Cookie-Banner – aber richtig! Diese 7 Dinge solltest du dabei beachten

6 Min.
cookie banner dsgvo eprivacy

Das Erscheinungsbild der Cookie-Banner hat sich in der letzten Zeit auf vielen Webseiten geändert. Früher bekam man lediglich in einem kleinen Pop-up-Fenster einen lapidaren Hinweis darauf, dass auf der Webseite irgendwelche nicht näher spezifizierten „Cookies“ gesetzt werden. Mittlerweile erhält man vielfach eine Aufzählung der einzelnen Cookies und eine Auswahlmöglichkeit über Checkboxen, welche davon akzeptiert werden oder nicht. Warum ist das so – und was ist jetzt richtig?

Dieser Artikel bringt Licht ins Dunkel der Cookie-Banner und erklärt dir, wie du den Cookie-Hinweis auf deiner Webseite richtig gestaltest. Bevor wir zu den Einzelheiten kommen, ist es allerdings notwendig, zu verstehen, wann und warum du überhaupt einen Cookie-Banner brauchst.

Cookies sind Informationen, die im Endgerät des Webseitenbesuchers (PC, Smartphone etc.) gespeichert werden. Diese sind zum einen notwendig, um eine Webseite überhaupt richtig darzustellen („technisch notwendige Cookies“). Zum anderen werden sie aber auch für weitere Zwecke gesetzt, zum Beispiel zur Analyse des Verhaltens der Webseitenbesucher, für Werbezwecke oder bei der Einbindung von Social Plugins. (Anmerkung: Mit dem Begriff „Cookies“ sind im Folgenden auch vergleichbare Technologien wie zum Beispiel Zähl-Pixel etc. gemeint.) 

Schauen wir uns zunächst die derzeitige Rechtslage an. Insofern gilt seit Inkrafttreten der DSGVO (Verordnung (EU) 2016/679) am 25.05.2018 folgendes:

Erfolgt die Speicherung der Cookies auf dem Endgerät des Webseitenbesuchers nicht zur Wahrung der berechtigten Interessen des Webseitenbetreibers oder eines Dritten, ist hierfür eine Einwilligung des Webseitenbesuchers gemäß Art. 6 Abs. 1 DSGVO erforderlich.

cookie banner dsgvo

Da die berechtigten Interessen des Webseitenbetreibers bzw. Dritten mit den Interessen oder Grundrechten und Grundfreiheiten des Webseitenbesuchers abzuwägen sind, ist im Einzelfall oft unklar, welche Interessen überwiegen.

Ein berechtigtes Interesse beim Betrieb einer Webseite ist natürlich immer, dass die Webseite korrekt angezeigt wird. Hierfür notwendige Cookies sind daher stets vom berechtigten Interesse des Webseitenbetreibers umfasst. 

Schwieriger wird es, wenn Cookies gesetzt werden, um das Verhalten des Webseitenbesuchers zu analysieren oder zu Werbezwecken auszuwerten. Hier lässt sich oft nicht ausschließen, dass die Interessen der Webseitenbesucher im Streitfall von den Datenschutzaufsichtsbehörden und/oder den Gerichten höher gewichtet werden würden.

Abgesehen von den technisch notwendigen Cookies sollte das Setzen von Cookies daher immer auf die Einwilligung des Webseitenbesuchers gestützt werden können. Diese Einwilligung wird klassischerweise über eine Checkbox eingeholt.

Nicht verschwiegen werden soll, dass sich diese Rechtslage mit dem Inkrafttreten der E-Privacy-Verordnung ändern könnte. Da die E-Privacy-Verordnung aber derzeit noch in der politischen Diskussion ist, bleibt es bezüglich Cookies & Co. bis auf Weiteres bei der Anwendung der DSGVO – und damit bei der vorsorglichen Einholung einer Einwilligung mittels Checkbox. Die Einzelheiten hierzu kannst du in meinem OutOfTheBox-Artikel Die E-Privacy-Verordnung: Was kommt auf dich zu? nachlesen.

Ein Cookie-Banner richtig zu gestalten ist gar nicht so schwierig. Wichtig ist nur, dabei ein paar Kleinigkeiten zu beachten, die ich dir im Folgenden vorstelle.

