Mit der DSGVO wurde die Verarbeitung personenbezogener Daten als Verbot mit Erlaubnisvorbehalt ausgestaltet, das bedeutet eine Verarbeitung ist grundsätzlich verboten, es sei denn, die Voraussetzungen bestimmter Erlaubnistatbestände sind erfüllt. Um das auch auf einer Webseite gesetzeskonform umzusetzen, gibt es den sogenannten Cookie-Consent-Banner, bei dem der Nutzer direkt auf der Seite auswählen kann, welche Daten bei seinem Website-Besuch verarbeitet werden dürfen. Dabei sind die unterschiedlichen gesetzlichen Anforderungen genau zu beachten. Klassische Cookie-Banner können das nicht mehr gewährleisten. Wie also kann man den Cookie-Consent-Banner DSGVO-konform umsetzen?
Des Cookie-Banners Sinn und Zweck
Mit Cookies werden beispielsweise Informationen gesammelt, die notwendig sind, um eine Webseite richtig darstellen zu können. Sie werden als kleine Textdatei direkt auf dem Endgerät des Nutzers gespeichert, egal ob Desktop-PC, Smartphone oder Tablet. Greift der Nutzer wiederholt auf die Seite zu, greift die Cookie-Textdatei und spielt die Seite schneller aus. Es gibt aber noch weitere Arten von Cookies, beispielsweise um das Verhalten eines Besuchers auf der Webseite zu analysieren. Dazu aber gleich noch mehr. Cookie-Banner öffnen sich inzwischen auf nahezu jeder Webseite als kleines Pop-up-Fenster, wenn die Seite erstmalig geöffnet wird. Der Banner dient dazu, den Nutzer darüber zu informieren, dass notwendige Cookies gesetzt werden und räumt ihm die Möglichkeit ein, weitere, nicht notwendige Cookies z.B. zu Performance- oder Analysezwecken zuzulassen.
Was ist ein Consent-Banner?
Nutzer einer Webseite erwarten inzwischen, dass der Betreiber alles dafür tut, damit die eigenen Daten und damit die Privatsphäre geschützt werden. Mit dem Cookie-Consent-Banner gehen Webseitenbetreiber unter rechtlichen Vorgaben einen weiteren Schritt auf den Nutzer zu und ermöglichen ihm genau festzulegen, welche Cookies er setzen lassen möchte. Ein Consent-Banner ist in der Regel ein eigenes HTML-Element, das eine Übersicht aller erhobenen Cookies anzeigt und mit Auswahltools ermöglicht, sich ausschließlich für explizite Cookies zu entscheiden. Der Cookie-Consent-Banner erscheint beim ersten Besuch der Webseite als erstes Element und blockiert alle weiteren Skripte so lange, bis der Nutzer selbst gewählt hat, ob und welche Dienste er erlauben möchte. Mit dem Consent-Banner erhält der Besucher der Seite also die Möglichkeit eines Opt-Ins, also der selbstbestimmten und aktiven Einwilligung. Das kann über Häkchen, Schieberegler, Schaltflächen oder viele weitere Varianten realisiert werden. Erst wenn der Nutzer sein Einverständnis bestätigt, wird der Consent-Banner geschlossen und die Seite kann ganz normal genutzt werden.
Ein informierender Cookie-Banner reicht nicht mehr aus
Der Cookie-Consent-Banner ist eine Ausweitung des rein informierenden Banners, der anzeigt, dass Cookies erhoben werden, aber keine aktive Einwilligung oder Ablehnung zulässt. Der bislang häufig verwendete informierende Cookie-Banner geht damit von einer impliziten Einwilligung aus und verzichtet auf zusätzliche Auswahloptionen. Wer seine Einwilligung widerrufen möchte, also ein Opt-Out machen möchte, muss zunächst in der Datenschutzerklärung nachvollziehen, wie der das erledigen kann. Dieses aktive Austragen ist jedoch nicht mehr rechtlich vertretbar. Weshalb mit dem Consent-Banner ein aktives Eintragen, also ein aktiver Opt-In, erfolgen muss. Erst nachdem der Nutzer aktiv zugestimmt hat, dürfen nicht notwendige Cookies gesetzt werden.
Einwilligungsmanagement für mehr Datenschutz
Mit dem Cookie-Consent-Banner gewährleisten Websitebetreiber ein proaktives und dadurch DSGVO-konformes Einwilligungsmanagement. In diesem Sinne muss die Einwilligung so einige Merkmale erfüllen, um rechtskräftig zu sein. Währenddessen steht immer der Nutzer im Fokus, weshalb der Banner so nutzerfreundlich, einfach und intuitiv wie möglich gestaltet sein soll. Wichtige Kriterien hierbei sind
Doch auch wenn alle diese Merkmale erfüllt sind und der Besucher auf der Seite seine Einwilligung zum Setzen von Cookies erteilt hat, muss zu jeder Zeit gegeben sein, dass die Einwilligung zurückgenommen werden kann. Dafür sollte ein klarer Prozess festgelegt werden, den der Nutzer in der Datenschutzerklärung der Seite nachvollziehen kann.
