Leitfaden für Cookie-Banner – Was häufig immer noch falsch gemacht wird

Den durchschnittlichen Internetnutzer stören die Cookie-Banner, die er jedes Mal beim Aufruf einer Website akzeptieren oder ablehnen muss. Doch in datenschutzrechtlicher Hinsicht sind die Cookie-Banner nach wie vor notwendig und müssen vom Websitebetreiber zwingend nutzerfreundlich ausgestaltet sein. Welche Anforderungen an Cookie-Banner gelten und welche Fehler sich bei der Ausgestaltung häufig einschleichen, erfahren Sie in dem folgenden Blogbeitrag.

Verwirrende Vorgaben aus verschiedenen Quellen

Für viele Websitebetreiber ist es oftmals schwierig nachzuvollziehen, welche Vorgaben bezüglich der Cookie-Banner gelten. Denn für Cookie-Banner stellen unterschiedliche Gesetze und Richtlinien Anforderungen auf. Nicht umsonst bezeichnet selbst der Bundesdatenschutzbeauftragte die Rechtslage als verwirrend. Das bisherige (deutsche) Telemediengesetz (kurz: TMG), als auch die europäische e-Privacy-Richtlinie stellen hierzu verschiedene Vorschriften auf. Das vom Bundestag neu beschlossene und zum Dezember 2021 in Kraft getretene Telekommunikation-Telemedien-Datenschutzgesetz (kurz: TTDSG) macht die Situation nicht leichter. Dadurch wirken Cookie-Banner oft unübersichtlich und kompliziert. Auf den ersten Blick sind sie nicht verständlich. Und das obwohl sie für den Internetnutzer so einfach wie möglich ausgestaltet sein sollen. Doch die verwirrenden Vorschriften dürfen keine Ausrede für rechtswidrige Cookie-Banner sein. Deshalb veröffentlichen viele (Landes-) Datenschutzbeauftragte regelmäßig Anleitungen zur datenschutzkonformen Ausgestaltung von Cookie-Bannern. Um die Umsetzung des neuen TTDSG den Websitebetreibern zu erleichtern und konkrete Hilfestellungen zu bieten, hat die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder eine neue Fassung der Orientierungshilfe für Anbieter von Telemedien am 20.12.2021 veröffentlicht.
Welche Auswirkungen die Orientierungshilfe für Betreiber von Websites hat, beleuchten wir zeitnah in einem neuen Blogartikel, der sich ausschließlich mit der Stellungnahme der DSK befasst.

Consent-Layer als gängigstes Mittel zur Einholung von Einwilligungen

Für die Speicherung und Verarbeitung personenbezogener Daten bedarf es einer datenschutzrechtlichen Rechtsgrundlage.Wenn keine andere Rechtsgrundlage in Frage kommt, was insbesondere bei Tracking-Tools auf Websites häufig der Fall ist, ist eine Einwilligung erforderlich. Wichtig ist, dass der Websitebetreiber diese Einwilligung stets vor der Verarbeitung einholt. Für die Einholung dieser Einwilligung kommen meistens sogenannte Consent-Layer, oder auch Consent-Banner/Cookie-Banner genannt, zum Einsatz. Sobald der Websitebetreiber einen Drittdienstleister auf der eigenen Website einbindet, den er nicht mittels einer anderen Rechtsgrundlage wie z.B. berechtigten Interessen rechtfertigen kann, muss er dazu eine datenschutzrechtliche Einwilligung einholen. Hierzu gehören insbesondere Drittdienste für Analyse, Marketing, Wetter, Chat, Push-Nachrichten sowie alle Webtracker, die jeden Schritt der Nutzer im Netz protokollieren. Wenn die damit eingeholte Einwilligung rechtswirksam sein soll, ist es wichtig, dass diese Cookie-Banner nicht lediglich als Hinweis fungieren, sondern Wahlmöglichkeiten für den Nutzer beinhalten. Der Nutzer muss frei auswählen dürfen, welche Daten einer Datenerhebung- und Verarbeitung auf Basis der Einwilligung zugeführt werden sollen und welche nicht. Nicht zuletzt soll der Websitebetreiber seine Cookie-Banner nutzer- und datenschutzfreundlich voreinstellen. Dies führt in der Praxis immer noch häufig zu Fehlern bei der Ausgestaltung und kann im Ernstfall schließlich auch zu Bußgeldern führen.

