Am Cookie Banner entscheiden die Besucher einer Webseite selbst über den Einsatz von Cookies und die Verwendung der persönlichen Daten. Der Text muss dabei rechtskonform formuliert sein und das Banner sichtbar und korrekt in die Seite eingebunden werden. Was es dabei zu beachten gibt und wer kein Cookie Banner braucht, erklären wir dir im folgenden Ratgeber genauer.
- Sobald eine Webseite mit technisch nicht notwendigen Cookies arbeitet und personenbezogene Daten speichern möchte, muss ein Cookie Banner eingeblendet werden. Die rechtlichen Bestimmungen zum Datenschutz sind einzuhalten.
- Die Nutzer können nun selbst bestimmen, welche Cookies erlaubt sind und welche Daten vom Betreiber gespeichert oder sogar an Dritte weitergegeben werden dürfen. Nur bei technisch notwendigen Cookies ist keine Zustimmung erforderlich.
- Ein Cookie Banner muss rechtskonform geschrieben und eingeblendet werden. Die Praxis zeigt oft das Gegenteil. Manche Webseitenbetreiber nutzen Dark Patterns und geben dem Besucher optisch eine Zustimmung vor.
Ein Cookie Banner informiert den Nutzer beim ersten Besuch einer Webseite, welche Cookies verwendet und welche personenbezogenen Daten gespeichert werden. Hier gibt es den Unterschied zwischen den technisch notwendigen Cookies, die für die Funktionalität der Webseite sorgen. Eine aktive Zustimmung ist in dem Fall nicht erforderlich. Mit Einführung der Datenschutzgrundverordnung (DSGVO) reicht aber die reine Information über den Einsatz von Cookies nicht aus. Der Besucher muss der Verwendung aktiv durch einen Klick zustimmen. Dabei kann er selbst festlegen, welche Daten die Betreiber sammeln und speichern dürfen. Schließlich handelt es sich um personenbezogene Daten, über die der Nutzer selbst bestimmen soll.
Auf den meisten Webseiten sind ausführliche Informationen und Hinweise zu den Cookies im Banner vorhanden. Hier kann genau eingestellt werden, welche Cookies vom Nutzer erlaubt sind und welche nicht. Vor der Zustimmung ist ein Speichern der Daten nicht erlaubt. Die Webseite darf zwar angezeigt werden, aber keine entsprechenden Cookies hinterlegen. Die genauen Unterschiede bei den Cookies, den Aufbau des Banners und die Platzierung besprechen wir in den folgenden Abschnitten etwas genauer.
Fast jede Webseite nutzt Cookies, aber nicht jede davon benötigt ein entsprechendes Banner. Hier kommt es ganz klar auf die Art der gesetzten Cookies an und welche Daten genau gespeichert und gesammelt werden. Sobald es sich um personenbezogene Daten handelt, ist das Cookie-Banner Pflicht und die Zustimmung des Besuchers muss eingeholt werden. Dies gilt auch für verschiedene Analysen, die Betreiber oft durchführen, um ihre Webseite zu verbessern. Sind nur technisch notwendige Cookies eingebunden, die für Funktionalität und Komfort stehen, schreibt die DSGVO kein Banner sowie keine Einwilligungspflicht vor. Hier sind die Unterschiede genauer erklärt:
- Cookies, die Zustimmung benötigen: Hier handelt es sich um die technisch notwendigen Cookies. Sie werden für die Funktionalität einer Webseite eingebunden und sind vor allem im Onlineshopping wichtig. Die Seite merkt sich den Warenkorb und die Benutzerdaten. Nach dem Schließen des Browsers sind sie meist wieder gelöscht. Ohne die Cookies könnte die Webseite nicht so komfortabel genutzt werden.
