Website-Compliance

No more nudging! Cookie Banner-Design mit strengeren Regeln

28. Februar 2022

Inhalt der Seite

    Manipulative Cookie Banner durch Nudging

    Viele Cookie Banner sind nach dem Ansatz des Nudgings gestaltet – und damit manipulativ. Nudging („Stupsen“) bedeutet, ein erwünschtes Verhalten für den Nutzer attraktiver zu machen und ihn damit in die gewünschte Richtung zu bewegen.

    Dies kann durch sprachliche, aber auch optische Anreize geschehen. Die gewünschte Option – die Zustimmung zu Cookies – ist größer, farblich hervorgehoben und deutlich einladender gestaltet als die übrigen Optionen. Die vom Betreiber nicht gewünschte Option „Alles abwählen“ ist hingegen oft ohne klickbaren Rahmen, nur mit Schrift und/oder kleiner gestaltet.

    Das Design macht es dem Nutzer also bewusst schwer, die Abwahloption auszuwählen. Damit verstoßen manipulative Cookie Consent Banner gegen den Grundsatz von Treu und Glauben und gegen Artikel 5 Absatz 1a der DSGVO.

    Für Cookie Banner ist diese Praxis nicht mehr zulässig, wird aber von vielen Betreibern von Websites weiterhin eingesetzt. Es ist mit einer Klagewelle zu rechnen.

     

    Rechtskonforme Gestaltung von Cookie Bannern

    Die DSK (Datenschutzkonferenz; Zusammenschluss der Datenschutzbehörden des Bundes und der Länder) hat in ihrer Orientierungshilfe vom 01.12.2021 sehr klare Hinweise hierzu verfasst.

    „...um sicherzustellen, dass sie eine wirksame Einwilligung nachweisen können, müssen Anbieter von Telemedien daher dringend darauf achten, die zur Auswahl gestellten Optionen gleichwertig zu gestalten..."

     

    Kann kein sachlicher Grund dafür vorgebracht werden, warum z. B. keine mit demselben Aufwand verbundene Ablehnungsmöglichkeitauf erster Ebene eines Cookie Banners angeboten wird, stellt dies einen Versuch dar, in treuwidriger Weise Einfluss auf die Endnutzer zu nehmen.

     

    Nudging verstößt damit gegen den Grundsatz von Treu und Glauben, DSGVO Art. 5.1 a) und führt zu unwirksamen Einwilligungen

    coco_cmp_design_beispiele_2

    Gestaltung des Cookie Banners – die wichtigsten Dos and Don'ts

    • 1 Hinweistext: Der Einleitungstext sollte den Nutzern klar machen, in welche Verarbeitungsarten sie einwilligen, dass sie jederzeit widersprechen können und wo sie weitere Informationen erhalten.
    • 2 Akzeptieren / Ablehnen: Durch das Akzeptieren erklärt der Nutzer sich mit der Verarbeitung sämlichter Cookies und Skripten einverstanden. Durch den Klick auf den Button Ablehnen werden nur notwendige Cookies gesetzt bzw. Drittanbieter-Services erlaubt.
    • 3 Einstellungen: Hinter dieser Schaltfläche befinden sich weiterführende Informationen und die Möglichkeit der Auswahl oder Deaktivierung von verschiedene Tags, Tracker und Analyse-Tools.
    • 4 Verlinkungen: Die Verlinkungen zur Datenschutzerklärung und dem Impressum sind essentiell. Beide Seiten müssen aufrufbar sein, ohne das Setzen von Cookies oder die Blockierung von Inhalten.
    info

    Wichtiger Hinweis

    Eindeutige Bezeichnung der Schaltflächen: Sicher sind Schaltflächen, die Begriffe, wie "Alle Ablehnen" und "Alle akzeptieren" tragen.

    Farbgestaltung der Schaltflächen: Es gibt zwar keine klaren Vorgaben bei der Gestaltung der Schaltflächen, allerdings sollte der Nutzer anhand dessen nicht in die Irre geführt werden. Manipulative Cookie Banner können durch optische Anreize, indem die Schaltfläche "Akzeptieren" farblich hervorgehoben  und deutlich einladender gestaltet wird, entstehen.

    Größe und Form: Die Schaltflächen zum Akzeptieren und Ablehnen sollten nach Möglichkeit gleich groß sein, um gleichwertig zu gelten.

    Ablehnung auf zweiter Consent Banner Ebene: Häufig muss der Nutzer eine Unterseite bzw. die zweite Consent Banner Ebene aufrufen, um nicht unbedingt erforderliche Cookies abzulehen.

