Österreichisches Gericht verbietet ORF Einsatz irreführender Cookie-Banner

Das Bundesverwaltungsgericht Österreichs hat entschieden, dass der Österreichische Rundfunk (ORF) sein Cookie-Banner überarbeiten muss.
Im August 2021 reichte die österreichische Datenschutzorganisation noyb 422 DSGVO-Beschwerden in zehn europäischen Ländern ein. Der Vorwurf: Unternehmen hätten Cookie-Banner mit irreführender Gestaltung und manipulativem Design, sogenannten Dark Patterns, auf ihren Websites eingesetzt.
„In informellen Rückmeldungen haben Unternehmen die Befürchtung geäußert, dass ihre Konkurrenten die Vorschriften nicht einhalten werden, was zu einem unfairen Wettbewerb führen würde. Andere sagten, dass sie auf eine klare Entscheidung der Behörden warten, bevor sie die Gesetze einhalten. Wir hoffen daher, dass die Datenschutzbehörden bald Entscheidungen und Sanktionen erlassen werden“, erklärte noyb-Vorsitzender Max Schrems damals in einer Stellungnahme.
Zu den Unternehmen, die wegen irreführender und rechtswidriger Cookie-Banner eine DSGVO-Beschwerde erhielten, zählte auch der ORF. Das Banner auf der Website des Rundfunksenders enthielt keine Ablehnen-Schaltfläche. Besucherinnen und Besucher konnten Tracking-Cookies nicht blockieren.
Im Oktober 2024 entschied die österreichische Datenschutzbehörde (DSB) zugunsten von noyb und verpflichtete den ORF, bereits auf erster Ebene sowohl eine Ablehnen- als auch eine Zustimmen-Schaltfläche einzubinden. Zu diesem Zeitpunkt hatte der Sender zwar bereits einen Ablehnen-Button eingeführt, diesen jedoch so gestaltet, dass er weniger prominent als die Zustimmungs-Schaltfläche wirkte. Das kritisierte die Datenschutzorganisation.
Daraufhin legte der ORF Beschwerde beim Bundesverwaltungsgericht ein, um die Entscheidung anzufechten.
Das Gericht bestätigte nun seine frühere Entscheidung: Das Cookie-Banner des ORF entspreche nicht den europäischen Datenschutzvorgaben. Eine farblich hervorgehobene Zustimmungs-Schaltfläche sei irreführend und könne zu unbeabsichtigtem Einverständnis führen, wodurch die Einwilligung der Nutzerin oder des Nutzers nicht mehr als eindeutig gelten könne. Darüber hinaus verstoße dies gegen den Grundsatz der Transparenz.
„Die Datenschutzbehörde und nun auch die Gerichte haben unmissverständlich bestätigt, dass Cookie-Banner gleichwertige 'Ja'- und 'Nein'-Optionen anbieten müssen - [sic] und zwar ohne Dark Patterns. Dass sogar der öffentlich-rechtliche ORF ganze 8 Jahre nach Einführung der DSGVO hier eine gerichtliche Extraeinladung braucht, ist empörend“, erklärte Schrems als Reaktion auf das Urteil.
Laut noyb ist das Urteil wegweisend und könnte weitreichende Konsequenzen für zahlreiche Unternehmen und Organisationen haben.
„Das Gericht stellt klar, dass die Implementierung eines farblich weniger auffälligen ‚Ablehnen’-Buttons nicht ausreicht, sondern beide Optionen gleichwertig sein müssen. Demnach ist der ORF bei weitem nicht das einzige Unternehemen [sic], dessen Cookie-Banner gegen die DSGVO verstößt“, erklärt die Datenschutzorganisation.
Entdecke weitere exklusive Cybernews-Reportagen auf YouTube.