Cookie-Banner – Technologie & Rechtslage

Cookie-Banner datenschutzkonform einzusetzen, gehört zu den größeren Herausforderungen für Webseitenbetreiber. Sollen Cookie-Banner der DSGVO entsprechend gestaltet werden, dann müssen Webseitennutzer der Verarbeitung von personenbezogenen Daten zustimmen oder diese mit Hilfe der Cookie-Banner ablehnen können. Doch was muss man beachten, wenn man Cookie-Banner beziehungsweise Cookie-Consent-Banner einsetzen möchte? Welche Regeln gelten für den Einsatz von Cookies? Wie muss der Cookie-Banner Text aussehen? Wie müssen Cookie-Banner technisch und rechtlich gestaltet werden?

Cookie-Banner – personenbezogene Daten werden gespeichert

Der Einsatz von Cookies dient der Verarbeitung von personenbezogenen Daten. Das bedeutet, es werden kleine Textinformationen auf dem Gerät des Internetnutzers gespeichert. Der Nutzer beziehungsweise seine Geräte können auf diese Weise individuell zugeordnet werden. Das macht man sich beispielsweise beim Tracking zunutze. Beim Tracking wird das Verhalten des Nutzers nachverfolgt. Für diese Nachverfolgung können die IP-Adresse, der Browserfingerprint oder auch andere Kriterien genutzt werden. Weil personenbezogene Daten verarbeitet werden, muss ein Cookie der DSGVO entsprechen. Das Datenschutzrecht greift hier und auch der Cookie-Banner-Text muss entsprechend gestaltet werden.

Was sind Cookies eigentlich?

Bei Cookies handelt es sich im Grunde um Textdateien, die vom Anbieter einer Webseite auf dem Computer oder einem anderen Endgerät des Nutzers gespeichert werden. Bei einem erneuten Besuch der Webseite werden diese Textdateien wieder ausgelesen, um das Navigieren im Netz beziehungsweise Transaktionen zu erleichtern, und um Informationen über das Verhalten der Webseitenbesucher zu analysieren. Beispiele für die Funktionsweise von Cookies sind:

  • Der Webseitenbesucher wird identifiziert, wiedererkannt und erhält maßgeschneiderte Werbung.
  • Die Logindaten eines Nutzers werden gespeichert, um diese bei einem erneuten Besuch nicht wieder eintragen zu müssen. So kann man sich beispielsweise einfacher wieder bei Facebook einloggen.
  • Bei einem Online-Shop werden die im Warenkorb abgelegten Produkte gespeichert.

Grundsätzlich gibt es verschiedene Arten von Cookies. Der wichtigste Unterschied ist, dass es technisch notwendige und technisch nicht notwendige Textdateien gibt. Diese beiden Varianten werden rechtlich unterschiedlich behandelt. Als technisch notwendig gelten Cookies, die für den Betrieb einer Webseite

unabdingbar sind. Als technisch nicht notwendig gelten Cookies, mit deren Zweck wirtschaftliche Interessen verfolgt werden. Dazu gehören beispielsweise:

  • Cookies aus Social-Media-Plugins (Twitter, Facebook, Google+, Instagram, Pinterest, LinkedIn)
  • Cookies aus Video-Embedding-Anwendungen, zum Beispiel Youtube
  • Cookies aus Affiliate-Diensten
  • Cookies aus Retargeting-Diensten
  • Cookies aus Remarketing-Diensten
  • Online-Kartendienste wie beispielsweise Google Maps
  • Cookies aus SZM (skalierbare zentrale Messverfahren)

Man kann bei Cookies noch eine weitere Unterscheidung vornehmen und diese in essenzielle, funktionale Cookies sowie Cookies für Marketingzwecke einteilen.