    Cookie Consent Management – grafische Gestaltungsmöglichkeiten

    cookie_banner_design_beispiel_1

    First Layer Consent Banner: 1 Button-Lösung

    Auf der ersten Ebene des Consent Banners wird dem Nutzer nur eine grafische Auswahlmöglichkeit angeboten – nämlich Akzeptieren. Die Möglichkeit des Widerspruchs wird dem Nutzer im Text bzw. in Form einer Verlinkung des Wortes Ablehnen eingeräumt.

    Cookie Banner, die dem Nutzer keine grafische Abwahlmöglichkeit (Schaltfläche) auf der ersten Ebene anbieten, sind nach vorherrschender Auslegung der DSGVO / TTDSG unzulässig.

    Folgende Verstöße liegen innerhalb dieses Banner-Beispiels vor:

    • 1 Nudging liegt vor
    • 2 Missverständliche Formulierung der Überschrift
    • 3 Möglichkeit der Zustimmung und Ablehnung sind nicht gleichwertig
    • 4 Freiwillige Einwilligung nicht eindeutig erkennbar
    • 5 Informationen werden nicht in einfacher Sprache wiedergegeben
    • 6 Verarbeitungsausmaß der Daten wird nicht eindeutig dargestellt
    cookie_banner_design_beispiel_2

    First Layer Consent Banner - 2 Button-Lösung

    Innerhalb der ersten Ebene des Cookie Banners sind zwei grafische Auswahlmöglichkeiten aufgeführt. Erwähnenswert ist allerdings, dass die Möglichkeit des Widerrufs dem Nutzer anhand einer Verlinkung des Wortes Widerrufen im Hinweistext gegeben wird.

    Consent Banner, welche das Nutzerverhalten durch die Farbwahl der Schaltflächen beeinflussen, sind nach der Orientierungshilfe vom 01.12.2021 der DSK (Datenschutzkonferenz; Zusammenschluss der Datenschutzbehörden des Bundes und der Länder) unwirksam. Durch eine gleichwertige Gestaltung der gestellten Optionen, wird eine wirksame Einwilligung sichergestellt.

    Folgende Verstöße liegen innerhalb dieses Banner-Beispiels vor:

    • 1 Nudging liegt vor
    • 2 Missverständliche Formulierung der Überschrift
    • 3 Möglichkeit der Zustimmung und Abehnung sind nicht gleichwertig
    • 4 Freiwillige Einwilligung nicht eindeutig erkennbar
    • 5 Verarbeitungsausmaß der Daten wird nicht eindeutig dargestellt
    • 6 Informationen werden nicht in einfacher Sprache wiedergegeben
    • 7 Kein eindeutiger Datentransfer ersichtlich
    • 8 Beschreibung des Ergebnisses, nicht über die Verarbeitung
    coco_cmp_design_beispiele_bayern_recht

    First Layer Consent Banner - 3 Button-Lösung

    Die notwendigen Auswahlmöglichkeiten zur Zustimmung aller Services, sowie Ablehnung der Cookies sind auf der ersten Ebene des Consent Banners gegeben. Änderungen bezüglich der Einstellungen zur Auswahl der Cookie Kategorien und Drittanbieter-Services können über die Schaltfläche "Details anzeigen" vorgenommen werden.

    Durch die gewählte Farbgestaltung der Schaltflächen, wird das Nutzerverhalten nicht manipuliert. Zusätzlich wird durch die eindeutige Bezeichnung der Buttons kein Nutzer in die Irre geführt.

    Folgende Verstöße liegen innerhalb dieses Banner-Beispiels vor:

    • 1 Missverständliche Formulierung der Überschrift
    • 2 Verarbeitungsausmaß der Daten wird nicht eindeutig dargestellt
    • 3 Informationen werden nicht in einfacher Sprache wiedergegeben
    • 4 Informationen nur bezüglich Cookies, nicht über die Verarbeitung
    • 5 Kein eindeutiger Datentransfer ersichtlich
    • 6 Beschreibung des Ergebnisses, nicht über die Verarbeitung

    Wann gilt die Einwilligung als rechtssicher nach TTDSG erteilt?

    Es gibt acht Prüfkriterien, nach denen festgestellt werden kann, ob die Einwilligung nach TTDSG wirksam erteilt wurde:

    Kriterium 1:

    Erfolgte die Einwilligung durch die tatsächlichen Endnutzenden des Endgeräts?

