Cookie-Consent-Banner, die mit eklatanten Designtricks versuchen, Webnutzer dazu zu bringen, ihre Daten für verhaltensbasierte Werbung weiterzugeben, anstatt den Menschen eine freie und faire Wahl zu geben, diese Art von gruseligem Tracking abzulehnen, sehen sich einem koordinierten Widerstand seitens der Europäer gegenüber Datenschutzaufsichtsbehörden der Union.
Eine Taskforce aus mehreren Datenschutzbehörden, angeführt von der französischen CNIL und der österreichischen Behörde, hat viele Monate gemeinsam an der Analyse von Cookie-Bannern gearbeitet. Und in einem Prüfbericht Diese Woche veröffentlicht, sind sie zu einem gewissen Konsens darüber gelangt, wie Beschwerden über bestimmte Arten von dunklen Mustern der Cookie-Einwilligung in ihren jeweiligen Rechtsordnungen angegangen werden sollen – eine Entwicklung, die es voraussichtlich erschweren wird, dass irreführende Designs in der EU herumfliegen.
Die Taskforce wurde als Reaktion auf Hunderte von strategischen Beschwerden einberufen, die zwischen 2021 und 2022 von der European Privacy Rights Group eingereicht wurden. noyb – das ein eigenes Tool entwickelt hat, um die Analyse von Cookie-Bannern von Websites zu automatisieren und Berichte und Beschwerden zu generieren (ein cleverer Trick einer kleinen gemeinnützigen Organisation, um ihre strategische Wirkung zu skalieren).
Cookies und andere Tracking-Technologien fallen unter die ePrivacy-Richtlinie der EU, was bedeutet, dass die Aufsicht über Cookie-Banner in der Regel dezentral bei den Regulierungsbehörden in den Mitgliedstaaten liegt. Das wiederum bedeutet, dass die Regeln rund um den Block unterschiedlich angewendet werden können, je nachdem, wo die betreffende Website gehostet wird. (Aufsichtsbehörden in einigen Mitgliedstaaten gestatten beispielsweise Nachrichtenseiten, den Nutzern die Wahl zu lassen, ob sie Anzeigenverfolgung akzeptieren, um (kostenlosen) Zugriff auf die Inhalte zu erhalten, oder ob sie für ein Abonnement bezahlen, um Zugriff ohne Verfolgung zu erhalten – obwohl solche „Cookie-Zustimmungs-Paywalls“ bestehen bleiben umstritten und werden wahrscheinlich nicht bei jeder Datenschutzbehörde bestehen.)
Angesichts des von der Taskforce gemeldeten Konsenses deutet sie darauf hin, dass es eine gewisse Harmonisierung geben wird, wie Datenschutzbehörden Beschwerden im Zusammenhang mit der Gestaltung von Cookie-Zustimmungsbannern durchsetzen – wobei beispielsweise die überwiegende Mehrheit der Behörden zustimmt, dass das Fehlen einer „Alle ablehnen ‚-Option auf der gleichen Ebene wie eine ‚Alle akzeptieren‘-Schaltfläche ist ein Verstoß gegen ePrivacy. Daher ist mehr Durchsetzung gegen Websites wahrscheinlich, die versuchen, eine Option zur Verweigerung des Trackings zu begraben.
Die Taskforce war sich auch einig, dass Zustimmungsflüsse, die vorab geprüfte Optionen enthalten (dh als weitere Taktik, um zu versuchen, eine Zustimmung zu erzwingen), ebenfalls keine gültige Zustimmung sind – was niemanden überraschen sollte, da Europas oberstes Gericht bereits die Notwendigkeit einer aktiven Zustimmung zum Tracking von Cookies klargestellt hat der Weg zurück ins Jahr 2019.
In den letzten etwa fünf Jahren, seit ein weiteres EU-Gesetz zur Stärkung der Einwilligungsregeln in Kraft getreten ist – nämlich die Datenschutz-Grundverordnung (DSGVO) – haben die Datenschutzbehörden der Cookie-Einwilligung sicherlich mehr Aufmerksamkeit geschenkt. Darunter auch Beschwerden darüber, wie routinemäßig die Regeln missachtet wurden.
Dies wiederum hat viele dazu veranlasst, ihre Leitlinien zu diesem Thema zu aktualisieren (und zu verschärfen) – was es für Websites schwieriger macht, die Regeln zur Verfolgung der Einwilligung einzufordern, die unklar sind.
Auch die Strafverfolgung hat zugenommen, wobei bestimmte Wachhunde sehr aktiv sind – wie die französische CNIL, die seit 2020 eine Reihe von Technologiegiganten (darunter Amazon, Google, Meta, Microsoft und TikTok) wegen einer Vielzahl von Cookie-bezogenen Verstößen mit Geldstrafen belegt hat , einschließlich mehrfacher Durchsetzung (und Bußgelder) wegen der Verwendung von Dark Patterns, um zu versuchen, die Einwilligung zu manipulieren.
