Cookie Banner

Cookie Banner und Consent Management (gemäß TDDDG, DSGVO & ePrivacy-Richtlinie)

Web-Compliance
Inhalt dieser Seite

Was ist ein Cookie Banner?

Seit 2011 gibt es die EU-Datenschutzrichtlinie für elektronische Kommunikation, auch bekannt als „Cookie-Gesetz”. Seitdem müssen Websites, die Cookies verwenden, ihre Nutzer darüber informieren.

Früher wurde der Websitebesucher beim Öffnen einer Webseite durch ein kleines Pop-up-Fenster über die Nutzung von Website-Cookies informiert. Mehr Informationen wurden dem Nutzer nicht bereitgestellt. Heute wird der Websitebesucher in einem Cookie-Banner, das beim ersten Öffnen der Website erscheint, auch auf die Verwendung von Cookie-Technologien aufmerksam gemacht. Allerdings sind die Anforderungen an diese Banner mittlerweile höher.

So müssen Cookie Banner detaillierter und umfangreicher sein. Darüber hinaus müssen sie Aufzählungen der einzelnen Website Cookies enthalten und dem Benutzer die Möglichkeit der Auswahl geben, welche Cookies zugelassen werden dürfen und welche nicht.

Nach den neuen Datenschutzbestimmungen und Richtlinien muss der Website Besucher der Verwendung dieser Technologien zustimmen, damit Cookies DSGVO-konform verwendet werden können. Besonders wenn durch Tracking personenbezogene Daten gesammelt und zu Nutzerprofilen gespeichert werden, muss der Webseitenbesucher darüber informiert werden.

2024: OLG Köln setzt neue Maßstäbe für Cookie Banner

Nach einem Beschluss des Oberlandesgerichts Köln (Urteil vom 19.01.2024, Az. 6 U 80/23) sind Websitebetreibende dazu verpflichtet, die Schaltflächen eines Cookie Banners gleichwertig zu gestalten

In Folge dieses Urteils hat das Bayerische Landesamt für Datenschutzaufsicht verschiedene Websites und Apps auf fehlerhafte Cookie Banner untersucht. Dazu wurde ein KI-gestützter Scanner verwendet, der diese Prüfung automatisiert vornimmt. Damit eröffnet sich die Möglichkeit, in hohem Tempo eine Vielzahl an Websites zu checken und fehlerhafte Cookie Banner ausfindig zu machen. Und das mit großem Erfolg, denn mittels dieser Untersuchung sind 350 Websites ausfindig gemacht worden, bei denen keine Einwilligung auf erster Ebene abgelehnt werden kann. Dies ist gemäß DSGVO und TDDDG unzulässig

Diese Entwicklungen haben die Notwendigkeit eines rechtssicheren Cookie Banners noch weiter verstärkt. Daher ist es von großer Relevanz, dass Unternehmen größte Sorgfalt bei dem Design von Cookie Bannern walten lassen.

Play Video about Cookie Banner

Benötige ich einen Cookie Banner für meine Website?

Websitebetreiber sollten beim ersten Öffnen der Website eine Einwilligung des Nutzers bezüglich der Cookie-Nutzung einholen. Dabei sollte so detailliert wie möglich aufgelistet werden, um welche Daten es sich handelt, wozu diese genutzt werden oder auch an wen diese Daten weitergegeben werden.

Also: immer, wenn Daten durch Marketing-, Third Party- oder Tracking-Cookies erhoben werden und diese verarbeitet und ausgewertet werden, besteht Cookie Banner Pflicht.

Laut Rechtsanwälten und Experten ist die Nutzung von technischen und Funktionalen-Cookies jedoch auch ohne Einwilligung möglich. Da keine Daten erhoben werden und keine Einwilligung erforderlich ist, ist somit rechtlich gesehen auch kein Cookie Banner nötig.

Was muss ins Cookie Consent Banner?

Im Cookie Banner müssen Hinweistext, Buttons und Links integriert sein.

Eingangs sollte ein kurzer Text darüber informieren, welche Funktion der Cookie Banner erfüllt, was passiert, wenn die verschiedenen Buttons geklickt werden.

Es sollten mindestens die folgenden Buttons vorhanden sein:

 

Auf dem Banner muss sich unbedingt ein Links zur Datenschutzerklärung  und dem Impressum der Seite befinden. Beide Seite müssen aufrufbar sein, ohne dass die Inhalte blockiert werden und ohne dass Cookies gesetzt werden!

Nutzen Sie den # 1 Cookie Checker der COOKIEBOX GmbH für ein kostenlosen Website-Check Ihrer Domain! In 1 Minute erhalten Sie einen detaillierten Datenschutz-Risikobericht – und sehen auf einem Blick, welche Cookies, Pixel, Tags, Third-Party-Services auf Ihrer Website im Einsatz sind.

Sie wollen den Checker auf Ihrer eigenen Website einbauen? Wir stellen Ihnen das Quickcheck Widget kostenlos in Ihrem Wunschdesign zur Verfügung… Mehr erfahren

Cookie Banner: Vorteile für Ihr Unternehmen

Cortina Consult erstellt und implementiert Cookie Banner – 100% DSGVO konform!

Weitere Fragen zu Cookies & Co.

Technisch funktioniert ein Cookie Banner in zwei verschiedenen Varianten. Bei beiden Varianten werden Skripte durch den Besucher kontrolliert ausgeführt, wodurch Website Cookies oder andere Elemente im Browser des Besuchers ablegt werden.

1.) Cookie Banner Blocking: Diese Methode wird am häufigsten verwendet. Dabei erfolgen so gut wie keine Änderungen im Quellcode. Es wird lediglich das Skript-Tag mit der Einbindung des Cookie Banners in die Seite integriert. Der Banner blockiert dann automatisch die Ausführung der zu blockenden Skripte (z.B. Google Analytics) in der Seite.

