Cookie Banner

Cookie Banner und Consent Management (gemäß TTDSG, DSGVO & ePrivacy-Richtlinie): Beratung, Integration und Konfiguration

Cookie Banner und Consent Management
Inhalt der Seite

    Cookie Banner

    Was ist ein Cookie Banner?

    Durch die 2011 in Kraft getretene EU-Datenschutzrichtlinie für elektronische Kommunikation, die kurz als das "Cookie-Gesetz" bekannt ist, sind Cookie Banner erstmals auf Websites erschienen.

    Früher wurde der Websitebesucher beim Öffnen einer Webseite durch ein kleines Pop-up-Fenster über die Nutzung von Website Cookies informiert. Mehr Informationen wurden dem Nutzer nicht bereitgestellt. Heute wird der Websitebesucher in einem Cookie Banner, das beim ersten Öffnen der Website erscheint, auch auf die Verwendung von Cookie-Technologien aufmerksam gemacht - jedoch sind die Anforderungen an diese Banner mittlerweile höher.

    So müssen Cookie Banner detaillierter und umfangreicher sein. Darüber hinaus müssen sie Aufzählungen der einzelnen Website Cookies enthalten und dem Benutzer die Möglichkeit der Auswahl geben, welche Cookies zugelassen werden dürfen und welche nicht.

    Nach den neuen Datenschutzbestimmungen und Richtlinien muss der Website Besucher der Verwendung dieser Technologien zustimmen, damit Cookies DSGVO-konform verwendet werden können. Besonders wenn durch Tracking personenbezogene Daten gesammelt und zu Nutzerprofilen gespeichert werden, muss der Webseitenbesucher darüber informiert werden.

    Einwilligung des Nutzers bezüglich der Cookie-Nutzung

    Benötige ich ein Cookie Banner für meine Website?

    Websitebetreiber sollten beim ersten Öffnen der Website eine Einwilligung des Nutzers bezüglich der Cookie-Nutzung einholen. Dabei sollte so detailliert wie möglich aufgelistet werden, um welche Daten es sich handelt, wozu diese genutzt werden oder auch an wen diese Daten weitergegeben werden.

    Also: immer, wenn Daten durch Marketing-, Third Party- oder Tracking-Cookies erhoben werden und diese verarbeitet und ausgewertet werden, besteht Cookie Banner Pflicht.

    Laut Rechtsanwälten und Experten ist die Nutzung von technischen und Funktionalen-Cookies jedoch auch ohne Einwilligung möglich. Da keine Daten erhoben werden und keine Einwilligung erforderlich ist, ist somit rechtlich gesehen auch kein Cookie Banner nötig.

    Was muss ins Cookie Consent Banner?

    Im Cookie Banner müssen Hinweistext, Buttons und Links integriert sein.

    Eingangs sollte ein kurzer Text darüber informieren, welche Funktion der Cookie Banner erfüllt, was passiert, wenn die verschiedenen Buttons geklickt werden.

    Es sollten mindestens die folgenden Buttons vorhanden sein:

    Akzeptieren – hiermit erklärt man sich mit sämtlichen Website Cookies und Skripten einverstanden.

    Ablehnen – nach Klicken des Ablehnen-Buttons werden nur notwendige Cookies gesetzt.

    Einstellungen – hinter diesem Button befinden sich weiterführende Informationen sowie die Möglichkeit der granularen Einwilligung.

    Auf dem Banner muss sich unbedingt ein Links zur Datenschutzerklärung  und dem Impressum der Seite befinden. Beide Seite müssen aufrufbar sein, ohne dass die Inhalte blockiert werden und ohne dass Cookies gesetzt werden!

    Insights from the outside: Welche Daten sammelt Ihre Website?

    Nutzen Sie den # 1 Cookie-Scanner der COOKIEBOX GmbH für ein kostenlosen Website-Check Ihrer Domain! In 1 Minute erhalten Sie einen detallierten Datenschutz-Risikobericht – und sehen auf einem Blick, welche Cookies, Pixel, Tags, Third-Party-Services auf Ihrer Website im Einsatz sind.

    Cookie Einstellungen
    Cookiebox Website Check 2

    Cookie Banner: Vorteile für Ihr Unternehmen

    Cortina Consult erstellt und implementiert Cookie Banner – 100% DSGVO konform!

    • DSGVO konform: Ein Cookie Banner muss bestimmte Voraussetzungen erfüllen, um DSGVO konform zu sein. Als Partner von Usercentrics sorgen wir für 100% Rechtskonformität.
    • Schutz vor Abmahnung: Ein rechtskonformer Cookie-Banner mit Opt-In-Funktion schützt Sie vor unangenehmen Bußgeldern.
    • Vertrauen zu Kunden schaffen: Mit einem DGVO konformen Cookie Banner zeigen Sie, dass Sie sich um die Rechte Ihrer Kunden sorgen.
    • Hohe Opt-In Rate: Ein gut gemachtes Cookie Banner, welches Vertrauen weckt, erhöht die Wahrscheinlichkeit, dass Besucher Ihnen ihre freiwillige Einwilligung geben.
    • Individuelles Design: Ein Standard Cookie Banner (meist kostenloses CMP) ist oft nicht rechtskonform und dazu auch optisch nicht anpassbar. Unsere CMP (Usercentrics) kann dem Website-Design problemlos angepasst werden.

    Weitere Fragen zu Cookies & Co.

    Wie funktioniert ein Cookie Banner?

    Technisch funktioniert ein Cookie Banner in zwei verschiedenen Varianten. Bei beiden Varianten werden Skripte durch den Besucher kontrolliert ausgeführt, wodurch Website Cookies oder andere Elemente im Browser des Besuchers ablegt werden.

    1.) Cookie Banner Blocking: Diese Methode wird am häufigsten verwendet. Dabei erfolgen so gut wie keine Änderungen im Quellcode. Es wird lediglich das Skript-Tag mit der Einbindung des Cookie Banners in die Seite integriert. Der Banner blockiert dann automatisch die Ausführung der zu blockenden Skripte (z.B. Google Analytics) in der Seite.

