No more nudging! Cookie Banner-Design mit strengeren Regeln
Strengere Regeln für Cookie Banner: Finden Sie mithilfe des kostenlosen Website Checks heraus, ob Ihr aktuelles Cookie Banner den gesetzlichen Vorschriften entspricht und welche Verbesserungen ggf. vorzunehmen sind.
UPDATE 2023
Europäischer Datenschutzausschuss – Taskforce veröffentlicht Abschlussbericht zur grafischen Gestaltung von Cookie Bannern
Eine gut gemachte und faire Internetseite benötigt kein Cookie-Banner, weil sie nur technisch notwendige Cookies verwendet.
Sagt niemand Geringeres als der amtierende Bundesdatenschutzbeauftragte Ulrich Kelber in einem Interview auf heise.de
In der Werbewirtschaft sieht man das sicherlich anders. Wir bei der Cortina Consult übrigens auch. Denn wir sind der Auffassung, dass auf einer Website selbstverständlich Cookies und Drittanbieter genutzt werden können – innerhalb der rechtlichen Vorgaben und wenn ein (konfiguriertes) Cookie Consent Banner zum Einsatz kommt.
Nach dem Bericht der Taskforce (Link zum Report finden Sie hier) sind jedenfalls die folgenden Praktiken für eindeutig unzulässig:
- fehlende Möglichkeit zur Ablehnung auf derselben Ebene wie die Zustimmung (1. Ebene)
- bereits vorausgewählte Kästchen (Zustimmung unterstellt)
- eingebettete Text-Links zur Ablehnung ohne visuelle Hervorhebung
- Links zur Ablehnung außerhalb des Cookie-Banner
- keine Möglichkeit zum Widerruf der Zustimmung
Es ist zu erwarten, dass Aufsichtsbehörden, Verbraucherschutz und Website-Besucher (und ggf. Marktbegleiter) auf der Grundlage dieser zunehmend klareren Rechtsauslegung strikter gegen mangelhafte Cookie Banner vorgehen werden.
Damit steigt das Risiko von Beschwerden und/oder Abmahnungen.
Sollten Sie das zum Anlass nehmen wollen, die eingesetzten Cookie Consent Banner auf Ihren Websites zu überprüfen, können Sie uns bei Bedarf jederzeit kontaktieren.
UPDATE: TTDSG wird zu TDDDG
Seit dem 13. Mai 2024 heißt das vormalige Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) Telekommunikation-Digitale-Dienste-Datenschutzgesetz (TDDDG). Diese Namensänderung dient der Anpassung des deutschen Rechts an den europäischen Digital Services Act (DSA). Hauptsächlich hat dies lediglich eine Namensänderung zufolge, die Kerninhalte bleiben unverändert. Daher ist es ausschlaggebend für Sie Ihr Impressum und andere Datenschutzdokumente auf entsprechende Anpassungen überprüfen. Ersetzen Sie TTDSG durch TDDDG, um zukünftige Änderungen zu vermeiden.
Manipulative Cookie Banner durch Nudging
Viele Cookie Banner sind nach dem Ansatz des Nudgings gestaltet – und damit manipulativ. Nudging („Stupsen“) bedeutet, ein erwünschtes Verhalten für den Nutzer attraktiver zu machen und ihn damit in die gewünschte Richtung zu bewegen.
Dies kann durch sprachliche, aber auch optische Anreize geschehen. Die gewünschte Option – die Zustimmung zu Cookies – ist größer, farblich hervorgehoben und deutlich einladender gestaltet als die übrigen Optionen. Die vom Betreiber nicht gewünschte Option „Alles abwählen“ ist hingegen oft ohne klickbaren Rahmen, nur mit Schrift und/oder kleiner gestaltet.
Das Design macht es dem Nutzer also bewusst schwer, die Abwahloption auszuwählen. Damit verstoßen manipulative Cookie Consent Banner gegen den Grundsatz von Treu und Glauben und gegen Artikel 5 Absatz 1a der DSGVO.
