EDPB Cookie-Banner-Taskforce: Compliance-Lehren für 2026 für Publisher und Marketer
Jahrelang konnten Publisher, die in der gesamten Europäischen Union tätig waren, auf eine beruhigende Fiktion vertrauen: Jede Datenschutzbehörde interpretierte die DSGVO und die ePrivacy-Richtlinie ein wenig anders, sodass ein Cookie-Banner, das in einem Land die Prüfung bestand, wahrscheinlich überall bestand. Diese Fiktion ist nun vorbei. Die Cookie-Banner-Taskforce des Europäischen Datenschutzausschusses, 2022 ins Leben gerufen, um auf eine Welle grenzüberschreitender Beschwerden koordiniert zu reagieren, hat sich zur nächsten verfügbaren Sache entwickelt, die die EU einem einheitlichen Cookie-Einwilligungs-Regelwerk besitzt. Ihre Berichte beschreiben in konkreten, Banner-für-Banner-Details die Designmuster, die die Regulatoren kollektiv als nicht konform eingestuft haben. Jeder, der ein Einwilligungsbanner im europäischen Traffic betreibt, sollte die Positionen der Taskforce als faktische Baseline behandeln, da nationale Behörden begonnen haben, diese direkt in Durchsetzungsentscheidungen zu zitieren.
Was die EDPB Cookie-Banner-Taskforce tatsächlich ist
Die Taskforce ist ein Koordinierungsgremium, kein Regulierer an sich. Sie wurde nach Article 70 der DSGVO eingerichtet, der den EDPB ermächtigt, die Zusammenarbeit zwischen nationalen Datenschutzbehörden in Fragen gemeinsamen Interesses zu erleichtern. Auslöser war eine Beschwerdekampagne von noyb — der Datenschutz-Advocacy-Gruppe von Max Schrems — gegen Hunderte von Websites in der EU. Da diese Beschwerden Behörden in nahezu jedem Mitgliedstaat betrafen, beschloss der EDPB, ein einziges Forum zu schaffen, in dem Datenschutzbehörden Notizen vergleichen und zu einem gemeinsamen analytischen Rahmen gelangen konnten. Die Ergebnisse der Taskforce haben die Form von Berichten, die dokumentieren, welche Designentscheidungen als Verstöße gegen die Einwilligungsanforderungen angesehen werden, geordnet nach Kategorien.
Diese Struktur ist in der Praxis bedeutsam. Die Berichte sind nicht in der Weise verbindlich wie eine Verordnung oder eine nationale Geldbuße, beschreiben aber die Konsensposition jeder europäischen Datenschutzbehörde. Wenn eine nationale Behörde eine Untersuchung einleitet, kann sie und tut es zunehmend auf die Ergebnisse der Taskforce als Nachweis verweisen, dass ein strittiges Bannermuster bereits von der breiteren Regulierungsgemeinschaft als nicht konform eingestuft wurde. Für Publisher bedeutet dies in der Praxis, dass jedes Banner, das die Kriterien der Taskforce erfüllt, in der gesamten EU verteidigbar ist. Jedes Banner, das diese Kriterien nicht erfüllt, ist überall gleichzeitig angreifbar.
Die sechs Kategorien, auf die sich die Taskforce konzentriert
Die Taskforce gruppiert ihre Erkenntnisse in sechs überlappende Problembereiche. Jeder entspricht einem Designmuster, das wiederholt in den noyb-Beschwerden auftauchte und das die Datenschutzbehörden kollektiv als Verstoß markiert haben.
1. Kein Ablehnungsknopf auf der ersten Ebene
Die am häufigsten zitierte Erkenntnis in den Berichten. Wenn ein Besucher auf dem anfänglichen Banner einen Button Alle akzeptieren sieht, aber keinen gleichwertigen Button Alle ablehnen, ist die Wahl nicht frei gegeben. Die Optionen zum Akzeptieren und Ablehnen müssen auf derselben Ebene mit gleicher Prominenz präsentiert werden. Den Ablehnungspfad hinter einem Link Einstellungen verwalten zu verstecken ist das mit Abstand häufigste Muster in heutigen Durchsetzungsmaßnahmen.
2. Vorab aktivierte Kontrollkästchen
Das Vorab-Auswählen der Einwilligung für eine nicht wesentliche Kategorie — auch nur eine — macht den gesamten Einwilligungsdatensatz nach Recital 32 der DSGVO ungültig. Die Taskforce behandelt dies als Verstoß per se. Moderne CMPs werden mit dieser Einstellung standardmäßig deaktiviert ausgeliefert, aber ältere Implementierungen und selbst entwickelte Banner markieren häufig noch Analytics- oder Marketing-Kategorien vorab.