    2.) Variante Cookie Banner als Tag Manager: In dieser Variante werden die gewünschten Skripte (z.B. Google Analytics) im Consent Manager eingetragen. Die Consent Management Platform spielt dann den Banner für Ihre Seite aus. Nach der Einwilligung des Besuchers für das Setzen der Cookies, wird das Skript erst ausgeführt.

    Was sind Website Cookies?

    Website Cookies sind kleine Dateien, die während des Websitebesuches auf dem Rechner des Nutzers gespeichert werden. Diese Informationen werden bei späteren Besuchen wieder ausgelesen und dienen dazu, Teile des Nutzerverhaltens auf der Website nachzuverfolgen. Hierzu enthalten sie häufig Kennungen, die als personenbezogene Daten betrachtet werden.

    Da der Benutzer im Vorhinein nicht weiß, ob die verwendeten Website Cookies seinem Nutzervorteil dienen oder personenbezogene Daten enthalten oder nicht, muss der Webseitenbetreiber offenlegen, wofür die Website Cookies eingesetzt werden und was mit den erhobenen Daten passiert.

    Dies kann über das Cookie-Banner auf der Website erfolgen. Dadurch erlangt der Nutzer die Möglichkeit auszuwählen, welche Cookies zugelassen werden dürfen. Dies geschieht für jeden Datenempfänger einzeln. Die Einstellungen des Nutzers werden über ein Consent-Management verwaltet.

    Welche Website Cookie Kategorien gibt es?

    1. Essentiell: Essentielle Services sind Services, die unbedingt erforderlich sind. Essentielle Services sind verantwortlich für die ordnungsgemäße Funktionsweise einer Website und werden ausschließlich vom Websitebetreiber selbst eingesetzt. In diesen Services gespeicherte Daten werden also ausschließlich an die jeweilige Website gesendet. Aus diesem Grund erfordern essentielle Service keine Einwilligung der WebsitebesucherInnen. Das bedeutet, dass essentielle Services vom User weder aktiviert
    2. Funktional: Funktionale Services speichern anonymisierte Angaben wie beispielsweise Benutzernamen und Sprachauswahl. Auf diesen Informationen basierend bieten funktionale Services verbesserte und personalisierte Funktionen. Funktionale Services zählen zu den einwilligungspflichtigen Services und können durch ein Opt-In oder Opt-Out aktiviert oder deaktiviert werden.
    3. Analyse: Analyse Services speichern Informationen bezüglich des Nutzerverhaltens auf der Website. Bei diesem Vorgang werden Daten zu Dauer und Häufigkeit von aufgerufenen Unterseiten, Reihenfolge der besuchten Seiten, Mausbewegungen (Klicks und Scrollen), Region des erfolgten Zugriffs und Suchbegriffe gespeichert. Ziel der Datenverarbeitung ist die Hauptinteressen der NutzerInnen zu ermitteln, um Inhalt und Funktionalität der Website zu optimierenohne persönliche Informationen zu speichern. Dennoch können analytische Services von Usern verweigert werden.
    4. Marketing: Marketing Services speichern Informationen über besuchte Websites von NutzerInnen sowie andere persönliche Informationen, um ihnen auf Grundlage dessen personalisierte Werbeanzeigen anzuzeigen. Bei dieser Art handelt es sich um Third-Party Services, die grundsätzlich zustimmungspflichtig sind. NutzerInnen können Marketing Services in den Banner-Einstellungen jederzeit widersprechen.
    5. Informationspflichtig: Bei den hier aufgelisteten Services handelt es sich um informationspflichtige Services. Das bedeutet, dass sie keiner Einwilligung bedürfen. Nichtsdestotrotz müssen WebsitebetreiberInnen über die Existenz und den Zweck dieser Services informieren. Der dafür vorgesehene Ort ist die Datenschutzerklärung der Website.

    Wird der Nutzer transpartent über den Einsatz von Tracking Tools informiert?

    Antwort:

    Keine oder nur unzureichende Informationen sind in den Datenschutzbestimmungen enthalten (80%).

    Informationen zum Einsatz von Tracking-Tools sind in den Datenschutzbestimmungen enthalten (20%).

    Bewertung des Ergebnisses

    Nur wenige Datenschutzbestimmungen erfüllen die Anforderungen zur Transparenz. Viele Website-Betreiber verschweigen den Einsatz von Tracking-Tools; andere hingegen informieren pauschal über verschiedenste Tools, die zum Teil gar nicht auf der Website eingebunden sind. Im Ergebnis wird der Nutzer nur selten transparent darüber informiert, ob und welche seiner Daten für welche Zwecke verarbeitet werden.

    Hintergrund

    Die DSGVO verpflichtet die Website-Betreiber, den Nutzer in einfacher und verständlicher Sprache über die Daten-verarbeitung zu informieren. Hierzu gehört es auch, alle Inhalte von Drittanbietern und eingebundene Tracking-Tools zu benennen. Außerdem muss der Nutzer darüber informiert werden, welche Daten von ihm erhoben werden, für welche Zwecke dies erfolgt und wie lang diese Daten gespeichert werden.

    Consent Management - das DSGVO-konforme Cookie Consent Banner

    Die Erstellung eines Cookie-Banners ist ein Schritt in die Richtung DSGVO-Konformität. Der Benutzer muss jedoch daraufhin der Nutzung von Website Cookies zustimmen, damit diese rechtskonform vom Website-Betreiber verwendet werden dürfen. Doch wie kann man eine Zustimmung zu Tracking, Retargeting oder Profiling-Cookies Zustimmung am besten einholen?

    Wie kann man eine freie, konkrete und ausdrückliche Zustimmung ermitteln und dokumentieren?

    Einerseits können Sie dies intern lösen. Hier gilt jedoch Vorsicht, da eine stetige Überwachung der Rechtsverordnungen nötig ist. Um hier auf Nummer sicher zu gehen und Haftungsrisiken zu vermeiden, ist es sinnvoll, das Consent Management an einen spezialisierten Anbieter auszulagern. Dafür eignet sich am besten eine Consent-management-Plattform (CMP), die es einem Websitebetreiber ermöglicht, die Zustimmung für die Nutzung von Cookies abzufragen, zu dokumentieren oder zu verwalten.

