180 Grad Datenschutz Logo180 Grad Datenschutz Logo weiß
Kontakt

Cookie-Consent-Banner DSGVO-konform gestalten

Allgemein

Mit der DSGVO wurde die Verarbeitung personenbezogener Daten als Verbot mit Erlaubnisvorbehalt ausgestaltet, das bedeutet eine Verarbeitung ist grundsätzlich verboten, es sei denn, die Voraussetzungen bestimmter Erlaubnistatbestände sind erfüllt.  Um das auch auf einer Webseite gesetzeskonform umzusetzen, gibt es den sogenannten Cookie-Consent-Banner, bei dem der Nutzer direkt auf der Seite auswählen kann, welche Daten bei seinem Website-Besuch verarbeitet werden dürfen. Dabei sind die unterschiedlichen gesetzlichen Anforderungen genau zu beachten. Klassische Cookie-Banner können das nicht mehr gewährleisten. Wie also kann man den Cookie-Consent-Banner DSGVO-konform umsetzen?

Des Cookie-Banners Sinn und Zweck

Mit Cookies werden beispielsweise Informationen gesammelt, die notwendig sind, um eine Webseite richtig darstellen zu können. Sie werden als kleine Textdatei direkt auf dem Endgerät des Nutzers gespeichert, egal ob Desktop-PC, Smartphone oder Tablet. Greift der Nutzer wiederholt auf die Seite zu, greift die Cookie-Textdatei und spielt die Seite schneller aus. Es gibt aber noch weitere Arten von Cookies, beispielsweise um das Verhalten eines Besuchers auf der Webseite zu analysieren. Dazu aber gleich noch mehr. Cookie-Banner öffnen sich inzwischen auf nahezu jeder Webseite als kleines Pop-up-Fenster, wenn die Seite erstmalig geöffnet wird. Der Banner dient dazu, den Nutzer darüber zu informieren, dass notwendige Cookies gesetzt werden und räumt ihm die Möglichkeit ein, weitere, nicht notwendige Cookies z.B. zu Performance- oder Analysezwecken zuzulassen.

Was ist ein Consent-Banner?

Nutzer einer Webseite erwarten inzwischen, dass der Betreiber alles dafür tut, damit die eigenen Daten und damit die Privatsphäre geschützt werden. Mit dem Cookie-Consent-Banner gehen Webseitenbetreiber unter rechtlichen Vorgaben einen weiteren Schritt auf den Nutzer zu und ermöglichen ihm genau festzulegen, welche Cookies er setzen lassen möchte. Ein Consent-Banner ist in der Regel ein eigenes HTML-Element, das eine Übersicht aller erhobenen Cookies anzeigt und mit Auswahltools ermöglicht, sich ausschließlich für explizite Cookies zu entscheiden. Der Cookie-Consent-Banner erscheint beim ersten Besuch der Webseite als erstes Element und blockiert alle weiteren Skripte so lange, bis der Nutzer selbst gewählt hat, ob und welche Dienste er erlauben möchte. Mit dem Consent-Banner erhält der Besucher der Seite also die Möglichkeit eines Opt-Ins, also der selbstbestimmten und aktiven Einwilligung. Das kann über Häkchen, Schieberegler, Schaltflächen oder viele weitere Varianten realisiert werden. Erst wenn der Nutzer sein Einverständnis bestätigt, wird der Consent-Banner geschlossen und die Seite kann ganz normal genutzt werden.

Ein informierender Cookie-Banner reicht nicht mehr aus

Der Cookie-Consent-Banner ist eine Ausweitung des rein informierenden Banners, der anzeigt, dass Cookies erhoben werden, aber keine aktive Einwilligung oder Ablehnung zulässt. Der bislang häufig verwendete informierende Cookie-Banner geht damit von einer impliziten Einwilligung aus und verzichtet auf zusätzliche Auswahloptionen. Wer seine Einwilligung widerrufen möchte, also ein Opt-Out machen möchte, muss zunächst in der Datenschutzerklärung nachvollziehen, wie der das erledigen kann. Dieses aktive Austragen ist jedoch nicht mehr rechtlich vertretbar. Weshalb mit dem Consent-Banner ein aktives Eintragen, also ein aktiver Opt-In, erfolgen muss. Erst nachdem der Nutzer aktiv zugestimmt hat, dürfen nicht notwendige Cookies gesetzt werden.

