Werden einwilligungsbedürftige Cookies auf einer Webseite verwendet, ist ein Cookie-Banner erforderlich. Für die rechtskonforme Gestaltung des Banners müssen Webseitennutzer der Verarbeitung personenbezogener Daten zustimmen. Die Aufgabe des Cookie-Banners besteht also darin, alle Cookies einer Webseite zu blockieren bis der Webseitennutzer auf „Akzeptieren“ klickt. Lehnt er ab, scrollt er ohne Handlung durch die Seite oder klickt „Schließen“ müssen alle technisch nicht notwendigen Cookies deaktiviert sein/bleiben.
Anforderungen an einen Cookie-Banner
Nach Artikel 6 der DSGVO muss ein Cookie-Banner klar und transparent darüber informieren, warum Cookies verwendet werden. Der Nutzer muss die Möglichkeit haben, diese zu akzeptieren oder abzulehnen. Die Einwilligung muss freiwillig, informiert und jederzeit widerrufbar sein. Ein Cookie-Banner sollte die folgenden Funktionen besitzen und Informationen enthalten:
- Erkennen und klassifizieren aller Cookies, die auf einer Webseite verwendet werden
- ggf. Möglichkeit zum manuellen Import für nicht automatisch erkannte Cookies
- Akzeptieren und Ablehnen auf gleicher Ebene auch bei mehrschichtigen Bannern
- den Hinweis, dass Einwilligungen jederzeit und ohne Angabe von Gründen widerrufen werden können und wie dies mittels des Banners möglich ist
- Aktive Handlung erforderlich (Opt-In)
- Dark Pattern umstritten
- Banner oder Pop-up-Fenster?
- Zweck der Datenverarbeitung
- Art der verarbeiteten Cookies
- Empfänger der Daten
- Rechtsgrundlage der Datenverarbeitung
- ggf. die Absicht einer Datenübermittlung in Drittländer
- Dauer der Speicherung, Widerspruchs- und Beseitigungsmöglichkeiten
In den meisten Fällen wird eine Klassifizierung der verwendeten Cookies und Technologien vorgenommen:
- Essentielle, funktionale oder technisch notwendige Cookies umfassen alle Cookies, die notwendig sind, um die Webseite zu betreiben. Diese Art von Cookies erfordert nicht unbedingt eine Zustimmung.
- Zu den Analyse-oder Statistik-Cookies zählen zum Beispiel Google Analytics-, Matomo- oder etracker-Cookies – also Programme, die das Verhalten der Besucher untersuchen. Diese sind zustimmungspflichtig.
- Immer wenn es um Online-Werbung geht, werden Cookies zum Zwecke des Marketings verwendet. So können Benutzern auf verschiedenen Websites individuell angepasste Werbung angezeigt werden, da diese Tools die Interessen der Besucher der Websites bewahren. Google Adsense, Facebook-Pixel und Google Remarketing sind einige dieser Werkzeuge. Diese Tools erfordern immer die Zustimmung des Website-Besuchers.
Wird ein mehrschichtiger Cookie-Banner verwendet, muss neben der Möglichkeit der Einwilligung auch immer eine Möglichkeit zum Ablehnen angeboten werden und zwar auf gleicher Ebene. Sofern auf erster Ebene nur die Möglichkeiten „Akzeptieren“ und „Einstellungen“ angeboten werden, führt dies dazu, dass über die Schaltfläche „Akzeptieren“ keine rechtswirksame Einwilligung eingeholt wird.
Aktive Handlung erforderlich
Webseitennutzer haben Ihre Einwilligung mit einem aktiven Handeln abzugeben (Opt-In). Die Einwilligung kann daher nicht durch Untätigkeit erteilt werden, wie dem einfachen Weiterscrollen auf einer Webseite, dem Konsum von Webseiteninhalten, der Voreinstellung einwilligungsbedürftiger Technologien oder ähnlichen Handlungen.
Die Bezeichnung und das Design der Schaltflächen sind für das Vorliegen einer rechtmäßig erteilten Einwilligung ebenso entscheidend wie die Bezeichnung und das Design der Schaltflächen. Daher sollte die Schaltfläche zur Erteilung der Einwilligung nicht mit „Okay“ beschriftet werden, da ein solcher Klick keine eindeutige Einwilligungserteilung darstellt. Die Schaltfläche sollte den Anwendern vielmehr die Möglichkeit geben, ihren wahren Willen auszudrücken. Darüber hinaus muss es Webseitebesuchern genauso leicht sein, die Einwilligung abzulehnen, wie die Einwilligung zu erteilen.