Für Cookie Banner ist diese Praxis nicht mehr zulässig, wird aber von vielen Betreibern von Websites weiterhin eingesetzt. Es ist mit einer Klagewelle zu rechnen.
Rechtskonforme Gestaltung von Cookie Bannern
Die DSK (Datenschutzkonferenz; Zusammenschluss der Datenschutzbehörden des Bundes und der Länder) hat in ihrer Orientierungshilfe vom 01.12.2021 sehr klare Hinweise hierzu verfasst.
„...um sicherzustellen, dass sie eine wirksame Einwilligung nachweisen können, müssen Anbieter von Telemedien daher dringend darauf achten, die zur Auswahl gestellten Optionen gleichwertig zu gestalten..." Kann kein sachlicher Grund dafür vorgebracht werden, warum z. B. keine mit demselben Aufwand verbundene Ablehnungsmöglichkeitauf erster Ebene eines Cookie Banners angeboten wird, stellt dies einen Versuch dar, in treuwidriger Weise Einfluss auf die Endnutzer zu nehmen. Nudging verstößt damit gegen den Grundsatz von Treu und Glauben, DSGVO Art. 5.1 a) und führt zu unwirksamen Einwilligungen
Gestaltung des Cookie Banners – die wichtigsten Dos and Don'ts
- Hinweistext: Der Einleitungstext sollte den Nutzern klar machen, in welche Verarbeitungsarten sie einwilligen, dass sie jederzeit widersprechen können und wo sie weitere Informationen erhalten.
- Akzeptieren / Ablehnen: Durch das Akzeptieren erklärt der Nutzer sich mit der Verarbeitung sämlichter Cookies und Skripten einverstanden. Durch den Klick auf den Button Ablehnen werden nur notwendige Cookies gesetzt bzw. Drittanbieter-Services erlaubt.
- Einstellungen: Hinter dieser Schaltfläche befinden sich weiterführende Informationen und die Möglichkeit der Auswahl oder Deaktivierung von verschiedene Tags, Tracker und Analyse-Tools.
- Verlinkungen: Die Verlinkungen zur Datenschutzerklärung und dem Impressum sind essentiell. Beide Seiten müssen aufrufbar sein, ohne das Setzen von Cookies oder die Blockierung von Inhalten.
Hinweis
Eindeutige Bezeichnung der Schaltflächen: Sicher sind Schaltflächen, die Begriffe, wie „Alle Ablehnen“ und „Alle akzeptieren“ tragen.
Farbgestaltung der Schaltflächen: Es gibt zwar keine klaren Vorgaben bei der Gestaltung der Schaltflächen, allerdings sollte der Nutzer anhand dessen nicht in die Irre geführt werden. Manipulative Cookie Banner können durch optische Anreize, indem die Schaltfläche „Akzeptieren“ farblich hervorgehoben und deutlich einladender gestaltet wird, entstehen.
Größe und Form: Die Schaltflächen zum Akzeptieren und Ablehnen sollten nach Möglichkeit gleich groß sein, um gleichwertig zu gelten.
Ablehnung auf zweiter Consent Banner Ebene: Häufig muss der Nutzer eine Unterseite bzw. die zweite Consent Banner Ebene aufrufen, um nicht unbedingt erforderliche Cookies abzulehen.
Cookie Consent Management – grafische Gestaltungsmöglichkeiten
First Layer Consent Banner: 1 Button-Lösung
Auf der ersten Ebene des Consent Banners wird dem Nutzer nur eine grafische Auswahlmöglichkeit angeboten – nämlich Akzeptieren. Die Möglichkeit des Widerspruchs wird dem Nutzer im Text bzw. in Form einer Verlinkung des Wortes Ablehnen eingeräumt.
Cookie Banner, die dem Nutzer keine grafische Abwahlmöglichkeit (Schaltfläche) auf der ersten Ebene anbieten, sind nach vorherrschender Auslegung der DSGVO / TDDDG unzulässig.
