Auf einen Blick
Der EDPB hat eine bindende Entscheidung erlassen, die die belgische Aufsichtsbehörde (LSA) anweist, eine Beschwerde bezüglich der Nutzung von Cookie-Bannern durch die VRT, eine öffentlich-rechtliche Rundfunkanstalt, inhaltlich zu prüfen. Die Entscheidung resultiert aus einem Streit mit der österreichischen Aufsichtsbehörde (CSA), die dem Vorschlag der belgischen Aufsichtsbehörde widersprach, die Beschwerde wegen mutmaßlichen Rechtsmissbrauchs abzuweisen. Der EDPB hat festgestellt, dass kein Missbrauch seitens des Beschwerdeführers vorlag, und die Fortsetzung der Fallprüfung angeordnet.
Hintergrund
Die bindende Entscheidung des EDPB vom 28. Mai 2026, veröffentlicht am 14. Juli 2026, betrifft einen Streit, der von der belgischen Aufsichtsbehörde (DPA) bezüglich einer Beschwerde gegen die Vlaamse Radio-en Televisieomroeporganisatie (VRT), eine öffentlich-rechtliche Rundfunkanstalt mit Sitz in Belgien, vorgelegt wurde. Die Beschwerde, die von der NGO Noyb im Namen einer Einzelperson bei der österreichischen Aufsichtsbehörde eingereicht wurde, betrifft die Verwendung von Cookie-Bannern auf der VRT-Website.
Die belgische Aufsichtsbehörde, die als federführende Aufsichtsbehörde (LSA) fungierte, hatte einen Entscheidungsentwurf vorgelegt, in dem sie vorschlug, die Beschwerde wegen eines mutmaßlichen Missbrauchs der Artikel 77 und 80 Absatz 1 DSGVO abzuweisen. Die österreichische Aufsichtsbehörde, eine betroffene Aufsichtsbehörde (CSA), erhob Einspruch mit der Begründung, dass die LSA die Beschwerde nicht aus verfahrensrechtlichen Gründen hätte abweisen dürfen, sondern stattdessen eine Sachentscheidung hätte treffen müssen. Die belgische Aufsichtsbehörde beschloss, den Einspruch nicht zu befolgen, und unterbreitete den Fall dem EDPB.
Der EDPB befand den Einspruch der österreichischen Aufsichtsbehörde als relevant und begründet im Sinne von Art. 4 Nr. 24 DSGVO und der EDPB-Leitlinien zum Konzept des relevanten und begründeten Einspruchs und bewertete ihn inhaltlich. Der EDPB stellte fest, dass auf der Grundlage der verfügbaren Informationen und in Übereinstimmung mit dem EuGH-Test für mutmaßlichen Missbrauch der Beschwerdeführer seine Rechte gemäß Art. 77 und Art. 80 Absatz 1 DSGVO nicht missbraucht hat, da die notwendigen objektiven und subjektiven Komponenten zum Nachweis eines solchen Missbrauchs nicht dargelegt wurden. Daher wies der EDPB die LSA an, die Beschwerde nicht abzuweisen, sondern sie inhaltlich zu prüfen und den CSAs einen neuen Entscheidungsentwurf gemäß Art. 60 Abs. 3 DSGVO vorzulegen.
Warum es wichtig ist
Diese Entscheidung des EDPB ist entscheidend für Organisationen, die personenbezogene Daten verarbeiten, da sie die Grenzen klärt, innerhalb derer eine Aufsichtsbehörde eine Beschwerde wegen mutmaßlichen Rechtsmissbrauchs abweisen kann. Dies stärkt den Schutz der Rechte der betroffenen Personen und die Bedeutung eines transparenten und konformen Managements von Cookie-Bannern, die häufig Gegenstand von Beschwerden und der Aufmerksamkeit der Aufsichtsbehörden sind.