  • Bei den essenziellen Cookies handelt es sich um notwendige Cookies. Diese werden durch Tools implementiert, ohne die eine Website nicht problemlos funktionieren könnte. Hier kann es sich unter anderem um Warenkorb- und Session-Cookies handeln. Für diese Art von Cookies ist eine Einwilligung nicht zwingend erforderlich.
  • Funktionale Cookies arbeiten mit Tools, die nicht nur auf essenzielle Funktionen ausgerichtet sind. Diese Cookies dienen häufig der Analyse des Nutzerverhaltens. Google Analytics kann hier dazu gezählt werden. Werden diese Tools durch Drittanbieter eingebracht, ist eine Einwilligung notwendig.
  • Cookies, die dem Marketing dienen, werden immer dann eingesetzt, wenn es um Online-Werbung geht. Diese Tools speichern die Interessen der Webseitenbesucher, so dass Usern auf verschiedenen Webseiten maßgeschneiderte Werbung gezeigt werden kann. Facebook-Pixel, Google Remarketing und Google Adsense gehören zu diesen Tools. Wer diese Tools nutzen möchte, braucht immer eine Einwilligung vom Website-Besucher.

Cookie-Banner – technisch notwendige und technisch nicht notwendige Cookies

Lange galt, dass technisch notwendige Cookies ohne Einwilligung des Nutzers gesetzt werden konnten. Dagegen musste für das Setzen von Cookies, die technisch nicht notwendig waren, immer das Einverständnis des Nutzers eingeholt werden. Mittlerweile sieht das Gesetz deutlich strengere Regelungen vor. Wenn ein Cookie der DSGVO entsprechen soll, so muss der Nutzer fast immer seine Einwilligung geben. Das heißt, dass für fast alle zu setzenden Cookies eine Einwilligung abgegeben werden muss. Ein Cookie-Banner muss also nicht nur dann zur Verfügung stehen, wenn die Cookies für Werbezwecke eingesetzt werden, sondern auch, wenn Komfortfunktionen erfüllt werden sollen. Hat man beispielsweise auf einer Webseite Voreinstellungen und Präferenzen eingetragen, dann muss auch hier das Einverständnis eingeholt werden.

Wird die Spracheinstellung des Nutzers gespeichert, sollte das Cookie der DSGVO entsprechend gestaltet werden. Durch die gesetzlichen Regelungen soll sichergestellt werden, dass sowohl die personenbezogenen Daten des Nutzers geschützt werden als auch dessen Recht zur Selbstbestimmung gewahrt wird. Zwar wird nach wie vor zwischen dem Setzen von technisch notwendigen und technisch nicht notwendigen Cookies unterschieden, allerdings kann nicht immer zweifelsfrei zwischen diesen beiden Varianten unterschieden werden. Wer hier rechtskonform vorgehen möchte, sollte einen konservativen Weg gehen und Cookie-Banner mit transparenten Hinweisen zur Verwendung von Cookies nutzen. Auch bei Cookies, die der Speicherung von Präferenzen dienen, ist ein Cookie-Banner mit entsprechendem Cookie-Banner- Text sinnvoll.

Mit Sicherheit kann gesagt werden, dass für Cookies, die dem Marketing, dem Tracking, der Statistik oder der Analyse dienen, immer eine Einwilligungserklärung eingeholt werden sollte. Je nach Art der Cookies kommen Cookie-Banner oder Cookie-Consent-Banner in Frage. Grundsätzlich kann man sagen:

Sind Cookies aus technischer Sicht notwendig, reicht es aus, den Nutzer lediglich über das Setzen von

Cookies zu informieren. Das heißt, ein reines Cookie-Banner wäre hier möglich.
Ist für ein Cookie der DSGVO entsprechend eine Einwilligung des Nutzers notwendig, reicht ein Cookie-Banner nicht aus. Der Nutzer muss nicht nur über das Setzen von Cookies informiert werden. Es muss eine Einwilligung des Nutzers eingeholt werden. Einfache Cookie-Banner, die den Nutzer nur informieren, erfüllen diesen Zweck nicht. Hier muss ein Cookie-Consent-Banner zum Einsatz kommen.

Da die reine Information über das Setzen von Cookies nur noch selten ausreicht, wird man in den meisten Fällen auf ein Cookie-Consent-Banner zurückgreifen müssen.

Was sind Cookie-Banner?

