Sind Cookie-Banner in Europa illegal?

Zentraler Bestandteil des Cookie-Banners wurde von der belgischen Datenschutzbehörde für illegal erklärt.

Cookie Banner illegal in Europa?

Jeder kennt sie, jeder hasst sie: Cookie-Banner. In einem bahnbrechenden Urteil hat die belgische Datenschutzbehörde einen zentralen Bestandteil der über Cookie-Banner erteilten Zustimmung für illegal und nicht mit der Datenschutz-Grundverordnung vereinbar erklärt. Wird damit endlich Schluss sein mit dem lästigen Klicken auf Cookies?


Der technische Standard, der von Werbefirmen verwendet wird, um die DSGVO-Zustimmung online abzufragen, ist illegal. Die Folgen könnten enorm sein - für Medienunternehmen, aber auch für Branchenriesen wie Google und Amazon.

Was hat die belgische Datenschutzbehörde entschieden?

Die belgische Datenschutzbehörde APD hat entschieden, dass ein zentraler Mechanismus für Cookie-Banner gegen die europäische Datenschutzgrundverordnung (DSGVO) verstößt. Die Entscheidung wurde in einem so genannten One-Stop-Verfahren getroffen. Das heißt, sie gilt für die gesamte EU. Das Verfahren geht auf eine Beschwerde des irischen Council for Civil Liberties und anderer europäischer Bürgerrechtsorganisationen zurück und könnte ein schwerer Schlag für die europäische Werbeindustrie sein.

Lesen Sie hier mehr über die Entscheidung.

Harter Schlag für die Datenindustrie

”Dies war ein langer Kampf”, sagte Dr. Johnny Ryan vom Irish Council for Civil Liberties, “die heutige Entscheidung befreit Hunderte Millionen Europäer*innen von Einwilligungsspam und der großen Gefahr, dass ihre intimsten Online-Aktivitäten von Tausenden von Unternehmen weitergegeben werden”.

Wie funktioniert die Einwilligung bei Cookies und gezielter Werbung?

Gezielte Werbung im Internet funktioniert folgendermaßen (vereinfachte Erklärung): Jeder Besuch einer Website, die Cookie-Tracking für gezielte Werbung nutzt, löst eine Auktion unter den Werbeanbietern aus. Innerhalb von Millisekunden wird auf der Grundlage des Nutzerprofils und einiger anderer Faktoren entschieden, welche Werbung man zu sehen bekommt (= Echtzeitgebot).

Real-Time-Bidding

Damit dieses Real-Time-Bidding (RTB) funktioniert, wollen die Werbefirmen viel über die Person wissen, die gerade auf ihrer Website surft: Alter, Geschlecht, Interessen, besuchte Websites, Wohnort, Kaufkraft und mehr. Diese Daten werden verwendet, um die am besten geeignete Anzeige einzublenden, diejenige, auf die man am ehesten klicken wird.

Lesen Sie hier, warum wir ein Verbot gezielter Werbung fordern.

Tracking ohne Zustimmung?

Nach der Datenschutz-Grundverordnung ist ein solches Tracking jedoch nur zulässig, wenn Nutzerinnen dem zustimmen. Das Transparent and Consent Framework (TCF) des Werbeverbands IAB Europe fordert diese Zustimmung angeblich ein: Wenn Nutzerinnen auf “Cookies akzeptieren” klicken oder nicht widersprechen, dass die Nutzung ihrer Daten im berechtigten Interesse des Anbieters liegt, erzeugt das TCF einen sogenannten TC-String. Diese Kennung bildet die Grundlage für die Erstellung von individuellen Profilen. Die Profile werden dann für den Abgleich mit der anzuzeigenden Werbung verwendet. Dabei wird der TC-String an aberhunderte von Partnern im OpenRTB-System weitergeleitet.

Die gesamte Werbebranche (wenn es um gezielte Werbung geht) basiert auf dem TC-String, was ihn zum wichtigsten Standard im Ökosystem der Online-Werbung macht.

Wie wirkt sich die Entscheidung auf die Werbeindustrie aus?

In einem bahnbrechenden Urteil hat der belgische Datenschutzbeauftragte entschieden, dass die gemeinsame Nutzung des TC-Strings mit Hunderten von Partnern gegen die Allgemeine Datenschutzgrundverordnung verstößt. Nach Ansicht der Aufsichtsbehörde entspricht das von Werbetreibenden verwendete System zur Einholung von Einwilligungen für gezielte Werbung im Internet nicht den Grundsätzen der Rechtmäßigkeit und Fairness.

Der belgische APD hat in seinem Urteil eine Geldstrafe von 250.000 Euro gegen den Werbeverband IAB Europe verhängt, der den TCF-Mechanismus entwickelt und betreibt. Außerdem muss IAB nun die bereits erhobenen personenbezogenen Daten löschen. Weitaus bedeutsamer sind jedoch die Bedingungen, die der APD der Werbeindustrie auferlegt, um den Transparenz- und Einwilligungsrahmen überhaupt weiter zu nutzen.