- Cookies, für die eine Zustimmung Pflicht ist: Hier gehören alle technisch nicht notwendigen Cookies dazu. Sie werden zu Zwecken des Marketings eingesetzt, übernehmen die Analyse oder sind für das Tracking zuständig. Es werden personenbezogene Daten gespeichert, wie beispielsweise die IP-Adresse. Außerdem wird das Surfverhalten der Nutzer genauer analysiert und für Werbezwecke ausgenutzt. Du bekommst dann auf Basis deiner Interessen entsprechende Werbeanzeigen.
Die Richtlinien der Datenschutzgrundverordnung müssen im Cookies Banner umgesetzt werden. Auf vielen Webseiten geschieht dies jedoch mangelhaft oder gar manipulativ dem Nutzer gegenüber. Verschiedene Verbraucherdienste und Experten führen regelmäßig Kontrollen bezüglich der Banner durch. Wird dem Besucher keine Wahl gelassen, wird er nicht ausreichend informiert oder sind bereits Häkchen gesetzt, dann sind diese Banner nicht rechtskonform.
Ein anderer Punkt ist das manipulative Design. Hier befinden sich die Webseitenbetreiber in einer Grauzone. Über abgedunkelte Schaltflächen oder andere Design-Optionen werden die Nutzer dazu gebracht, die Zustimmung zu geben oder unbedacht anzuklicken. Verbraucherschützer sind sich in diesem Punkt noch uneinig. Die Rede ist von sogenannten Dark Patterns.
🌑 Dark Patterns
Viele Webseiten nutzen sogenannte Dark Patterns bei der Gestaltung der Cookie Banner. Dabei sind die Anzeigen von der Farbe oder Aufteilung so strukturiert, dass der Nutzer alle Cookies akzeptiert, als diese abzulehnen. Der Grund: die Zustimmung ist viel leichter und meist durch einen Klick zu erreichen. Das Ablehnen dauert länger.
Rein rechtlich befinden sich diese Cookie Banner in einer Grauzone. Das manipulative Design ist meist nicht zulässig, für Webseiten-Betreiber aber sehr verlockend. Immerhin wollen sie möglichst viele Daten der Kunden speichern, um beispielsweise den Erfolg der eigenen Seite oder die Reichweite einer Werbekampagne zu messen. Oftmals werden die Cookies dazu verwendet, das eigene Angebot noch zu optimieren.
Für den Besucher einer Seite muss es aber genauso einfach gestaltet sein, die Cookies abzulehnen, als diese anzunehmen. Ein manipulatives Design zeigt beispielsweise einen größeren oder farblich abgesetzten Button zum Akzeptieren. Wer sich die Auswahl nicht genau durchliest oder die Banner zu schnell wegklickt, stimmt vielleicht unbeabsichtigt der Datenspeicherung zu.
Rein rechtlich muss die Ablehnung der Cookies ebenso leicht und mit genau so vielen Klicks zu erreichen sein, wie die Zustimmung. Eine präzise Auswahl ist notwendig mit einem eindeutigen Effekt. Das kann zum Beispiel eine Schaltfläche sein, über die du entweder alle Cookies akzeptierst, oder nur den technisch relevanten Cookies zustimmst.
Die technisch nicht notwendigen Cookies verfolgen viele verschiedene Zwecke. Unternehmen nutzen sie in erster Linie, um die eigene Seite zu optimieren, den Besucherstrom zu messen und die Aktionen der Nutzer auf der Seite zu verfolgen. So lässt sich schnell feststellen, ob die Menüführung intuitiv gestaltet ist oder wo die Kunden vielleicht vorzeitig abspringen.
Neben der Analyse werden die Cookies aber auch zu Werbezwecken und zum Marketing genutzt. Sie speichern Interessen und das Surfverhalten der Kunden. Dabei könnten die Daten sogar an Dritte weitergegeben und in sogenannten Werbenetzwerken genutzt werden. Manchmal ist es schwierig nachzuvollziehen, welche Daten überhaupt gespeichert werden, wie lange diese gespeichert werden und was mit ihnen geschieht.
