Was zunächst wie ein simples Designproblem wirkte, entpuppte sich als datenschutzrechtlicher Stolperstein: Ein Cookie-Banner, der Nutzern auf der ersten Ebene nicht dieselbe einfache Möglichkeit bietet, Cookies abzulehnen wie zu akzeptieren, verstößt gegen die DSGVO.
Ein Nutzer der Onlineausgabe einer österreichischen Zeitung beschwerte sich bei der Datenschutzbehörde. Das Cookie-Banner der Website der Zeitung biete lediglich die Möglichkeit, Cookies zu „akzeptieren“ und deren Zwecke anzuzeigen. Eine Ablehnung („Alle ablehnen“) sei erst nach einem weiteren Klick auf der zweiten Ebene möglich. Zudem war kein „schwebendes Symbol“ zur schnellen Änderung der Cookie-Einstellungen direkt im Banner implementiert; vielmehr musste der Nutzer einen Link im Footer der Website benutzen, um zu den Einstellungen zurückzukehren. Das Medium löschte die Daten des Nutzers auf dessen Verlangen, die Datenschutzbehörde griff im Rahmen ihrer Abhilfebefugnis ein.
In rechtlicher Hinsicht wesentlich war die Frage, welche Anforderungen Cookie-Banner erfüllen müssen, damit sie mit Art 7 Abs. 3 der Datenschutz-Grundverordnung (DSGVO) im Einklang stehen. Art. 7 Abs. 3 DSGVO schreibt vor, dass die Einwilligung zur Verarbeitung personenbezogener Daten jederzeit widerrufen werden kann und der Widerruf genauso einfach sein muss wie die Erteilung der Einwilligung. Darüber hinaus war die Anwendung des Medienprivilegs nach § 9 Abs 1 Datenschutzgesetz (DSG) zu prüfen. Dieses Privileg schützt personenbezogene Datenverarbeitungen im Bereich der journalistischen Tätigkeit und Medienberichterstattung, solange sie der Verbreitung von Informationen, Meinungen oder Ideen über öffentliche Themen dienen.
Die Datenschutzbehörde trug der Zeitung mittels Bescheid gemäß Art 58 Abs 2 lit d DSGVO auf, den Cookie-Banner innerhalb von zehn Wochen dahingehend zu ändern, dass bereits auf der ersten Ebene eine optisch gleichwertige Option zur Ablehnung von Cookies oder zum Schließen des Banners ohne Einwilligung angeboten wird. Dagegen wandte sich die Zeitung mit einer Beschwerde an das Bundesverwaltungsgericht (BVwG). Das BVwG teilte die Auffassung der Datenschutzbehörde: Es sei unzulässig, eine Ablehnung von Cookies erst durch mehrere Klicks und visuell untergeordnete Links zu ermöglichen, während für die Zustimmung ein einzelner Klick ausreiche. Außerdem stellte das BVwG klar, dass das Medienprivileg (§ 9 Abs 1 DSG) für journalistische Tätigkeiten hier nicht anwendbar sei, da die Verarbeitung personenbezogener Daten durch Cookies für Marketing- und Analysezwecke keine journalistische Tätigkeit darstelle. Auch der Verwaltungsgerichtshof (VwGH) sah keine Veranlassung zur Revision: Die Gestaltung von Cookie-Bannern sei eine Einzelfallfrage ohne grundsätzliche Bedeutung. Eine Fehlbeurteilung durch das Verwaltungsgericht sei nicht erkennbar – die Entscheidung sei rechtlich fundiert.
Damit bestätigt der VwGH: Ein Cookie-Banner, das die Ablehnung technisch oder optisch erschwert, verstößt gegen die DSGVO. Die Einwilligung muss echt, freiwillig und gleich einfach zu erteilen wie zu verweigern sein. Wer das ignoriert, riskiert nicht nur Maßnahmen der Datenschutzbehörde, sondern auch einen empfindlichen Reputationsschaden. Es empfiehlt sich daher, im Voraus sicherzustellen, dass Websites den datenschutzrechtlichen Vorgaben entsprechen und bestehende Websites regelmäßig nach rechtlichen Standards prüfen zu lassen.
VwGH 16.01.2025, Ra 2024/04/0424
10.04.2025