Website-Check Teil 4: Alles rund um das perfekte Cookie-Banner
Im abschließenden Teil unserer News-Reihe zur Erstellung eines TTDSG- und #DSGVO-konformen Online-Auftritts berichten wir über die rechtlichen Anforderungen an ein wirksames Einwilligungsbanner und dessen Umsetzung bei der Ausgestaltung.
Was ist ein Cookie-Banner?
Im dritten Teil unserer Website-Check-Reihe haben wir die verschiedenen Arten von Cookies erläutert und auf die Notwendigkeit hingewiesen, zwischen technisch notwendigen und technisch nicht notwendigen Cookies zu unterscheiden, da einige Cookies nur mit Einwilligung eingesetzt werden dürfen.
Genau an dieser Stelle kommt der so genannte „Cookie-Banner“ ins Spiel. Er stellt den Hinweis mit den essenziellen Informationen dar, die ein User beim erstmaligen Öffnen einer Website angezeigt bekommt. In der Entscheidung des EuGH „Planet49“ wurden die formalen und rechtlichen Kriterien des Cookie-Banners festgelegt. Der User muss aktiv seine Einwilligung abgeben, damit die Datenverarbeitung durch Cookies rechtskonform ist, und die Option „Akzeptieren“ der Cookies darf nicht voreingestellt sein. Hierdurch soll ein „Dark Pattern“ und „Nudging“ vermieden werden, bei dem der User durch die Gestaltung des Cookie-Banners unbewusst zu einer Einwilligung bewegt oder in eine bestimmte Richtung gelenkt wird.
Was ist bei der inhaltlichen Ausgestaltung zu beachten?
Folgende Mindestinformationen sind bei einem rechtskonformen Cookie-Banner immer zu beachten:
Eine „Akzeptieren“- und eine „Ablehnen“-Option
Keine farbliche Hervorhebung der „Akzeptieren“-Option
Keine vorangekreuzten Auswahlfelder
Art, Funktionsweise, Zweck und Lebensdauer der Cookies
Verlinkte Datenschutzerklärung und Impressum
Angaben zu Dienstleistern, die Cookies verarbeiten und Link zu deren Datenschutzerklärung
Empfänger der Daten
Ob eine Datenübermittlung in Drittländer erfolgt
Hinweis auf Widerruf der Einwilligung
Freiwilligkeit der Einwilligung
Bei der Beschreibung der Zwecke ist insbesondere darauf zu achten, dass diese möglichst konkret dargelegt und nicht zu allgemein gehalten sind. Die Landesbeauftragte für den Datenschutz Niedersachsen hat beispielsweise folgende Formulierungen für unzureichend erklärt:
Es werden Cookies eingesetzt, um
„die Webseite für Sie optimal zu gestalten und zu verbessern“,
„Ihr Surferlebnis zu verbessern“,
„Webanalyse und Werbemaßnahmen durchzuführen“,
„Marketing, Analyse und Personalisierung“ zu ermöglichen.
Zudem ist darauf hinzuweisen, wenn auf der Website ein Nutzertracking durch Dritte eingesetzt wird, um ein umfassendes Nutzerprofil zu erstellen. Ebenso ist es laut LG Berlin unzulässig, die Voreinstellung zur Sichtbarkeit von Nutzerprofilen auf Partnerseiten zu missachten, wenn Nutzer die „Do Not Track“-Option aktivieren. Das Surfverhalten darf demnach nicht weiterhin für Tracking-, Werbe- oder andere Zwecke „ausspioniert“ werden.
Was ist bei der optischen Ausgestaltung zu beachten?
Bei der Gestaltung des Cookie-Banners ist darauf zu achten, dass die beiden Schaltflächen zum „Akzeptieren“ und „Ablehnen“ sofort erkennbar sind und sich farblich nicht unterscheiden. Sie müssen gleichwertig sein, da verschiedene Größen oder Farben den User verwirren können. So sind Cookie-Banner, die den Button „Alle akzeptieren“ farblich hervorheben, die Zustimmungsmöglichkeit für alle technisch notwendigen Cookies im Fließtext verstecken und die Einstellungen nur über einen Button verlinken, laut LG Köln unzulässig.