2.) Variante Cookie Banner als Tag Manager: In dieser Variante werden die gewünschten Skripte (z.B. Google Analytics) im Consent Manager eingetragen. Die Consent Management Platform spielt dann den Banner für Ihre Seite aus. Nach der Einwilligung des Besuchers für das Setzen der Cookies, wird das Skript erst ausgeführt.

Website Cookies sind kleine Dateien, die während des Websitebesuches auf dem Rechner des Nutzers gespeichert werden. Diese Informationen werden bei späteren Besuchen wieder ausgelesen und dienen dazu, Teile des Nutzerverhaltens auf der Website nachzuverfolgen. Hierzu enthalten sie häufig Kennungen, die als personenbezogene Daten betrachtet werden.

Da der Benutzer im Vorhinein nicht weiß, ob die verwendeten Website Cookies seinem Nutzervorteil dienen oder personenbezogene Daten enthalten oder nicht, muss der Webseitenbetreiber offenlegen, wofür die Website Cookies eingesetzt werden und was mit den erhobenen Daten passiert.

Dies kann über das Cookie-Banner auf der Website erfolgen. Dadurch erlangt der Nutzer die Möglichkeit auszuwählen, welche Cookies zugelassen werden dürfen. Dies geschieht für jeden Datenempfänger einzeln. Die Einstellungen des Nutzers werden über ein Consent-Management verwaltet.

  1. Essentiell: Essentielle Services sind Services, die unbedingt erforderlich sind. Essentielle Services sind verantwortlich für die ordnungsgemäße Funktionsweise einer Website und werden ausschließlich vom Websitebetreiber selbst eingesetzt. In diesen Services gespeicherte Daten werden also ausschließlich an die jeweilige Website gesendet. Aus diesem Grund erfordern essentielle Service keine Einwilligung der WebsitebesucherInnen. Das bedeutet, dass essentielle Services vom User weder aktiviert
  2. Funktional: Funktionale Services speichern anonymisierte Angaben wie beispielsweise Benutzernamen und Sprachauswahl. Auf diesen Informationen basierend bieten funktionale Services verbesserte und personalisierte Funktionen. Funktionale Services zählen zu den einwilligungspflichtigen Services und können durch ein Opt-In oder Opt-Out aktiviert oder deaktiviert werden.
  3. Analyse: Analyse Services speichern Informationen bezüglich des Nutzerverhaltens auf der Website. Bei diesem Vorgang werden Daten zu Dauer und Häufigkeit von aufgerufenen Unterseiten, Reihenfolge der besuchten Seiten, Mausbewegungen (Klicks und Scrollen), Region des erfolgten Zugriffs und Suchbegriffe gespeichert. Ziel der Datenverarbeitung ist die Hauptinteressen der NutzerInnen zu ermitteln, um Inhalt und Funktionalität der Website zu optimieren – ohne persönliche Informationen zu speichern. Dennoch können analytische Services von Usern verweigert werden.
  4. Marketing: Marketing Services speichern Informationen über besuchte Websites von NutzerInnen sowie andere persönliche Informationen, um ihnen auf Grundlage dessen personalisierte Werbeanzeigen anzuzeigen. Bei dieser Art handelt es sich um Third-Party Services, die grundsätzlich zustimmungspflichtig sind. NutzerInnen können Marketing Services in den Banner-Einstellungen jederzeit widersprechen.
  5. Informationspflichtig: Bei den hier aufgelisteten Services handelt es sich um informationspflichtige Services. Das bedeutet, dass sie keiner Einwilligung bedürfen. Nichtsdestotrotz müssen WebsitebetreiberInnen über die Existenz und den Zweck dieser Services informieren. Der dafür vorgesehene Ort ist die Datenschutzerklärung der Website.

Antwort:

Keine oder nur unzureichende Informationen sind in den Datenschutzbestimmungen enthalten (80%).

Informationen zum Einsatz von Tracking-Tools sind in den Datenschutzbestimmungen enthalten (20%).

Bewertung des Ergebnisses

Nur wenige Datenschutzbestimmungen erfüllen die Anforderungen zur Transparenz. Viele Website-Betreiber verschweigen den Einsatz von Tracking-Tools; andere hingegen informieren pauschal über verschiedenste Tools, die zum Teil gar nicht auf der Website eingebunden sind. Im Ergebnis wird der Nutzer nur selten transparent darüber informiert, ob und welche seiner Daten für welche Zwecke verarbeitet werden.

Hintergrund

Die DSGVO verpflichtet die Website-Betreiber, den Nutzer in einfacher und verständlicher Sprache über die Daten-verarbeitung zu informieren. Hierzu gehört es auch, alle Inhalte von Drittanbietern und eingebundene Tracking-Tools zu benennen. Außerdem muss der Nutzer darüber informiert werden, welche Daten von ihm erhoben werden, für welche Zwecke dies erfolgt und wie lang diese Daten gespeichert werden.

Consent Management - das DSGVO-konforme Cookie Banner

Die Erstellung eines Cookie Banners ist ein Schritt in die Richtung DSGVO-Konformität. Der Benutzer muss jedoch daraufhin der Nutzung von Website Cookies zustimmen, damit diese rechtskonform vom Website-Betreiber verwendet werden dürfen. Doch wie kann man eine Zustimmung zu Tracking, Retargeting oder Profiling-Cookies Zustimmung am besten einholen?

Einerseits können Sie dies intern lösen. Hier gilt jedoch Vorsicht, da eine stetige Überwachung der Rechtsverordnungen nötig ist. Um hier auf Nummer sicher zu gehen und Haftungsrisiken zu vermeiden, ist es sinnvoll, das Consent Management an einen spezialisierten Anbieter auszulagern. Dafür eignet sich am besten eine Consent-management-Plattform (CMP), die es einem Websitebetreiber ermöglicht, die Zustimmung für die Nutzung von Cookies abzufragen, zu dokumentieren oder zu verwalten.