Die häufigsten Fehler bei der Ausgestaltung von Cookie-Bannern

• Angabe des konkreten Verarbeitungszwecks: Der Websitebetreiber muss den Verarbeitungszweck konkret angeben. Oberflächliche Formulierungen wie „zur Optimierung des Surferlebnisses“ sind unzulässig und können zu Verwarnungen durch die Aufsichtsbehörden führen.
• Zeitpunkt der Einwilligung: Websitebetreiber müssen die Einwilligung zur Datenverarbeitung immer vorher einholen. Eine nachträgliche Zustimmung ist rechtswidrig. Die von der Einwilligung erfassten Drittdienste dürfen nur dann laufen, wenn eine wirksame Einwilligung dazu vorliegt.
• Beschränkung auf Cookies: Entgegen der landläufigen Bezeichnung „Cookie-Banner“ bezieht sich die Einwilligung nicht ausschließlich auf Cookies, sondern generell auf die Datenverarbeitung durch die betroffenen Drittanbieter oder Tracking-Tools. Es reicht daher häufig nicht aus, wenn der Cookie-Banner nur Cookies blockiert, aber auf anderem Wege (z.B. durch ein eingebundenes Javascript) bereits eine Datenverarbeitung durch die betroffenen Dienste erfolgt.
• Konkrete und eindeutige Buttons: Buttons und Klickfelder mit der Aufschrift „Zustimmen“ oder „Akzeptieren“ können unzulässig sein, insbesondere wenn aus der Ausgestaltung und dem Button nicht eindeutig hervorgeht, wozu die Einwilligung erteilt wird. Beschreiben Sie die Klickfelder und die dazugehörigen Texte deshalb immer so konkret wie möglich.
• „Alles akzeptieren“ vs. Einzelauswahl: Im Rahmen von Cookie-Bannern wird häufig versucht, durch optische Hervorhebungen (z.B. Farbe, Schriftgröße) den Nutzer dazu zu verleiten, schnell auf „Alles akzeptieren“ zu klicken. Teilweise wird das damit kombiniert, dass das Abwählen bzw. Ablehnen von einzelnen Funktionen erst mühsam auf einer weiteren Ebene durchgeklickt werden muss, sodass der Aufwand für den Nutzer deutlich höher ist als einfach auf „Alles akzeptieren“ zu klicken. Diese Gestaltung birgt die große Gefahr, dass die Einwilligung nicht mehr als freiwillig zu betrachten und damit unwirksam ist. Im Ergebnis muss das Ablehnen der Einwilligung genauso einfach sein wie das Erteilen der Einwilligung.
• Möglichkeit des Widerrufs der Einwilligung: Dem Internetnutzer muss zwingend eine Möglichkeit zum Widerruf der Einwilligung offenstehen. Diese Widerrufsoption muss transparent und leicht auffindbar sein, sodass der Nutzer jederzeit Einstellungen abwählen und ändern kann.

Vorsicht bei Consent-Management-Tools

Immer mehr Unternehmen bieten sogenannte Consent-Management-Tools an. Durch diese Tools kann der Websitebetreiber auf seiner Website datenschutzkonforme Einwilligungen einholen und dabei auch erteilte und verweigerte Einwilligungen der Nutzer individuell berücksichtigen. Allerdings hängt die Datenschutzkonformität dieser Tools von ihrem konkreten Einsatz und ihrer Konfiguration ab. Der Websitebetreiber hat zwar verschiedene Einstellungsmöglichkeiten, allerdings lassen sich diese nicht auf alle Einsatzzwecke pauschal anwenden. Deshalb sollten Websitebetreiber stets individuell überprüfen, ob ihre Cookie-Banner auch tatsächlich den Einsatz all ihrer Drittdienstleister ausschildern und abdecken und die einwilligungspflichtigen Funktionen tatsächlich erst ausgeführt werden, nachdem der Nutzer sie akzeptiert hat. Zu diesem Zweck muss das Consent Management Tool in vielen Fällen auch in der Lage sein, z.B. Scripte von Drittanbietern solange zu blockieren, bis der Nutzer in deren Nutzung eingewilligt hat. Es reicht daher in der Regel nicht aus, einfach ein solches Tool einzubinden, es muss auch ordnungsgemäß konfiguriert und mit den passenden Einwilligungstexten versehen werden.

Co-Autoren: Wissenschaftlicher Mitarbeiter – Ref. jur. Philipp Schmelz & wissenschaftliche Mitarbeiterin - Stud. jur. Laura Berend

Bildquelle: Datenschutz-Stockfoto.de