    Da es nicht nur um die Zustimmung für die Nutzung von Cookies geht, sondern auch um andere Tracking-Technologien, werden Cookie Banner auch als Consent Banner bezeichnet.

    Um die Einwilligungen zu dokumentieren und zu verwalten wird eine Consent-Management-Platform genutzt. Es handelt sich also um ein Zustimmungsmanagement. Website Besitzer können ihre User über die Consent-Management-Platform über den Einsatz von Cookie- und Tracking-Technologien informieren und ihre Einwilligung einholen. Zudem können sie ihren Website Besuchern die Möglichkeit geben, die Einwilligung zu verweigern ("Opt-out").

    Welche regulatorische Verpflichtungen kann ein Consent Management erleichtern?

    • Anzeigen von Einwilligungs-Popups und Widgets für die Benutzer;
    • Sammeln und Speichern von Informationen über Einwilligungsentscheidungen von Besuchern und Aufzeichnungen von Änderungen;
    • Bevor die Zustimmung erteilt wird, werden nur vorab genehmigte Daten erfasst und akzeptierte Tags ausgelöst
    joerg-ter-beek-datenschutzexperte-mitauszeichnung-in-berlin

    Sprechen Sie uns an.

    Wir beraten Sie gerne

    +49 251 297 947 40

    joerg-ter-beek-datenschutzexperte-mitauszeichnung-in-berlin

    Ihr Ansprechpartner

    Jörg ter Beek
    +49 251 297 947 40
    [email protected]

    Ihr Ansprechpartner

    Jörg ter Beek

    Als TÜV zertifizierter externer Datenschutzbeauftragter steht er Ihnen Rede und Antwort zu den Anforderungen der DSGVO, u.a. zu diesen Themen:

    Weitere Informationen zu Jörg ter Beek finden Sie auf seinem XING-Profil oder LinkedIn-Profil.

    Rechtslage nach EuGH und DSGVO

    Viele Websitebetreiber nutzen mittlerweile Cookie-Banner. Doch sind diese auch sicher DSGVO-konform und wird die rechtliche Lage beachtet? So wurden erst auch vorausgefüllte Zustimmungskästchen (opt-outs) in Cookie-Bannern als gültig anerkannt. Dabei wurden jedoch auch Daten von Besuchern getrackt, die davon noch keine Kenntnis genommen hatten.

    Nach einem Urteil des Europäischen Gerichtshof (EuGH) wurde erklärt, dass Websitebesucher aktiv in die Sammlung und Erhebung Ihrer personenbezogenen Daten einwilligen müssen (opt-in). Die im Vorhinein gesetzten Einwilligungen wurden als unwirksam eingestuft. Dieses Urteil wurde vor allem mit dem Schutz der Privatsphäre des Nutzers begründet.

    In Deutschland wurde der Bereich der Datensicherung in § 15 Abs.3 Telemediengesetz geregelt. Die Anforderungen dieser Norm umfassen jedoch lediglich Informationen darüber, wie Cookies angelegt werden müssen und dass ein Widerspruchsrecht auf Seiten des Websitenutzers vorhanden ist. Aufgrund dieser Norm ist keine explizite Einwilligung zur Cookie-Speicherung notwendig.

    Auch die DSGVO (Datenschutzgrundverordnung) enthält keine explizite Cookie-Richtlinie. Jedoch werden hier die Speicherung und die Verarbeitung von personenbezogenen Daten verboten.

    Kurz: Sobald ein Websitebenutzer als unique-User identifiziert werden kann, greift die DSGVO und eine Einwilligung muss durch ein Cookie-Banner eingeholt werden.

    Wenn dies nicht der Fall ist und lediglich technisch notwendige Cookies verwendet werden, greift lediglich § 15 Abs.3 TMG.

    Die Folgen: Die Verwendung von Website Cookies ist und bleibt erlaubt. Es wurde lediglich ein Rahmen für die Nutzung von Cookies und den Umgang mit personenbezogenen Daten geschaffen. Dies bleibt jedoch schwammig formuliert. Deshalb raten wir Ihnen: nutzen Sie die Opt-in-Lösung und listen Sie alle verwendeten Cookies auf, um mögliche Bußgelder zu vermeiden und sicher DSGVO-konform zu sein.

    Um die Privatsphäre der Nutzer in höherem Maße zu schützen, arbeiten die EU-Staaten an einer ePrivacy-Verordnung, die für standardisierte Datenschutzrichtlinien in der ganzen EU sorgen soll.

    Ein persönlicher Datenschutzberater? Klingt hervorragend, oder?

    Wir beraten Sie rund um die Themen Datenschutz, Compliance und IT-Sicherheit. Erhalten Sie weitere Informationen über einen Klick.

    Einwilligungspflicht bei Website Cookies

    Nach Ansicht der DSK müssen Website Cookies datensparsam eingesetzt werden, also technisch oder zur Website-Optimierung notwendig sein. Die Nutzung von Cookies erfordert jedoch nicht per se eine Einwilligung – Cookies, die keine Einwilligung erfordern, müssen nur in der Datenschutzerklärung aufgeführt werden.

    Die Einwilligungspflicht bei Cookies bezieht sich auf die Erhebung persönlicher Daten, vor allem die Weitergabe von Daten an Dritte oder die Möglichkeit Dritter, selbst Daten über diese Website zu erheben.

    Solange das Banner angezeigt wird, also die Erklärung nicht abgeschlossen ist, müssen alle Skripte, die Nutzerdaten erfassen könnten, blockiert bleiben. Erst nach der Cookie-Auswahl und deren Bestätigung dürfen die gewählten Cookies dynamisch nachgeladen werden und zum Einsatz kommen. Vorteile des externen Datenschutzbeauftragten: Er kann im Unternehmen sicherstellen, dass diese Vorgaben auch technisch eingehalten werden.

