Eine Arbeitsgruppe des Europäischen Datenschutzausschusses (EDSA) veröffentlichte in der zweiten Januarhälfte einen Berichtsentwurf zur Gestaltung von Cookie-Bannern. Die Ergebnisse des Berichts entsprechen im wesentlichem dem, was bereits in der Orientierungshilfe Telemedien der Datenschutzkonferenz (DSK) niedergeschrieben ist.
Der EDSA kommt zu dem Schluss, dass Cookie-Banner die wie folgt gestaltet sind, irreführend, unfair und rechtswidrig sind. Fehlt ein „Ablehnen“-Button auf derselben Seite der Zustimmung, so ist das Cookie-Banner rechtswidrig. Ebenfalls als rechtswidrig eingestuft wurden – wenig überraschend – bereits vorangekreuzte Kästchen. Hierin könne keine aktive Einwilligung gesehen werden.
Sind die Links zur Ablehnung in einen Text eingebettet, oder außerhalb des Cookie-Banners platziert, so ist auch diese Gestaltung rechtswidrig.
Ferner ist eine irreführende und rechtswidrige Praxis ausdrücklich dann anzunehmen, wenn als Rechtsgrundlage für die Verwendung nicht notwendiger Cookies ein „berechtigtes Interesse“ angegeben wird. Zudem muss eine permanente Möglichkeit geschaffen werden, die bereits erteilte Einwilligung zu widerrufen.
Der Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI), Ulrich Kelber begrüßt den Berichtsentwurf des EDSA und sagte: „Eine gut gemachte und faire Internetseite benötigt kein Cookie-Banner, weil nur technisch notwenige Cookies verwendet werden. Wenn Webseitenbetreiber aber unbedingt personenbezogene Daten sammeln wollen, dann dürfen sie sich eine Einwilligung dafür nicht mit unfairen oder rechtswidrigen Mitteln holen“.
Bislang äußerste sich der EDSA noch nicht über die gezielte Verwendung unterschiedlicher Farben und Kontraste der einzelnen Button. Die endgültige Fassung des EDSA-Berichts bietet möglicherweise mehr Aufschluss.