#1 Der richtige Zeitpunkt

Wichtig ist, dass der Cookie-Banner sofort beim Aufruf der Webseite erscheint und zunächst keine Cookies gesetzt werden und auch keine Daten an Dritte (zum Beispiel über ein Social Plugin) übermittelt werden dürfen.

#2 Der richtige Platz

Ferner sollte darauf geachtet werden, dass keine anderen wesentlichen Inhalte überdeckt werden: So wird der Cookie-Banner oft im Bereich des Footers platziert – und überdeckt dort den Link auf Impressum und/oder Datenschutzerklärung.

#3 Freiwilligkeit 

Wichtig ist auch, dass der weitere Besuch der Webseite nicht davon abhängig gemacht wird, dass der Webseitenbesucher in das Setzen aller Cookies einwilligt. Auch dann, wenn lediglich eine Einwilligung zum Setzen der technisch notwendigen Cookies erteilt wird, muss der Besuch der Webseite weiterhin möglich sein. Klar ist natürlich, dass dann mangels Einwilligung evtl. einige Funktionen der Webseite nicht richtig funktionieren.  

#4 Vollständige Aufzählung aller Cookies

Im Cookie-Banner sollten die einzelnen Cookies oder – wenn es zu viele sind – zumindest die einzelnen Kontexte (technisch notwendige Cookies, Analyse-Cookies, Cookies zu Werbezwecken etc.) aufgelistet werden; werden nur Kontexte genannt, sollten diese ggf. durch Anklicken in einem weiteren Fenster näher erläutert und die einzelnen Cookies dort spezifiziert werden.    

#5 Checkboxen mit Opt-in

Einwilligungen auf Webseiten werden sinnvollerweise mittels Checkboxen eingeholt.

Das bedeutet, dass im Cookie-Banner pro Cookie – bzw. pro Cookie-Kontext – eine separate Checkbox vorhanden ist. 

Wichtig ist, dass lediglich bei der Checkbox für die technisch notwendigen Cookies bereits ein Häkchen gesetzt sein darf – bei allen weiteren müssen die Checkboxen leer sein. Durch Anklicken der übrigen Checkboxen kann der Webseitenbesucher nun selbst entscheiden, welche Cookies bzw. Kontexte er akzeptiert oder nicht.

eugh optin wordpress borlabs cookie blog

Der rechtliche Hintergrund hierzu ist folgender: 

Wird eine Einwilligung mittels einer Checkbox eingeholt, bestehen grundsätzlich zwei Möglichkeiten: Opt-in oder Opt-out. Der Unterschied ist, dass die Checkbox beim Opt-in zunächst leer ist und der Webseitenbesucher seine Einwilligung aktiv durch Anklicken des Kästchens bzw. Setzen des Häkchens erteilen muss. Beim Opt-out ist das Häkchen bereits standardmäßig gesetzt – die Einwilligung also bereits erteilt – und der Webseitenbesucher muss aktiv durch Anklicken der Checkbox das Häkchen entfernen.

Viele Webseitenbetreiber verwenden standardmäßig das Opt-out. Vermutlich weil sie wissen, dass die meisten ihrer Besucher schnell auf die Webseite wollen und daher den OK-Button des Cookie-Banners anklicken – ohne den Banner-Text zu lesen oder darüber nachzudenken, wofür sie da gerade ihre Einwilligung erteilen.

Warum das Opt-out nicht ausreicht

Auch wenn dieses Vorgehen weit verbreitet ist, ist es rechtlich jedoch nicht in Ordnung. Eine Einwilligung bedarf einer aktiven Handlung des Webseitenbesuchers. Rechtlich einwandfrei ist daher lediglich das Opt-in, also dass der Webseitenbesucher seine Einwilligung – zum Beispiel zur Verwendung eines Analysetools wie Google Analytics – aktiv durch Setzen des Häkchens erteilt.

Zwar könnte man jetzt argumentieren, dass beim Opt-out die eigentliche  Einwilligung im Klicken des OK-Buttons des Cookie-Banners liegt. Aber damit begibt man sich auf dünnes Eis. Denn gemäß Erwägungsgrund 32 zur DSGVO gilt bezüglich Einwilligungen Folgendes (Hervorhebungen durch mich):

linie infobox

Die Einwilligung sollte durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist, etwa in Form einer schriftlichen Erklärung, die auch elektronisch erfolgen kann, oder einer mündlichen Erklärung.

