Das Erscheinungsbild der Cookie Banner hat sich in der letzten Zeit auf vielen Websites geändert. Früher bekam man lediglich in einem kleinen Popup Fenster einen lapidaren Hinweis darauf, dass auf der Website irgendwelche nicht näher spezifizierten „Cookies“ gesetzt werden. Mittlerweile erhält man vielfach eine Aufzählung der einzelnen Cookies und eine Auswahlmöglichkeit über Checkboxen, welche davon akzeptiert werden oder nicht. Warum ist das so – und was ist jetzt richtig?
Dieser Artikel bringt Licht ins Dunkel der Cookie Banner und erklärt dir, wie du den Cookie Hinweis auf deiner Website richtig gestaltest. Bevor wir zu den Einzelheiten kommen, ist es allerdings notwendig, zu verstehen, wann und warum du überhaupt einen Cookie Banner brauchst.
Warum brauchst du überhaupt einen Cookie Banner?
Cookies sind Informationen, die im Endgerät des Websitebesuchers (PC, Smartphone etc.) gespeichert werden. Diese sind zum einen notwendig, um eine Website überhaupt richtig darzustellen („technisch notwendige Cookies“). Zum anderen werden sie aber auch für weitere Zwecke gesetzt, zum Beispiel zur Analyse des Verhaltens der Websitebesucher, für Werbezwecke oder bei der Einbindung von Social Plugins. (Anmerkung: Mit dem Begriff „Cookies“ sind im Folgenden auch vergleichbare Technologien wie zum Beispiel Zähl-Pixel etc. gemeint.)
Schauen wir uns zunächst die derzeitige Rechtslage an. Insofern gilt seit Inkrafttreten der DSGVO (Verordnung (EU) 2016/679) am 25.05.2018 folgendes:
Erfolgt die Speicherung der Cookies auf dem Endgerät des Websitebesuchers nicht zur Wahrung der berechtigten Interessen des Websitebetreibers oder eines Dritten, ist hierfür eine Einwilligung des Websitebesuchers gemäß Art. 6 Abs. 1 DSGVO erforderlich.
Da die berechtigten Interessen des Websitebetreibers bzw. Dritten mit den Interessen oder Grundrechten und Grundfreiheiten des Websitebesuchers abzuwägen sind, ist im Einzelfall oft unklar, welche Interessen überwiegen.
Ein berechtigtes Interesse beim Betrieb einer Website ist natürlich immer, dass die Website korrekt angezeigt wird. Hierfür notwendige Cookies sind daher stets vom berechtigten Interesse des Websitebetreibers umfasst.
Schwieriger wird es, wenn Cookies gesetzt werden, um das Verhalten des Websitebesuchers zu analysieren oder zu Werbezwecken auszuwerten. Hier lässt sich oft nicht ausschließen, dass die Interessen der Websitebesucher im Streitfall von den Datenschutzaufsichtsbehörden und/oder den Gerichten höher gewichtet werden würden.
Abgesehen von den technisch notwendigen Cookies sollte das Setzen von Cookies daher immer auf die Einwilligung des Websitebesuchers gestützt werden können. Diese Einwilligung wird klassischerweise über eine Checkbox eingeholt.
Nicht verschwiegen werden soll, dass sich diese Rechtslage mit dem Inkrafttreten der E-Privacy Verordnung ändern könnte. Da die E-Privacy Verordnung aber derzeit noch in der politischen Diskussion ist, bleibt es bezüglich Cookies & Co. bis auf Weiteres bei der Anwendung der DSGVO – und damit bei der vorsorglichen Einholung einer Einwilligung mittels Checkbox. Die Einzelheiten hierzu kannst du in meinem Artikel „Die E-Privacy Verordnung: Was kommt auf dich zu?“ nachlesen.
„*“ zeigt erforderliche Felder an
Wie solltest du deinen Cookie Banner gestalten?
Ein Cookie Banner richtig zu gestalten ist gar nicht so schwierig. Wichtig ist nur, dabei ein paar Kleinigkeiten zu beachten, die ich dir im Folgenden vorstelle.
#1 Der richtige Zeitpunkt
Wichtig ist, dass der Cookie Banner sofort beim Aufruf der Website erscheint und zunächst keine Cookies gesetzt werden und auch keine Daten an Dritte (zum Beispiel über ein Social Plugin) übermittelt werden dürfen.
#2 Der richtige Platz
Ferner sollte darauf geachtet werden, dass keine anderen wesentlichen Inhalte überdeckt werden: So wird der Cookie Banner oft im Bereich des Footers platziert – und überdeckt dort den Link auf Impressum und/oder Datenschutzerklärung.
