Nach unserem DSGVO-Freshup hier in diesem Blog haben uns einige Nachfragen zum Thema Cookie-Banner erreicht. Gerne beantworten die Fragen und klären mit diesem Blog-Eintrag ein paar strittige Fragen.
Worum geht’s?
Ein Cookie ist eine knappe Textinformation, die im Browser des Betrachters jeweils zu einer besuchten Website gespeichert werden kann. Das Cookie wird entweder vom Webserver an den Browser gesendet oder im Browser von einem Skript erzeugt. Der Webserver kann bei späteren, erneuten Besuchen dieser Seite auf diese Informationen zugreifen. Aufgabe eines Cookies ist beispielsweise die Identifizierung eines Besuchers, das Abspeichern eines Logins oder auch die persistente Speicherung einer Tracking-ID. Nicht erst seit Inkrafttreten der EU-weit gültigen Datenschutzgrundverordnung (DSGVO) im Mai 2018 sind Cookie-Banner auf Webseiten zur Normalität geworden. Wenn ein Besucher eine Website zum ersten Mal besucht, erscheint ein Banner bzw. ein Overlay, dass den Nutzer über die Verarbeitung personenbezogener Daten informiert.
Nach der DSGVO stellt sich nun die Frage: Cookies ohne Nutzereinwilligung – ist das überhaupt noch möglich? Die Antwort ist: jein. Keine Einwilligung wird benötigt bei Cookies, die für den technischen Betrieb der Website essenziell sind, z.B. ein Warenkorb-Cookie. Für die Verarbeitung von Tracking- oder Retargeting-Cookies benötigen Webseitenbetreiber jedoch gemäß Erwägungsgrund 30 DSGVO eine Einwilligung des Nutzers.
Benötige ich einen Cookie Banner auf meiner Website?
Sofern Betreiber nicht nur Cookies einsetzen, die für den technischen Betrieb der Website unabdingbar sind, gelten die Bestimmungen der DSGVO hinsichtlich der Verarbeitung personenbezogener Nutzerdaten. Im Fokus steht hierbei das Einholen einer DSGVO-konformen Nutzereinwilligung. Ein Cookie-Banner ist dafür absolut notwendig, reicht jedoch allein nicht aus. Denn: Eine rechtskräftige Einwilligung muss im Sinne der DSGVO zahlreiche Kriterien erfüllen. Im Fokus steht dabei die möglichst nutzerfreundliche Einholung der Einwilligung. Diese Einwilligung muss vorab und freiwillig erfolgen und rechtssicher dokumentiert werden. Darüber hinaus muss der Consent informiert, explizit und granular abgegeben werden. Der Nutzer muss seine Einwilligung zudem zu jeder Zeit widerrufen können. Ein so genannter Consent Layer bzw. eine Consent Management Platform (CMP) kann helfen, auch zukünftig z.B. personalisierte Werbung ausspielen zu können, ohne Bußgelder befürchten zu müssen.
Häufige Fehler
In ihrer „Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien ab dem 1. Dezember 2021“ hat die Datenschutzkonferenz (DSK) zahlreiche Beispiele für häufige Fehler beim Einsatz von Cookie-Bannern benannt. Sie finden nachfolgend die häufigsten Fehler:
Cookie-Banner ohne Notwendigkeit
Nutzt ein Website-Betreiber ausschließlich technisch notwendige Cookies auf seiner Webseite, dann ist ein Cookie-Banner nicht zwingend notwendig. Auf die technisch notwendigen Cookies kann auch in der Datenschutzerklärung hingewiesen werden. Das heißt im Umkehrschluss: Ein Cookie-Banner muss zwingend vorhanden sein, wenn technisch nicht notwendige Cookies und Dienste eingesetzt werden. Eine regelmäßige Prüfung ist sinnvoll und geboten, da bereits z.B. die Einbettung eines Youtube-Videos in einem Blog-Eintrag die Sachlage verändert. Vermeiden Sie daher kategorisch Probleme mit Aufsichtsbehörden und machen Sie stattdessen lieber Ihre Website zu einem Aushängeschild vorbildlichen Datenschutzes. (Hinweis: Auf der AMTANGEE-Website gibt es kein Consent-Banner, weil wir kein Nutzertracking vornehmen und – ganz im Sinne unser Maxime "Privacy is Key" – Cookies von Drittanbietern unterbinden.)
Intransparenz
Websites werden laut Datenschutzkonferenz häufig mit intransparenten Cookie-Bannern ausgestattet, d.h., es werden nicht die erforderlichen Informationen wie Verarbeitungszwecke oder Empfänger kenntlich gemacht. Zudem bestehen laut DSK häufig Diskrepanzen zwischen den Informationen im Cookie-Banner und der Datenschutzerklärung.
Aufwand
Die Ablehnung einer Einwilligung muss laut Datenschutzgrundverordnung und Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) ebenso einfach zu erteilen sein wie die Zustimmung. Konkret bedeutet dies: Die Ablehnung sollte nicht hinter ungenau benannten Schaltflächen versteckt werden oder erst nach mehreren Klicks möglich sein. Zu viel Aufwand stellen auch Verzögerungen dar, die ggf. absichtlich beim Speichern der abgelehnten Cookie-Einstellungen den Besuchern zugemutet werden. Außerdem sollte ein Zwang zur Zustimmung unbedingt vermieden werden.
Nudging
In der Praxis hat es sich teils etabliert, durch eine bestimmte Gestaltung von eingesetzten Consent-Bannern den Versuch zu unternehmen, die Zustimmungsrate der Nutzer zu erhöhen. Oftmals ist hierzu die Möglichkeit zum Einverständnis im Vergleich zur Ablehnung auffälliger gestaltet, etwa durch Farbe, Schriftart oder sonstige Hervorhebungen. So ist es beispielsweise weit verbreitet, den Button „Zustimmen“ in Grün mit Fettschrift zu gestalten, während der „Ablehnen“-Button äußerst zurückhaltend in Grau gehalten ist. Inwieweit ein derartiges Nudging der Wirksamkeit einer Einwilligung entgegensteht, ist umstritten. In einer Handreichung stellte die Landesbeauftragte für den Datenschutz Niedersachsen schon vor geraumer Zeit klar, dass hierdurch je nach konkreter Ausgestaltung gegen unterschiedliche datenschutzrechtliche Vorgaben verstoßen werden kann. So seien einem erlaubten Nudging jedenfalls Grenzen gesetzt. Eine verhaltensmanipulierende Ausgestaltung soll danach zu einer Unwirksamkeit der Einwilligung führen können. Weitere klare Vorgaben hierzu lässt die Behörde allerdings vermissen. Schlimmer noch: Auch wegen fehlender behördlicher Vorgaben hat sich der Trend zum Nudging seitdem eher verstetigt.
