Kategorien
Neueste Beiträge
Datenschutzkonforme Cookie-Banner
Cookie-Banner begegnen uns auf den meisten Webseiten. Meistens sind sie lästig, manchmal auch gar nicht nötig. Oft bieten sie eine erste Angriffsfläche für mögliche Bußgelder, Schadensersatzansprüche oder Abmahnungen. Im folgenden Beitrag gehen wir auf ein paar der zu beachtenden Aspekte ein, damit wir idealerweise zukünftig mehr datenschutzkonforme Cookie-Banner sehen.
Notwendigkeit eines Cookie-Banners
Zuallererst ist zu betrachten, ob ein Cookie-Banner überhaupt immer und in jedem Fall notwendig ist. Die Antwort ist Nein. Der Grund für diese Antwort liegt im eigentlichen Zweck eines solchen.
Zweck eines Cookie-Banners
Ein Cookie-Banner hat die Aufgabe darüber zu informieren, welche Cookies ein Verantwortlicher gern setzen möchte. Daraus ergibt sie die Möglichkeit für den Webseiten-Besucher, zu entscheiden, ob und welche Cookies er akzeptiert oder ob er alle ablehnt. Ist ein Cookie-Banner aufgrund des Einsatzes von Cookies notwendig, muss der Banner auch eine Möglichkeit geben, dass die betroffene Person sich näher zu den Cookies informieren und die Datenschutzinformation leicht erreichen kann. Dies bedeutet, dass für gewöhnlich im Cookie-Banner auf die Datenschutzinformation gemäß Art. 13 DSGVO verlinkt wird.
Gestaltung eines Cookie-Banners
Wer Webseiten besucht, wird aktuell noch immer zu oft mit nicht-datenschutzkonformen Cookie-Bannern konfrontiert. Die Cookie-Banner, die nicht im Sinne des Datenschutzes gestaltet sind, haben alle eines der folgenden Merkmale gemeinsam: Entweder der Webseiten-Betreiber versucht scheinbar aktiv durch eine gewisse Gestaltung des Cookie-Banners die Webseiten-Besucher zu beeinflussen, sodass sie dem Einsatz aller Cookies zustimmen, oder er setzt aus Unerfahrenheit oder Unwissenheit im Datenschutzbereich einen nicht-konformen Cookie-Banner. Was ist also bei der Gestaltung eines Cookie-Banners zu beachten? – Bitte beachten Sie, dass die folgenden Beispiele nicht abschließend sein müssen. –
Gleichrangige Gestaltung des „Ablehnen“- und „Akzeptieren“-Feldes
Ein datenschutzkonformer Cookie-Banner ermöglicht es einem Besucher, frei zu wählen, ob er den Einsatz von Cookies annimmt oder ablehnt, ohne dass der Verantwortliche versucht, ihn bei der Entscheidung zu beeinflussen. Wenn das Feld zum Akzeptieren des Cookie-Einsatzes vorteilhafter – z. B. größer, grün oder einfacher auffindbar – gestaltet ist, entsteht der Eindruck, dass der Webseiten-Betreiber versucht, mit diesen Mitteln den Nutzer dazu zu bringen, dem Einsatz von Cookies zuzustimmen.
Unsere Empfehlung dabei ist, dass „Akzeptieren“- und „Ablehnen“-Feld gleichranging, also in gleicher Farbe, Größe nebeneinander auf beide auf dem Bildschirm ohne Scrollen sichtbar zu platzieren. Daneben kann dann auch gleich noch das Feld sein, welches zum detaillierten Bereich führt: Da können Nutzer dann direkt festhalten, ob sie beispielsweise Cookies von bestimmten Anbietern zulassen.
Keine irreführende Wortwahl
Die Informationen, die dem Nutzer sofort bei Aufruf einer Webseite im Cookie-Banner zur Verfügung gestellt werden, muss ein Verantwortlicher unmissverständlich, klar und eindeutig formulieren. Dabei können Sätze wie „Wir benötigen Ihre Einwilligung, um alle Inhalte der Webseite zur Verfügung stellen zu können“ irreführend sein. Generell kann man eine Webseite anzeigen, ohne Cookies zu setzen. Es kommt also auch auf die genaue Formulierung an: Es gibt Cookies, die ein Webseiten-Betreiber nur mit Nutzereinwilligung setzen darf. Es gibt aber auch solche, deren Einsatz besser auf einer anderen Rechtsgrundlage zu stützen wäre. Handelt es sich beispielsweise um einen Online-Shop, ist das Setzen des „Bezahlen“-Cookies beim Zahlvorgang aufgrund der Einwilligung nicht die richtige Rechtsgrundlage. Von daher wäre der Satz, dass für da Anzeigen aller Webseiten-Inhalte mithilfe von Cookies die Einwilligung notwendig sei, als missverständlich zu betrachten.
Wir empfehlen eine offene, eindeutige, präzise Kommunikation. So kann ein Satz grob in etwa – natürlich in Abhängigkeit der tatsächlichen Zwecke – beispielsweise so lauten: „Wir möchten gern Cookies zur Analyse Ihres Besuches unserer Webseite setzen. Stimmen Sie dem zu? – Ja. / Nein. / Individuelle Auswahl/Einstellung. -“ (die jeweilige Antwort sollte ein Nutzer dann natürlich mithilfe gleichrangig gestalteter Felder geben können).