#3 Freiwilligkeit
Wichtig ist auch, dass der weitere Besuch der Website nicht davon abhängig gemacht wird, dass der Websitebesucher in das Setzen aller Cookies einwilligt. Auch dann, wenn lediglich eine Einwilligung zum Setzen der technisch notwendigen Cookies erteilt wird, muss der Besuch der Website weiterhin möglich sein. Klar ist natürlich, dass dann mangels Einwilligung evtl. einige Funktionen der Website nicht richtig funktionieren.
#4 Vollständige Aufzählung aller Cookies
Im Cookie Banner sollten die einzelnen Cookies oder – wenn es zu viele sind – zumindest die einzelnen Kontexte (technisch notwendige Cookies, Analysecookies, Cookies zu Werbezwecken etc.) aufgelistet werden; werden nur Kontexte genannt, sollten diese ggf. durch Anklicken in einem weiteren Fenster näher erläutert und die einzelnen Cookies dort spezifiziert werden.
#5 Checkboxen mit Opt-in
Einwilligungen auf Websites werden sinnvollerweise mittels Checkboxen eingeholt.
Das bedeutet, dass im Cookie Banner pro Cookie – bzw. pro Cookie Kontext – eine separate Checkbox vorhanden ist.
Wichtig ist, dass lediglich bei der Checkbox für die technisch notwendigen Cookies bereits ein Häkchen gesetzt sein darf – bei allen weiteren müssen die Checkboxen leer sein. Durch Anklicken der übrigen Checkboxen kann der Websitebesucher nun selbst entscheiden, welche Cookies bzw. Kontexte er akzeptiert oder nicht.
Der rechtliche Hintergrund hierzu ist folgender:
Wird eine Einwilligung mittels einer Checkbox eingeholt, bestehen grundsätzlich zwei Möglichkeiten: Opt-in oder Opt-out. Der Unterschied ist, dass die Checkbox beim Opt-in zunächst leer ist und der Websitebesucher seine Einwilligung aktiv durch Anklicken des Kästchens bzw. Setzen des Häkchens erteilen muss. Beim Opt-out ist das Häkchen bereits standardmäßig gesetzt – die Einwilligung also bereits erteilt – und der Websitebesucher muss aktiv durch Anklicken der Checkbox das Häkchen entfernen.
Viele Websitebetreiber verwenden standardmäßig das Opt-out. Vermutlich weil sie wissen, dass die meisten ihrer Besucher schnell auf die Website wollen und daher den OK Button des Cookie Banners anklicken – ohne den Bannertext zu lesen oder darüber nachzudenken, wofür sie da gerade ihre Einwilligung erteilen.
Warum das Opt-out nicht ausreicht
Auch wenn dieses Vorgehen weit verbreitet ist, ist es rechtlich jedoch nicht in Ordnung. Eine Einwilligung bedarf einer aktiven Handlung des Websitebesuchers. Rechtlich einwandfrei ist daher lediglich das Opt-in, also dass der Websitebesucher seine Einwilligung – zum Beispiel zur Verwendung eines Analysetools wie Google Analytics – aktiv durch Setzen des Häkchens erteilt.
Zwar könnte man jetzt argumentieren, dass beim Opt-out die eigentliche Einwilligung im Klicken des OK Buttons des Cookie Banners liegt. Aber damit begibt man sich auf dünnes Eis. Denn gemäß Erwägungsgrund 32 zur DSGVO gilt bezüglich Einwilligungen Folgendes (Hervorhebungen durch mich):
„Die Einwilligung sollte durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist, etwa in Form einer schriftlichen Erklärung, die auch elektronisch erfolgen kann, oder einer mündlichen Erklärung.
Dies könnte etwa durch Anklicken eines Kästchens beim Besuch einer Internetseite, durch die Auswahl technischer Einstellungen für Dienste der Informationsgesellschaft oder durch eine andere Erklärung oder Verhaltensweise geschehen, mit der die betroffene Person in dem jeweiligen Kontext eindeutig ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezogenen Daten signalisiert.
Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person sollten daher keine Einwilligung darstellen. Die Einwilligung sollte sich auf alle zu demselben Zweck oder denselben Zwecken vorgenommenen Verarbeitungsvorgänge beziehen. Wenn die Verarbeitung mehreren Zwecken dient, sollte für alle diese Verarbeitungszwecke eine Einwilligung gegeben werden. Wird die betroffene Person auf elektronischem Weg zur Einwilligung aufgefordert, so muss die Aufforderung in klarer und knapper Form und ohne unnötige Unterbrechung des Dienstes, für den die Einwilligung gegeben wird, erfolgen.“
#6 Anpassung der Datenschutzerklärung
Bei der Gestaltung deines Cookie Banners darfst du nicht vergessen, deine Datenschutzerklärung anzupassen. Das heißt, dass die Einzelheiten zu den einzelnen gesetzten Cookies auch in der Datenschutzerklärung erläutert werden müssen.