    Er muss auch dokumentieren, auf Basis welcher Erlaubnis die Datenverarbeitung stattfindet. Außerdem muss er dafür sorgen, dass möglichst wenige Daten erhoben werden und der Nutzer jederzeit Einsicht in die gewährte Erlaubnis hat bzw. diese Erlaubnis teils oder ganz widerrufen kann. Der Widerruf muss ebenso leicht möglich sein wie die Zustimmung zur Datenverarbeitung.

    info

    Hinweis zur Verwendung anonymisierter Cookies

    Die reine Verwendung von Pseudonymen wird von der DSK nicht als ausreichende Pseudonymisierungsmaßnahme nach der DSGVO anerkannt. Streng genommen sind nur anonymisierte Cookies nicht einwilligungsbedürftig.

    Berechtigtes Interesse für 3rd-Party-Tools & Website Cookies

    Entscheidend ist, ob die geplante Datenverarbeitung überhaupt zulässig ist. Die DSK skizziert in ihrem Papier eine Zulässigkeitsprüfung auch für Tracking-Cookies in drei Schritten, die vom Datenschutzbeauftragten im Unternehmen durchgeführt und dokumentiert werden muss:

    • 1 Liegt ein berechtigtes Interesses vor?
    • 2 Welche Daten sind für die beabsichtigte (Reichweiten) Analyse tatsächlich erforderlich?
    • 3 Die Interessen des Websitebetreibers sind gegen die Interessen und Grundrechte und Grundfreiheiten des Nutzers, zu denen etwa Meinungsfreiheit und Datenschutz gehören, abzuwiegen.

    Schritt 1: Berechtigtes Interesse prüfen

    Als berechtigtes Interesse, also als zulässiges Motiv für die Verarbeitung personenbezogener Daten, listet die DSK unter anderem auf:

    • Bereitstellung einer Warenkorb-Funktion in einem Online-Shop,
    • das Speichern von Log-Dateien zum Schutz der Sicherheit der Website vor Missbrauch und Betrug,
    • statistische Auswertungen und Reichweitenanalyse
    • Personalisierung und Individualisierung der Websiteangebote für den jeweiligen Nutzer etwa für Direktwerbung
    • Wiedererkennung und Merkmalszuordnung von Nutzern bei werbefinanzierten Angeboten.

    Schritt 2: Erforderlichkeit der Datennutzung ermitteln

    Datenverarbeitung ist laut DSK nur zulässig, wenn das berechtigte Interesse aus Schritt 1 aus technischen Gründen nur mithilfe des gewählten, datenintensiven Verfahrens verfolgt werden kann.

    Die Verarbeitung personenbezogener Daten muss also zum einen erforderlich sein und zum anderen darf es keinen milderen Weg (ganz ohne oder mit sparsamerer Datenverarbeitung) geben, dieses Interesse mit gleicher Effektivität zu verfolgen.

    Die Datenerhebung und -verarbeitung muss also auf das absolut notwendige Maß beschränkt werden und es muss eine gründliche Prüfung erfolgen, ob das Ziel der Datenverarbeitung nicht auch mit einem geringeren Datenumfang bzw. ohne Nutzung von Drittanbietern erreicht werden kann.

    Dies verpflichtet den Datenschutzbeauftragten und die Websiteprogrammierung dazu, regelmäßig zu prüfen, ob es neuere Tools gibt, die das gewünschte Ziel datensparsamer zu erreichen bzw. die Übermittlung an Dritte überflüssig machen. Siehe hierzu auch den Abschnitt Nutzung von Analysetools von Drittanbietern.

    Schritt 3: Interessen von Nutzer und Unternehmen gegeneinander abwägen

    Dem Interesse des Unternehmens an der Gewinnung möglichst vieler Daten steht der Wunsch des Nutzers nach Datensparsamkeit und Datenschutz entgegen. Hier muss abgewogen und erkennbar werden:

    Ist die Datenverarbeitung transparent und für den Nutzer erwartbar bzw. vorhersehbar?

    Bei mehreren Beteiligten ohne definierte rechtliche Beziehungen ist nicht von einer Transparenz auszugehen, ebenso wenig bei der Einbindung von Drittanbietern. Auch die Erfassung von Tastatur-, Maus- oder Wischeingaben oder der Einsatz für den Nutzer nicht erkennbarer Zählpixel gelten nicht als erwartbar.

    Besteht eine Möglichkeit für den Nutzer, die Datenverarbeitung zu verringern bzw. zu untersagen?

    Kann eine solche Opt-Out-Option bedingungslos und jederzeit ausgeführt werden, erhöhen sich die Chancen einer für den Websitebetreiber positiven Interessenabwägung. Werden hingegen Inhalte durch Opt-Outs blockiert oder Website Cookies externer Anbieter durch eigene Cookies ersetzt, sobald der Nutzer das Opt-Out wahrnimmt, handelt es sich um unzulässige Vorgänge, die sich negativ auf die Abwägung auswirken.

    Werden die erhobenen Daten miteinander verkettet?

    Risikoerhöhend und damit negativ sind geräteübergreifende Verkettungen von Nutzerdaten, besonders kritisch sind Verknüpfungen und Profilerstellungen durch die Dienste Dritter zu sehen.

    Wie viele und welche Akteure sind an der Datenverarbeitung beteiligt, und wo haben sie ihren Sitz?

    Je mehr Akteure beteiligt sind, desto schwieriger wird die Transparenz für den Nutzer. Besonders negativ wirken sich Beteiligte in mehreren Ländern aus, deren Rechtssysteme und gesetzlichen Grundlagen der Nutzer nicht kennen kann.

    Wie lange wird der Nutzer auf der Website beobachtet?

    Je länger die „Lebensdauer“ der Website Cookies, desto nachteiliger fällt die Abwägung aus.

    phone-newsletter

    Der Datenschutz Newsletter

    Bleiben Sie up-to-date, registrieren Sie sich jetzt für lesenswerte Datenschutz-News

    * Pflichtfeld.
    Mit der Registrierung erklären Sie Ihr Einverständnis zum Erhalt des Cortina Legal-Updates mit Mailchimp sowie zur Interessen-Analyse durch Auswertung individueller Öffnungs- und Klickraten. Zu Ihrer und unserer Sicherheit senden wir Ihnen vorab noch eine E-Mail mit einem Bestätigungs-Link (sog. Double-Opt-In); die Anmeldung wird erst mit Klick auf diesen Link aktiv. Dadurch stellen wir sicher, dass kein Unbefugter Sie in unser Newsletter-System eintragen kann. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft und ohne Angabe von Gründen widerrufen; z. B. durch Klick auf den Abmeldelink am Ende jedes Newsletters. Nähere Informationen zur Verarbeitung Ihrer Daten finden Sie in unserer Date​​​​nschutzerklärung.