Freiwilligkeit & Cookie-Walls
Zusätzlich zur aktiven Handlung ist es notwendig, dass die Zustimmung freiwillig erfolgt. Nur wenn Webseitenbesucher eine tatsächliche Wahl haben und keine spürbaren Nachteile erleiden, erfolgt eine Handlung freiwillig. Bei sogenannten „Cookie-Walls“, also Consent-Bannern, die den gesamten Inhalt der Website verdecken und sich auch nicht umgehen lassen, ist eine freiwillige Handlung der Benutzer unklar.
Consent-Banner, bei denen die Einwilligung nicht ohne weiteres verweigert werden kann, sind besonders für Online-Nachrichtenkonsumierende bekannt. Es wird stattdessen die Möglichkeit zur Nutzung der Website angeboten, indem ein bestimmter Geldbetrag bezahlt wird (sogenannte PUR-Abo-Modelle). Die Rechtmäßigkeit dieses Vorgehens ist von den Gerichten noch nicht endgültig entschieden.
Farbliche Gestaltung
Auch das visuelle Erscheinungsbild des Cookie-Banners ist von entscheidender Bedeutung. Nicht jede Gestaltung entspricht den Vorschriften. Je nach Design können Websitenutzer durch verschiedene Farben oder Größen der Buttons in die Irre werden. Wenn der Button, durch den alle Cookies zugestimmt werden, klar hervorgehoben ist, ist dies besonders relevant.
Einige unzulässige Designs wurden in einer Handreichung zur datenschutzkonformen Einwilligung auf Webseiten von der Landesbeauftragten für den Datenschutz in Niedersachsen dargestellt. Es gibt jedoch keine eindeutigen Vorschriften zur Gestaltung des Consent-Banners in der DSGVO oder im TDDDG. Daher ist es immer notwendig zu überprüfen, ob die Einwilligung freiwillig oder nur aufgrund des irreführenden Designs (Dark Patterns) gegeben war.
Beispiel-Szenario: Sie sind Betreiber einer Webseite mit zahlreichen Drittanbietereinbindungen. Dann hat der Cookie-Banner genau eine Funktion: blockieren aller Cookies und Datenströme bis der Nutzer dem Speichern seiner Daten zugestimmt hat. Ein Banner oder Pop-Up-Fenster taucht lediglich dort auf, wo man es eingestellt hat und informiert über Dinge, die man ihm gesagt hat. Cookies auf einer Website zu identifizieren und diese zu blockieren ist keine Standard-Funktion eines normalen Banners oder Pop-Up-Fensters!
Fazit
Wenn Sie unsicher sind, ob Ihr Cookie-Banner richtig funktioniert und alle Cookies auf Ihrer Webseite erkennt, buchen Sie einfach einen professionellen Cookie- und DSGVO-Website-Check.
Wissenswertes
Ein Cookie speichert Informationen. Ein Cookie wird beim Besuch einer Internetseite erstellt und auf Ihrem Endgerät (Smartphone, Notebook, Tablet, Desktop PC usw.) über Ihren Browser gespeichert. Ein Cookie ist keine Textdatei. Er hat die Aufgabe bestimmte Informationen zu speichern, um sie für bestimmte Zwecke zu verwalten.
Nichts, außer das Inhalte von Drittanbietern nicht mehr sofort geladen werden. Liest man beispielsweise einen Blogartikel mit eingebettetem Facebook- oder Instagram-Post, dann wird keine automatische Vorschau angezeigt. Der Bereich ist grau hinterlegt und auf dem Fenster erscheint der Text „Hier klicken, um Inhalte von [Name] anzuzeigen.“ Gleiches gilt für Webseiten mit eingebetteten YouTube-Videos.
Cookies selbst sind nicht gefährlich. Sie können Computer weder mit Viren noch mit anderer Malware infizieren. Allerdings kann der Cookie selbst gehackt werden. Beispielsweise besteht ein ernstes Sicherheitsrisiko, wenn die Verwendung von Cookies den Zugang zu passwortgeschützten Diensten ermöglicht. (Vergleich dazu den Beitrag von Bleib-Virenfrei)
Der Cookie selbst, welcher Ihre Informationen speichert, kann grundsätzlich gehackt werden. Was dann mit Ihren personenbezogenen Daten passiert, dürfte wohl jedem klar sein.
Betrachtet man ausschließlich den Cookie-Banner auf Webseiten dann können sich dort alle Cookies – um deren Einverständnis „geworben“ wird, die man mit Klicken auf „Akzeptieren“ bestätigt und damit aktiviert – nachteilig für Sie auswirken.
Sobald eine Website Software verwendet, die nicht schlicht den technischen Betrieb dieser Homepage ermöglicht, muss ein solches Cookie Consent Tool oder Cookie Tool (deutsch: Cookie-Banner) eingesetzt werden. Quelle: eRecht24
Letztes Update: 17.11.2024