#7 Sonderproblem Social Plugins
Ein Sonderproblem besteht bei der Einbindung von Social Plugins, da bei diesen nicht nur Cookies gesetzt werden, sondern darüber hinaus auch automatisch personenbezogene Daten deiner Websitebesucher an das entsprechende soziale Netzwerk etc. gesandt werden.
Nach einem aktuellen Urteil des EuGH vom 29. Juli 2019 dürfen die personenbezogenen Daten des Websitebesuchers erst nach Erteilung der entsprechenden Einwilligung an das soziale Netzwerk etc. übermittelt werden. Daher ist darauf zu achten, dass das Social Plugin nur dann aktiv wird, wenn der Websitebesucher zuvor seine Einwilligung durch Setzen des Häkchens in der entsprechenden Checkbox erteilt hat. (Dieses Urteil bezieht sich zwar noch auf die „Datenschutz-Richtlinie“, d.h. die Vorgängerregelung der DSGVO; das Ergebnis gilt aber auch für die DSGVO.)
Fazit
Einen Cookie Banner richtig, d.h. rechtskonform, zu gestalten ist kein Hexenwerk. Und es ist auch kein Nachteil für den Websitebetreiber. Denn auch mit den Besuchern seiner Website sollte fair umgegangen werden. Und hierzu gehört auch, dass zunächst transparent darüber informiert wird, was passiert, wenn die Website aufgerufen wird. Nur dann sind die Websitenbesucher in der Lage, eine gut informierte Entscheidung darüber zu treffen, ob und gegebenenfalls welche Daten sie von sich preisgeben möchten. So wie viele Websiteentwickler und -betreiber ihrerseits ungern von Dritten ausgespäht werden, sollten sie auch den Besuchern ihrer eigenen Website die Möglichkeit geben, selbst zu entscheiden, welche Daten sie von sich preisgegeben möchten oder nicht.
Beitragsbild: Emily Wilson | Unsplash
Weitere Bilder: Rawpixel | pexels, Raidboxes
Hallo,
vielen Dank für den ausführlichen Bericht.
Die Erklärungen sind sehr gut verständlich und gut umsetzbar.
Ich habe da eine Frage,
muss auf eine Wartungsseite auch ein Cookie-Banner, bzw. werden da bereits Daten gespeichert?
Hi ich möchte einen kleinen Blog mit Luftaufnahmen zur Darstellung der Entwicklungen des Klimas aufbauen. Jetzt frage ich mich ob es sinvoll ist, die Seite so aufzubauen, dass ich keine Cookies verwende, die nicht technisch notwendig sind. Damit würde ich doch die Aufenthaltsdauer meiner Nutzer verlängern, oder? Ist der Unterschied entscheidend oder verändert so ein Cookie Banner nicht viel an dem Nutzungsverhalten? Denn eine Kommentarfunktion mit einer Anmeldung etc. bietet sich natürlich auch an oder ein Newsletter…
Ich hab auch gesehen, dass es explizite Plugins für GoDaddy gibt (das verwende ich vermutlich)
GIbt es da irgendwelche Vorteile und lohnt sich so ein Anbieter? Gelesen habe ich das hier: https://www.consentmanager.de/cookie-banner-plugin/godaddy/
Hallo, vielen Dank für die Klarstellung, aber nochmal um sicher zu gehen, die Detail-Frage: Wenn ich ein YouTube Video im erweiterten Datenschutz-Modus und mit 2-Klick-Lösung einsetze, es also per Overlay-Bild (kontrolliert und mit Hinweis) blockiere, bevor darauf geklickt wird – brauche ich keinen Cookie-Banner?
Wenn der Text des Content-Blockers richtig formuliert und damit u.a. klar ist, dass durch das Anklicken eine datenschutzrechtliche Einwilligung erteilt wird, sollte es so passen. Wichtig ist natürlich auch, dass das Ganze in der Datenschutzerklärung berücksichtigt und dort korrekt dargestellt ist.
If my website collects the user’s consent for marketing / targeting, functional and social media cookies (including social plug-ins) so that only the necessary cookies are placed without consent (the data protection declaration has been adjusted accordingly), is this sufficient enough in respect of social plug in problem? or I have to use the Shariff solution as well?
Braucht man nicht wiederum Cookies um zu speichern, dass der Nutzer Cookies deaktiviert hat? Oder wie soll man sonst diese Information zwischen den Seiten übertragen?
Hallo, danke für den Beitrag.