Rechtliche Absicherung durch Cookie Consent Tools
Wie bereits im dritten Teil unserer Website-Check-Reihe erwähnt, ist jeder Webseitenbetreiber, der technisch nicht notwendige Cookies verwendet, durch die DSGVO rechtlich dazu verpflichtet, die Einwilligung seiner User einzuholen. Ist man sich jedoch unsicher, ob Cookies technisch notwendig oder technisch nicht notwendig sind, kann man ein sogenanntes Cookie Consent Tool beziehungsweise eine Consent Management Plattform nutzen. Sie dienen als Hilfsmittel, um über eine automatische Funktion die für eine Website verwendeten Cookies abzufragen und automatisch einen Cookie-Banner zu erstellen.
Eine mögliche Consent Management Plattform stellt der sogenannte „Cookiebot“ dar. Dabei handelt es sich um ein mögliches Tool, das mittels eines Scanners automatisch Cookies auf der Website erkennt und aus diesen Informationen einen Cookie-Banner erstellt.
Inwiefern eine Website mithilfe von Cookie Consent Tools beziehungsweise Consent Management Plattformen datenschutzkonform und verlässlich gestaltet werden kann, ist im Einzelfall zu betrachten.
„PIMS“ anstelle von Cookie-Bannern?
Seit dem Inkrafttreten des TTDSG am 1. Dezember 2021 wird über die Etablierung einer zentralen Einwilligungsverwaltung namens PIMS, „Personal Information Management Service“, diskutiert, die die Cookie-Banner eindämmen oder sogar komplett abschaffen soll. Ausschlaggebend hierfür ist der § 26 TTDSG, der die „anerkannten Dienste zur Einwilligungsverwaltung und die Endnutzereinstellungen“ reguliert. Demnach sollen User künftig ihre Einwilligung zentral für alle besuchten Webseiten erteilen können.
Während bei Consent Tools, wie sie derzeit eingesetzt werden, Cookie-Banner für die Einwilligung beim individuellen Besuch an das Endgerät des Users ausgespielt werden, handelt es sich bei PIMS um eine Softwarelösung, mit welcher der User seine Präferenzen für eine Vielzahl von Telemedien generell vorab festlegen kann. Besucht der User eine Website, liest diese die Einstellung aus und würde keinen gesonderten Cookie-Banner mehr ausspielen. Die gesonderte Einholung der Einwilligung bei jedem Besuch könnte damit entfallen.
Das Bundesministerium für Digitales und Verkehr hat am 01.06.2023 erstmals einen Entwurf für eine Einwilligungsverordnung veröffentlicht. Die Verordnung soll grundsätzlich nutzerfreundlich und wettbewerbskonform sein. Die genaue Ausgestaltung der Verordnung ist jedoch an vielen Stellen noch offen und bleibt bis zur geplanten Finalisierung abzuwarten.
Vorsicht ist geboten
Sofern Ihre Website kein Cookie-Banner hat, aber Cookies verwendet, riskieren Sie einen Verstoß gegen die DSGVO. Ebenfalls könnte ein Verstoß im Falle einer Opt-Out-Möglichkeit vorliegen. Dies beschreibt ein Modell, bei dem Werbung ohne ausdrückliche Einwilligung zum Erhalt durchgeführt wird. Der Empfänger erhält so lange Werbung, bis er sich aus dem Verteiler austrägt und damit ausdrücklich weiterer Werbung widerspricht.
Mithilfe von Orientierungshilfen, Handreichungen und Rechtsprechungen steht der rechtskonformen Gestaltung eines Cookie-Banners nichts im Wege. Sie enthalten klare Vorgaben zur optischen und inhaltlichen Gestaltung, an die man sich halten sollte, um Verstöße zu vermeiden.
Beim Eintreten eines Verstoßes droht eine Abmahnung durch die zuständige Datenschutzbehörde. Wird ein Cookie-Banner falsch oder gar nicht angelegt, drohen bei schweren Verstößen Bußgelder von bis zu 20 Millionen Euro.
Was können Sie tun
Erstellung eines Cookie-Banners auf der Website
Aktualität und Inhalt des Cookie Banners prüfen
Rechtliche und technische Vorgaben beachten
Manipulative Cookies vermeiden
Beim Einsatz von technisch nicht notwendigen Cookies ggf. ein Consent Management Tool verwenden
Wie wir Ihnen helfen können
Gerne können wir Sie beim Check Ihres Cookie-Banners unterstützen.
Wenn Sie weitere Fragen zu Ihrem Cookie-Banner oder zum Consent Management haben, nehmen wir diese gerne unkompliziert per Mail entgegen. Natürlich können Sie sich auch telefonisch an uns wenden.
make Datenschutz simple
Ihr entplexit Team
E-Mail: datenschutz@entplexit.com
Telefon: 06196 973 44 00