Opt-Out ist! FAQ und Checkliste zum BGH-Cookie-Urteil

Anleitung für Einführung eines smarten Cookie Banners (Consent Management Tool)

Der BGH folgt der Rechtsprechung des EuGH: Der Bundesgerichtshof hat in seiner Entscheidung vom 28. Mai 2020 die Linie des Europäische Gerichtshofs bestätigt: Tracking-Cookies bedürfen der Einwilligung des Website-Besuchers.

Keine Cookies ohne explizite Einwilligung

Für das Ausspielen von Cookies ist eine Einwilligung des Users erforderlich; die bisherige Praxis, Google Analytics, Ads etc. mit dem sogenannten berechtigten Interesse (Art. 6 Abs. 1 lit. f DSGVO) zu legitimieren, ist damit vorbei – und damit auch die Zeit der Cookie-Banner Feigenblätter und impliziten Einwilligungen – "Fake Cookie Banner" ärgern nicht nur User, sondern bergen auch ein erhöhtes Bußgeldrisiko.

Zwei Jahre nach Inkrafttreten der DSGVO herrscht ein wildes Durcheinander auf deutschen Websites und eCommerce-Shops. Cookie Banner und Hinweise in alle Farben, Sorten und Größen springen den User an – viele Nutzer sind einfach nur noch genervt.

Doch aufgepasst, liebe Betreiber von Online-Portalen, Websites und Blogs: Kein Cookie-Banner ist auch keine Lösung! Denn bei den Datenschutzaufsichtsbehörden landen täglich zig Beschwerden von Nutzern, die die Abwesenheit von Bannern, Buttons und Informationen vermissen – und eine behördliche Überprüfung der Website erbeten.

Deshalb sollten Websitebetreiber peinlich genau darauf achten, dass ihre Website zu 100% datenschutzkonform ist. Jeder Fehler erhöht das Risiko, dass es zu einer Beschwerde kommt – und damit ein behördliches Verfahren einleitet wird.

Cookie-Opt-in-Pflicht: 7 Punkte Plan

Auswahl, Integration und Konfiguration eines Einwilligungs-Tools: Das Thema ist nicht trivial. Um ein zufriedenstellendes Ergebnis zu erreichen, sind einige Punkte zu berücksichtigen.

  • Welche Grauzonen verbleiben bei der Konfiguration?
  • Welche Services (Matomo, Google Analytics, Facebook-Pixel etc.) dürfen weiterhin auch ohne Consent genutzt werden?
  • Welche Cookie-Hinweis Tools (Verwalten der Einwilligungen) gibt es?
  • Last but not the least: Wie gehe ich vor bzw. was ist bei der Intergation zu berücksichtigen?

Alles hierzu erfahren Sie in der folgenden FAQ mit Checkliste.

1 // Fingerprints, Pixel, Webservices: Gute Cookies, böse Cookies

Der Begriff Cookies ist so einfach wie irreführend. Nicht jedes technische Cookie ist per se böse bzw. erfordert die Einwilligung des Nutzers. Andere Technologien (z.B. sogenannte Fingerprints, Web-Beacons, Tags, Pixels etc.), die auf Websites und eCommerce-Shops genutzt werden, sind per Definition keine Cookies, müssen aber dennoch mittels Einwilligung des Users legitimiert werden – zur Vereinfachung spricht man jedoch zusammenfassend von Cookies.

Das Dilemma: Trotz des neuen BGH-Urteils zu Cookie-Hinweisen gibt es noch Unklarheiten; Cookies lassen sich nicht immer eindeutig einer Kategorie zuordnen; stand heute gibt es weder Black- noch White-List für Cookies.

Es muss also im Einzelfall geprüft werden, ob das Ausspielen von Cookies auch ohne Opt-in zulässig ist.

Fest steht jedoch, dass für den Einsatz von Cookies zu Werbe- und Marketingzwecken, d.h. Profiling, Remarketing, Conversion-Messung, eine Opt-In Pflicht besteht. Für Onlineangebote gelten beispielsweise Cookies, die den Warenkorb oder den Logistikstatus des Users speichern als eindeutig notwendige Cookies.

cookie-zeug

2 // Cookie-Audit und Inventur

Ganz oben auf der to do Liste steht eine Analyse der Website (Domain / Subdomain). Also eine Cookie-Inventur, die Ihnen eine Übersicht der verwendeten Technologien auf Ihrer Website liefert. Idealerweise bekommen Sie eine erste Orientierung zum Status Ihrer Domain, möglichst  schnell, belastbar und kostenfrei. Um es kurz zu machen: Die Cookiebox GmbH liefert Ihnen genau das innerhalb von 1 Minute: Website-Cookie-Analyse.

Cookie Check nach BGH und EuGH

3 // Wie kann eine wirksame Cookie-Einwilligung eingeholt werden?

Für eine rechtskonforme Cookie-Einwilligung wird ein smartes Cookie Banner benötigt (neudeutsch: Consent Management Platform, kurz: CMP). Dabei gibt es ein paar Punkte, die bei der Konfiguration berücksichtigt werden sollten.

  • Aktive Zustimmung: Besucher Ihrer Website müssen der Verarbeitung ihrer Daten aktiv zustimmen.
  • Ablehnen: Möchte der User nicht, dass (außer den technisch notwenigen) Cookies ausgespielt werden, muss das mit einem (!) Klick möglich sein.
  • Meinung ändern bzw. widerrufen: : Der User muss darüber informiert werden, das er jederzeit die Cookie-Einstellungen ändern kann.
  • Mehr Informationen in der Datenschutzerklärung: Halten Sie die Informationen auf der Startseite bzw. im Banner klar und präzise, alle weiterführenden Infos kann der Nutzer in der umfänglichen Datenschutzerklärung in Erfahrung bringen.
Cookie-Compliance: 7 Punkte Checkliste

Cookie Banner DSGVO-konform

Beratung // Integration // Konfiguration

4 // Cookie- und Consent Management: Welche Tools gibt es / worauf ist zu achten?

