Cookie-Banner sind ein alltäglicher Anblick für Internetnutzer, und dennoch bleiben die rechtlichen Anforderungen daran oft unklar. Ein aktuelles Urteil des österreichischen Bundesverwaltungsgerichts (BVwG) vom 25.11 2024 (W252 2282050-1/12) hat nun erneut wichtige Maßstäbe gesetzt, wie Cookie-Banner im Hinblick auf die DSGVO rechtskonform ausgestaltet sein müssen. Obwohl das Urteil keine neuen Maßstäbe setzt, verdeutlicht es, wie die einheitliche europäische Rechtsprechung anzuwenden ist – ein wichtiger Hinweis für Unternehmen in Österreich und darüber hinaus.
Im Mittelpunkt der Entscheidung stehen die Gleichwertigkeit von Einwilligungs- und Ablehnungsoptionen sowie die Benutzerfreundlichkeit bei der Widerrufsgestaltung. Diese Aspekte basieren auf Grundsätzen, die der Europäische Gerichtshof (EuGH) und nationale Gerichte bereits mehrfach konkretisiert haben. Trotzdem zeigt das Urteil, dass die Umsetzung der DSGVO-Vorgaben in der Praxis noch immer Defizite aufweist.
Einwilligungen und „Dark Patterns“: Der Teufel liegt im Detail
Ein zentrales Thema des Urteils war die Frage, wie die Einwilligung der Nutzer eingeholt werden darf. Laut Art. 7 Abs. 1 DSGVO muss eine Einwilligung freiwillig, eindeutig und in informierter Weise erfolgen. Das BVwG betonte, dass Design und Nutzerführung hierbei eine entscheidende Rolle spielen.
Ein besonders kritischer Punkt ist die Verwendung sogenannter „Dark Patterns“. Darunter versteht man Designelemente, die Nutzer subtil oder bewusst in eine bestimmte Richtung lenken – beispielsweise durch eine auffällige Gestaltung des „Akzeptieren“-Buttons, während die Ablehnungsoption optisch zurücktritt. Im verhandelten Fall wurde ein blau hervorgehobener „OK“-Button dem in einem unauffälligen Grauton gehaltenen „Ablehnen“-Link gegenübergestellt. Das Gericht entschied, dass eine solche Gestaltung die Nutzerentscheidung beeinflusst und somit nicht den Transparenzanforderungen der DSGVO entspricht.
Das Urteil macht klar: Beide Optionen müssen gleichwertig gestaltet sein. Größe, Kontrast, Schriftart und Platzierung dürfen keine der beiden Alternativen bevorzugen. Damit wird eine bewusste Entscheidung der Nutzer gewährleistet, was insbesondere im Hinblick auf das Vertrauen in den Datenschutz wichtig ist.
Widerruf der Einwilligung: Benutzerfreundlichkeit als Maßstab
Neben der Einwilligung widmete sich das BVwG ausführlich der Frage, wie einfach der Widerruf einer einmal erteilten Zustimmung sein muss. Die DSGVO legt in Art. 7 Abs. 3 fest, dass der Widerruf so einfach möglich sein muss wie die ursprüngliche Einwilligung. Das Gericht sah diese Vorgabe im verhandelten Fall als nicht erfüllt an.
Der kritisierte Punkt war die Platzierung der Widerrufsmöglichkeit: Diese war lediglich über einen Link im Footer der Website erreichbar. Nutzer mussten also scrollen und gezielt suchen, um ihre Einwilligung zu widerrufen. Nach Ansicht des Gerichts stellt dies eine unnötige Hürde dar. Für den Widerruf gelten dieselben Anforderungen an Benutzerfreundlichkeit und Sichtbarkeit wie für die Erteilung der Einwilligung. Ein Beispiel für eine zulässige Gestaltung könnte ein schwebender Button oder ein dauerhaft sichtbarer Link am Rand der Website sein. Wichtig ist, dass Nutzer den Widerruf intuitiv und ohne Aufwand durchführen können.
Das Gericht führte weiter aus, dass Hinweise im Cookie-Banner klar und verständlich darauf aufmerksam machen müssen, wie und wo der Widerruf erfolgen kann. Ein bloßer Verweis auf die Datenschutzerklärung oder ein Link ohne klaren Kontext reichen nicht aus, um den Anforderungen der DSGVO zu genügen.
Besondere Bedeutung für österreichische Unternehmen
Für Unternehmen in Österreich, die Websites betreiben und personenbezogene Daten verarbeiten, hat dieses Urteil eine hohe Bedeutung. Es bestätigt, dass Cookie-Banner nicht nur technisch, sondern auch optisch und funktional den Vorgaben der DSGVO entsprechen müssen. Die optische Bevorzugung der Einwilligung ist ebenso unzulässig wie eine erschwerte Zugänglichkeit der Widerrufsmöglichkeit.
Diese Entscheidung fügt sich in die europäische Rechtsprechung ein, die zunehmend detaillierte Vorgaben zur Benutzerfreundlichkeit und Transparenz macht. Gerade für österreichische Unternehmen bietet das Urteil wichtige Orientierung, um Rechtskonformität sicherzustellen.
Fazit: Klare Regeln und kompetente Unterstützung
Das Urteil des BVwG verdeutlicht einmal mehr die Anforderungen, die die DSGVO an Cookie-Banner stellt. Unternehmen in Österreich müssen sicherstellen, dass Einwilligungen freiwillig, transparent und ohne manipulative Elemente eingeholt werden, während der Widerruf genauso einfach möglich sein muss. Dabei ist die korrekte Umsetzung der Vorgaben nicht nur eine rechtliche Pflicht, sondern auch ein Signal für Vertrauen und Verantwortungsbewusstsein gegenüber den Nutzern.
Unsere Kanzlei unterstützt Sie dabei, Ihre Cookie-Banner rechtssicher zu gestalten und die Anforderungen der DSGVO umzusetzen. Mit unserer langjährigen Erfahrung im Datenschutzrecht helfen wir Ihnen, Risiken zu minimieren und Ihre Website in Einklang mit den rechtlichen Vorgaben zu bringen. Kontaktieren Sie uns – wir beraten Sie gerne zu allen Fragen rund um den Datenschutz!
.png)
Fachanwalt für Insolvenz- und Sanierungsrecht
Datenschutzauditor (TÜV)
Datenschutzbeauftragter (TÜV)
Zum Profil