3. Irreführendes Link-Design
Den Ablehnungspfad Weitere Informationen zu nennen oder ihn als kontrastarmen Textlink zu gestalten, während der Akzeptieren-Button ein hochkontrastiger farbiger Block ist, erzeugt eine Unausgewogenheit, die die Taskforce als irreführendes Designmuster betrachtet. Die Abhilfe ist unkompliziert: übereinstimmendes Schriftgewicht, Farbkontrast und Button-Styling zwischen Akzeptieren und Ablehnen.
4. Falsche Klassifizierung von Cookies als wesentlich
Einige Betreiber haben versucht, der Einwilligungspflicht vollständig zu entgehen, indem sie Analytics-, Werbe- oder Social-Media-Cookies als unbedingt erforderlich umetikettiert haben. Die Taskforce ist explizit: Ein Cookie ist nur dann wesentlich, wenn die Website aus der Perspektive des Nutzers ohne es nicht funktionieren kann. Analytics-, A/B-Testing-, Werbe- und Personalisierungs-Cookies qualifizieren sich nicht. Ihre Fehletikettierung ist an sich bereits ein Verstoß, unabhängig vom zugrunde liegenden Tracking.
5. Kein Widerrufsmechanismus
Die Einwilligung muss genauso einfach widerrufbar sein, wie sie gegeben wurde. Ein Banner, das die Einwilligung mit einem Klick akzeptiert, die Nutzer aber zwingt, ein mehrstufiges Einstellungsmenü zu durchlaufen, um sie zu widerrufen, besteht diesen Test nicht. Die Taskforce fordert ausdrücklich eine dauerhafte Bedienungsmöglichkeit — typischerweise ein schwebendes Symbol oder ein Footer-Link — die den Besucher zur ursprünglichen Einwilligungsoberfläche zurückbringt.
6. Banner-Design, das die Wahl verschleiert
Dies ist die breiteste und subjektivste Kategorie. Sie umfasst Overlays, die den Seiteninhalt blockieren, bis die Einwilligung erteilt ist, Banner, deren Ablehnungsbutton sich unter dem sichtbaren Bereich befindet, Farbschemata, die den Ablehnungspfad nahezu unsichtbar machen, und Animationen, die die Aufmerksamkeit von der Wahl ablenken. Der gemeinsame Nenner ist, dass das Design den Nutzer zur Zustimmung drängt, anstatt eine neutrale Wahl zu präsentieren.
Was das für die Durchsetzung bedeutet
Die Taskforce verhängt keine Bußgelder. Das tun nationale Datenschutzbehörden. Da aber jede europäische Behörde die Analyse der Taskforce unterzeichnet hat, ist das Durchsetzungsrisiko bei diesen spezifischen Mustern nun in der gesamten EU einheitlich. Die CNIL in Frankreich hat bisher die größte Reihe cookie-bezogener Bußgelder erlassen, aber der italienische Garante, die spanische AEPD, die deutschen Landesbehörden und der irische DPC haben alle Ermittlungen mit Verweis auf taskforce-orientierte Begründungen eingeleitet. Selbst der britische ICO, der außerhalb des EU-Regulierungsrahmens liegt, hat Leitlinien veröffentlicht, die die Kategorien der Taskforce eng widerspiegeln.
Diese Konvergenz bedeutet in der Praxis, dass Publisher Compliance nicht mehr als Übung auf Länderbasis behandeln können. Ein Banner-Audit sollte anhand der Taskforce-Kategorien als einheitliche Checkliste gemessen werden. Scheitert das Banner bei einem der sechs Kriterien, besteht das Risiko nicht gegenüber einer Datenschutzbehörde, sondern gegenüber dem gesamten europäischen Aufsichtsnetz.
Eine praktische Prüf-Checkliste
Der schnellste Weg, ein bestehendes Banner in Übereinstimmung zu bringen, besteht darin, es anhand der obigen Kategorien zu prüfen und jeden Punkt mit einem dokumentierten Ja oder Nein zu beantworten. Die Fragen sind bewusst konkret gehalten.
- Balance der ersten Ebene. Bietet das anfängliche Banner auf derselben Oberfläche wie Alle akzeptieren einen expliziten Button Alle ablehnen oder Ohne Akzeptieren fortfahren mit vergleichbarem Styling an?
- Standardzustand. Sind alle nicht wesentlichen Kategorien-Umschalter in der Einstellungsansicht standardmäßig deaktiviert?
- Link-Klarheit. Ist der Ablehnungspfad mit einem Verb gekennzeichnet, das die Aktion beschreibt, und nicht mit einem mehrdeutigen Begriff wie Weitere Optionen oder Einstellungen?
