Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union, seit 2018 in Kraft, ist eines der umfassendsten Datenschutzgesetze weltweit. Sie soll die persönlichen Daten von EU-Bürgern schützen und Unternehmen zur Einhaltung der Datenschutzvorschriften verpflichten. In der Praxis gestaltet sich die Umsetzung dieser Regeln jedoch oft schwierig, insbesondere im Umgang mit Cookies auf Websites.

In Belgien führte die Beschwerde der Datenschutzorganisation NOYB (None Of Your Business), unter der Leitung von Max Schrems, gegen vier Unternehmen eines belgischen Medienkonzerns zu einer wichtigen Entscheidung bei der belgischen Aufsichtsbehörde APD/GBA. Die belgische Datenschutzbehörde hatte vier große Nachrichtenseiten (De Standaard, Het Nieuwsblad, Het Belang van Limburg und Gazet van Antwerpen) dazu aufgefordert, ihre Cookie-Banner an die geltenden Anforderungen der DSGVO anzupassen. Dieser Entscheidung der Behörde gingen mehrere Beschwerden aus dem Jahr 2023 voraus.

Hintergrund: Konformität der Cookie-Banner

Cookies sammeln Informationen über Nutzerverhalten, sind jedoch nach der DSGVO nur erlaubt, wenn Nutzer explizit in die Verarbeitung einwilligen. Viele Websites erschweren jedoch das Ablehnen von Cookies durch irreführende Cookie-Banner. Bei den Nachrichtenseiten De Standaard, Het Nieuwsblad, Het Belang van Limburg und Gazet van Antwerpen, die alle zu Mediahuis einem Verlag mit Sitz in Belgien gehören, waren die ersten Ebenen der Cookie-Banner so gestaltet, dass das Ablehnen von Cookies erschwert war. Ein „Ablehnen“-Button fehlte auf der ersten Ebene, und die Gestaltung der Buttons war irreführend.

Anpassung der Cookie-Banner und mögliche Konsequenzen

Die belgische Datenschutzbehörde forderte das Mediahuis infolgedessen auf, die eingesetzten Cookie-Banner auf den Webseiten datenschutzkonform umzugestalten. Ein klarer „Ablehnen“-Button muss sichtbar sein, und die farbliche Gestaltung darf nicht länger dazu verleiten, unbewusst zuzustimmen (zum Thema „Nudging“ und einer datenschutzkonformen Ausgestaltung eines Cookie Banners informierten wir hier). Bei Nichtbeachtung drohen hohe Geldbußen von bis zu 50.000 Euro pro Tag und Website, was sich auf bis zu 200.000 Euro pro Tag summieren könnte. Das maximale Bußgeld beträgt bis zu 10 Millionen Euro.

Frühere Fälle und kritisierte Vergleiche

Bereits im Juli 2023 hatte NOYB Beschwerden gegen 15 belgische Nachrichtenseiten eingereicht. Die Datenschutzbehörde reagierte damals jedoch lediglich mit einem Vergleich und einer Zahlung von 10.000 Euro, ohne die Anpassung der Banner durchzusetzen. Diese Entscheidung wurde kritisiert, da sie den Verstoß nicht vollständig beendete.

Aktuelle Entscheidung des Bundesverwaltungsgerichts Österreich

Ende Juli dieses Jahres erging in einem ähnlichen Sachverhalt ein weiterer Erfolg für die NOYB. Hier entschied das Bundesverwaltungsgericht ebenfalls zugunsten des Klägers, vertreten durch die Organisation um Max Schrems, dass ein „Ablehnen“-Button im CMP der Seite als Option nicht ausreichend transparent für den Nutzer zu finden gewesen war und eine Ablehnung mit zu hohem Aufwand verbunden war und damit unwahrscheinlicher gemacht wurde. Nachdem der Mitbeteiligte zugestimmt hatte, interpretierte die beschwerdeführende Partei dies als Zustimmung zu allen versteckten, vorausgewählten Optionen auf der zweiten Ebene des Banners. Um die Bearbeitung abzulehnen, hätte der Mitbeteiligte auf eine Schaltfläche klicken müssen, die zu weiteren Auswahlmöglichkeiten führt. Mit einem weiteren Klick hätte der Mitbeteiligte dann die nun deaktivierten Optionen bestätigen können.

Zukunftsperspektiven: Stärkere Durchsetzung der DSGVO

Die jüngste Entscheidung markiert einen Wendepunkt in der Vorgehensweise der belgischen Datenschutzbehörde und könnte als Warnung für andere Unternehmen in Europa dienen. Websitebetreiber werden aufgefordert, ihre Cookie-Banner zu überprüfen und sicherzustellen, dass die Einwilligung der Nutzer eingeholt wird, bevor Cookies gesetzt werden. Für Nutzer bedeutet dies eine bessere Kontrolle über ihre persönlichen Daten und eine informierte Entscheidungsmöglichkeit.

Die Anweisung der belgischen Datenschutzbehörde an Mediahuis zeigt die zunehmende Entschlossenheit, die DSGVO konsequent durchzusetzen. Es unterstreicht, dass Datenschutzrechte ernst genommen werden und Unternehmen zur Rechenschaft gezogen werden können, wenn sie gegen diese Vorschriften verstoßen.