Dies könnte etwa durch Anklicken eines Kästchens beim Besuch einer Internetseite, durch die Auswahl technischer Einstellungen für Dienste der Informationsgesellschaft oder durch eine andere Erklärung oder Verhaltensweise geschehen, mit der die betroffene Person in dem jeweiligen Kontext eindeutig ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezogenen Daten signalisiert.

Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person sollten daher keine Einwilligung darstellen. Die Einwilligung sollte sich auf alle zu demselben Zweck oder denselben Zwecken vorgenommenen Verarbeitungsvorgänge beziehen. Wenn die Verarbeitung mehreren Zwecken dient, sollte für alle diese Verarbeitungszwecke eine Einwilligung gegeben werden. Wird die betroffene Person auf elektronischem Weg zur Einwilligung aufgefordert, so muss die Aufforderung in klarer und knapper Form und ohne unnötige Unterbrechung des Dienstes, für den die Einwilligung gegeben wird, erfolgen.“

linie infobox

#6 Anpassung der Datenschutzerklärung

Bei der Gestaltung deines Cookie-Banners darfst du nicht vergessen, deine Datenschutzerklärung anzupassen. Das heißt, dass die Einzelheiten zu den einzelnen gesetzten Cookies auch in der Datenschutzerklärung erläutert werden müssen. 

#7 Sonderproblem Social Plugins

Ein Sonderproblem besteht bei der Einbindung von Social Plugins, da bei diesen nicht nur Cookies gesetzt werden, sondern darüber hinaus auch automatisch personenbezogene Daten deiner Webseitenbesucher an das entsprechende soziale Netzwerk etc. gesandt werden.

Nach einem aktuellen Urteil des EuGH vom 29. Juli 2019 dürfen die personenbezogenen Daten des Webseitenbesuchers erst nach Erteilung der entsprechenden Einwilligung an das soziale Netzwerk etc. übermittelt werden. Daher ist darauf zu achten, dass das Social Plugin nur dann aktiv wird, wenn der Webseitenbesucher zuvor seine Einwilligung durch Setzen des Häkchens in der entsprechenden Checkbox erteilt hat. (Dieses Urteil bezieht sich zwar noch auf die „Datenschutz-Richtlinie“, d.h. die Vorgängerregelung der DSGVO; das Ergebnis gilt aber auch für die DSGVO.) 

Einen Cookie-Banner richtig, d.h. rechtskonform, zu gestalten ist kein Hexenwerk. Und es ist auch kein Nachteil für den Webseitenbetreiber. Denn auch mit den Besuchern seiner Webseite sollte fair umgegangen werden. Und hierzu gehört auch, dass zunächst transparent darüber informiert wird, was passiert, wenn die Webseite aufgerufen wird. Nur dann sind die Webseitenbesucher in der Lage, eine gut informierte Entscheidung darüber zu treffen, ob und gegebenenfalls welche Daten sie von sich preisgeben möchten. So wie viele Webseitenentwickler und -betreiber ihrerseits ungern von Dritten ausgespäht werden, sollten sie auch den Besuchern ihrer eigenen Webseite die Möglichkeit geben, selbst zu entscheiden, welche Daten sie von sich preisgegeben möchten oder nicht.

Beitragsbild: Emily Wilson | Unsplash
Weitere Bilder: Rawpixel | pexels, RAIDBOXES

WooCommerce gratis Hosting

Mario Steinberg ist Rechtsanwalt und Fachanwalt für Verwaltungsrecht bei LIEB.Rechtsanwälte. Zu seinen Schwerpunkten gehört die Beratung im Datenschutzrecht & IT-Sicherheitsrecht. Außerdem ist er Mitgründer des Berater-Netzwerks "shaping your organization", das Unternehmen in den Bereichen Business-IT, Compliance und Legal Design berät.

Ähnliche Artikel

Kommentare zu diesem Artikel

Elias
Elias

Super erklärt, danke!

Andreas
Andreas

Ich habe mal eine grundsätzliche Frage: Brauche ich so ein umfangreiches Cookie-Banner auch dann, wenn ich nur ganz schlichte Seiten betreibe? Ich betreue ein paar Seiten, die lediglich ein Kontaktformular anbieten und die beiden DSGVO-konformen Plugins “Statify” und “Shariff Wrapper” verwenden. Diese Seiten kommen völlig ohne Werbung, Shop, Google-Analytics und sonstige Social-Media-Integrationen aus. Es gibt nicht einmal eine Kommentarfunktion unter einem Blogpost. Reicht in einem solchen Fall ein einfaches Cookie-Banner aus?