    Consent Management Platform (CMP)

    Cookie Banner Generator

    Ein Cookie Banner Generator erstellt automatisiert ein passendes Cookie Banner. Häufig stellen sich Unternehmen daher die Frage, welche Consent Management Platform (CMP) ist die richtige für sie ist.

    Kriterien für die Auswahl einer Consent Management Platform (CMP)

    Da es sich bei den CMPs auf dem Gebiet der Website-Technologien um eine Neuentwicklung handelt, haben wir objektive Kriterien zusammengestellt, die sich aus rechtlichen und technischen Aspekten zusammensetzen und bei der Auswahl eines CMP berücksichtigt werden sollten.

    Dokumentation und Server

    Es ist wichtig, die Einwilligung des Website-Besuchers auf Seiten des Servers, sowie auf Seiten des Kunden zu speichern. Dies resultiert aus der Dokumentationspflicht und der Nachweispflicht bezüglich der Einwilligung. Die Einwilligungsdaten werden nach Möglichkeit auf Servern in der EU gespeichert. Das CMP sollte auch in der Lage sein, das Bereitstellen von Einwilligungsdaten vor Ort anzubieten.

    Freiwillig

    Dem Benutzer sollte zunächst sowohl die Möglichkeit der Zustimmung als auch der Ablehnung gegeben werden. Ein Cookie-Banner, das dem Nutzer keine andere Wahl lässt, als zuzustimmen, erfüllt die Anforderungen an eine freiwillig erteilte Zustimmung nicht und ist somit nicht DSGVO-konform.

    Laden vor dem Opt-in und nach dem Opt-out

    Es sollte möglich sein, die zustimmungspflichtigen Technologien erst nach einem gültigen Opt-in zu laden.

    Nach dem Opt-out sollten die Technologien nicht mehr geladen werden, nicht einmal das Opt-out selbst. Die Übermittlung des Nutzers an eine externe Website eines Drittanbieters zur Abmeldung ist nicht sinnvoll und stellt keine einfache Abmeldung dar.

    Huckepack-Konstellationen

    Der CMP sollte auch Huckepack-Konstellationen erkennen und abdecken.

    Dies sind Cookies, die automatisch Daten an andere verknüpfte Cookies übertragen, welche nicht auf der Website selbst sind. Hierbei handelt es sich z.B. um Affiliate-Cookies, die teilweise neu geladen werden.

    Design und UI/UX

    Der CMP sollte anbieten, die Benutzeroberfläche anzupassen zu können. Denn nur so kann sichergestellt werden, dass sich die Website-Besucher nicht durch Cookie-Popups und Banner irritiert und verärgert fühlen. Das könnte dazu führen, dass die aufwendig gestalteten CI- und UI/UX-Aufwendungen vereitelt würden.

    Nicht nur Cookies

    Die Zustimmungspflicht sollte nicht nur für Cookies, sondern auch für andere Web-Technologien wie Plug-Ins und integrierte Inhalte (z.B. eingebettete YouTube-Videos, Google-Schriften) gelten.

    Die Verpflichtung zur Einholung der Zustimmung kann sich aus Faktoren ergeben, die beispielsweise eine Datenübermittlung in ein Drittland wie die USA zur Folge haben. In jedem Fall unterliegen sie der Informationspflicht nach Art. 13 DSGVO.

    Tipps zum Cookie Banner Tool

    Um nachweisen zu können, dass Sie sich an die Richtlinien der Datenschutzgrundverordnung und der ePrivacy-Verordnung halten, sollten Sie die passende Cookie-Management-Lösung parat haben.

    Dokumentieren Sie als Websitebetreiber die Einwilligungen der Besucher bezüglich der Cookie-Nutzung und geben Sie dem Website-Benutzer jederzeit die Möglichkeit, seine Einstellungen und Auswahlmöglichkeiten einzusehen und diese gegebenenfalls zu ändern.

    Datenschutz durch Design

    Damit der CMP nicht zum nächsten "Daten-Oktopus" wird, sollten die Kundendaten während der Verarbeitung separat gespeichert werden.

    Dies kann dadurch erfolgen, dass die Daten des Benutzers weder verfolgt noch verlinkt werden. Das heißt: wenn der identische Benutzer auf einer Website seine Zustimmung gibt, sollte der CMP standardmäßig nicht dazu in der Lage sein, diese Zustimmung als Zustimmung für eine andere Website zu verwenden.

    Diese Profilerstellung bedarf gemäß Art. 21 DSGVO ihrerseits einer Zustimmung.

    iab Transparenz- und Zustimmungsrahmen

    Das „iab Transparency“ and „Consent Framework“ ist die erste Möglichkeit, eine Zustimmung global zu übertragen. Der gewählte CMP sollte den iab-Standard unterstützen, da in Zukunft personalisierte Werbung nur noch mit ConsentID in der Angebotsanfrage gesteuert wird.

    Kompatibilität

    Die CMP-Software sollte agnostisch entwickelt werden. Das bedeutet, dass sie mit jedem Cookie-Management und Webseiten-System kompatibel ist.

    Integration in die Datenschutzerklärung

    Da der Verantwortliche der Informationspflicht nachkommen muss, ist es sinnvoll, die rechtlich relevanten Texte der Web-Technologien (automatisch) in die allgemeine Datenschutzerklärung integrieren zu können, z.B. durch einen iFrame.

    Flexibilität

    Es ist sehr wichtig, die Richtlinien für das Laden von Website Cookies kontrollieren und ändern zu können. In einigen Fällen kann es sein, dass ein Unternehmen eine „sanfte“ Einstellung vornehmen möchte – z.B. um bestimmte Technologien wie reine Webanalysecookies ohne Zustimmung zu laden. Wenn ein Urteil einer Datenbehörde dies jedoch verbietet, muss ein schneller Wechsel zu einer Null-Cookielast-Einstellung möglich sein.