    Kriterium 2:

    Wann genau erfolgte die Einwilligung (Zeitpunkt der Einwilligung)? Die Anzeige des entsprechenden Consent Banners und die darauf dokumentierte Nutzerentscheidung müssen zwingend vor dem Setzen des ersten Cookies o.Ä. erfolgen.

    Kriterium 3:

    Erfolgte keine unzulässige Einflussnahme auf die Nutzerentscheidung (sog. Nudging), indem beispielsweise die Bedienfläche für die Zustimmung durch grafische Aufbereitung größer oder farblich attraktiver gestaltet wurde als die Ablehn-Schaltfläche?

    Kriterium 4:

    War der oder die Einwilligende ausreichend über die Datenverwendung informiert – ist also jegliche Speicher- und Ausleseaktivitäten transparent und nachvollziehbar und war für Nutzende erkennbar, wer in welcher Form und zu welchem Zweck auf die jeweilige Endeinrichtung zugreift, welche Funktionsdauer eventuelle Cookies haben und ob Dritte Zugriff darauf erhalten oder erhalten können? War erkennbar, welche konkreten Einwilligungen durch die Zustimmung erteilt wurden?

    Die Mindestinformationsinhalte sind:

    • Identität des Verantwortlichen
    • Konkrete Verarbeitungszwecke
    • die verarbeitenden Daten
    • die Absicht einer einer Zusammenführung der Daten zu Nutzungsprofilen
    • die Absicht einer ausschließlich automatisierten Entrscheidung (DSGVO Art. 22 Abs. 2c)
    • die Absicht einer Datenübermittlung in Drittländer (DSGVO Art. 49 Abs. 1 S. 1a)

    Diese Informationen müssen auf derselben Ebene wie die Entscheidungsschaltflächen erscheinen.

    WICHTIG: Formulierungen zu Nutzungszwecken wie „das Surferlebnis verbessern“, „die Webseite optimieren“ oder „Nutzeranalysen durchführen“ sind nicht ausreichend.

    Sie benötigen einen rechtskonformen Cookie Banner?

    Dann sind Sie bei uns richtig!

    Gerne beraten wir Sie ausführlich zum Thema Consent Management und zeigen Ihnen, wie Sie Ihren Cookie Banner rechtskonform einbinden.

    Kriterium 5:

    Hat der oder die Einwilligende eine unmissverständliche und eindeutig bestätigende Handlung vorgenommen? Vorausgewählte Optionen, stillschweigende Zustimmung („mit der weiteren Nutzung unserer Seite erklären Sie sich einverstanden“) und andere Opt-Out-Verfahren, bei denen der Nutzer widersprechen statt einwilligen muss, sind generell unwirksam. Das gilt auch für entsprechende Browser-Voreinstellungen. Cookie-Banner, die auf der ersten Ebene nur eine Einwilligungsoption zeigen und entweder gar keine Abwahlmöglichkeit enthalten oder diese erst nach dem Aufruf weiterer Seiten ermöglichen, sind unzulässig. Sollten Seiteninhalte nicht ohne Beantwortung des Cookie-Consents möglich sein, muss die Abwahl von Cookies ebenso klar und knapp gehalten sein wie die Zustimmung („gleichwertige Handlungsmöglichkeiten“).

    Kriterium 6:

    War die Einwilligung auf den konkreten Fall bezogen? Das Einholen genereller, nicht einzelfallbezogener Einwilligungen ist nicht wirksam.

    Kriterium 7:

    Erfolgte die Einwilligung freiwillig und entstehen keine Nachteile oder Funktionseinbußen durch eine Ablehnung und ein nachträgliches Zurückziehen der Einwilligung? Zu den nicht akzeptablen Praktiken gehört unter anderem, nach einer Ablehnung ständig wieder Einwilligungsbanner einzublenden.

    Kriterium 8:

    Bestand und besteht die Möglichkeit zum (auch nachträglichen) Widerruf der Einwilligung, die ebenso einfach sein muss wie die Erteilung? Der Widerruf muss auf gleichem Wege und in gleicher Einfachheit durchführbar sein wie die Zustimmung. So ist beispielsweise ein Medienbruch, etwa der Zwang zum Widerruf in Schriftform, nachdem die Einwilligung per Klick erteilt wurde, nicht zulässig.

    info

    Wichtiger Hinweis

    Für das Speichern und Auslesen personenbezogener Daten aus Endgeräten gelten seit 1. Dezember 2021 die Bestimmungen des § 25 TTDSG. Diese Vorschrift stellt den Schutz der Privatsphäre und Vertraulichkeit bei der Nutzung von Endeinrichtungen sicher. Für die weitere Verarbeitung dieser Daten gilt hingegen bis auf wenige Sonderfälle weiterhin die DSGVO. Geht aus dem Text des Banners hingegen nicht hervor, dass nach der Speicherung auch eine Verarbeitung der Daten erfolgt – wobei Beteiligte und Zwecke klar anzugeben sind –, gilt die Zustimmung zur Datenverarbeitung als nicht erteilt.