Da es nicht nur um die Zustimmung für die Nutzung von Cookies geht, sondern auch um andere Tracking-Technologien, werden Cookie Banner auch als Consent Banner bezeichnet.

Um die Einwilligungen zu dokumentieren und zu verwalten wird eine Consent-Management-Platform genutzt. Es handelt sich also um ein Zustimmungsmanagement. Website Besitzer können ihre User über die Consent-Management-Platform über den Einsatz von Cookie- und Tracking-Technologien informieren und ihre Einwilligung einholen. Zudem können sie ihren Website Besuchern die Möglichkeit geben, die Einwilligung zu verweigern („Opt-out“).

  • Anzeigen von Einwilligungs-Popups und Widgets für die Benutzer;
  • Sammeln und Speichern von Informationen über Einwilligungsentscheidungen von Besuchern und Aufzeichnungen von Änderungen;
  • Bevor die Zustimmung erteilt wird, werden nur vorab genehmigte Daten erfasst und akzeptierte Tags ausgelöst

Rechtslage nach EuGH und DSGVO

Viele Websitebetreiber nutzen mittlerweile Cookie-Banner. Doch sind diese auch sicher DSGVO-konform und wird die rechtliche Lage beachtet? So wurden erst auch vorausgefüllte Zustimmungskästchen (opt-outs) in Cookie-Bannern als gültig anerkannt. Dabei wurden jedoch auch Daten von Besuchern getrackt, die davon noch keine Kenntnis genommen hatten.

Nach einem Urteil des Europäischen Gerichtshof (EuGH) wurde erklärt, dass Websitebesucher aktiv in die Sammlung und Erhebung Ihrer personenbezogenen Daten einwilligen müssen (opt-in). Die im Vorhinein gesetzten Einwilligungen wurden als unwirksam eingestuft. Dieses Urteil wurde vor allem mit dem Schutz der Privatsphäre des Nutzers begründet.

In Deutschland wurde der Bereich der Datensicherung in § 15 Abs.3 Telemediengesetz geregelt. Die Anforderungen dieser Norm umfassen jedoch lediglich Informationen darüber, wie Cookies angelegt werden müssen und dass ein Widerspruchsrecht auf Seiten des Websitenutzers vorhanden ist. Aufgrund dieser Norm ist keine explizite Einwilligung zur Cookie-Speicherung notwendig.

Auch die DSGVO (Datenschutzgrundverordnung) enthält keine explizite Cookie-Richtlinie. Jedoch werden hier die Speicherung und die Verarbeitung von personenbezogenen Daten verboten.

Kurz: Sobald ein Websitebenutzer als unique-User identifiziert werden kann, greift die DSGVO und eine Einwilligung muss durch ein Cookie-Banner eingeholt werden.

Wenn dies nicht der Fall ist und lediglich technisch notwendige Cookies verwendet werden, greift lediglich § 15 Abs.3 TMG.

Die Folgen: Die Verwendung von Website Cookies ist und bleibt erlaubt. Es wurde lediglich ein Rahmen für die Nutzung von Cookies und den Umgang mit personenbezogenen Daten geschaffen. Dies bleibt jedoch schwammig formuliert. Deshalb raten wir Ihnen: nutzen Sie die Opt-in-Lösung und listen Sie alle verwendeten Cookies auf, um mögliche Bußgelder zu vermeiden und sicher DSGVO-konform zu sein.

Um die Privatsphäre der Nutzer in höherem Maße zu schützen, arbeiten die EU-Staaten an einer ePrivacy-Verordnung, die für standardisierte Datenschutzrichtlinien in der ganzen EU sorgen soll.

Einwilligungspflicht bei Website Cookies

Nach Ansicht der DSK müssen Website Cookies datensparsam eingesetzt werden, also technisch oder zur Website-Optimierung notwendig sein. Die Nutzung von Cookies erfordert jedoch nicht per se eine Einwilligung – Cookies, die keine Einwilligung erfordern, müssen nur in der Datenschutzerklärung aufgeführt werden.

Die Einwilligungspflicht bei Cookies bezieht sich auf die Erhebung persönlicher Daten, vor allem die Weitergabe von Daten an Dritte oder die Möglichkeit Dritter, selbst Daten über diese Website zu erheben.

Solange das Banner angezeigt wird, also die Erklärung nicht abgeschlossen ist, müssen alle Skripte, die Nutzerdaten erfassen könnten, blockiert bleiben. Erst nach der Cookie-Auswahl und deren Bestätigung dürfen die gewählten Cookies dynamisch nachgeladen werden und zum Einsatz kommen. Vorteile des externen Datenschutzbeauftragten: Er kann im Unternehmen sicherstellen, dass diese Vorgaben auch technisch eingehalten werden.

Er muss auch dokumentieren, auf Basis welcher Erlaubnis die Datenverarbeitung stattfindet. Außerdem muss er dafür sorgen, dass möglichst wenige Daten erhoben werden und der Nutzer jederzeit Einsicht in die gewährte Erlaubnis hat bzw. diese Erlaubnis teils oder ganz widerrufen kann. Der Widerruf muss ebenso leicht möglich sein wie die Zustimmung zur Datenverarbeitung.

Hinweis zur Verwendung anonymisierter Cookies

Die reine Verwendung von Pseudonymen wird von der DSK nicht als ausreichende Pseudonymisierungsmaßnahme nach der DSGVO anerkannt. Streng genommen sind nur anonymisierte Cookies nicht einwilligungsbedürftig.