    Geschäftszweck des CMP-Anbieters

    Der alleinige Geschäftszweck des Dienstleisters sollte darin bestehen, die jeweilige Zustimmung einzuholen, damit sich die Nutzung des CMP auf Art. 6c DSGVO stützen kann. Verfolgt ein Anbieter darüber hinaus weitere Geschäftszwecke, kann davon ausgegangen werden, dass die Einwilligungsdaten ebenso für diese Geschäftszwecke verwendet werden. Daher wird entweder eine Eigenentwicklung mit einem separaten neutralen Unternehmen oder ein externer Anbieter mit Privacy-by-Design empfohlen.

    Genauigkeit

    Das Prinzip der Konkretheit kann als Voraussetzung für eine granulare Zustimmung zu bestimmten auf der Webseite verwendeten Technologien ausgelegt werden. Außerdem sollte aus dem Prinzip des Minimalismus heraus eine Zustimmung nur für eine Technologie eingeholt werden, die tatsächlich auf der Website verwendet wird. Die Zustimmung zu einer vollständigen Liste von über 350 Anbietern, wie sie die iab-Lösung vorschreibt, ist schwer zu rechtfertigen.

    DSGVO-konforme Cookie Banner Lösungen

    Wer Cookies, Retargeting und Tracking-Pixel auf seiner Website verwendet, muss seine Nutzer beim Erstbesuch der Internetseite darauf hinweisen – das hat sich bei den meisten Websitebetreibern herumgesprochen.

    Aber auch für den Einsatz von Cookies und Cookie Banner gelten seit der DSGVO und den jüngsten EuGH-/ BGH-Urteilen schärfere Regeln.

    Früher wurde der Websitebesucher beim Öffnen einer Website durch ein kleines Pop-up-Fenster über die Nutzung von Cookies informiert. Mehr Informationen wurden dem Nutzer nicht bereitgestellt. Nach den neuen Datenschutzbestimmungen und Richtlinien muss der Website-Besucher der Verwendung Drittanbietern und Tracking-Technologien zustimmen, damit Cookies DSGVO-konform verwendet werden können. Vor allem, wenn durch Tracking personenbezogene Daten gesammelt und zu Nutzerprofilen gespeichert werden, muss der Nutzer darüber informiert werden und aktiv seine Einwilligung geben.

    FAQ

    Weitere wichtige Fragen zum Thema Cookie Banner

    Welche Form der Einwilligung ist optimal?

    Die für den Nutzer angenehmste Form der Cookie-Einwilligung ist ein Cookie-Banner, das unten oder mittig über der Website eingeblendet wird. Pop-Up-Lösungen könnten durch entsprechende Blocker nicht angezeigt werden, so dass die Website insgesamt nicht richtig dargestellt wird. Eine vorgeschaltete vollflächige Seite irritiert die Nutzer und kann dazu führen, dass sie den Besuch der Seite vorzeitig beenden.

    Wenn eine Einwilligung des Nutzers erforderlich ist, muss er bei seinem ersten Webseitenbesuch über ein informatives Cookie-Banner darüber in Kenntnis gesetzt werden, dass die Website durch Cookies personenbezogene Daten erheben will, wozu sie dienen und wohin die Daten übermittelt werden, bevor diese Cookies zum Einsatz kommen.

    Er muss der Cookie-Nutzung ausdrücklich und ohne Zwang bzw. Funktionseinschränkungen zustimmen können, und zwar durch eine nicht vorausgefüllte Einwilligungs- bzw. Widerspruchserklärung im Cookie-Banner. Hierfür müssen im Cookie-Banner alle einwilligungsbedürftigen Verarbeitungsvorgänge, deren Funktion bzw. Zweck und alle daran beteiligten Akteure aufgelistet und erklärt werden.

    Für jeden Verarbeitungsvorgang personenbezogener Daten und jeden eingebundenen Akteur muss eine gesonderte Einwilligung erteilt werden können.

    Welche Form der Einwilligung ist nicht gültig?

    Cookie-Banner, die nur eine Zustimmung zulassen, die weitere Nutzung der Seite als Zustimmung werten oder vorausgefüllt sind, sind nicht rechtskonform. Auch eine Widerspruchslösung, die erst nach dem Setzen der Cookies greift, entspricht nicht den Vorgaben.

    Drittanbieter-Tracking-Skripte und Auswertungstools?

    Generell ist die Verwendung jeglicher Cookies in der Datenschutzerklärung der jeweiligen Website aufzuführen. Darüber hinaus muss für das Setzen technisch nicht notwendiger Cookies die Einwilligung der Nutzer eingeholt werden. Schalten Sie einen Cookie-Hinweis und geben Sie dem Website-Benutzer mithilfe eines Cookie-Banners die Möglichkeit, den verwendeten Cookies zuzustimmen oder diese abzulehnen.

    Diese Einwilligung ist nach Ansicht der Datenschutzkonferenz (DSK), die sich auf die Informationspflichten gemäß Art.13 DSGVO bezieht, nur wirksam, wenn der Nutzer vorab über alle Datenverarbeitungsvorgänge und sämtliche Empfänger seiner Daten ausführlich informiert wurde sowie die Möglichkeit zum Widerspruch gegen alle oder bestimmte Cookies erhält.

    Damit sind viele der derzeit kursierenden Cookie Banner, die nur einen einfachen „Okay-Button“ oder die Möglichkeit des Zuklickens enthalten, nicht ausreichend, weil der Nutzer dem Setzen solcher Cookies nicht widersprechen kann. Außerdem können nur jene Websitebetreiber sämtliche Empfänger der Daten offenlegen, die die Nutzerdaten ausschließlich auf ihrer eigenen Website verarbeiten.

    Sobald ein Analysetool genutzt wird, das die Daten extern auswertet, ist es dem Websitebetreiber nicht mehr möglich, nachzuvollziehen und zu dokumentieren, wohin die Daten seiner Besucher übermittelt werden (siehe Nutzung von Analysetools von Drittanbietern).