    Im TTDSG finden sich also die aktuellen Vorgaben für die Einwilligung der Nutzerinnen und Nutzer in die Speicherung ihrer Daten auf „Endeinrichtungen“. Das sind Geräte, die mit dem öffentlichen Telekommunikationsnetz (Internet) verbunden sind. Die Regelung betrifft in allererster Linie Cookies. Aber auch automatische Updateangebote und Browser-Fingerprinting nutzen häufig Informationen über Eigenschaften des Endgeräts, die nach der aktuellen Rechtslage zustimmungspflichtig sind.

    Insights from the outside: Welche Daten sammelt Ihre Website?

    Nutzen Sie den # 1 Cookie-Scanner der COOKIEBOX GmbH für ein kostenlosen Website-Check Ihrer Domain! In 1 Minute erhalten Sie einen detallierten Datenschutz-Risikobericht – und sehen auf einem Blick, welche Cookies, Pixel, Tags, Third-Party-Services auf Ihrer Website im Einsatz sind.

    Cookie Einstellungen
    Cookiebox Website Check 2

    Die aktuellen Vorgaben des Artikels 7 DSGVO verpflichten die Anbieter, die Auswahloptionen „Alles annehmen“ und „Alles ablehnen“ gleich attraktiv und auch gleich bedienbar zu gestalten, um die geforderte Freiwilligkeit der Wahl sicherzustellen. Nicht zulässig ist beispielsweise, „alles annehmen“ mit einem Klick durchzuführen, bei „alles ablehnen“ hingegen weitere Menüs zu zeigen oder zusätzliche Detailauswahlen zu erzwingen, wodurch viele Nutzer den einfachsten Weg bevorzugen würden.

    Bereits seit Mai 2021 sind vorausgefüllte Cookie-Banner, in denen die Zustimmung durch vorausgewählte Optionen „vorgegeben“ wurde und der Nutzer bei Ablehnung alle Kästchen manuell einzeln abwählen musste, untersagt (Rechtssache C-673/17 des EuGH). Und auch statt einer „alles abwählen“ Option nur „Individuelle Einstellungen anzubieten, in denen sich der Nutzer dann durch Listen von Third-Party-Anbietern scrollen und jede einzelne Option abwählen muss, gehört der Vergangenheit an.

    Informierte Einwilligung nach DSGVO

    Die französische Datenschutzbehörde CNIL verurteilte kürzlich Google zu 150 Millionen Euro und Facebook zu 60 Millionen Euro Bußgeld. Beiden Anbietern wurde vorgeworfen, die Einwilligung in die Nutzung von Cookies mit einem Klick zu ermöglichen, die Ablehnung hingegen durch kompliziertere Auswahlvorgänge willentlich zu erschweren. Gemäß Art. 7 DSGVO muss jedoch der Widerruf bzw. die Ablehnung der Einwilligung genauso einfach sein und auf demselben Wege erfolgen können wie die Einwilligung selbst.

    Auch die deutsche Rechtsprechung interessiert sich zunehmend für diese Fragen. Das Landgericht Rostock fällte am 15. September 2020 ein Urteil (Aktenzeichen 3 O 762/19), das Vorauswahlen sowie optisch unterschiedliche Gestaltungen von Einwilligungs- und Ablehn-Buttons untersagt sind. Der BGH untersagte im Mai 2021 die Verwendung von Cookie-Bannern mit vorausgefüllten Optionen (analog zur Rechtssache C-673/17 des EuGH). Ein hessisches Gericht ließ Eilverfahren zur Unterlassung solcher Praktiken zu.

    Sie haben noch Fragen zum Thema oder zum Datenschutz im Allgemeinen?

    Wir helfen Ihnen gerne:

    joerg-ter-beek-datenschutzexperte-mitauszeichnung-in-berlin

    Ihr Ansprechpartner

    Jörg ter Beek
    Datenschutzexperte