicht den Anforderungen der DSGVO entsprach. Sie forderte die Website-Betreiberin auf, das Banner so zu gestalten, dass es eine optisch gleichwertige Option zum Ablehnen der Cookies auf der ersten Ebene gibt. Diese Entscheidung wurde von der betroffenen Partei angefochten, was zu dem vorliegenden Urteil des Bundesverwaltungsgerichts führte.

Wie hat das Bundesverwaltungsgericht entschieden?

Das Bundesverwaltungsgericht wies die Beschwerde der Website-Betreiberin ab und bestätigte die Entscheidung der Datenschutzbehörde. In den Punkten 3.3.2.4 und 3.3.2.5 (Abschnitt II) der Entscheidung wurden einige zentrale rechtliche Fragen zur Gestaltung des Cookie-Banners erörtert, die von besonderer Bedeutung sind.

Zur Gestaltung des Cookie-Banners (Pkt 3.3.2.4 der Erkenntnis des BVwgG)

Das Gericht betonte, dass die Gestaltung des Cookie-Banners gegen die Grundsätze der DSGVO verstoße, insbesondere gegen die Anforderungen an Transparenz und Fairness bei der Verarbeitung personenbezogener Daten. Eine „Ablehnen“-Option muss nicht nur vorhanden sein, sondern auch optisch gleichwertig zu der „Akzeptieren“-Option auf der ersten Ebene des Banners dargestellt werden. Das bedeutet, dass die Nutzer auf den ersten Blick die Möglichkeit haben müssen, Cookies abzulehnen, ohne mehrere Ebenen des Banners durchklicken zu müssen.

Das Gericht wies darauf hin, dass für die Einwilligung in die Datenverarbeitung nur ein Klick erforderlich war, während die Ablehnung von Cookies mindestens zwei Klicks erforderte. Diese Ungleichheit verstößt gegen die DSGVO, da die Ablehnung genauso einfach und schnell wie die Zustimmung sein muss. Eine derartige Gestaltung, bei der die Ablehnung bewusst erschwert wird, entspricht nicht den Grundsätzen einer informierten und freiwilligen Einwilligung gemäß Art 4 Z 11 DSGVO.

Der Cookie-Banner sollte so einfach wie möglich ausgestaltet sein!

Die Entscheidung des Bundesverwaltungsgerichts verdeutlicht die Wichtigkeit einer transparenten und fairen Einholung der Einwilligung bei der Datenverarbeitung, insbesondere durch die Nutzung von Cookies. Unternehmen sind verpflichtet, den Nutzern eine ebenso einfache Möglichkeit zu bieten, Cookies abzulehnen wie diese zu akzeptieren. Das Gericht unterstrich, dass die Option zum Ablehnen von Cookies auf der ersten Ebene des Cookie-Banners klar sichtbar und leicht zugänglich sein muss, um den Anforderungen der DSGVO zu entsprechen.

Höher-Tipp: Überprüfen Sie auf Ihrer Webseite, ob der Cookie-Banner den Vorgaben des BVwG entspricht. Falls nicht, nehmen Sie umgehend die erforderlichen Anpassungen vor!

Die Entscheidung des BVwG im Volltext.

Wiener Neustadt, am 10.09.2024

Bild: Envato