Folgende Verstöße liegen innerhalb dieses Banner-Beispiels vor:
- Nudging liegt vor
- Missverständliche Formulierung der Überschrift
- Möglichkeit der Zustimmung und Ablehnung sind nicht gleichwertig
- Freiwillige Einwilligung nicht eindeutig erkennbar
- Informationen werden nicht in einfacher Sprache wiedergegeben
- Verarbeitungsausmaß der Daten wird nicht eindeutig dargestellt
First Layer Consent Banner: 2 Button-Lösung
Innerhalb der ersten Ebene des Cookie Banners sind zwei grafische Auswahlmöglichkeiten aufgeführt. Erwähnenswert ist allerdings, dass die Möglichkeit des Widerrufs dem Nutzer anhand einer Verlinkung des Wortes Widerrufen im Hinweistext gegeben wird.
Consent Banner, welche das Nutzerverhalten durch die Farbwahl der Schaltflächen beeinflussen, sind nach der Orientierungshilfe vom 01.12.2021 der DSK (Datenschutzkonferenz; Zusammenschluss der Datenschutzbehörden des Bundes und der Länder) unwirksam. Durch eine gleichwertige Gestaltung der gestellten Optionen, wird eine wirksame Einwilligung sichergestellt.
Folgende Verstöße liegen innerhalb dieses Banner-Beispiels vor:
- Nudging liegt vor
- Missverständliche Formulierung der Überschrift
- Möglichkeit der Zustimmung und Ablehnung sind nicht gleichwertig
- Freiwillige Einwilligung nicht eindeutig erkennbar
- Verarbeitungsausmaß der Daten wird nicht eindeutig dargestellt
- Informationen werden nicht in einfacher Sprache wiedergegeben
- Kein eindeutiger Datentransfer ersichtlich
- Beschreibung des Ergebnisses, nicht über die Verarbeitung
First Layer Consent Banner: 3 Button-Lösung
Die notwendigen Auswahlmöglichkeiten zur Zustimmung aller Services, sowie Ablehnung der Cookies sind auf der ersten Ebene des Consent Banners gegeben. Änderungen bezüglich der Einstellungen zur Auswahl der Cookie Kategorien und Drittanbieter-Services können über die Schaltfläche „Details anzeigen“ vorgenommen werden.
Durch die gewählte Farbgestaltung der Schaltflächen, wird das Nutzerverhalten nicht manipuliert. Zusätzlich wird durch die eindeutige Bezeichnung der Buttons kein Nutzer in die Irre geführt.
Folgende Verstöße liegen innerhalb dieses Banner-Beispiels vor:
- Missverständliche Formulierung der Überschrift
- Verarbeitungsausmaß der Daten wird nicht eindeutig dargestellt
- Informationen werden nicht in einfacher Sprache wiedergegeben
- Informationen nur bezüglich Cookies, nicht über die Verarbeitung
- Kein eindeutiger Datentransfer ersichtlich
- Beschreibung des Ergebnisses, nicht über die Verarbeitung
Wann gilt die Einwilligung als rechtssicher nach TDDDG erteilt?
Es gibt acht Prüfkriterien, nach denen festgestellt werden kann, ob die Einwilligung nach TDDDG wirksam erteilt wurde:
Kriterium 1:
Erfolgte die Einwilligung durch die tatsächlichen Endnutzenden des Endgeräts?
Kriterium 2:
Wann genau erfolgte die Einwilligung (Zeitpunkt der Einwilligung)? Die Anzeige des entsprechenden Consent Banners und die darauf dokumentierte Nutzerentscheidung müssen zwingend vor dem Setzen des ersten Cookies o.Ä. erfolgen.
Kriterium 3:
Erfolgte keine unzulässige Einflussnahme auf die Nutzerentscheidung (sog. Nudging), indem beispielsweise die Bedienfläche für die Zustimmung durch grafische Aufbereitung größer oder farblich attraktiver gestaltet wurde als die Ablehn-Schaltfläche?