Ein Blick in die Datenschutzerklärung sollte allerdings weiterhelfen. Sie gehört neben dem Cookie-Banner auch zu den rechtlichen Bestimmungen. Hier muss dem Besucher der Webseite genau erklärt werden, welche Daten abgespeichert werden, wie lange und wofür. Außerdem ist zu lesen, wie bereits gespeicherte Daten auch wieder gelöscht werden können. Das funktioniert am besten in den Einstellungen des Browsers unter „Cookies löschen“.
📋 Zusammengefasst: darauf sollten Webseitenbetreiber achten
- Beim Erstellen der Webseite ist bereits zu prüfen, welche Cookies überhaupt eingebunden werden und wichtig sind. Handelt es sich nur um technisch notwendige Cookies, ist eine Einwilligung der Besucher nötig. Hier ist kein Cookie Banner erforderlich.
- Kommen Tracking-Cookies oder ähnliche technisch nicht notwendige Cookies zum Einsatz, müssen die Besucher über ein Banner darüber informiert werden und aktiv zustimmen oder ablehnen können. Die Entscheidung obliegt dem Nutzer und sollte nicht über ein Design manipuliert werden. Das gilt auch für Analyse-Cookies, Social Media Cookies (z.B. Facebook) oder zum Einbinden von Videos. Es darf keine Vorauswahl stattfinden.
- Sobald eine Einwilligung für das Verwenden von Cookies erforderlich ist, dann darf die Erfassung der Daten erst nach der Zustimmung erfolgen und nicht bereits beim Betreten der Seite. Es muss sich um eine aktive Zustimmung handeln, die über eine Schaltfläche auszuwählen ist. Die inhaltliche Information bringt also nichts, wenn die technische Umsetzung nicht passt.
- Die Webseite kann für den Besucher trotzdem sein. Das Navigieren oder Scrollen stellt jedoch keine rechtskonforme Zustimmung dar. Erst mit dem aktiven Klicken auf die Einwilligung ist diese gültig und die Cookies dürfen gesetzt werden.
- Ein notwendiges Cookie muss für den Nachweis über die Einwilligung oder Ablehnung gesetzt werden. Auch über diesen Vorgang ist der Besucher der Seite zu informieren.
📍 Die Position ist frei wählbar
Die Position des Cookie Banners ist nahezu frei wählbar. Beim ersten Besuch der Webseite muss das Banner sofort sichtbar sein und die nötige Auswahl ermöglichen. Vorher dürfen keine entsprechenden Cookies gesetzt oder Daten gespeichert werden. Impressum, AGB und Datenschutzerklärung einer Webseite sollten aber einsehbar sein. Das heißt: ein Cookie Banner darf diese Elemente im Menü oder Footer nicht verdecken. Sollte das trotzdem der Fall sein, muss eine Verlinkung im Banner bestehen. Nutzer erreichen also mit einem Klick alle wichtigen Pflichtinformationen der Seite. Viele Betreiber lassen die Einblendung von der Kopf- oder Fußzeile her aufploppen. Andere nutzen das Banner direkt mittig auf der Seite, sodass die Auswahl sofort ins Auge sticht.
Ein Cookie Banner muss nicht nur mit den Schaltflächen optisch gut aufgebaut, sondern auch inhaltlich transparent gestaltet werden. Betreiber informieren, welche Cookies auf ihrer Seite zum Einsatz kommen und bitten den Besucher nach seiner Zustimmung. Die Entscheidung selbst obliegt dem Nutzer selbst und wird bestenfalls nicht über notwendige Klicks oder große Schaltflächen beeinflusst. Zum Inhalt gehört außerdem:
- Es sollte einen Link oder Hinweis zur Datenschutzerklärung geben. Hier lesen die Kunden im Detail nach, welche Cookies verwendet werden und zu welchem Zweck. So bleibt häufig die IP-Adresse zu Marketingzwecken gespeichert.