Berechtigtes Interesse für 3rd-Party-Tools & Website Cookies

Entscheidend ist, ob die geplante Datenverarbeitung überhaupt zulässig ist. Die DSK skizziert in ihrem Papier eine Zulässigkeitsprüfung auch für Tracking-Cookies in drei Schritten, die vom Datenschutzbeauftragten im Unternehmen durchgeführt und dokumentiert werden muss:

Schritt 1: Berechtigtes Interesse prüfen

Als berechtigtes Interesse, also als zulässiges Motiv für die Verarbeitung personenbezogener Daten, listet die DSK unter anderem auf:

  • Bereitstellung einer Warenkorb-Funktion in einem Online-Shop,
  • das Speichern von Log-Dateien zum Schutz der Sicherheit der Website vor Missbrauch und Betrug,
  • statistische Auswertungen und Reichweitenanalyse
  • Personalisierung und Individualisierung der Websiteangebote für den jeweiligen Nutzer etwa für Direktwerbung
  • Wiedererkennung und Merkmalszuordnung von Nutzern bei werbefinanzierten Angeboten.
 

Schritt 2: Erforderlichkeit der Datennutzung ermitteln

 Datenverarbeitung ist laut DSK nur zulässig, wenn das berechtigte Interesse aus Schritt 1 aus technischen Gründen nur mithilfe des gewählten, datenintensiven Verfahrens verfolgt werden kann.

Die Verarbeitung personenbezogener Daten muss also zum einen erforderlich sein und zum anderen darf es keinen milderen Weg (ganz ohne oder mit sparsamerer Datenverarbeitung) geben, dieses Interesse mit gleicher Effektivität zu verfolgen.

Die Datenerhebung und -verarbeitung muss also auf das absolut notwendige Maß beschränkt werden und es muss eine gründliche Prüfung erfolgen, ob das Ziel der Datenverarbeitung nicht auch mit einem geringeren Datenumfang bzw. ohne Nutzung von Drittanbietern erreicht werden kann.

Dies verpflichtet den Datenschutzbeauftragten und die Websiteprogrammierung dazu, regelmäßig zu prüfen, ob es neuere Tools gibt, die das gewünschte Ziel datensparsamer zu erreichen bzw. die Übermittlung an Dritte überflüssig machen. Siehe hierzu auch den Abschnitt Nutzung von Analysetools von Drittanbietern

Schritt 3: Interessen von Nutzer und Unternehmen gegeneinander abwägen

Dem Interesse des Unternehmens an der Gewinnung möglichst vieler Daten steht der Wunsch des Nutzers nach Datensparsamkeit und Datenschutz entgegen. Hier muss abgewogen und erkennbar werden:

Bei mehreren Beteiligten ohne definierte rechtliche Beziehungen ist nicht von einer Transparenz auszugehen, ebenso wenig bei der Einbindung von Drittanbietern. Auch die Erfassung von Tastatur-, Maus- oder Wischeingaben oder der Einsatz für den Nutzer nicht erkennbarer Zählpixel gelten nicht als erwartbar.

Kann eine solche Opt-Out-Option bedingungslos und jederzeit ausgeführt werden, erhöhen sich die Chancen einer für den Websitebetreiber positiven Interessenabwägung. Werden hingegen Inhalte durch Opt-Outs blockiert oder Website Cookies externer Anbieter durch eigene Cookies ersetzt, sobald der Nutzer das Opt-Out wahrnimmt, handelt es sich um unzulässige Vorgänge, die sich negativ auf die Abwägung auswirken.

Risikoerhöhend und damit negativ sind geräteübergreifende Verkettungen von Nutzerdaten, besonders kritisch sind Verknüpfungen und Profilerstellungen durch die Dienste Dritter zu sehen.

Je mehr Akteure beteiligt sind, desto schwieriger wird die Transparenz für den Nutzer. Besonders negativ wirken sich Beteiligte in mehreren Ländern aus, deren Rechtssysteme und gesetzlichen Grundlagen der Nutzer nicht kennen kann.

Je länger die „Lebensdauer“ der Website Cookies, desto nachteiliger fällt die Abwägung aus.

Es ist zu ermitteln, welche Daten wie intensiv erhoben werden. Pseudonymisierte Daten, aus denen der Nutzer nicht identifiziert werden kann, sind hier tendenziell positiver, Profiling, Bewegungsprofile und vergleichbar tiefe Eingriffe in die Privatsphäre der Nutzer sind negativ zu bewerten.

Gesundheitsdaten, politische, religiöse oder sexuelle Ausrichtungen und vergleichbar sensible Informationen erfordern eine separate Einwilligung, bevor sie verarbeitet werden dürfen.

Hier ist vor allem die Einbindung von Tools Werbetreibender zu nennen, die sensible Informationen beispielsweise aus Gesundheits- oder Datingportalen für eigene Zwecke verarbeiten.

Wird durch das Ablegen des Cookies die Integrität des Nutzergerätes berührt. Es ist danach zu unterscheiden, ob die Website Cookies nach Ende der Browsersitzung sofort gelöscht oder dauerhaft auf dem Nutzergerät gespeichert werden. Erst wenn diese Gesamtabwägung positiv für das datenverarbeitende Unternehmen ausfällt, könnten Tracking-Cookies und andere Trackingtools überhaupt eingesetzt werden.

Consent Management im Online Business

Für Unternehmen sind vor allem die Informationen, die über Tracking-Cookies gesammelt werden, sehr wertvoll und gerade im Online-Geschäft von großer Bedeutung.

Was dem Nutzer im Einzelfall Komfort bietet, etwa ein Login, die Wiederaufnahme eines unterbrochenen Kaufvorgangs oder eine Spracheinstellung, kann bei der dauerhaften Speicherung und der Zusammenführung zu Nutzerprofilen, die personenbezogene Daten enthalten, aus Sicht des Datenschutzes jedoch unerwünscht sein.

Generell gilt: Es besteht ein Unterschied zwischen technisch notwendigen Cookies – die ausschließlich die Website funktionieren lassen, zumeist mit dem Schließen des Browsers gelöscht werden und weiterhin nicht einwilligungsbedürftig sind – und anderen Cookies.