Wenn ein Nutzer eine Website zum ersten Mal besucht, taucht in der Regel ein Cookie-Banner auf. In der Regel ist das Cookie-Banner unten auf der Webseite zu sehen. In manchen Fällen öffnet sich auch ein Pop- up-Fenster. Das Banner enthält einen Cookie-Banner Text, welcher den Nutzer über die auf der Webseite vorhandenen Cookies und Tracker informiert. Bei einem Cookie-Consent-Banner hat der Nutzer zudem die Möglichkeit, seine Einwilligung für die Nutzung von Cookies zu geben. Er kann der Verarbeitung personenbezogener Daten zustimmen oder diese ablehnen. Dank der Cookies können Internetnutzer bei einem erneuten Besuch wiedererkannt werden. Das heißt, wenn etwas im Warenkorb gespeichert wurde, steht dies beim nächsten Besuch noch zur Verfügung.

Wann immer der Nutzer individuelle Einstellungen vorgenommen hat, können Cookies dafür sorgen, dass diese Einstellungen bei einem erneuten Besuch der Webseite nicht noch einmal vorgenommen werden müssen. Für den technischen Betrieb einer Webseite sind Cookies notwendig. Es gibt jedoch auch nicht notwendige Cookies und hier muss der Nutzer die Möglichkeit haben, sich über diese zu informieren und in die Verarbeitung personenbezogener Daten einzuwilligen oder diese abzulehnen. Wichtig zu wissen ist, dass sich die DSGVO nicht nur auf den Einsatz von Cookies beschränkt, auch andere Technologien fallen darunter, wenn diese in irgendeiner Form der Verarbeitung personenbezogener Daten dienen. Die Bezeichnung „Cookie-Banner“ kann daher irreführend sein und ein einfaches Banner für Cookies reicht in vielen Fällen nicht aus, wenn man die Anforderungen der DSGVO erfüllen möchte.

Benötige ich ein Cookie-Banner für meine Webseite?

Wer eine Webseite betreibt und Besucher aus der EU (oder von außerhalb) hat, sollte ein entsprechendes Banner haben. Ein Cookie-Banner-Generator kann hier sehr hilfreich sein. Der Cookie-Banner-Generator sollte die Banner so gestalten, dass der Nutzer umfassend über die Cookies informiert wird und die Möglichkeit, hat eine Auswahl zu treffen. Zu diesem Zweck muss der Cookie-Banner-Generator alle Cookies scannen und entsprechend im Banner auflisten. Über den Cookie-Banner-Text werden die Nutzer über das Setzen von Cookies informiert und eine Zustimmung kann eingeholt werden. Studien haben gezeigt, dass vielen Betreibern von Webseiten gar nicht bewusst ist, dass die Daten ihrer Nutzer von Dritt- oder Viertparteien verarbeitet werden. So gibt es beispielsweise Trojaner, deren Existenz den Webseitenbetreibern oftmals gar nicht bekannt ist. Mit einem performanten Consent-Management-System können aber Seiten auf etwaige Cookies anderer Parteien gescannt werden. Wer die Daten seiner Nutzer schützen und sicherstellen möchte, dass sein Cookie-Banner der DSGVO entspricht, benötigt eine technisch ausgereifte und tiefgreifende Lösung. Nur so kann man sicherstellen, dass tatsächlich alle Cookies und Tracker auf der Webseite gefunden und kontrolliert werden können wie es auch von der DSGVO gefordert wird. Denn: Wer nicht die komplette Website technisch-funktional im Blick hat, kann auch den Datenschutz der Nutzer nicht gewährleisten. Ein Cookie-Banner-Generator, der ein den Bestimmungen der DSGVO entsprechendes Cookie-Banner ausspielen kann, ist daher für Website-Betreiber unbedingt notwendig.

Was muss man bei der praktischen Umsetzung von Cookie-Consent-Bannern beachten?

Aufgrund der rechtlichen Bestimmungen gibt es einige Regeln, die man bei der Umsetzung eines Cookie- Consent-Banners beachten sollte. Werden Cookie-Consent-Banner genutzt, sollten folgende Punkte

berücksichtigt werden:

  • Bevor einwilligungsbedürftige Cookies gesetzt werden, muss erst die Einwilligung eingeholt werden. Hier gibt es bei vielen Internet-Seiten noch Nachholbedarf. Es reicht nicht, einen korrekten Cookie- Banner-Text zu verwenden, wenn die technische Implementierung nicht korrekt abläuft.
  • Es ist nicht zulässig, automatisch von einer Einwilligung zur Verarbeitung personenbezogener Daten auszugehen, wenn der Nutzer auf der Webseite navigiert oder scrollt. Dies stellt keine rechtskonforme Einwilligung dar.
  • Der Nutzer muss darüber informiert werden, dass er das Recht hat, seine Einwilligung jederzeit zu widerrufen. Wird ein Cookie-Banner Generator eingesetzt, muss dieser das Banner so gestalten, dass ein Widerruf der Einwilligung ebenso einfach ist wie die Einwilligung.
  • Für alle Cookies, für die eine Einwilligung eingeholt wird, müssen im Banner selbst beziehungsweise in der Cookie-Richtlinie oder der Datenschutzerklärung aufgeführt werden. Der Nutzer muss darüber informiert werden, inwiefern eine Verarbeitung der Cookies stattfindet.
  • Für die Einwilligungserklärung ist ein Nachweis erforderlich. Dieser Nachweis erfolgt, indem ein notwendiges Cookie gesetzt wird. Der Nutzer muss auch über das Setzen dieses Cookies informiert werden.

Welchen Inhalt sollte ein Cookie-Banner enthalten?

Wenn es um den Cookie-Banner Text geht, dann gibt es bestimmte Regelungen. Um den rechtlichen Anforderungen zu entsprechen, muss ein Cookie-Banner Folgendes enthalten:

  • Aus dem Cookie-Banner-Text sollte ein erster Hinweis hervorgehen für welchen Zweck die Cookies eingesetzt werden.
  • Soll das Cookie-Banner der DSGVO entsprechen, muss es auch einen Hinweis gemäß der DSGVO auf das Widerrufsrecht geben.
  • Es muss einen Verweis auf die Datenschutzerklärung geben. In dieser müssen nähere Informationen zu finden sein. Die Datenschutzerklärung sollte mit einem Klick erreichbar sein. Auf dem Weg zur Datenschutzerklärung dürfen noch keine Cookies gesetzt werden, die technisch nicht notwendig sind.
  • Es muss ein Button für das Erteilen der Einwilligung verfügbar sein und es muss einen Button zum Verweigern der Einwilligung geben.
  • Der Nutzer muss eine Auswahlmöglichkeit haben und den Zweck der Cookies, in welche er einwilligen soll, kennen. Die Auswahlkästchen dürfen nicht vorausgefüllt sein, der Nutzer muss selbst ankreuzen.

Cookie-Banner einsetzen – was hat die DSGVO damit zu tun?

Cookies können, je nach Einsatz und Zweck, der Speicherung, Analyse und Weiterverarbeitung personenbezogener Daten dienen. Die gesammelten Daten können auch an Dritte weitergeleitet werden. Aus diesem Grund ist der Einsatz von Cookies umstritten. Wer eine Webseite betreibt, sollte daher Begriffe wie „Cookie-Hinweis“ und „Cookie-Richtlinie“ kennen. Seit dem 25. Mai 2018 gilt die DSGVO. Die
europäische Datenschutzgrundverordnung kommt immer dann ins Spiel, wenn es um die Verarbeitung personenbezogener Daten geht. Seit Mai 2018 müssen Online-Händler und Webseitenbetreiber einen Cookie- Hinweis mit der Möglichkeit zum Widerspruch auf ihrer Webseite implementieren. Allerdings sagt die DSGVO wenig darüber aus, wie mit Cookie-Hinweisen umzugehen ist. Die DSGVO wirkt sich vielmehr auf die Datenschutzerklärung einer Webseite aus. Für die korrekte Handhabung von Cookies sollte die europäische ePrivacy-Verordnung auf den Weg gebracht werden. Diese sollte im Grunde parallel zur DSGVO eingeführt werden. Allerdings wurde die ePrivacy-Verordnung immer wieder verschoben, so dass diese bis heute (Stand März 2021) noch nicht in Kraft getreten ist.

Cookie-Banner Pflicht – was gilt für meine Webseite?