Einwilligungsmanagement für mehr Datenschutz

Mit dem Cookie-Consent-Banner gewährleisten Websitebetreiber ein proaktives und dadurch DSGVO-konformes Einwilligungsmanagement. In diesem Sinne muss die Einwilligung so einige Merkmale erfüllen, um rechtskräftig zu sein. Währenddessen steht immer der Nutzer im Fokus, weshalb der Banner so nutzerfreundlich, einfach und intuitiv wie möglich gestaltet sein soll. Wichtige Kriterien hierbei sind

  • Icon Pfeil rund
    die frühzeitige und freiwillige Einwilligung
  • Icon Pfeil rund
    die rechtzeitige Einwilligung
  • Icon Pfeil rund
    die rechtssichere Dokumentation der Einwilligung
  • Icon Pfeil rund
    ein informierter Consent
  • Icon Pfeil rund
    ein expliziter und gut verständlicher Consent
  • Icon Pfeil rund
    ein granularer Consent

Doch auch wenn alle diese Merkmale erfüllt sind und der Besucher auf der Seite seine Einwilligung zum Setzen von Cookies erteilt hat, muss zu jeder Zeit gegeben sein, dass die Einwilligung zurückgenommen werden kann. Dafür sollte ein klarer Prozess festgelegt werden, den der Nutzer in der Datenschutzerklärung der Seite nachvollziehen kann.

Einwilligung einholen mit Cookie-Consent-Banner

Datenschutz-Bestandsaufnahme

Kategorien von Cookies

Cookies ermöglichen fantastische Dinge und helfen im Online-Marketing maßgeblich dabei, den Webauftritt noch besser auf den Kunden zu optimieren. Doch als Laie weiß man häufig gar nicht, was eigentlich dahintersteckt. Ein Kriterium ist deshalb die ausführliche Information darüber, welche Cookies welchen Zweck haben und was dafür an Nutzerdaten benötigt wird.

Technisch-notwendig

Diese Art von Cookies sind dazu da, sicherzustellen, dass die Webseite auch funktioniert und korrekt beim Besucher ausgespielt wird. Diese sogenannten First Party-Cookies sind damit unerlässlich, die Informationen werden jedoch ausschließlich an die Webseite gesendet.

Diese Art von Cookie kann man im Rahmen der aktiven Einwilligung nicht einfach ausblenden, deshalb sind die technisch-notwendigen Cookies oftmals ausgegraut im Consent-Banner. Die Einwilligung hierzu ist deshalb auch nicht explizit nötig. Das ist deshalb möglich, da das Setzen der technisch notwendigen Cookies immer auf ein berechtigtes Interesse des Webseitenbetreibers gestützt werden kann.

Funktional

Eine weitere Kategorie sind die funktionalen Cookies, die eine verbesserte Websitenutzung sicherstellen sollen. Dazu zählen auch personalisierbare Funktionen, wie etwa das Speichern der Sprachauswahl oder eines Benutzernamens in einem Formular. Funktionale Cookies können Informationen jedoch ausschließlich anonym verarbeiten. Diese Kategorie von Cookies ist nicht zwingend erforderlich, jedoch ermöglichen sie eine verbesserte Usability beim Nutzer.

Leistung und Performance

Mit den Leistungs- und Performance-Cookies wird das Nutzerverhalten eines Besuchers auf der Webseite festgehalten. Die Cookies sammeln Informationen darüber, wie sich ein User auf der Seite verhält, welche Unterseiten er aufruft, ob er Fehlermeldungen erhält und welche Ladezeiten bei ihm benötigt werden.

Marketing und Third Party

Marketing-Cookies, Werbe-Cookies, Targeting-Cookies oder Third Party-Cookies sind nun explizit da, um das Verhalten eines Besuchers zu analysieren und darauf basierend beispielsweise personalisierte Werbung auszuspielen. Hierbei werden explizit Informationen über den Nutzer gesammelt, um Werbemaßnahmen so gut wie möglich auf den Besucher abzustimmen und so sein Interesse oder seine Kaufkraft zu steigern.

Der perfekte Cookie-Consent-Banner

Wir stellen fest, dass sehr viele Anforderung an so einen Cookie-Banner gestellt werden, damit er rechtssicher, zielgruppenorientiert, verständlich, wertschöpfend und trotzdem nicht abschreckend wirkt. Wie gestaltet man einen solchen Banner also richtig? Was muss der perfekte Cookie-Banner haben?