Für alle technisch nicht notwendigen Website Cookies, die personenbezogene Daten übermitteln bzw. verarbeiten, benötigen Websitebetreiber vor ihrem Einsatz eine ausdrückliche Einwilligung der Nutzer („Opt-In“), um DSGVO-konform zu sein. Davon betroffen sind vor allem Analyse-, Social-Media- und Werbecookies. Diese werden auf dem Endgerät des Nutzers gespeichert und dienen zur Analyse des Verhaltens des Webseitenbesuchers.

Der Nutzer stimmt also genau genommen nicht der Cookie-Setzung, sondern der dahinterstehenden Datenverarbeitung durch die benannten Stellen zu.

Cookie Banner Generator

Ein Cookie Banner Generator erstellt automatisiert ein passendes Cookie Banner. Häufig stellen sich Unternehmen daher die Frage, welche Consent Management Platform (CMP) ist die richtige für sie ist.

Kriterien für die Auswahl einer Consent Management Platform (CMP)

Da es sich bei den CMPs auf dem Gebiet der Website-Technologien um eine Neuentwicklung handelt, haben wir objektive Kriterien zusammengestellt, die sich aus rechtlichen und technischen Aspekten zusammensetzen und bei der Auswahl eines CMP berücksichtigt werden sollten.

Es ist wichtig, die Einwilligung des Website-Besuchers auf Seiten des Servers, sowie auf Seiten des Kunden zu speichern. Dies resultiert aus der Dokumentationspflicht und der Nachweispflicht bezüglich der Einwilligung. Die Einwilligungsdaten werden nach Möglichkeit auf Servern in der EU gespeichert. Das CMP sollte auch in der Lage sein, das Bereitstellen von Einwilligungsdaten vor Ort anzubieten.

Dem Benutzer sollte zunächst sowohl die Möglichkeit der Zustimmung als auch der Ablehnung gegeben werden. Ein Cookie-Banner, das dem Nutzer keine andere Wahl lässt, als zuzustimmen, erfüllt die Anforderungen an eine freiwillig erteilte Zustimmung nicht und ist somit nicht DSGVO-konform.

Es sollte möglich sein, die zustimmungspflichtigen Technologien erst nach einem gültigen Opt-in zu laden.

Nach dem Opt-out sollten die Technologien nicht mehr geladen werden, nicht einmal das Opt-out selbst. Die Übermittlung des Nutzers an eine externe Website eines Drittanbieters zur Abmeldung ist nicht sinnvoll und stellt keine einfache Abmeldung dar.

Der CMP sollte auch Huckepack-Konstellationen erkennen und abdecken.

Dies sind Cookies, die automatisch Daten an andere verknüpfte Cookies übertragen, welche nicht auf der Website selbst sind. Hierbei handelt es sich z.B. um Affiliate-Cookies, die teilweise neu geladen werden.

Der CMP sollte anbieten, die Benutzeroberfläche anzupassen zu können. Denn nur so kann sichergestellt werden, dass sich die Website-Besucher nicht durch Cookie-Popups und Banner irritiert und verärgert fühlen. Das könnte dazu führen, dass die aufwendig gestalteten CI- und UI/UX-Aufwendungen vereitelt würden.

Die Zustimmungspflicht sollte nicht nur für Cookies, sondern auch für andere Web-Technologien wie Plug-Ins und integrierte Inhalte (z.B. eingebettete YouTube-Videos, Google-Schriften) gelten.

Die Verpflichtung zur Einholung der Zustimmung kann sich aus Faktoren ergeben, die beispielsweise eine Datenübermittlung in ein Drittland wie die USA zur Folge haben. In jedem Fall unterliegen sie der Informationspflicht nach Art. 13 DSGVO.

Damit der CMP nicht zum nächsten „Daten-Oktopus“ wird, sollten die Kundendaten während der Verarbeitung separat gespeichert werden.

Dies kann dadurch erfolgen, dass die Daten des Benutzers weder verfolgt noch verlinkt werden. Das heißt: wenn der identische Benutzer auf einer Website seine Zustimmung gibt, sollte der CMP standardmäßig nicht dazu in der Lage sein, diese Zustimmung als Zustimmung für eine andere Website zu verwenden.

Diese Profilerstellung bedarf gemäß Art. 21 DSGVO ihrerseits einer Zustimmung.

Das „iab Transparency“ and „Consent Framework“ ist die erste Möglichkeit, eine Zustimmung global zu übertragen. Der gewählte CMP sollte den iab-Standard unterstützen, da in Zukunft personalisierte Werbung nur noch mit ConsentID in der Angebotsanfrage gesteuert wird.

Die CMP-Software sollte agnostisch entwickelt werden. Das bedeutet, dass sie mit jedem Cookie-Management und Webseiten-System kompatibel ist.

Da der Verantwortliche der Informationspflicht nachkommen muss, ist es sinnvoll, die rechtlich relevanten Texte der Web-Technologien (automatisch) in die allgemeine Datenschutzerklärung integrieren zu können, z.B. durch einen iFrame.

Es ist sehr wichtig, die Richtlinien für das Laden von Website Cookies kontrollieren und ändern zu können. In einigen Fällen kann es sein, dass ein Unternehmen eine „sanfte“ Einstellung vornehmen möchte – z.B. um bestimmte Technologien wie reine Webanalysecookies ohne Zustimmung zu laden. Wenn ein Urteil einer Datenbehörde dies jedoch verbietet, muss ein schneller Wechsel zu einer Null-Cookielast-Einstellung möglich sein.

Der alleinige Geschäftszweck des Dienstleisters sollte darin bestehen, die jeweilige Zustimmung einzuholen, damit sich die Nutzung des CMP auf Art. 6c DSGVO stützen kann. Verfolgt ein Anbieter darüber hinaus weitere Geschäftszwecke, kann davon ausgegangen werden, dass die Einwilligungsdaten ebenso für diese Geschäftszwecke verwendet werden. Daher wird entweder eine Eigenentwicklung mit einem separaten neutralen Unternehmen oder ein externer Anbieter mit Privacy-by-Design empfohlen.