Die Durchsetzungstätigkeit der CNIL umfasste auch Korrekturanordnungen, die dazu beigetragen haben, einige größere Designänderungen zu erzwingen – einschließlich der Überarbeitung des Cookie-Banners, das es im vergangenen Jahr in der gesamten EU anzeigte, um (endlich) eine „Alle ablehnen“-Option auf oberster Ebene zu bieten. Was ein ziemlicher Gewinn ist.
Und angesichts der Tatsache, dass die CNIL eine führende Rolle bei der Koordinierung der Arbeit der Taskforce gespielt hat, scheint es, dass ein Teil ihrer Konvention auf andere Datenschutzbehörden abfärbt.
In einem Pressemitteilung Begleitend zur Annahme des Berichts der Taskforce durch den Europäischen Datenschutzausschuss Anfang dieser Woche und zur Zusammenfassung des Ergebnisses schreibt die französische Regulierungsbehörde: „In diesem Bericht heißt es insbesondere, dass die überwiegende Mehrheit der Behörden der Ansicht ist, dass es keine Möglichkeit gibt, die Zustimmung zu verweigern/abzulehnen/nicht zuzustimmen Cookies auf der gleichen Ebene wie die, die für die Annahme ihrer Speicherung vorgesehen ist, stellen einen Verstoß gegen die Rechtsvorschriften dar (Artikel 5 Absatz 3 der Datenschutzrichtlinie für elektronische Kommunikation). Die CNIL hatte bereits in ihren Richtlinien und im Zusammenhang mit mehreren Sanktionen eine solche Position bezogen.“
Neben der Einigung darüber, dass eine „Alle akzeptieren“-Schaltfläche von einer „Alle ablehnen“-Schaltfläche begleitet werden muss, stimmte die Taskforce darin überein, dass das Design von Cookie-Bannern Webbenutzern genügend Informationen liefern muss, damit sie verstehen können, was sie sind zustimmen und wie sie ihre Wahl ausdrücken können.
Und dass Cookie-Banner nicht so gestaltet sein dürfen, dass Nutzer „den Eindruck erwecken, dass sie eine Einwilligung geben müssen, um auf die Website-Inhalte zuzugreifen, oder den Nutzer eindeutig zur Einwilligung drängen“, wie es in dem Bericht heißt.
Sie einigten sich auch auf einige Beispiele für Cookie-Designs, die dies tun würden nicht zu einer gültigen Zustimmung führen – beispielsweise wenn das Design so ist, dass „die einzige angebotene alternative Aktion (außer der Erteilung der Zustimmung) aus einem Link hinter Formulierungen wie „Ablehnen“ oder „Fortfahren ohne zu akzeptieren“ besteht, der in einen Textabschnitt im Cookie eingebettet ist Banner, in Ermangelung einer ausreichenden visuellen Unterstützung, um die Aufmerksamkeit eines durchschnittlichen Benutzers auf diese alternative Aktion zu lenken“; oder wenn „die einzige angebotene alternative Aktion (außer der Zustimmung) aus einem Link hinter Formulierungen wie „Ablehnen“ oder „Fortfahren ohne Akzeptieren“ besteht, der außerhalb des Cookie-Banners platziert wird, wo die Schaltflächen zum Akzeptieren von Cookies angezeigt werden, sofern keine ausreichenden vorhanden sind visuelle Unterstützung, um die Aufmerksamkeit der Benutzer auf diese alternative Aktion außerhalb des Rahmens zu lenken“.
Im Grunde haben sie sich also darauf geeinigt, bestimmte übliche dunkle Muster von Cookie-Bannern auszuschließen.
Aber bei visuellen Tricks – wie der Verwendung von Hervorhebungsfarben, die ausgewählt werden können, um den Blick auf eine Schaltfläche „Alle akzeptieren“ zu lenken und es schwieriger zu machen, eine Ablehnungsoption zu erkennen – hat die Taskforce entschieden, dass das Aussehen von Fall zu Fall analysiert wird und Haptik (und das Potenzial, dass diese Art von Designentscheidungen offensichtlich irreführend sind) in den meisten Fällen erforderlich wäre. Und sie waren sich einig, dass es nicht ihre Aufgabe ist, Datenverantwortlichen einen allgemeinen Bannerstandard (in Bezug auf Farbe und/oder Kontrast) aufzuerlegen.
Sie waren sich auch einig, dass das Ablehnen aller Schaltflächen, die so gestaltet sind, dass der Text „für praktisch jeden Benutzer unlesbar“ wird, für Benutzer „offensichtlich irreführend“ sein könnte.
Andere Probleme, mit denen sich die Taskforce auseinandersetzte, waren eine neuere Ergänzung zur Cookie-Zustimmungshölle – in der Websites möglicherweise versuchen, (auch) ein „berechtigtes Interesse“ an der Anzeigenverarbeitung geltend zu machen. Manchmal werden neben den Schaltflächen für die Rechtsgrundlage der Zustimmung eine Reihe zusätzlicher Schalter hinzugefügt, die normalerweise nur in einem sekundären (oder anderen Untermenü) angezeigt werden und bei denen die oberste Ebene keine Option „Alle ablehnen“ bietet – stattdessen müssen Benutzer sich durchklicken in die Einstellungen, um dieses verwirrende Durcheinander von Schaltern (manchmal mit vorab aktivierten LI-Schaltern) aufzudecken.