Die Lösung liegt auf der Hand: Ein grafisch und inhaltlich frei gestaltbarer Banner. Durch die freie Gestaltung kann man dieses notwendige Tool komplett an sein eigenes CI anpassen und damit einem einheitlichen Auftreten gerecht werden. Funktional sollte ein Cookie-Banner möglichst detaillierte Ergebnisse dazu liefern, wie viele Nutzer in welche Cookies eingewilligt oder sie abgelehnt haben.

Was ein Cookie-Consent-Banner alles enthalten sollte

Inhaltlich orientieren sich die Banner am besten an genau den oben genannten Anforderungen und Kriterien, denn nur, wenn das Banner diese inhaltlich erfüllt, kann es rechtssicher genutzt werden. Daher sollten folgende Informationen mit dem Banner ausgeliefert werden:

  • Zweck und Einsatzweise der Cookies
  • Vollständige Auflistung aller Cookies mit Auswahlmöglichkeiten
  • Wiederrufsmöglichkeit nach Art. 7 DSGVO
  • Hinweis auf weitere Informationsmöglichkeiten mit Link auf die Datenschutzerklärung
    • Wichtig: Beim Anklicken des Links dürfen nach wie vor noch keine Cookies gesetzt werden, da die Einwilligung damit noch nicht vorliegt und der Nutzer sich erst weiter informieren möchte.
  • Button, um die Cookie-Auswahl zu akzeptieren
  • Button, um die Cookie-Auswahl abzulehnen

Alle weiteren Inhalte liegen im Ermessen des Betreibers, jedoch ist der allgemeine Konsens, dass in diesem Fall weniger auch mehr ist, um den Nutzer nicht zusätzlich unnötig zu verwirren.

Icon Info

Aktueller Stand

Zum Thema Cookie-Banner sind zum jetzigen Zeitpunkt noch einige Unklarheiten im Umlauf, weshalb keine der oben gemachten Angaben auf eine rechtlich bindende Basis zurückzuführen sind. Derzeit sagt das EuGH-Urteil nicht abschließend,  dass der Einsatz von Consent-Tools verpflichtend ist und ob Tracking ausschließlich mit Einwilligung stattfinden kann.

Folgende Fragestellungen sind hierfür derzeit noch in der Klärung:

  • Handelt es sich um eine wirksame Einwilligung im Sinne von Art. 5 Abs. 3 der „ePrivacy-Richtlinie“ (ePrivacy-RL), wenn die Speicherung von Informationen (durch z.B. Cookies) oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers gespeichert sind, durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss?
  • Macht es dabei einen Unterschied, ob es sich bei den gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt?
  • Liegt eine wirksame Einwilligung im Sinn der Datenschutz-Grundverordnung (DSGVO) vor, wenn – wie in Frage 1 beschrieben – mit einer vorangehakten Checkbox gearbeitet wird?
  • Welche Informationen hat ein Anbieter einer Internetseite nach Art. 5 Abs. 3 ePrivacy-RL dem Nutzer zu erteilen? Zählen hierzu auch die Funktionsdauer der Cookies und die Frage, ob Dritte auf die Cookies Zugriff erhalten?

Eine rechtskräftige Entscheidung des Bundesgerichtshof wird erst am 28. Mai 2020 unter Berücksichtigung des EuGH-Urteils erwartet. Mit Consent-Managern wurde sich im Rahmen des EuGH-Urteils also nicht beschäftigt. Dennoch ist dies eine einfache und sinnvolle Variante, um die Vorgaben umzusetzen.

Icon Info

Kurz und knapp

Mit dem Cookie-Banner verlangen die Datenschutzgesetze nach der Option, dass Nutzer selbstbestimmt wählen, welche Cookies bei ihrem Besuch auf einer Webseite erfasst werden. Neben den existenziellen Cookies, die dazu dienen die Webseite ordnungsgemäß darstellen zu können, gibt es auch funktionale und analytische Cookies, die dem Webseitenbetreiber dabei helfen, sein Angebot besser auf den Nutzer abzustimmen. Für die DSGVO-konforme Gestaltung des Cookie-Consent-Banners ist der Betreiber der Seite verantwortlich.

Datenschutz-Schulung

Tauschen Sie sich mit uns aus!

Haben wir Ihr Interesse an Themen rund um Datenschutz und DSGVO geweckt? Können wir Ihnen bei offenen Fragen weiterhelfen? Dann melden Sie sich bei uns – Wir freuen uns auf den Austausch mit Ihnen!

Vorheriger Beitrag
Videokonferenzen und der Datenschutz
Nächster Beitrag
DSGVO-konforme Webseite: Das müssen Betreiber beachten

Ähnliche Beiträge