Cookie-Banner: So gestaltest du sie 2021 DSGVO-konform

Aktualisiert am 11.01.2023
Lesezeit ca. Min.

Die Gefahr für Abmahnungen aufgrund von Verstößen gegen die DSGVO solltest du nicht auf die leichte Schulter nehmen, denn Datenschutzverletzungen kosten schnell einige Tausend Euro. Noch wichtiger: Verstöße gegen den Datenschutz sind kein Kavaliersdelikt und können für Kunden ein klares Kriterium sein, deine Website nie wieder zu besuchen.

Um unnötige Kosten und Aufwand zu vermeiden und an deiner Seriosität keinen Zweifel zu lassen, musst du deine Website DSGVO-konform gestalten. Eine Möglichkeit dafür war lange der Cookie-Banner, der jedoch inzwischen umstritten ist.

Was ist ein Cookie-Banner?

Ein Cookie-Banner ist ein schriftlicher Hinweis, der auf einer Website eingeblendet wird, wenn ein Benutzer diese abruft. Er informiert den User darüber, dass die Website Cookies benutzt.

Ein solcher Banner ist notwendig, damit Benutzer darüber aufgeklärt werden, dass sie bei diesem Webseiten-Besuch Daten preisgeben, die sie möglicherweise nicht preisgeben möchten. Denn Websites können die Daten des Nutzers auf unterschiedliche Arten speichern und verwerten. Diese Information ist also auf der einen Seite aus Datenschutzgründen notwendig, zum anderen ist es nur fair, Nutzer darüber zu informieren.

Ein Cookie-Banner bietet Usern allerdings keine Möglichkeit, dem Setzen von Cookies zu widersprechen. Es handelt sich um eine bloße Information. Im Gegensatz ermöglicht ein Cookie Consent Tool, einzelne oder alle Cookies abzulehnen.

Deswegen sind Cookie-Banner heute nach den meisten Auslegungen der neueren Urteile keine zeitgemäße Lösung. Ob du den Datenschutz mit einem Cookie-Banner wahrst, liegt nach Auslegung vieler deutscher Datenschützer auch daran, welche Arten von Cookies eine Website benutzt.

Sinn und Zweck von Cookies

Denn Cookies können viele verschiedene Zwecke erfüllen. Manche sind technisch notwendig, damit die Website funktioniert.

Ein gutes Beispiel hierfür sind Warenkörbe: In den Warenkorb gelegte Artikel müssen einem Nutzer zugeordnet werden können, damit dieser bequem shoppen kann. Cookies ermöglichen ihm hier, dass er im Shop stöbern kann und alle in den Warenkorb gelegte Artikel sich dort noch befinden, wenn er den Kauf abschließen möchte.

Es gibt darüber hinaus Cookies, die technisch nicht notwendig sind. Dazu gehören beispielsweise die Cookies, die der Datenanalyse dienen. Sie speichern recht viele Daten, zwar anonymisiert, aber bis zu einem gewissen Grad dennoch auf einen einzelnen Besucher rückverfolgbar. Deswegen fallen diese Cookies in den Zuständigkeitsbereich des Datenschutzes.

Eine dritte Möglichkeit sehen Datenschützer besonders kritisch: Werbetreibende können Cookies setzen und dann Nutzer websiteübergreifend „verfolgen“. Auf diese Weise ist Werbung sehr personalisiert möglich. Teilweise werden sehr umfangreiche Profile eines Nutzers erstellt. Auch hier muss der Datenschutz sicherstellen, dass der Nutzer die Hoheit über seine Daten behält.

Weil die Auswirkungen von Cookies so unterschiedlich sein können, werden nicht alle Cookies gleichermaßen kritisch betrachtet. Die Cookies, die aus rein technischen Gründen genutzt werden, sind in Deutschland beispielsweise für die Einhaltung der Datenschutzbestimmungen nicht so wichtig. Deswegen gehen einige Datenschützer davon aus, dass ein Cookie-Banner ausreicht, wenn keine Daten über den Nutzer und sein Verhalten auf der Website gesammelt werden.

Allerdings reicht ein Cookie-Banner nach der Meinung vieler Datenschützer nicht aus, wenn Daten gespeichert oder sogar Profile angelegt werden. Stattdessen müssen Nutzer sogar die Möglichkeit haben, diese Cookies gezielt abzuwählen – und Cookie-Banner bieten Usern diese Option nicht.

Einwilligung annehmen reicht nicht aus

Es reicht nach aktuellen Urteilen zudem nicht aus, wenn der Cookie-Banner eine Einwilligung annimmt. Sogar vorangeklickte Zustimmungs-Kästchen sind fragwürdig. Deswegen ist die Verwendung eines Cookie-Banners umstritten und stellt beim Einsatz von Cookies, die nicht nur funktional sind, ein Risiko für den Websitebetreiber dar.