- Cookie-Klassifizierung. Haben Sie überprüft, dass jedes als unbedingt erforderlich aufgeführte Cookie tatsächlich für die Funktionsweise der Website benötigt wird und nicht für Analytics, Werbung oder Komfortfunktionen?
- Widerrufszugang. Gibt es auf jeder Seite ein dauerhaftes UI-Element, das das Einwilligungsbanner erneut öffnet, mit nicht mehr Klicks als die ursprüngliche Zustimmung erforderte?
- Keine Dark Patterns. Vermeidet das Banner Farb-, Größen- oder Animationsentscheidungen, die ein bedeutendes visuelles Ungleichgewicht zwischen Akzeptieren und Ablehnen erzeugen?
Ein Banner, das bei dieser Checkliste sechs klare Ja-Antworten liefert, ist gegen die aktuelle taskforce-konforme Durchsetzung verteidigbar. Ein Banner, das auch nur ein Nein liefert, sollte als Sanierungsprojekt und nicht als Wartungsaufgabe behandelt werden.
Wohin sich die Taskforce als nächstes bewegt
Die veröffentlichten Berichte decken die Muster ab, die die ursprüngliche Beschwerdewelle ausgelöst haben. Die laufende Arbeit der Taskforce — sichtbar durch die regelmäßigen Aktualisierungen des EDPB — dringt nun in härteres, weniger gefestigtes Terrain vor. Drei Bereiche werden die nächste Runde von Leitlinien wahrscheinlich prägen.
Pay-or-Consent-Modelle
Die Entscheidung mehrerer großer europäischer Publisher, Besuchern eine binäre Wahl zwischen dem Bezahlen eines Abonnements und der Einwilligung in Tracking anzubieten, hat explizite Prüfung auf sich gezogen. Der EDPB gab 2024 eine Stellungnahme heraus, in der er in Frage stellte, ob eine solche Wahl als frei erteilt angesehen werden kann, wenn die Alternative eine Bezahlschranke ist. Die Taskforce wird voraussichtlich koordinierte Kriterien dafür veröffentlichen, wann das Pay-or-Consent-Modell zulässig ist und wann es in Nötigung übergeht.
Einwilligungsmüdigkeit und Granularität
Hochgradig granulare Einwilligungsoberflächen pro Anbieter, wie sie vom IAB TCF generiert werden, wurden kritisiert, weil sie Einwilligungsmüdigkeit erzeugen und letztendlich nicht dem Kriterium der informierten Einwilligung im Sinne der DSGVO entsprechen. Künftige Leitlinien der Taskforce werden wahrscheinlich Kontrollen auf Kategorieebene statt auf Anbieterebene auf der ersten Ebene einfordern, wobei die Offenlegung auf Anbieterebene verfügbar, aber für eine anfängliche gültige Einwilligung nicht erforderlich ist.
Mobile und Connected-TV-Oberflächen
Die meisten frühen Arbeiten der Taskforce konzentrierten sich auf Web-Banner. Mobile In-App-Einwilligungsflüsse und Connected-TV-Oberflächen haben andere Design-Beschränkungen und waren bisher nicht Gegenstand detaillierter Erkenntnisse. Publisher, die auf diesen Oberflächen tätig sind, sollten innerhalb der nächsten 12 bis 18 Monate koordinierte Leitlinien erwarten und nicht davon ausgehen, dass ein konformes Web-Banner-Muster sich automatisch überträgt.
Zusammenfassung
Die Taskforce hat etwas getan, was die DSGVO allein nicht konnte: Sie hat eine einzige, operative Interpretation dessen erstellt, wie Einwilligung in der Praxis in der gesamten Europäischen Union aussieht. Für Publisher lautet die Lehre, dass die Ära des Jurisdiktionsshoppings oder des Verlassens auf eine laxe nationale Durchsetzung vorbei ist. Die richtige Reaktion besteht darin, die Kategorien der Taskforce als verbindlichen internen Standard zu behandeln, bestehende Banner dagegen zu prüfen und die Einwilligungsmanagement-Infrastruktur so zu konfigurieren, dass die Kategorien auf Plattformebene durchgesetzt werden, anstatt sie der seitenweisen Implementierung zu überlassen. Ein modernes CMP, das sich sauber auf die sechs Kategorien abbildet — ausgewogene Erstebenen-Buttons, standardmäßig deaktivierte Umschalter, klartextliche Ablehnungsbezeichnungen, genaue Cookie-Klassifizierung, dauerhafter Widerrufszugang und neutrales Design — verwandelt eine exponierte Compliance-Position in eine in jedem europäischen Markt gleichzeitig verteidigbare.