Einhaltung einer Ablehnung des Cookie-Einsatzes
Manchmal kommt es vor, dass der Verantwortliche scheinbar nicht akzeptiert, dass ein Nutzer den Einsatz von Cookies nicht wünscht und demnach immer wieder nachfragt. Diese Nachfragen tauchen dann solange auf, bis der Nutzer – wahrscheinlich genervt von den ständigen Anfragen – dem Einsatz von Cookies zustimmt. Dies kann sich natürlich auch aus einer Fehlkonfiguration oder -programmierung auf der Webseite ergeben.
Wenn ein Verantwortlicher Cookies auf seiner Webseite einsetzen möchte und nach der Einwilligung der betroffenen Person fragt, sollte er die Antwort der Person dokumentieren. Lehnt eine Person optionale Cookies ab, sollte sie nicht ständig mithilfe eines ständig neu auftauchenden Cookie-Banners wiederholt gefragt werden. Natürlich ist dann auch notwendig, dieses Cookie in der Datenschutzinformation für die Webseite zu erläutern, sodass der Betroffene über das Setzen des „(No) Consent“ / „(Keine) Einwilligung“-Cookies nicht überrascht ist, bedenkend, dass er doch auf „Ablehnen“ geklickt hat. – Hier ist dann übrigens auch darauf zu achten, für dieses Cookie die zutreffende Rechtsgrundlage zu wählen. –
Grund für die Notwendigkeit eines datenschutzkonformen Cookie-Banners
Wenn Verantwortliche auf ihren Webseiten Cookies setzen, verarbeiten sie als Folge personenbezogene Daten und müssen die betroffenen Personen darüber informieren (Art. 13 DSGVO). Die Information zur geplanten Datenerhebung sollte ein Verantwortlicher möglichst spätestens zum Zeitpunkt der Erhebung bereitstellen (Art. 12 Abs. 1 DSGVO). Aus dieser Notwendigkeit heraus etablierte sich auf Webseiten der Cookie-Banner. Nach den Urteilen des EuGH (Az.: C‑673/17) und des BGH (Az.: I ZR 7/16) zu wirksamen Einwilligungen zum Cookie-Einsatz dürfte jedem Webseiten-Betreiber u. a. auch deutlich geworden sein, dass sie über die Verarbeitung personenbezogener Daten durch Cookies informieren müssen, bevor diese gesetzt werden. Dazu gehört eben auch die datenschutzkonforme Gestaltung des Cookie-Banners, dies auch, um die Bedingungen einer wirklich freiwilligen Einwilligung zu erfüllen (Art. 7 Abs. 4 DSGVO).
Orientierungshilfen, Hilfestellungen, Berichte etc.
Der Europäische Datenschutzausschuss (kurz: EDSA) hatte eine Arbeitsgruppe mit der Erstellung eines Berichtes beauftragt. Im Zuge dieses Berichtes sollte sich die Arbeitsgruppe mit den Beschwerden der Datenschutzorganisation NOYB, welche von Max Schrems gegründet wurde, befassen. Die Analyse und Meinung der Datenschutzaufsichtsbehörden zu gestalterischen und inhaltlichen Problemen bei Cookie-Bannern finden Sie hier.
Am 14.02.2023 veröffentliche der EDSA die Orientierungshilfe „Erkennen und Vermeiden irreführender Designeffekte auf Benutzeroberflächen von Social-Media-Plattformen“ (Dokument bisher nur auf Englisch verfügbar: „Guidelines 03/2022 on deceptive design patterns in social media platform interfaces: how to recognise and avoid them“).
Auch die Landesbeauftragte für den Datenschutz Niedersachsen stellte eine Handreichung „Datenschutzkonforme Einwilligungen auf Webseiten – Anforderungen an Consent-Layer“ zur Verfügung.
Die hier genannten Dokumente sind nicht die einzigen der Datenschutzaufsichtsbehörden zum Thema Cookie-Banner.
Auch in unserem Video „Cookies“ befassten wir uns zusammenfassend mit dem datenschutzkonformen Einsatz von Cookies.
Fazit
All dies zeigt, dass es eine umfangreiche Sammlung an Dokumenten gibt, die Vereinen, Unternehmen, Arztpraxen, Behörden, Schulen, Bibliotheken, Kanzleien etc. dabei helfen, bei Bedarf im Zuge ihrer Internetpräsenz datenschutzkonforme Cookie-Banner zur Verfügung zu stellen. Damit halten die verantwortlichen Stellen nicht nur die Anforderungen der DSGVO, sondern auch die des TTDSG ein.
Wir können aber auch nachvollziehen, dass es schwierig für Verantwortliche ist, sich fortlaufend zu Datenschutzthematiken, -urteilen etc. auf dem Laufenden zu halten. Das ist Aufgabe im Bereich des Datenschutzes, die wir gern im Rahmen unserer Beratung und Unterstützung für Sie übernehmen. Kontaktieren Sie uns gern noch heute für ein unverbindliches Angebot.