
많은 웹사이트에서는 열람 시 쿠키 사용 허가를 요구하는 팝업이 표시된다. 그런데 이 팝업에는 모두 허용이라는 버튼은 있지만 모두 거부라는 버튼이 없는 경우가 대부분이며 거부하려면 클릭 몇 번을 해야 한다. 이런 상태는 부적절하며 거부도 허용과 마찬가지로 쉽게 할 수 있어야 한다며 독일 법원이 시정을 요구했다.
웹사이트에 접속하면 쿠키 사용 허가를 요구하는 팝업이 표시되는 경우가 있다. 쿠키는 웹사이트를 방문한 사용자를 식별하기 위한 정보로 개인이 특정되지 않는 형태로 수집되지만 때로는 수백 개 서비스 제공업체에 제공되기도 해 상세한 사용자 프로필이 구축되는 경우가 있다. 이런 쿠키 수집은 EU 일반데이터보호규정(GDPR) 등 법률에 따라 규칙이 정해져 있으며 많은 웹사이트에는 쿠키를 사용할 때 허가를 요구하는 게 의무화되어 있다.
그런데 많은 사이트에서는 허용한다는 버튼은 바로 클릭할 수 있도록 하고 있지만 거부한다는 버튼은 표시하지 않는 경우가 대부분이다. 이런 팝업에서는 쿠키 설정과 같은 버튼을 클릭해서 2단계 이후를 표시해야만 거부 처리를 할 수 있다.
독일 니더작센주에선 허용은 클릭 1번으로 끝나는데 거부는 클릭 몇 번이 필요하고 게다가 단순한 거부가 아닌 선택 내용 확인과 같은 알기 어려운 문구를 표시하는 건 부적절하다며 판이 진행됐다.
사건 발단은 주 데이터보호담당관이 주내 대형 미디어 NOZ에 대해 발령한 쿠키 배너 재설계 명령이었다. NOZ가 배치한 쿠키를 허용하겠냐는 배너 설계 불비를 지적하며 거부하는 건 허용하는 것보다 훨씬 어렵고 사용자는 쿠키 사용에 동의했는지 여부를 알기 어렵게 되어 있다며 이런 애매한 문구로 얻은 동의는 무효가 된다고 통지했다.
NOZ는 이에 이의를 제기하고 명령에 대해 법적 조치를 취했지만 하노버행정법원은 해당 주장을 지지하며 NOZ 측에 복수 위반이 있다고 인정했다.
행정법원은 다음과 같은 점을 비판했다. 쿠키 거부는 허용에 비해 상당한 수고를 요한다는 것, 사용자는 끊임없이 반복되는 배너로 인해 동의하도록 압력을 받았다는 점, 쿠키 사용에 최적화된 사용자 경험이라는 제목을 붙인 것이나 배너 우상단 모서리 x 버튼이 동의하고 닫기라는 버튼이 된 건 사용자를 오해하게 만든다는 것, 허용 과정에 동의라는 말이 완전히 빠져 있었다는 것, 쿠키를 제공하는 파트너나 서비스 수가 명확하지 않았다는 것, 동의 철회권이나 EU 역외 제3국에서의 데이터 처리에 관한 정보는 스크롤하지 않으면 보이지 않았다는 점을 들었다.
행정법원은 이런 점이 EU GDPR과 독일 전기통신디지털서비스데이터보호법(TDSDS) 모두에 위반된다고 판단하며 웹사이트가 쿠키 배너에서 모두 허용이라는 버튼을 표시하고 있는 경우 같은 단계에 모두 거부라는 버튼을 명확히 보이도록 표시해야 한다는 판결을 내렸다. 관련 내용은 이곳에서 확인할 수 있다.