Das Prinzip der Konkretheit kann als Voraussetzung für eine granulare Zustimmung zu bestimmten auf der Webseite verwendeten Technologien ausgelegt werden. Außerdem sollte aus dem Prinzip des Minimalismus heraus eine Zustimmung nur für eine Technologie eingeholt werden, die tatsächlich auf der Website verwendet wird. Die Zustimmung zu einer vollständigen Liste von über 350 Anbietern, wie sie die iab-Lösung vorschreibt, ist schwer zu rechtfertigen.

Tipps zum Cookie Banner Tool

Um nachweisen zu können, dass Sie sich an die Richtlinien der Datenschutzgrundverordnung und der ePrivacy-Verordnung halten, sollten Sie die passende Cookie-Management-Lösung parat haben.

Dokumentieren Sie als Websitebetreiber die Einwilligungen der Besucher bezüglich der Cookie-Nutzung und geben Sie dem Website-Benutzer jederzeit die Möglichkeit, seine Einstellungen und Auswahlmöglichkeiten einzusehen und diese gegebenenfalls zu ändern.

DSGVO-konforme Cookie Banner Lösungen

Wer Cookies, Retargeting und Tracking-Pixel auf seiner Website verwendet, muss seine Nutzer beim Erstbesuch der Internetseite darauf hinweisen – das hat sich bei den meisten Websitebetreibern herumgesprochen.

Aber auch für den Einsatz von Cookies und Cookie Banner gelten seit der DSGVO und den jüngsten EuGH-/ BGH-Urteilen schärfere Regeln.

Früher wurde der Websitebesucher beim Öffnen einer Website durch ein kleines Pop-up-Fenster über die Nutzung von Cookies informiert. Mehr Informationen wurden dem Nutzer nicht bereitgestellt. Nach den neuen Datenschutzbestimmungen und Richtlinien muss der Website-Besucher der Verwendung Drittanbietern und Tracking-Technologien zustimmen, damit Cookies DSGVO-konform verwendet werden können. Vor allem, wenn durch Tracking personenbezogene Daten gesammelt und zu Nutzerprofilen gespeichert werden, muss der Nutzer darüber informiert werden und aktiv seine Einwilligung geben.

Weitere wichtige Fragen zum Thema Cookie Banner

Die für den Nutzer angenehmste Form der Cookie-Einwilligung ist ein Cookie-Banner, das unten oder mittig über der Website eingeblendet wird. Pop-Up-Lösungen könnten durch entsprechende Blocker nicht angezeigt werden, so dass die Website insgesamt nicht richtig dargestellt wird. Eine vorgeschaltete vollflächige Seite irritiert die Nutzer und kann dazu führen, dass sie den Besuch der Seite vorzeitig beenden.

Wenn eine Einwilligung des Nutzers erforderlich ist, muss er bei seinem ersten Webseitenbesuch über ein informatives Cookie-Banner darüber in Kenntnis gesetzt werden, dass die Website durch Cookies personenbezogene Daten erheben will, wozu sie dienen und wohin die Daten übermittelt werden, bevor diese Cookies zum Einsatz kommen.

Er muss der Cookie-Nutzung ausdrücklich und ohne Zwang bzw. Funktionseinschränkungen zustimmen können, und zwar durch eine nicht vorausgefüllte Einwilligungs- bzw. Widerspruchserklärung im Cookie-Banner. Hierfür müssen im Cookie-Banner alle einwilligungsbedürftigen Verarbeitungsvorgänge, deren Funktion bzw. Zweck und alle daran beteiligten Akteure aufgelistet und erklärt werden.

Für jeden Verarbeitungsvorgang personenbezogener Daten und jeden eingebundenen Akteur muss eine gesonderte Einwilligung erteilt werden können.

Cookie-Banner, die nur eine Zustimmung zulassen, die weitere Nutzung der Seite als Zustimmung werten oder vorausgefüllt sind, sind nicht rechtskonform. Auch eine Widerspruchslösung, die erst nach dem Setzen der Cookies greift, entspricht nicht den Vorgaben.

Generell ist die Verwendung jeglicher Cookies in der Datenschutzerklärung der jeweiligen Website aufzuführen. Darüber hinaus muss für das Setzen technisch nicht notwendiger Cookies die Einwilligung der Nutzer eingeholt werden. Schalten Sie einen Cookie-Hinweis und geben Sie dem Website-Benutzer mithilfe eines Cookie-Banners die Möglichkeit, den verwendeten Cookies zuzustimmen oder diese abzulehnen.

Diese Einwilligung ist nach Ansicht der Datenschutzkonferenz (DSK), die sich auf die Informationspflichten gemäß Art.13 DSGVO bezieht, nur wirksam, wenn der Nutzer vorab über alle Datenverarbeitungsvorgänge und sämtliche Empfänger seiner Daten ausführlich informiert wurde sowie die Möglichkeit zum Widerspruch gegen alle oder bestimmte Cookies erhält.

Damit sind viele der derzeit kursierenden Cookie Banner, die nur einen einfachen „Okay-Button“ oder die Möglichkeit des Zuklickens enthalten, nicht ausreichend, weil der Nutzer dem Setzen solcher Cookies nicht widersprechen kann. Außerdem können nur jene Websitebetreiber sämtliche Empfänger der Daten offenlegen, die die Nutzerdaten ausschließlich auf ihrer eigenen Website verarbeiten.

Sobald ein Analysetool genutzt wird, das die Daten extern auswertet, ist es dem Websitebetreiber nicht mehr möglich, nachzuvollziehen und zu dokumentieren, wohin die Daten seiner Besucher übermittelt werden (siehe Nutzung von Analysetools von Drittanbietern).

Besonders kritisch müssen Websitebetreiber künftig externe Analysetools und statistische Hilfsmittel von Dritten betrachten. Bei diesen Verfahren werden die Auswertungen nicht lokal auf dem Server des Betreibers durchgeführt, sondern die etwa durch Cookies erhobenen Daten gehen ohne Einflussmöglichkeiten des Betreibers zur Auswertung an Server des Toolanbieters, oft auch im Ausland.