Einwilligung einholen mit Cookie-Consent-Banner
Kategorien von Cookies
Cookies ermöglichen fantastische Dinge und helfen im Online-Marketing maßgeblich dabei, den Webauftritt noch besser auf den Kunden zu optimieren. Doch als Laie weiß man häufig gar nicht, was eigentlich dahintersteckt. Ein Kriterium ist deshalb die ausführliche Information darüber, welche Cookies welchen Zweck haben und was dafür an Nutzerdaten benötigt wird.
Technisch-notwendig
Diese Art von Cookies sind dazu da, sicherzustellen, dass die Webseite auch funktioniert und korrekt beim Besucher ausgespielt wird. Diese sogenannten First Party-Cookies sind damit unerlässlich, die Informationen werden jedoch ausschließlich an die Webseite gesendet.
Diese Art von Cookie kann man im Rahmen der aktiven Einwilligung nicht einfach ausblenden, deshalb sind die technisch-notwendigen Cookies oftmals ausgegraut im Consent-Banner. Die Einwilligung hierzu ist deshalb auch nicht explizit nötig. Das ist deshalb möglich, da das Setzen der technisch notwendigen Cookies immer auf ein berechtigtes Interesse des Webseitenbetreibers gestützt werden kann.
Funktional
Eine weitere Kategorie sind die funktionalen Cookies, die eine verbesserte Websitenutzung sicherstellen sollen. Dazu zählen auch personalisierbare Funktionen, wie etwa das Speichern der Sprachauswahl oder eines Benutzernamens in einem Formular. Funktionale Cookies können Informationen jedoch ausschließlich anonym verarbeiten. Diese Kategorie von Cookies ist nicht zwingend erforderlich, jedoch ermöglichen sie eine verbesserte Usability beim Nutzer.
Leistung und Performance
Mit den Leistungs- und Performance-Cookies wird das Nutzerverhalten eines Besuchers auf der Webseite festgehalten. Die Cookies sammeln Informationen darüber, wie sich ein User auf der Seite verhält, welche Unterseiten er aufruft, ob er Fehlermeldungen erhält und welche Ladezeiten bei ihm benötigt werden.
Marketing und Third Party
Marketing-Cookies, Werbe-Cookies, Targeting-Cookies oder Third Party-Cookies sind nun explizit da, um das Verhalten eines Besuchers zu analysieren und darauf basierend beispielsweise personalisierte Werbung auszuspielen. Hierbei werden explizit Informationen über den Nutzer gesammelt, um Werbemaßnahmen so gut wie möglich auf den Besucher abzustimmen und so sein Interesse oder seine Kaufkraft zu steigern.
Der perfekte Cookie-Consent-Banner
Wir stellen fest, dass sehr viele Anforderung an so einen Cookie-Banner gestellt werden, damit er rechtssicher, zielgruppenorientiert, verständlich, wertschöpfend und trotzdem nicht abschreckend wirkt. Wie gestaltet man einen solchen Banner also richtig? Was muss der perfekte Cookie-Banner haben?
Die Lösung liegt auf der Hand: Ein grafisch und inhaltlich frei gestaltbarer Banner. Durch die freie Gestaltung kann man dieses notwendige Tool komplett an sein eigenes CI anpassen und damit einem einheitlichen Auftreten gerecht werden. Funktional sollte ein Cookie-Banner möglichst detaillierte Ergebnisse dazu liefern, wie viele Nutzer in welche Cookies eingewilligt oder sie abgelehnt haben.
Was ein Cookie-Consent-Banner alles enthalten sollte
Inhaltlich orientieren sich die Banner am besten an genau den oben genannten Anforderungen und Kriterien, denn nur, wenn das Banner diese inhaltlich erfüllt, kann es rechtssicher genutzt werden. Daher sollten folgende Informationen mit dem Banner ausgeliefert werden:
- Zweck und Einsatzweise der Cookies
- Vollständige Auflistung aller Cookies mit Auswahlmöglichkeiten
- Wiederrufsmöglichkeit nach Art. 7 DSGVO
- Hinweis auf weitere Informationsmöglichkeiten mit Link auf die Datenschutzerklärung
- Wichtig: Beim Anklicken des Links dürfen nach wie vor noch keine Cookies gesetzt werden, da die Einwilligung damit noch nicht vorliegt und der Nutzer sich erst weiter informieren möchte.
- Button, um die Cookie-Auswahl zu akzeptieren
- Button, um die Cookie-Auswahl abzulehnen
Alle weiteren Inhalte liegen im Ermessen des Betreibers, jedoch ist der allgemeine Konsens, dass in diesem Fall weniger auch mehr ist, um den Nutzer nicht zusätzlich unnötig zu verwirren.