Es gibt einige Tools auf dem Markt, um die Einwilligung Ihrer Nutzer einzuholen und zu verwalten. Wir haben Ihnen acht Tools aufgelistet.

Zudem gibt es noch Open Source Lösungen wir Klaro! oder OIL. Alle Tools erfüllen die Anforderungen an ein effizientes und sicheres Cookie- & Consent Management. Eine detaillierte Beschreibung der einzelnen Tools finden Sie in unserem Blogbeitrag: 10 Tools für Cookie Banner und Cookie Management.

5 // Gibt es Vorgaben für die Platzierung von Cookie Bannern?

Pixelgenause Vorgaben gibt es nicht. Hier finden Sie ein paar Beipiele, die die Bandbreite der Möglichkeiten abbildet: Cookie Banner Beispiele!

Und ein Anti-Beispiel: Have a cookie (or go away)

Keine Zustimmung = kein Zutritt. So wie hier umgesetzt: Cookie-Wall statt Pay-Wall.

Darf der Website-Betreiber den Nutzer von seiner Seite verbannen, wenn dieser seine Einwilligung nicht erteilt?

Der Nutzer hat in diesem Fall jedenfalls keine echte Wahl, wenn er die Website besuchen möchte. Freiwillig sieht anders aus.

Deshalb unsere Einschätzung: Das geht freundlicher (für den den Seitenbesucher) – und die Rechtmäßigkeit der Einwilligung steht unser Ansicht nach auf sehr wackeligen Beinen. Kurz & knapp: Wer Tracking zur Besucher-Pflicht macht, hat keine wirksame Einwilligung.

Das eigentlich traurige an diesem Beispiel: In der aktuellen Konfiguration werden Cookies ab der ersten Sekunde ausgespielt – egal ob ich Alle Cookies akzeptieren klicke oder auch nicht:

Sicherlich keine böse Absicht. Aber als Besucher der Seite fühle ich mich etwas – verladen. Lerneffekt hier: Cookie Banner kaufen und irgendwie (falsch / abschreckend / restriktiv) konfigurieren reicht nicht.

6 // Wie sollte der Text des Cookie Banners aussehen?

Klar, kurz, auf den Punkt: Der Banner-Text sollte dem Nutzer verdeutlichen, wie Daten erhoben werden wie Änderungen an der User-Einstellung gemacht werden können, zum Beispiel:

Wir respektieren Ihre Privatsphäre: Für ein optimales Website-Erlebnis nutzen wir Cookies und ähnliche Technologien, um personalisierte Inhalte zu zeigen, Funktionen anzubieten und Statistiken zu erheben. Ein Klick auf „Akzeptieren“ erlaubt uns diese Datenverarbeitung sowie die Weitergabe an Drittanbieter gemäß unserer Datenschutzerklärung.

Cookie Banner, Einwilligung

 

Ablehnen sollte so einfach sein wie zustimmen. Was das konkret bedeutet, lässt sich am besten anhand der folgenden Beispiele verdeutlichen:

  • Klare Bezeichnungen: Die Schaltflächen sollte eindeutig und sprechend formuliert werden.
  • Opt-in-Design: Das Design der Banner-Elemente sollte sich am Design der Website orientieren (Wenn schon compliant, dann hübsch!). Sollten hohe Opt-in-Raten für Sie ein kritischer Faktor sein, empfehlen wir Ihnen auf das Design / UX genügend Aufmerksamkeit zu verwenden (ggf. A-/B-Test zu machen).

Sie müssen dem Nutzer Ihrer Website die Änderung seiner Cookie-Einstellungen ermöglichen. Zwei Möglichkeiten, die sich in der Praxis bewährt haben:

  • als Permanent-Button (stick button), also jederzeit auf der Website anklickbar;
  • im Fuß Ihrer Website.
  • Und nicht vergessen: Nach der Integration des Consent Tools MUSS die (eigentliche) Datenschutzerklärung noch einmal geprüft und ggf. angepasst werden!

7 // Cookie Banner Tool Onboarding Prozess

cookie banner integration

Fazit

Es gibt unzählige Websites mit zig Cookie Banner-Varianten. Ein Banner ist jedoch völlig wertlos, wenn er nicht die Anforderungen der DSGVO erfüllt. Mit Usercentrics erhalten Sie nicht nur einen einwandfreien Hinweistext, sondern es stehen Ihnen auch unendlich viele Möglichkeiten des Designs zur Verfügung. Lassen Sie Ihre Wünsche und Vorstellungen von uns umsetzten oder übergeben Sie direkt alle Aufgaben rund um das Cookie Banner an uns. Dann können Sie sich entspannt zurücklehnen und müssen sich keine Sorgen um den Datenschutz auf Ihrer Website machen!

Ihr Ansprechpartner: Jörg ter Beek

Privatsphäre aus Prinzip

Weitere Informationen zu Jörg ter Beek finden Sie auf seinem XING-Profil oder LinkedIn-Profil.

CORTINA CONSULT DURCHSUCHEN

Generic selectors
Exact matches only
Search in title
Search in content
Search in posts
Search in pages

Ihr Ansprechpartner

Externer Datenschutzbeauftragter - Jörg Ter Beek

Jörg ter Beek
+49 251 2979474-1
[email protected]