Mario Steinberg
Mario Steinberg

Ein Cookie-Banner ist grundsätzlich immer dann erforderlich, wenn eine Einwilligung des Webseitenbesuchers eingeholt werden muss. Ist dies nicht der Fall (weil zum Beispiel keine oder nur technisch notwendige Cookies gesetzt werden, auf der Webseite keine einwilligungspflichtigen Dienste eingebunden sind oder auch keine besonderen Kategorien personenbezogener Daten verarbeitet werden), braucht man überhaupt keinen Cookie-Banner.

Andreas
Andreas

Das ist doch mal eine hilfreiche Antwort. Vielen Dank!

C

Zwei Dinge sind mir unklar. Sie haben unter ihren Artikeln Buttons zum teilen + gehe ich darauf, um zu teilen, dann öffnet sich nichts mit Cookies!?
Und meine zweite Frage wäre, wie ändere ich so ein Cookie Banner? Habe das Plugin Cookie notice. Wäre sehr dankbar über eine Antwort.
Viele Grüße Caroline

K
Kerstin

Vielen Dank für die vielen Infos! Eine Frage habe ich allerdings: Sie schreiben, dass die Opt-Out Lösung nicht ausreicht, verwenden diese aber selbst auf der Webseite. Müsste hier nicht auf die Opt-In Lösung umgestellt werden, oder befindet man sich bei diesen Optionen in einer rechtlichen Grauzone?

M
Martin

Guten Tag, danke für diesen Beitrag. Bei allen berechtigten Interessen, über die geschrieben wird: ist es nicht auch ein berechtigtes Interesse eines Anbieters von Information bzw. „Content“, dass dieser eine finanzielle Vergütung für seine Arbeit erhält? Muss man einem Besucher einer Webseite den Content denn zwingend anbieten, wenn dieser keine Lust auf Werbe-Cookies hat? Oder kann man sich im Fall einer Verweigerung nicht an der Stelle auch gütlich wieder trennen, indem man den Content dann eben nicht anzeigt? Der Besucher darf die Webseite ja jederzeit und freiwillig verlassen, wenn er Werbe-Cookies persönlich nicht mag. Wenn dem so wäre, gibt es hierfür schon technische Lösungen (Opt-In für Werbe-Cookies, aber ohne Opt-In auch kein Content)?

D
Dominik

Hallo und danke für den Beitrag.
Darf ein Cookie Banner bei einer mehrsprachigen Seite auf englisch sein oder muss es immer in die jeweilige Sprache übersetzt sein?

Danke.

Mario Steinberg
Mario Steinberg

Der Cookie Banner muss in der Sprache der Website sein. Wenn die Homepage bzw. Startseite mit verschiedenen Sprachen aufgerufen werden kann, muss auch der Cookie Banner in der jeweiligen Sprache erscheinen.

M
Martin

Hallo, danke für den Beitrag.

Wenn ich den Shariff Wrapper verwende brauche ich doch eigenlich für die social Buttons keine extra Einwilligung oder? Da durch Shariff ja keine Daten gesendet werden. Irgendwie bin ich mir gerade ein wenig Unsicher damit.

Mario Steinberg
Mario Steinberg

Der Shariff Wrapper macht aus den Social Plugins reine Links zu den Sozialen Netzwerken. Deshalb reicht es aus, wenn die Datenschutzerklärung der Website entsprechend angepasst wird. Eine Einwilligung des Websitebesuches für das Setzen dieser Links ist nicht erforderlich.

S
Sascha Kuhn

Braucht man nicht wiederum Cookies um zu speichern, dass der Nutzer Cookies deaktiviert hat? Oder wie soll man sonst diese Information zwischen den Seiten übertragen?

M
Monika

If my website collects the user’s consent for marketing / targeting, functional and social media cookies (including social plug-ins) so that only the necessary cookies are placed without consent (the data protection declaration has been adjusted accordingly), is this sufficient enough in respect of social plug in problem? or I have to use the Shariff solution as well?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.