Webseitenbetreiber und Online-Händler fragen sich zu Recht, was das für den eigenen Onlineauftritt

bedeutet. Die Rechtslage scheint bislang nicht ganz eindeutig zu sein. Die DSGVO gibt Hinweise zur Datenschutzerklärung, die ePrivacy-Verordnung steht noch aus. Wie sollen sich Webseitenbetreiber und Online-Händler verhalten? Im Idealfall sollte man – trotz der nach wie vor uneinheitlichen Rechtslage – das Cookie-Banner als Pflicht betrachten. Dabei sollte das Cookie-Banner so gestaltet werden, dass der Nutzer aktiv werden und selbst entscheiden muss, welche Cookies er akzeptieren möchte und welche nicht. Die im Telemediengesetz (TMG) verankerte Widerspruchslösung greift hier nicht weit genug und es kann rechtlich riskant sein, sich allein darauf zu verlassen. Wer das Cookie-Banner als Pflicht betrachten und auf der sicheren Seite sein möchte, sollte die Nutzer der Webseite darüber informieren, welche Cookies eingesetzt werden. Zudem sollte der Nutzer die Möglichkeit haben, sich aktiv für die Verarbeitung der Daten zu entscheiden. An diese Regeln sollten sich alle Webseitenbetreiber halten, auch wenn es sich um vermeintlich private Webseiten oder die Webseite des Sportvereins handelt. Wer einen Cookie-Banner-Provider nutzt, sollte darauf achten, dass:

  • Die Zustimmung des Nutzers direkt beim Aufruf der Seite eingeholt wird. Dies sollte geschehen, bevor Cookies gesetzt werden. Technisch notwendige Cookies können hier eine Ausnahme sein.
  • Es reicht nicht aus, wenn der Cookie-Banner-Text nur aus einem einfachen Hinweis besteht, und dieser direkt nach einem Klick auf die Seite verschwindet oder einfach ausgeblendet werden kann.

Das Kreuzchen für die Zustimmung darf nicht schon vorab gesetzt werden

Im Idealfall sollte auf manipulative Cookie-Banner verzichtet werden. Das heißt, es sollten nicht mehr Klicks für das Abwählen der Cookies als für deren Annahme notwendig sein. Der Button für das Annehmen sollte zudem nicht präsenter sein als der Button für die Ablehnung. Es ist zwar nicht verboten, Cookie- Banner so zu gestalten, aber es wird durchaus kritisch gesehen. Kritisch betrachtet werden auch sogenannte Cookie-Walls. Eine Cookie-Wall ist so gestaltet, dass der Nutzer gar nicht erst auf die Webseite kommt, wenn er der Verwendung von Cookies nicht zustimmt. Der Europäische Datenschutzausschuss (EDSA) sieht es jedoch so, dass ein Webseitenbesucher die Möglichkeit zum Besuch einer Webseite auch dann haben muss, wenn er technisch nicht unbedingt erforderliche Cookies ablehnt.

Was gehört alles in die Datenschutzerklärung?

Unabhängig davon, ob Online-Händler und Webseitenbetreiber ein Cookie-Banner einsetzen, müssen sie in der Datenschutzerklärung auf die Verarbeitung personenbezogener Daten hinweisen. Unter anderem sollte die Datenschutzerklärung die Nutzer über Art und Zweck der eingesetzten Cookies informieren. Der Nutzer sollte erfahren:

  • Welche Art von Daten mittels Cookies gesammelt werden.
  • Für welchen Zweck die personenbezogenen Daten genutzt werden.
  • Wie lange die Daten gespeichert werden.
  • Ob und an wen die Daten weitergegeben werden.
  • Ob und wie man die Einwilligung zur Verarbeitung personenbezogener Daten zurücknehmen kann.

Cookie-Banner-Tools für eine rechtskonforme Gestaltung

Cookie-Banner der DSGVO entsprechend zu gestalten, ist nicht immer so einfach. Damit das Cookie-Banner beziehungsweise das Cookie-Consent-Banner rechtskonform gestaltet ist, empfiehlt es sich, entsprechende Cookie-Banner-Tools zu nutzen. Bei einem Consent Management Provider (CMP) handelt es sich um ein Cookie-Banner-Tool, welches die Gestaltung und Bereitstellung des Cookie-Consent-Banners übernimmt. Grundsätzlich sollte jeder Online-Händler und jeder Webseitenbetreiber ein arriviertes Cookie-Banner-Tool etwa von Anbietern wie Consentmanager nutzen. Es gibt sowohl kostenlose als auch kostenpflichtige Cookie-Banner-Tools. In der Regel bietet ein kostenpflichtiges Cookie-Banner-Tool mehr Funktionen. Zu diesen zusätzlichen Funktionen kann beispielsweise die Anpassung der Cookie-Hinweise an eine bestimmte Sprache gehören. Soll das Cookie-Banner auch zum Design der Webseite passen, ist ein kostenpflichtiges Cookie-Banner-Tool ebenfalls sinnvoll. Wer sein Banner individuell anpassen und