Wenn ich den Shariff Wrapper verwende brauche ich doch eigenlich für die social Buttons keine extra Einwilligung oder? Da durch Shariff ja keine Daten gesendet werden. Irgendwie bin ich mir gerade ein wenig Unsicher damit.
Der Shariff Wrapper macht aus den Social Plugins reine Links zu den Sozialen Netzwerken. Deshalb reicht es aus, wenn die Datenschutzerklärung der Website entsprechend angepasst wird. Eine Einwilligung des Websitebesuches für das Setzen dieser Links ist nicht erforderlich.
Hallo und danke für den Beitrag.
Darf ein Cookie Banner bei einer mehrsprachigen Seite auf englisch sein oder muss es immer in die jeweilige Sprache übersetzt sein?
Danke.
Ich habe oben in den Kommentaren gelesen: „Der Cookie Banner muss in der Sprache der Website sein. Wenn die Homepage bzw. Startseite mit verschiedenen Sprachen aufgerufen werden kann, muss auch der Cookie Banner in der jeweiligen Sprache erscheinen.“
Wenn jetzt als Einstieg immer die englischsprachige Seite gezeigt wird, und man von dort aus dann aber auch andere Sprachversionen auswählen kann, diese aber nicht automatisch angezeigt werden, sondern eben erst auf „Klick“, genügt es dann also, das Cookie-Banner ausschließlich auf Englisch anzuzeigen?
Und wenn in einer Sprache lediglich ein oder zwei Unterseiten vorhanden sind, müßte dann dennoch die ganze Datenschutzerklärung und Cookie-Policy auch in jener Sprache angeboten werden?
Der Cookie Banner muss in der Sprache der Website sein. Wenn die Homepage bzw. Startseite mit verschiedenen Sprachen aufgerufen werden kann, muss auch der Cookie Banner in der jeweiligen Sprache erscheinen.
Guten Tag, danke für diesen Beitrag. Bei allen berechtigten Interessen, über die geschrieben wird: ist es nicht auch ein berechtigtes Interesse eines Anbieters von Information bzw. „Content“, dass dieser eine finanzielle Vergütung für seine Arbeit erhält? Muss man einem Besucher einer Webseite den Content denn zwingend anbieten, wenn dieser keine Lust auf Werbe-Cookies hat? Oder kann man sich im Fall einer Verweigerung nicht an der Stelle auch gütlich wieder trennen, indem man den Content dann eben nicht anzeigt? Der Besucher darf die Webseite ja jederzeit und freiwillig verlassen, wenn er Werbe-Cookies persönlich nicht mag. Wenn dem so wäre, gibt es hierfür schon technische Lösungen (Opt-In für Werbe-Cookies, aber ohne Opt-In auch kein Content)?
Vielen Dank für die vielen Infos! Eine Frage habe ich allerdings: Sie schreiben, dass die Opt-Out Lösung nicht ausreicht, verwenden diese aber selbst auf der Webseite. Müsste hier nicht auf die Opt-In Lösung umgestellt werden, oder befindet man sich bei diesen Optionen in einer rechtlichen Grauzone?
Zwei Dinge sind mir unklar. Sie haben unter ihren Artikeln Buttons zum teilen + gehe ich darauf, um zu teilen, dann öffnet sich nichts mit Cookies!?
Und meine zweite Frage wäre, wie ändere ich so ein Cookie Banner? Habe das Plugin Cookie notice. Wäre sehr dankbar über eine Antwort.
Viele Grüße Caroline
Ich habe mal eine grundsätzliche Frage: Brauche ich so ein umfangreiches Cookie-Banner auch dann, wenn ich nur ganz schlichte Seiten betreibe? Ich betreue ein paar Seiten, die lediglich ein Kontaktformular anbieten und die beiden DSGVO-konformen Plugins „Statify“ und „Shariff Wrapper“ verwenden. Diese Seiten kommen völlig ohne Werbung, Shop, Google-Analytics und sonstige Social-Media-Integrationen aus. Es gibt nicht einmal eine Kommentarfunktion unter einem Blogpost. Reicht in einem solchen Fall ein einfaches Cookie-Banner aus?
Ein Cookie-Banner ist grundsätzlich immer dann erforderlich, wenn eine Einwilligung des Webseitenbesuchers eingeholt werden muss. Ist dies nicht der Fall (weil zum Beispiel keine oder nur technisch notwendige Cookies gesetzt werden, auf der Webseite keine einwilligungspflichtigen Dienste eingebunden sind oder auch keine besonderen Kategorien personenbezogener Daten verarbeitet werden), braucht man überhaupt keinen Cookie-Banner.
Das ist doch mal eine hilfreiche Antwort. Vielen Dank!
Super erklärt, danke!