Kriterium 4:
War der oder die Einwilligende ausreichend über die Datenverwendung informiert – ist also jegliche Speicher- und Ausleseaktivitäten transparent und nachvollziehbar und war für Nutzende erkennbar, wer in welcher Form und zu welchem Zweck auf die jeweilige Endeinrichtung zugreift, welche Funktionsdauer eventuelle Cookies haben und ob Dritte Zugriff darauf erhalten oder erhalten können? War erkennbar, welche konkreten Einwilligungen durch die Zustimmung erteilt wurden?
Die Mindestinformationsinhalte sind:
- Identität des Verantwortlichen
- Konkrete Verarbeitungszwecke
- die verarbeitenden Daten
- die Absicht einer einer Zusammenführung der Daten zu Nutzungsprofilen
- die Absicht einer ausschließlich automatisierten Entrscheidung (DSGVO Art. 22 Abs. 2c)
- die Absicht einer Datenübermittlung in Drittländer (DSGVO Art. 49 Abs. 1 S. 1a)
Diese Informationen müssen auf derselben Ebene wie die Entscheidungsschaltflächen erscheinen.
WICHTIG: Formulierungen zu Nutzungszwecken wie „das Surferlebnis verbessern“, „die Webseite optimieren“ oder „Nutzeranalysen durchführen“ sind nicht ausreichend.
Kriterium 5:
Hat der oder die Einwilligende eine unmissverständliche und eindeutig bestätigende Handlung vorgenommen? Vorausgewählte Optionen, stillschweigende Zustimmung („mit der weiteren Nutzung unserer Seite erklären Sie sich einverstanden“) und andere Opt-Out-Verfahren, bei denen der Nutzer widersprechen statt einwilligen muss, sind generell unwirksam. Das gilt auch für entsprechende Browser-Voreinstellungen. Cookie-Banner, die auf der ersten Ebene nur eine Einwilligungsoption zeigen und entweder gar keine Abwahlmöglichkeit enthalten oder diese erst nach dem Aufruf weiterer Seiten ermöglichen, sind unzulässig. Sollten Seiteninhalte nicht ohne Beantwortung des Cookie-Consents möglich sein, muss die Abwahl von Cookies ebenso klar und knapp gehalten sein wie die Zustimmung („gleichwertige Handlungsmöglichkeiten“).
Kriterium 6:
War die Einwilligung auf den konkreten Fall bezogen? Das Einholen genereller, nicht einzelfallbezogener Einwilligungen ist nicht wirksam.
Kriterium 7:
Erfolgte die Einwilligung freiwillig und entstehen keine Nachteile oder Funktionseinbußen durch eine Ablehnung und ein nachträgliches Zurückziehen der Einwilligung? Zu den nicht akzeptablen Praktiken gehört unter anderem, nach einer Ablehnung ständig wieder Einwilligungsbanner einzublenden.
Kriterium 8:
Bestand und besteht die Möglichkeit zum (auch nachträglichen) Widerruf der Einwilligung, die ebenso einfach sein muss wie die Erteilung? Der Widerruf muss auf gleichem Wege und in gleicher Einfachheit durchführbar sein wie die Zustimmung. So ist beispielsweise ein Medienbruch, etwa der Zwang zum Widerruf in Schriftform, nachdem die Einwilligung per Klick erteilt wurde, nicht zulässig.
Wichtiger Hinweis
Für das Speichern und Auslesen personenbezogener Daten aus Endgeräten gelten seit 1. Dezember 2021 die Bestimmungen des § 25 TDDDG. Diese Vorschrift stellt den Schutz der Privatsphäre und Vertraulichkeit bei der Nutzung von Endeinrichtungen sicher. Für die weitere Verarbeitung dieser Daten gilt hingegen bis auf wenige Sonderfälle weiterhin die DSGVO. Geht aus dem Text des Banners hingegen nicht hervor, dass nach der Speicherung auch eine Verarbeitung der Daten erfolgt – wobei Beteiligte und Zwecke klar anzugeben sind –, gilt die Zustimmung zur Datenverarbeitung als nicht erteilt.