Zusatzleistungen nutzen möchte, ist mit kostenpflichtigen Lösungen bestens beraten. Wer neben seiner Webseite auch noch eine App anbietet, benötigt auch hierfür eine passende Lösung.

Der Einsatz einer Consent-Management-Lösung, die die Webseite scannt, um alle Cookies zu finden und den Nutzern zu ermöglichen, ihre Zustimmung zu jedem Cookie zu geben, ist eine zuverlässige und sichere Methode, um den eigenen Internetauftritt den Anforderungen der DSGVO entsprechend zu gestalten.

Welche Vorteile bietet ein Consent-Management-Tool?

Die DSGVO gilt für alle Online-Händler und Webseiten-Betreiber. Auch wenn manche Betreiber von Webseiten noch zögern und sich fragen, ob ein DSGVO-konformer Cookie-Hinweis denn wirklich sein muss, kommt daran heute eigentlich niemand mehr vorbei. Bei Nichteinhaltung der gesetzlichen Regelungen können hohe Geldstrafen auf die Webseitenbetreiber zukommen. Gerade das Thema IT ist für viele Unternehmer ein Problem. Man kennt sich zu wenig aus mit dem Thema, investiert viel Zeit und ist sich am Ende doch nicht sicher, ob der Cookie-Hinweis DSGVO-konform ist. Hier kommt ein Consent-Management- Tool wie das von Consentmanager.de genau richtig. Mit dieser Lösung können sich Webseitenbetreiber sicher sein, der Datenschutzgrundverordnung der EU Rechnung zu tragen. Mit einem Tool wie es von consentmanager.de angeboten wird, können Cookie-Consent-Banner schnell und unkompliziert zur
eigenen Webseite hinzugefügt werden. Ein DSGVO-konformer Banner schützt die Webseitenbesucher und bietet gleichzeitig Schutz vor Klagen. Zudem können sich Werbepartner sicher fühlen und werden eher investieren, wenn sie sich auf der sicheren Seite wissen.

Fazit

Sie haben einen Online-Shop oder eine Webseite und möchten Ihren Internetauftritt den Anforderungen der DSGVO entsprechend gestalten? Sie möchten vor Abmahnungen geschützt sein? Dann gehört das Thema „Cookies“ unbedingt auf Ihre To-do-Liste. Wer den Besuchern seiner Webseite nicht die Möglichkeit gibt, in die Verarbeitung personenbezogener Daten einzuwilligen, riskiert, dass er abgemahnt wird. Mit einer Abmahnung können zudem hohe Kosten verbunden sein. Möchten Sie auf Ihrer Webseite also Cookies verwenden, dann sorgen Sie mit einem entsprechenden Consent-Banner beziehungsweise einem Cookie- Consent-Tool dafür, dass die Vorgaben effizient und gleichzeitig rechtskonform umgesetzt werden. Die Richtlinien für den Umgang mit Cookies sind vergleichsweise neu, weshalb es an Erfahrungen, Präzedenzfällen und eindeutigen Regelungen fehlt. Mit dem Consent-Management-Tool von Consentmanager.de gehen Webseitenbetreiber auf Nummer sicher. Unser Consent-Management-Tool ist einfach zu handhaben und lässt sich problemlos in Webseiten einbinden. So können Sie sicher sein, dass die Nutzer zum einen gut über die Verwendung von Cookies informiert sind. Und zum anderen wird die Einwilligung für die Verwendung rechtskonform eingeholt.

CMP

Nicht sicher ob Sie ein CMP brauchen?

Wenn Sie sich nicht sicher sind, ob Sie ein CMP brauchen oder nicht, treten Sie gern in Kontakt mit uns – wir werden Ihnen helfen die richtige Lösung für Ihr Unternehmen zu finden!

In Kontakt treten