„Die Integration dieses Begriffs des berechtigten Interesses für die nachfolgende Verarbeitung „in den tieferen Schichten des Banners“ könnte für Benutzer als verwirrend angesehen werden, die möglicherweise denken, dass sie zweimal ablehnen müssen, um ihre personenbezogenen Daten nicht verarbeiten zu lassen“, so der Bericht beobachtet dazu.
Die Taskforce einigte sich auch darauf, wie die Regulierungsbehörden feststellen sollten, ob eine nachfolgende Verarbeitung auf der Grundlage von Cookies rechtmäßig ist – dies würde die Feststellung beinhalten, ob „die Speicherung/der Zugang zu Informationen durch Cookies oder ähnliche Technologien in Übereinstimmung mit Artikel 5 Absatz 3 ePrivacy erfolgt Richtlinie (und den nationalen Durchführungsbestimmungen) – jede nachfolgende Verarbeitung erfolgt in Übereinstimmung mit der DSGVO. 24″.
„In diesem Zusammenhang vertraten die Taskforce-Mitglieder die Ansicht, dass die festgestellte Nichteinhaltung von Art. 5 (3) der ePrivacy-Richtlinie (insbesondere wenn keine gültige Einwilligung eingeholt wird, wo erforderlich) bedeutet, dass die nachfolgende Verarbeitung nicht mit der DSGVO 5 konform sein kann. Außerdem bestätigten die TF-Mitglieder, dass die Rechtsgrundlage für das Platzieren/Lesen von Cookies gemäß Artikel 5 Absatz 3 können nicht das berechtigte Interesse des für die Verarbeitung Verantwortlichen darstellen“, fügen sie in dem Bericht hinzu.
Obwohl sie anscheinend ein weitgehend zurückhaltendes Urteil darüber haben, wie mit der neuen Geißel von LI-Umschaltern umzugehen ist, die in Cookie-Zustimmungsströmen auftauchen, sagten sie, sie seien „einverstanden, die Diskussionen über diese Art von Praxis wieder aufzunehmen, falls sie auf konkrete Fälle stoßen, in denen weitere Diskussionen erforderlich wären, um sicherzustellen, dass a konsequentes Vorgehen“.
Die Arbeitsgruppe erörterte auch, was mit Websites zu tun ist, die versuchen, einige nicht wesentliche Datenverarbeitungen als unbedingt erforderlich/wesentlich einzustufen – und sie dadurch in eine Kategorie zu bündeln, die keine Zustimmung gemäß ePrivacy oder der DSGVO erfordert. Sie waren jedoch der Ansicht, dass es praktische Schwierigkeiten gebe, festzustellen, welche Verarbeitung unbedingt erforderlich ist.
„Die Taskforce-Mitglieder waren sich einig, dass die Bewertung von Cookies, um festzustellen, welche Cookies wesentlich sind, praktische Schwierigkeiten aufwirft, insbesondere aufgrund der Tatsache, dass sich die Merkmale von Cookies regelmäßig ändern, was die Erstellung einer stabilen und zuverlässigen Liste solcher wesentlicher Cookies verhindert“, so die Forscher schrieb. „Die Existenz von Tools zur Erstellung der Liste der von einer Website verwendeten Cookies wurde diskutiert, ebenso wie die Verantwortung der Website-Eigentümer, solche Listen zu führen und sie den zuständigen Behörden auf Anfrage zur Verfügung zu stellen und die Wesentlichkeit der Cookies nachzuweisen aufgeführt.“
Zu einem anderen Thema – dem Widerruf der Einwilligung – stimmten sie zu, dass Website-Eigentümer „leicht zugängliche Lösungen einrichten sollten, die es den Benutzern ermöglichen, ihre Einwilligung jederzeit zu widerrufen“, indem sie das Beispiel eines kleinen Symbols („schwebend und dauerhaft sichtbar“) oder eines Links „ an einem sichtbaren und standardisierten Ort platziert“.
Sie scheuten sich jedoch erneut davor, den Website-Eigentümern eine bestimmte standardisierte Methode zum Widerruf der Zustimmung durch die Benutzer aufzuerlegen, und sagten, dass sie nur zur Implementierung verpflichtet werden könnten „leicht zugängliche Lösungen“, sobald die Zustimmung eingeholt wurde.
„Eine Einzelfallprüfung der angezeigten Widerrufslösung wird immer erforderlich sein. Bei dieser Analyse ist zu prüfen, ob damit die gesetzliche Vorgabe erfüllt ist, dass der Widerruf ebenso einfach ist wie die Erteilung einer Einwilligung“, fügten sie hinzu.