    Besonders kritisch müssen Websitebetreiber künftig externe Analysetools und statistische Hilfsmittel von Dritten betrachten. Bei diesen Verfahren werden die Auswertungen nicht lokal auf dem Server des Betreibers durchgeführt, sondern die etwa durch Cookies erhobenen Daten gehen ohne Einflussmöglichkeiten des Betreibers zur Auswertung an Server des Toolanbieters, oft auch im Ausland.

    Durch den Transfer kann der Websitebetreiber nicht mehr einsehen und offenlegen, wer Einsicht in die Daten hat und inwiefern sie Websiteübergreifend zu Nutzerprofilen zusammengeführt werden, und auch der Nutzer erhält keine Möglichkeit, der Weitergabe zu widersprechen. Die Nutzung solcher Tools wie beispielsweise Google Adsense, Google Ad Manager, Google Analytics, DoubleClick oder Facebook Custom Audience dürfte also unzulässig sein, weil es mildere Mittel gibt.

    Websitebetreiber sind aufgefordert, datensparsam arbeitende lokal arbeitende Analysetools auf dem eigenen Server zu installieren und Logfiles zu analysieren, um den Datenschutz zu gewährleisten bzw. die unkontrollierbare Datenweitergabe in Länder außerhalb der EU zu unterlassen.

    Wie sieht die Rechtslage für Unternehmen mit Sitz in der EU/ EEA aus?

    Unternehmen mit Sitz in der EU / EEA müssen DSGVO-konform sein und die oben beschriebenen Regeln für die Verwendung von Cookies und ähnlichen Technologien einhalten.

    Allerdings müssen nach Art. 3 (2b) DSGVO im Allgemeinen alle Websites weltweit die DSGVO einhalten, wenn Tracking oder Profiling Technologien auf EU-Nutzer angewendet werden. Alle Unternehmen weltweit, die solche Technologien einsetzen, benötigen eine Lösung für das Einwilligungsmanagement - entweder um die DSGVO-Richtlinien einzuhalten oder um EU/EWR-Nutzer zu blockieren und sich von der DSGVO fernzuhalten.

    Die Überprüfung möglicher CMP-Anbieter und die Umsetzung einer solchen Lösung wird auch im Hinblick auf die ePrivacy-Verordnung der richtige Schritt sein.

    Achten Sie bei der Verwendung von Cookie-Management-Lösungen durch Content-Management-Systeme (CMS) wie WordPress, Joomla, Drupal oder TYPO3 darauf, dass Sie Ihr Cookie-Banner wirklich konform zu den Datenschutzverordnungen und Gesetzen implementieren. Dies erfordert ständige Auditierung, da die Rechtslage komplex ist und sich ständig verändert.

    Welche Sanktionen drohen beim Verstoß gegen die Opt-In-Pflicht?

    Wenn Ihre Website keine Opt-In Möglichkeiten für den User beinhalten, können Ihnen folgende Konsequenzen drohen: Untersagungsverfügungen der Behörden.

    Bußgelder (die von Ihrem Umsatz abhängen und zumindest in Deutschland nach einem einheitlichen Verfahren abhängig vom Umsatz berechnet werden sollen und zumindest einen Tagesumsatz betragen sollen).

    Abmahnungen (mit Unterlassungsforderungen samt Vertragsstrafen von ca. 2.500 – 5.000 Euro bei Wiederholung) und Schadensersatzforderungen der Nutzer (bisher waren diese eher selten, könnten jedoch nach dem Urteil zunehmen).

    Abmahnungen durch klagebefugter Organisationen (z. B. Verbraucherzentralle, Wettbewerbszentrale, etc).

    Abmahnungen durch von Mitbewerbern (derzeit ist es noch unklar, ob Mitbewerber Datenschutzverstöße abmahnen können, aber die Tendenz zeigt in diese Richtung).

    Wie implementiert man ein Cookie Banner rechtssicher?

    Um ein Cookie Banner sicher und rechtskonform auf einer Website zu implementieren, muss der Websitebetreiber dieses Cookie Banner auch in seiner Datenschutzerklärung aufführen.

    Die Datenschutzerklärung dient dann dazu, dem Nutzer detailliert aufzuzeigen, was nach der Speicherung mit den Daten passieren wird. Auch muss dem Websitebesucher hier aufgezeigt werden, wer auf die erhobenen Daten Zugriff hat und für welche Zwecke die Daten verwendet werden.

    Daraus folgt: ein alleinstehendes Cookie Banner ohne dazugehörige Datenschutzerklärung hat keinen rechtlichen Wert. Somit ist es nicht DSGVO-konform.

    Oft sind Cookie Banner am oberen oder unteren Bildschirmrand angelegt. So sollen sie die Performance der Landingpage nicht beeinträchtigen. Bei der Platzierung eines Cookie Banners sollte der Websitebesucher jedoch zu jedem Zeitpunkt die Möglichkeit haben, auf das Impressum und die Datenschutzerklärung zuzugreifen.

    Hinweis: Dies gilt auch dann, wenn der Websitebesucher der Verwendung von Cookies zugestimmt hat.

    Welche 7 Schritte führen zum perfekten Cookie Banner Text?

    Wählen Sie eine klare Überschrift, etwa „Weitergabe Ihrer Nutzerdaten an Dritte“.

    Erfragen Sie, ob der Nutzer überhaupt in die Nutzung von technisch nicht erforderlichen Cookies einwilligt.