Im TDDDG finden sich also die aktuellen Vorgaben für die Einwilligung der Nutzerinnen und Nutzer in die Speicherung ihrer Daten auf „Endeinrichtungen“. Das sind Geräte, die mit dem öffentlichen Telekommunikationsnetz (Internet) verbunden sind. Die Regelung betrifft in allererster Linie Cookies. Aber auch automatische Updateangebote und Browser-Fingerprinting nutzen häufig Informationen über Eigenschaften des Endgeräts, die nach der aktuellen Rechtslage zustimmungspflichtig sind.
Die aktuellen Vorgaben des Artikels 7 DSGVO verpflichten die Anbieter, die Auswahloptionen „Alles annehmen“ und „Alles ablehnen“ gleich attraktiv und auch gleich bedienbar zu gestalten, um die geforderte Freiwilligkeit der Wahl sicherzustellen. Nicht zulässig ist beispielsweise, „alles annehmen“ mit einem Klick durchzuführen, bei „alles ablehnen“ hingegen weitere Menüs zu zeigen oder zusätzliche Detailauswahlen zu erzwingen, wodurch viele Nutzer den einfachsten Weg bevorzugen würden.
Bereits seit Mai 2021 sind vorausgefüllte Cookie-Banner, in denen die Zustimmung durch vorausgewählte Optionen „vorgegeben“ wurde und der Nutzer bei Ablehnung alle Kästchen manuell einzeln abwählen musste, untersagt (Rechtssache C-673/17 des EuGH). Und auch statt einer „alles abwählen“ Option nur „Individuelle Einstellungen anzubieten, in denen sich der Nutzer dann durch Listen von Third-Party-Anbietern scrollen und jede einzelne Option abwählen muss, gehört der Vergangenheit an.
Die französische Datenschutzbehörde CNIL verurteilte kürzlich Google zu 150 Millionen Euro und Facebook zu 60 Millionen Euro Bußgeld. Beiden Anbietern wurde vorgeworfen, die Einwilligung in die Nutzung von Cookies mit einem Klick zu ermöglichen, die Ablehnung hingegen durch kompliziertere Auswahlvorgänge willentlich zu erschweren. Gemäß Art. 7 DSGVO muss jedoch der Widerruf bzw. die Ablehnung der Einwilligung genauso einfach sein und auf demselben Wege erfolgen können wie die Einwilligung selbst.
Auch die deutsche Rechtsprechung interessiert sich zunehmend für diese Fragen. Das Landgericht Rostock fällte am 15. September 2020 ein Urteil (Aktenzeichen 3 O 762/19), das Vorauswahlen sowie optisch unterschiedliche Gestaltungen von Einwilligungs- und Ablehn-Buttons untersagt sind. Der BGH untersagte im Mai 2021 die Verwendung von Cookie-Bannern mit vorausgefüllten Optionen (analog zur Rechtssache C-673/17 des EuGH). Ein hessisches Gericht ließ Eilverfahren zur Unterlassung solcher Praktiken zu.
Ein Datenschutzexperte der Cortina Consult steht Ihnen bei der Entscheidung gerne zur Seite.
Ihre Vorteile mit Cortina Consult
Cortina Consult hilft Unternehmen dabei, die Anforderungen der DSGVO im Unternehmen umzusetzen – digital, so einfach wie möglich, zu fixen Konditionen.
Als Beratungsdienstleister und externer Datenschutzbeauftragter sorgen wir für die Einhaltung der gesetzlichen Vorgaben bei der Verarbeitung von personenbezogenen Daten in Ihrem Unternehmen.
- Gebündelte Erfahrung aus 10 Jahren in der Branche und 500 erfolgreichen Datenschutzprojekten
- Beratung, Software & Schulung aus einer Hand
- Prozessoptimierung frei nach dem Motto: so viel wie nötig, so wenig wie möglich