Durch den Transfer kann der Websitebetreiber nicht mehr einsehen und offenlegen, wer Einsicht in die Daten hat und inwiefern sie Websiteübergreifend zu Nutzerprofilen zusammengeführt werden, und auch der Nutzer erhält keine Möglichkeit, der Weitergabe zu widersprechen. Die Nutzung solcher Tools wie beispielsweise Google Adsense, Google Ad Manager, Google Analytics, DoubleClick oder Facebook Custom Audience dürfte also unzulässig sein, weil es mildere Mittel gibt.

Websitebetreiber sind aufgefordert, datensparsam arbeitende lokal arbeitende Analysetools auf dem eigenen Server zu installieren und Logfiles zu analysieren, um den Datenschutz zu gewährleisten bzw. die unkontrollierbare Datenweitergabe in Länder außerhalb der EU zu unterlassen.

Unternehmen mit Sitz in der EU / EEA müssen DSGVO-konform sein und die oben beschriebenen Regeln für die Verwendung von Cookies und ähnlichen Technologien einhalten.

Allerdings müssen nach Art. 3 (2b) DSGVO im Allgemeinen alle Websites weltweit die DSGVO einhalten, wenn Tracking oder Profiling Technologien auf EU-Nutzer angewendet werden. Alle Unternehmen weltweit, die solche Technologien einsetzen, benötigen eine Lösung für das Einwilligungsmanagement – entweder um die DSGVO-Richtlinien einzuhalten oder um EU/EWR-Nutzer zu blockieren und sich von der DSGVO fernzuhalten.

Die Überprüfung möglicher CMP-Anbieter und die Umsetzung einer solchen Lösung wird auch im Hinblick auf die ePrivacy-Verordnung der richtige Schritt sein.

Achten Sie bei der Verwendung von Cookie-Management-Lösungen durch Content-Management-Systeme (CMS) wie WordPress, Joomla, Drupal oder TYPO3 darauf, dass Sie Ihr Cookie-Banner wirklich konform zu den Datenschutzverordnungen und Gesetzen implementieren. Dies erfordert ständige Auditierung, da die Rechtslage komplex ist und sich ständig verändert.

Wenn Ihre Website keine Opt-In Möglichkeiten für den User beinhalten, können Ihnen folgende Konsequenzen drohen: Untersagungsverfügungen der Behörden.

Bußgelder (die von Ihrem Umsatz abhängen und zumindest in Deutschland nach einem einheitlichen Verfahren abhängig vom Umsatz berechnet werden sollen und zumindest einen Tagesumsatz betragen sollen).

Abmahnungen (mit Unterlassungsforderungen samt Vertragsstrafen von ca. 2.500 – 5.000 Euro bei Wiederholung) und Schadensersatzforderungen der Nutzer (bisher waren diese eher selten, könnten jedoch nach dem Urteil zunehmen).

Abmahnungen durch klagebefugter Organisationen (z. B. Verbraucherzentralle, Wettbewerbszentrale, etc).

Abmahnungen durch von Mitbewerbern (derzeit ist es noch unklar, ob Mitbewerber Datenschutzverstöße abmahnen können, aber die Tendenz zeigt in diese Richtung).

Um ein Cookie Banner sicher und rechtskonform auf einer Website zu implementieren, muss der Websitebetreiber dieses Cookie Banner auch in seiner Datenschutzerklärung aufführen.

Die Datenschutzerklärung dient dann dazu, dem Nutzer detailliert aufzuzeigen, was nach der Speicherung mit den Daten passieren wird. Auch muss dem Websitebesucher hier aufgezeigt werden, wer auf die erhobenen Daten Zugriff hat und für welche Zwecke die Daten verwendet werden.

Daraus folgt: ein alleinstehendes Cookie Banner ohne dazugehörige Datenschutzerklärung hat keinen rechtlichen Wert. Somit ist es nicht DSGVO-konform.

Oft sind Cookie Banner am oberen oder unteren Bildschirmrand angelegt. So sollen sie die Performance der Landingpage nicht beeinträchtigen. Bei der Platzierung eines Cookie Banners sollte der Websitebesucher jedoch zu jedem Zeitpunkt die Möglichkeit haben, auf das Impressum und die Datenschutzerklärung zuzugreifen.

Hinweis: Dies gilt auch dann, wenn der Websitebesucher der Verwendung von Cookies zugestimmt hat.

Wählen Sie eine klare Überschrift, etwa „Weitergabe Ihrer Nutzerdaten an Dritte“.

Erfragen Sie, ob der Nutzer überhaupt in die Nutzung von technisch nicht erforderlichen Cookies einwilligt.

Beantworten Sie für alle einwilligungsbedürftigen Cookies die folgenden Fragen

  1. Welche Daten werden weitergegeben?
  2. Weshalb ist die Erhebung notwendig?
  3. Wohin und an wen konkret werden die Daten übermittelt?
  4. Zu welchem Zweck werden sie übermittelt?
  5. Wer hat Zugriff auf die Daten?
  6. Wie lange werden die Daten gespeichert?
  7. Werden die Daten mit weiteren Daten verknüpft?
  • Sie können die Antworten diese Fragen in aufklappbaren Textbausteinen übersichtlich gestalten, Links zu bedienen ist dem Nutzer an dieser Stelle aber nicht zuzumuten.
  • Bieten Sie dem Nutzer für jedes einwilligungsbedürftige Cookie ein unausgefülltes Feld an, damit er eine freie Entscheidung treffen kann.
  • Stellen Sie technisch sicher, dass keinerlei Daten übermittelt werden, bevor der Nutzer seine Wahl getroffen hat.
  • Stellen Sie die Freiwilligkeit der Einwilligung klar und weisen Sie auf das Recht zum jederzeitigen Widerruf hin. Stellen Sie auch klar, wie dieser Widerruf erfolgen kann.
  • Impressum und Datenschutzerklärung müssen schon während dieses Auswahlprozesses erreichbar sein, optimalerweise direkt auf dem Banner.
  • Eröffnen Sie eine Widerrufsmöglichkeit, die ebenso einfach zu finden und zu bedienen ist wie die Einwilligung – etwa über die dauerhafte Einblendung eines „Fingerprints“, in dem jedes einzelne Cookie jederzeit an- und abgewählt werden kann.