Darüber hinaus hebt die Entscheidung die Wirksamkeit des Mechanismus zur Beilegung grenzüberschreitender Streitigkeiten (Art. 65 DSGVO) hervor, der grundlegend ist, um eine korrekte und kohärente Anwendung der DSGVO in Fällen zu gewährleisten, die mehrere Gerichtsbarkeiten betreffen. Unternehmen mit transnationalen Aktivitäten müssen sich bewusst sein, dass die Entscheidungen der federführenden Aufsichtsbehörden vom EDPB angefochten und überprüft werden können, was die Notwendigkeit eines strengen und dokumentierten Compliance-Ansatzes unterstreicht.
Was zu tun ist
- Überprüfen Sie die vollständige Konformität Ihrer Cookie-Banner mit den DSGVO-Vorschriften und den relevanten Leitlinien der Aufsichtsbehörden.
- Stellen Sie sicher, dass die internen Verfahren zur Bearbeitung von Beschwerden betroffener Personen robust sind und dass die Abweisung einer Beschwerde wegen Rechtsmissbrauchs durch klare objektive und subjektive Beweise gestützt wird.
- Beobachten Sie die Entscheidungen und Leitlinien des EDPB, um die Auslegungen und Erwartungen der Aufsichtsbehörden hinsichtlich der Anwendung der DSGVO zu verstehen, insbesondere in grenzüberschreitenden Kontexten.
Was zu vermeiden ist
- Weisen Sie Beschwerden betroffener Personen wegen mutmaßlichen Rechtsmissbrauchs nicht ohne eine gründliche Analyse und einen klaren Nachweis der objektiven und subjektiven Komponenten des Missbrauchs ab, wie in der EDPB-Entscheidung dargelegt.
- Unterschätzen Sie nicht den Kooperationsmechanismus zwischen Behörden (LSA/CSA) und die Rolle des EDPB bei der Streitbeilegung, da Entscheidungen angefochten und geändert werden können.
Praktische Auswirkungen
Organisationen müssen einen strengen Ansatz bei der Konfiguration und Verwaltung von Cookie-Bannern verfolgen und sicherstellen, dass diese mit der DSGVO und den aktualisierten Leitlinien übereinstimmen. Die Entscheidung stärkt die Legitimität von Beschwerden betroffener Personen und die Aufsicht des EDPB über die Arbeit der Aufsichtsbehörden, was bedeutet, dass Unternehmen sich nicht auf einfache Abweisungen gültiger Beschwerden verlassen können, die auf nicht nachgewiesenem mutmaßlichen Missbrauch beruhen.
Zu vermeidende Fehler
- Implementieren Sie nicht-konforme Cookie-Banner, die nicht die freie, spezifische, informierte und unzweideutige Einwilligung der Nutzer gewährleisten.
- Ignorieren oder minimieren Sie Beschwerden betroffener Personen bezüglich der Verwaltung personenbezogener Daten, einschließlich solcher über Cookies, nicht ohne eine angemessene inhaltliche Bewertung.
Fragen zur Selbsteinschätzung
- Entsprechen unsere Cookie-Banner den Anforderungen der DSGVO und den neuesten Anweisungen der Aufsichtsbehörden?
- Verfügen wir über ein klares und dokumentiertes Verfahren zur Bearbeitung von Beschwerden betroffener Personen und ist das Personal entsprechend geschult?
- Wie bewerten und dokumentieren wir Fälle von potenziellem Rechtsmissbrauch durch einen Beschwerdeführer, und stimmen unsere Kriterien mit der Rechtsprechung und den Entscheidungen des EDPB überein?
Verweise
Nationales Recht: GDPR Art. 65(1)(a) · GDPR Art. 77 · GDPR Art. 80(1) · GDPR Art. 4(24) · GDPR Art. 60(3) · Linee guida EDPB sul concetto di obiezione rilevante e motivata
Zum Originalartikel auf EDPB ↗
Lesen Sie auch
- Sanktion des Garante gegen Wind Tre wegen Data Breach durch Social Engineering 17 Jul 2026
- Garante Privacy: Personenbezogene Daten von der Region Sardinien unrechtmäßig verarbeitet 17 Jul 2026
- Der EDPB fordert eine Rechtsgrundlage für den Informationsaustausch zwischen Regulierungsbehörden 17 Jul 2026