- Im Banner ist auch zu erwähnen, wenn andere Dienstleister die Cookies setzen oder verarbeiten. Das betrifft beispielsweise beim Einsatz von Google Analytics, Social Media oder Zahlungsdienste.
- Bestenfalls gibt es einen Button für die Ablehnung und einen für die Einwilligung. Dabei kann auch zwischen einzelnen Cookies und deren Zweck ausgewählt werden. Die Kästchen dürfen aber nicht vorausgefüllt sein. Der Besucher muss die Cookies selbst aktivieren und dann einwilligen.
⏰ Wichtig: auf Aktualität achten
Cookie-Consent-Banner müssen stets aktuell bleiben. Manche Dienstleister ändern vielleicht ihre Arbeitsweise, was das Erheben von Daten und dessen Speicherung betrifft. Nutzt du die Cookies dieser Dienstleister, muss das Update auch in der Datenschutzerklärung bzw. im Banner ersichtlich sein. Nicht nur die Webseite, sondern auch das Cookie Banner ist deshalb regelmäßig anzupassen und auf den neusten Stand zu bringen.
📖 Die Verbindung zur DSGVO
Seit Mai 2018 gilt die DSGVO (europäische Datenschutzgrundverordnung). Sie beschäftigt sich mit dem Umgang und der digitalen Verarbeitung von personenbezogener Daten. Das betrifft sowohl Onlinehändler als auch Betreiber einer einfachen Internetseite. Laut DSGVO müssen die Besucher die Möglichkeit haben, die Verwendung von Cookies auf der Seite abzulehnen. Es sind jedoch keine konkreten Formulierungen in der Verordnung zu finden, was die Cookie-Banner oder Hinweise betrifft. In der DSGVO sind vielmehr Bestimmungen zur Datenschutzerklärung geregelt. Für die digitale Kommunikation und den Einsatz von Cookies wird in naher Zukunft auch die ePrivacy-Verordnung gültig sein.
Nicht nur ein Cookie-Banner weist auf die Verwendung und Speicherung von personenbezogener Daten hin. Das genaue Vorgehen muss in der Datenschutzerklärung der Webseite erläutert werden. Hier bekommt der Nutzer Informationen über die Art der gesetzten Cookies und über den Zweck. Deshalb sind folgende Punkte in der Datenschutzerklärung zu erwähnen:
- Welche Daten werden gesammelt?
- Für welchen Zweck werden sie gesammelt?
- Wie lange werden die Daten gespeichert?
- Werden die Daten an Dritte weitergegeben und wenn ja, an wen?
- Wie kann ich die Einwilligung wieder zurücknehmen?
Das Banner muss also rechtskonform gestaltet sein und sichtbar auf die Webseite eingebunden werden. Wer sich mit der Gesetzeslage nicht komplett auskennt oder Unsicherheiten zeigt, kann auf ein Cookie-Banner-Tool zurückgreifen. Es ist für die Gestaltung zuständig und stellt den fertigen Banner für die Seite bereit.
Es gibt einen großen Unterschied zwischen den kostenfreien und den kostenpflichtigen Tools. Dieser ist meist in der Auswahl an Funktionen begründet. So kann bei einem kostenpflichtigen Tool mehr angepasst oder auch die Sprache je nach Region verändert werden. Das Banner harmoniert dann mehr mit dem Design der Webseite. Auch in der mobilen Ansicht sollte alles zu lesen sein.
Zudem scannt ein Consent-Management-Tool die Website und erkennt die verwendeten Cookies. Das Banner wird entsprechend angepasst, ist stets aktuell und konform mit der DSGVO. Der Einsatz von Tools ist zumindest eine kostengünstigere Variante, als die Unterstützung eines Profis. Bei Missachtung der gesetzlichen Regeln und Anforderungen muss mit einer hohen Geldstrafe oder Klage gerechnet werden.