Tausende von Website-Betreibern, fast alle Online-Medien und auch große Werbeunternehmen wie Google und Amazon nutzen den Mechanismus, um die vermeintliche Einwilligung der Nutzer*innen in die Verarbeitung ihrer personenbezogenen Daten zu Werbezwecken weiterzugeben.

Hielke Hijmans, Vorsitzender der Kammer für Rechtsstreitigkeiten des belgischen APD, sagt:

“Die Menschen werden aufgefordert, ihr Einverständnis zu geben, während die meisten von ihnen nicht wissen, dass ihre Profile mehrmals am Tag verkauft werden, um sie mit personalisierter Werbung zu konfrontieren. Auch wenn es sich um die TCF und nicht um das gesamte Echtzeitgebotssystem handelt, wird unsere heutige Entscheidung große Auswirkungen auf den Schutz der persönlichen Daten haben. Die Ordnung im TCF-System muss wiederhergestellt werden, damit die Nutzer*innen wieder die Kontrolle über ihre Daten erlangen können.

Auch wenn sich die Entscheidung nicht direkt auf das gesamte Werbesystem im Internet auswirkt, wird sie doch erhebliche Auswirkungen auf den Schutz der persönlichen Daten der Internetnutzer*innen haben, so Hijmans.

Warum ist die Entscheidung von Bedeutung?

Die belgischen Datenschutzbehörden argumentieren, dass nicht nur die Werbeprofile personenbezogene Daten sind, sondern dass auch der TC-String, der für gezielte Werbung verwendet wird, als personenbezogene Daten zu betrachten ist. Diese Zeichenkette kann mit der IP-Adresse kombiniert werden und macht somit jeden und jede identifizierbar.

Folglich verstößt das IAB Europe mit dem TCF-Protokoll, das zur Generierung von TC-Strings verwendet wird, gegen die Datenschutzgrundverordnung. Darüber hinaus sind die von den Nutzer*innen erteilten Einwilligungen in die Datenverfolgung (Cookies) unwirksam, da es kein ausreichendes berechtigtes Interesse des Website-Betreibers gibt, um eine solche Einwilligung überhaupt zu verlangen.

Die Behörden argumentieren, dass das berechtigte Interesse der Nutzer*innen gegenüber dem berechtigten Interesse der Werbeunternehmen überwiegt, da das Tracking von Echtzeit-Werbung mit einem hohen Risiko verbunden ist.

Außerdem waren die Informationen, die den Nutzer*innen bei der Erteilung der Einwilligung gegeben wurden, zu allgemein und vage, als dass sie die Art und den Umfang der Verarbeitung ihrer Daten hätten verstehen können, insbesondere angesichts der Komplexität der Tracking-basierten Werbung.

Wie geht es weiter?

Die Entscheidung hat keine unmittelbaren Auswirkungen auf Verlage oder Marketingunternehmen, die Tracking-basierte Werbung einsetzen.

Vorerst betrifft die Entscheidung nur den Werbeverband IAB Europe als Anbieter des TCF-Protokolls.

Zwei wichtige Entwicklungen sind jetzt zu erwarten:

  1. Mehr Informationen: Die Informationen, die den Nutzer*innen vor der Erteilung der Zustimmung zur Verfügung gestellt werden, werden in Zukunft spezifischer und weniger vage sein.

  2. Eine weitere Folge dieser Entscheidung könnte sein, dass es für Unternehmen in Zukunft schwierig sein wird, sich auf ein “berechtigtes Interesse” als Rechtsgrundlage für die Datenverarbeitung zu berufen. Die einzig mögliche Rechtsgrundlage wäre dann die aktive Einwilligung.

Erste Konsequenz? Googles neue Schaltfläche ‘Alles ablehnen’

Ein erstes Anzeichen dafür, dass die europäischen Behörden die Rechte der Kunden strikter durchsetzen, ist die Tatsache, dass Google endlich eine Schaltfläche “Alles ablehnen” in seine Cookie-Banner einfügt.

ist das alte Google Cookie Banner illegal in Europa? Google fügt nun einen 'Alles ablehnen' Button hinzu. ist das alte Google Cookie Banner illegal in Europa? Google fügt nun einen 'Alles ablehnen' Button hinzu.

Bis April 2022 war es sehr mühsam, das Cookie-Tracking durch Google einzuschränken, da die Schaltfläche “Alles ablehnen” fehlte.

Gute Nachrichten für Datenschutz-Fans

Für Internetnutzer, die Wert auf Datenschutz legen, ist die Entscheidung der belgischen Datenschutzbehörde, Cookie-Banner für illegal zu erklären, eine sehr gute Nachricht.

Erstens, weil Ad-Tech-Unternehmen die Nutzerdaten, die sie über den TCF-Mechanismus gesammelt haben, löschen müssen.

Zweitens - und das ist noch wichtiger - könnte die Entscheidung der belgischen Datenschutzbehörden dazu führen, dass das gesamte System der personalisierten Werbung gekippt wird.

Dies könnte der gezielten Werbung endgültig ein Ende setzen.