    Beantworten Sie für alle einwilligungsbedürftigen Cookies die folgenden Fragen

    1. Welche Daten werden weitergegeben?
    2. Weshalb ist die Erhebung notwendig?
    3. Wohin und an wen konkret werden die Daten übermittelt?
    4. Zu welchem Zweck werden sie übermittelt?
    5. Wer hat Zugriff auf die Daten?
    6. Wie lange werden die Daten gespeichert?
    7. Werden die Daten mit weiteren Daten verknüpft?
    • Sie können die Antworten diese Fragen in aufklappbaren Textbausteinen übersichtlich gestalten, Links zu bedienen ist dem Nutzer an dieser Stelle aber nicht zuzumuten.
    • Bieten Sie dem Nutzer für jedes einwilligungsbedürftige Cookie ein unausgefülltes Feld an, damit er eine freie Entscheidung treffen kann.
    • Stellen Sie technisch sicher, dass keinerlei Daten übermittelt werden, bevor der Nutzer seine Wahl getroffen hat.
    • Stellen Sie die Freiwilligkeit der Einwilligung klar und weisen Sie auf das Recht zum jederzeitigen Widerruf hin. Stellen Sie auch klar, wie dieser Widerruf erfolgen kann.
    • Impressum und Datenschutzerklärung müssen schon während dieses Auswahlprozesses erreichbar sein, optimalerweise direkt auf dem Banner.
    • Eröffnen Sie eine Widerrufsmöglichkeit, die ebenso einfach zu finden und zu bedienen ist wie die Einwilligung – etwa über die dauerhafte Einblendung eines „Fingerprints“, in dem jedes einzelne Cookie jederzeit an- und abgewählt werden kann.

    Wie gehe ich bei den Cookie Banner Texten auf Nummer sicher?

    Aufgrund der ungeklärten rechtlichen Lage, die sich erst in den kommenden Jahren durch Gerichtsurteile und die neuen gesetzlichen Vorgaben konkretisieren wird, empfiehlt es sich, in jedem Fall sowohl auf Websites wie auch in Apps ein detaillierter Cookie-Hinweis einzublenden. Denn wird durch ein Gericht ein Verstoß gegen die DSGVO festgestellt, liegen die Strafen bei bis zu 500.000 Euro bzw. vier Prozent des Jahresumsatzes, je nachdem, was höher ist.

     Bei den hier aufgelisteten Services handelt es sich um informationspflichtige Services. Das bedeutet, dass sie keiner Einwilligung bedürfen. Nichtsdestotrotz müssen WebsitebetreiberInnen über die Existenz und den Zweck dieser Services informieren. Der dafür vorgesehene Ort ist die Datenschutzerklärung der Website.

    Welche 7 Punkte muss ein Cookie Banner erfüllen?

    1. Freiwillig: Der Nutzer muss die Möglichkeit haben, die Datenverarbeitung abzulehnen und die Website trotzdem zu benutzen. Dann erfolgt die Einwilligung freiwillig.
    2. Informiert: Die betroffene Person muss über die Gegebenheiten und Zusammenhänge der Datenverarbeitung und über das Recht zum Widerruf aufgeklärt werden. Dann kann eine Einwilligung informiert erfolgen.
    3. Explizit: Der Nutzer muss aktiv der Technologien zustimmen bevor diese beim Besuch der Website geladen werden.
    4. Granular: Der User muss bei der Einwilligung granular wissen, für welche Daten und für welchen Drittanbieter er seine Einwilligung abgibt oder entzieht. Es wird also eine detaillierte Beschreibung benötigt. Ein allgemeiner Hinweis ist nicht ausreichend.
    5. Vorab: Es muss eine technische Verknüpfung zwischen dem Cookie-Banner und der Technologien auf der Seite bestehen. Ansonsten liegt ein Verstoß nach Art. 83 Abs. 5 lit. a) DSGVO vor, da Daten ohne gültige Rechtsgrundlage verarbeitet werden. Wenn der Unser nicht einwilligt, dürfen auch keine Daten erhoben oder weitergegeben werden. Erst wenn eine Einwilligung vorliegt, dürfen Cookies ausgespielt. werden.

    6. Widerrufbar: Der User hat das Recht, die Einwilligung jederzeit und ohne Begründung zu widerrufen. Der Widerruf der Einwilligung muss genauso einfach sein, wie die Erteilung. Also mit wenigen Klicks muss es möglich sein, einzelne Technologien zu widerrufen und die jeweilige Opt-Out Option zu finden.

      Eine Kombination von OK-Bannern und Opt-Out-Hinweis in der Datenschutzerklärung ist nicht ausreichend. Nach dem Widerruf darf die Technologie nicht mehr ausgelöst werden.

    7. Dokumentiert: Aufgrund der Beweispflicht von Website-Betreibern muss im Falle einer Abmahnung oder eines Audits die Einwilligungshistorie vollständig der Datenschutzbehörde vorgelegt werden können. Sämtliche Einwilligungen müssen dokumentiert werden, um nachweisen zu können, dass keine Cookies ausgespielt wurden, bevor die Einwilligung vorlag.

    Fazit

    Cookie Banner – Tipps für Websitebetreiber

    Das Thema Cookies und Cookie-Banner wird den Gesetzgeber und die Gerichte auch in den kommenden Jahren beschäftigten. Es ist damit zu rechnen, dass hier noch viele Veränderungen, Konkretisierungen und Klarstellungen erfolgen. Websitebetreibende Unternehmen und ihre Datenschutzbeauftragten müssen sich auch weiterhin regelmäßig über die aktuelle rechtliche Lage und die korrekte Umsetzung informieren, um die Sicherheit der personenbezogenen Daten sicherzustellen.

    Kurz: DSGVO-konforme Cookie-Banner sind für eine erfolgreiche Website unausweichlich.

    Tipp: Um nachweisen zu können, dass Sie sich an die Richtlinien der Datenschutzgrundverordnung und der ePrivacy-Verordnung halten, sollten Sie die passende Cookie-Management-Lösung parat haben. Dokumentieren Sie als Websitebetreiber die Einwilligungen der Besucher bezüglich der Cookie-Nutzung und geben Sie dem Website-Benutzer jederzeit die Möglichkeit, seine Einstellungen und Auswahlmöglichkeiten einzusehen und diese gegebenenfalls zu ändern.

    • DSGVO Website Check
    • Cookie Scan
    • Cookie Banner Tool Beratung
    • Cookie Kategorisierung & Consent Management
    • CMP Konfiguration
    • Monitoring

    Sie haben noch Fragen zum Thema oder zum Datenschutz im Allgemeinen?

    Wir helfen Ihnen gerne:

    joerg-ter-beek-datenschutzexperte-mitauszeichnung-in-berlin

    Ihr Ansprechpartner

    Jörg ter Beek
    Datenschutzexperte