Aufgrund der ungeklärten rechtlichen Lage, die sich erst in den kommenden Jahren durch Gerichtsurteile und die neuen gesetzlichen Vorgaben konkretisieren wird, empfiehlt es sich, in jedem Fall sowohl auf Websites wie auch in Apps ein detaillierter Cookie-Hinweis einzublenden. Denn wird durch ein Gericht ein Verstoß gegen die DSGVO festgestellt, liegen die Strafen bei bis zu 500.000 Euro bzw. vier Prozent des Jahresumsatzes, je nachdem, was höher ist.

 Bei den hier aufgelisteten Services handelt es sich um informationspflichtige Services. Das bedeutet, dass sie keiner Einwilligung bedürfen. Nichtsdestotrotz müssen WebsitebetreiberInnen über die Existenz und den Zweck dieser Services informieren. Der dafür vorgesehene Ort ist die Datenschutzerklärung der Website.

  1. Freiwillig: Der Nutzer muss die Möglichkeit haben, die Datenverarbeitung abzulehnen und die Website trotzdem zu benutzen. Dann erfolgt die Einwilligung freiwillig.
  2. Informiert: Die betroffene Person muss über die Gegebenheiten und Zusammenhänge der Datenverarbeitung und über das Recht zum Widerruf aufgeklärt werden. Dann kann eine Einwilligung informiert erfolgen.
  3. Explizit: Der Nutzer muss aktiv der Technologien zustimmen bevor diese beim Besuch der Website geladen werden.
  4. Granular: Der User muss bei der Einwilligung granular wissen, für welche Daten und für welchen Drittanbieter er seine Einwilligung abgibt oder entzieht. Es wird also eine detaillierte Beschreibung benötigt. Ein allgemeiner Hinweis ist nicht ausreichend.
  5. Vorab: Es muss eine technische Verknüpfung zwischen dem Cookie-Banner und der Technologien auf der Seite bestehen. Ansonsten liegt ein Verstoß nach Art. 83 Abs. 5 lit. a) DSGVO vor, da Daten ohne gültige Rechtsgrundlage verarbeitet werden. Wenn der Unser nicht einwilligt, dürfen auch keine Daten erhoben oder weitergegeben werden. Erst wenn eine Einwilligung vorliegt, dürfen Cookies ausgespielt. werden.

  6. Widerrufbar: Der User hat das Recht, die Einwilligung jederzeit und ohne Begründung zu widerrufen. Der Widerruf der Einwilligung muss genauso einfach sein, wie die Erteilung. Also mit wenigen Klicks muss es möglich sein, einzelne Technologien zu widerrufen und die jeweilige Opt-Out Option zu finden.

    Eine Kombination von OK-Bannern und Opt-Out-Hinweis in der Datenschutzerklärung ist nicht ausreichend. Nach dem Widerruf darf die Technologie nicht mehr ausgelöst werden.

  7. Dokumentiert: Aufgrund der Beweispflicht von Website-Betreibern muss im Falle einer Abmahnung oder eines Audits die Einwilligungshistorie vollständig der Datenschutzbehörde vorgelegt werden können. Sämtliche Einwilligungen müssen dokumentiert werden, um nachweisen zu können, dass keine Cookies ausgespielt wurden, bevor die Einwilligung vorlag.
Cookie Banner – Tipps für Websitebetreiber

Das Thema Cookies und Cookie-Banner wird den Gesetzgeber und die Gerichte auch in den kommenden Jahren beschäftigten. Es ist damit zu rechnen, dass hier noch viele Veränderungen, Konkretisierungen und Klarstellungen erfolgen. Websitebetreibende Unternehmen und ihre Datenschutzbeauftragten müssen sich auch weiterhin regelmäßig über die aktuelle rechtliche Lage und die korrekte Umsetzung informieren, um die Sicherheit der personenbezogenen Daten sicherzustellen.

Kurz: DSGVO-konforme Cookie-Banner sind für eine erfolgreiche Website unausweichlich.

Tipp: Um nachweisen zu können, dass Sie sich an die Richtlinien der Datenschutzgrundverordnung und der ePrivacy-Verordnung halten, sollten Sie die passende Cookie-Management-Lösung parat haben. Dokumentieren Sie als Websitebetreiber die Einwilligungen der Besucher bezüglich der Cookie-Nutzung und geben Sie dem Website-Benutzer jederzeit die Möglichkeit, seine Einstellungen und Auswahlmöglichkeiten einzusehen und diese gegebenenfalls zu ändern.

Inhalt dieser Seite
Jörg ter Beek externer Datenschutzbeauftragter
Jörg ter Beek
Datenschutzexperte & DSB
Consent Management Beratung

Als externer Datenschutzbeauftragter unterstützen wir Sie bei der Implementierung eines rechtssicheren Cookie Banners für Ihre Websites.

Cookie Banner Beratung anfragen

Als Beratungsdienstleister und externer Datenschutzbeauftragter beraten wir Sie rund um die Themen Datenschutz und Web-Compliance und helfen bei der Implementierung eines DSGVO-konformen Cookie Banners.

Web-Compliance
Nach oben scrollen
Sie haben Fragen?
– Wir beraten Sie gerne
Jörg ter Beek externer Datenschutzbeauftragter
Jörg ter Beek
Datenschutzexperte & DSB
Unsere Lösungen
Cortina Consult Logo