Cookie-Zustimmungsrate und Datenschutzbedenken

Einwilligung erforderlich: Wann brauche ich ein Cookie-Banner, wann nicht?

Doch zugegeben: Die rechtliche Lage ist derzeit vergleichsweise undurchsichtig. Das liegt nicht zuletzt daran, dass sich die EU bislang noch nicht auf ein geltendes Gesetz einigen konnte, das mehr Klarheit für Website-Betreiber bringen könnte.

Das sogenannte ePrivacy-Gesetz wurde 2017 erstmals ins Spiel gebracht, konnte aufgrund von Differenzen der EU-Mitglieder jedoch bis jetzt (Stand Mai 2021) trotz mehrerer Änderungen und versuchter Kompromisse nicht verabschiedet werden. Und selbst wenn es irgendwann doch noch mal verabschiedet wird, ist eine Frist von zwei Jahren zur Umsetzung vorgesehen. Dann allerdings stehen für Websitebetreiber unter Umständen tiefgreifende Änderungen ins Haus und es lohnt sich für dich, diese Entwicklung zu beobachten.

Für Deutschland bedeutet das EU-Hickhack bislang, dass sich Webseitenbetreiber auf deutsches geltendes Recht stützen können. Das Problem: Die DSGVO ist nicht aussagekräftig genug. Sie verlangt zwar, dass in der Datenschutzerklärung die Rechtsgrundlage für das Verwenden von Cookies genannt wird, regelt jedoch nicht, wie die Zustimmung hierfür genau erfolgen muss.

Demnach wäre es möglich, sogar auf einen Cookie-Banner zu verzichten und nur in den Datenschutzerklärungen auf die Cookies zu verweisen. Das Risiko ist jedoch zu hoch, dass das nicht ausreicht.

icon

Wichtig zu wissen

Wichtig ist für diesen Fall das Urteil des EuGH von 2019 zu Facebook Like-Buttons und Cookies. Ein Unternehmen wurde abgemahnt, weil es schon vor der Einwilligung Daten an Facebook übertrug. Der Fall kam vor den EuGH, der sich dazu recht klar geäußert hat: Für Cookies, die zu Tracking- oder Werbezwecken gesetzt werden, ist demnach eine echte Einwilligung der Webseitenbesucher nötig. Das bedeutet: Ein Cookie-Banner holt diese nicht ein und ist demnach in seiner einfachen Form nicht ausreichend. Demnach wäre ein Cookie Consent Tool zwingend notwendig.

Das bedeutet für dich:

Ein Cookie-Banner ist mit einer großen Wahrscheinlichkeit nicht ausreichend, wenn du technische Möglichkeiten nutzt, die es für dich nachvollziehbar machen, was ein einzelner User auf deiner Website tut.

Wenn du deine User trackst oder Werbung von Drittanbietern einblendest, die Cookies setzen, brauchst du ein Cookie Consent Tool. Dies gilt vor allem dann, wenn die Daten mit anderen Diensten und Daten verknüpft oder geteilt werden. Sogar dann, wenn du einfach nur Google Analytics oder ein anderes Analyseprogramm einsetzt, das grundsätzlich DSGVO-konform ist, und du die Daten für dich behältst: Du brauchst die Einwilligung der User.

Es gibt nur wenige Ausnahmen:

  • Session-Cookies, die danach gelöscht werden
  • Cookies für Log-ins  
  • Generell Cookies, die ausschließlich die technische Funktion deiner Website sichern

Diese Ausnahmen benötigen keine explizite Einwilligung des Besuchers. Das gilt allerdings wohlgemerkt vor allem nach deutschem Recht. Einer der Gründe, warum die EU bislang keine gemeinsame Lösung bzw. Richtlinie finden konnte, ist, dass sich die Datenschutzbehörden einiger Länder striktere Vorschriften in diesem Bereich wünschen, während andere den Datenschutz lockerer sehen. Es kann sein, dass in anderen Ländern Gesetze gelten, die auch für dich relevant werden, wenn du Besucher aus diesen Staaten auf deiner Website hast.

Unabhängig von den rechtlichen Regelungen kann ein Cookie-Banner für Webseiten hilfreich sein. Denn User sind es heute gewohnt, dass sie dem Setzen von Cookies zustimmen oder widersprechen müssen. Wenn ein solcher Hinweis fehlt, weckt das Misstrauen. Schließlich weiß nicht jeder, dass es Fälle gibt, in denen ein Cookie-Banner rechtlich nicht zwingend vorgeschrieben ist.

Für datenschutzgeschäftliche Zwecke ist ein Cookie-Banner deswegen auch empfehlenswert, wenn du lediglich mit technisch notwendigen Cookies arbeitest. Du solltest deine User dann darüber informieren, dass du ihre Daten nicht erhebst. So fühlen sie sich auf deiner Website sicher und du sammelst bei Menschen, die für dieses Thema sensibilisiert sind, sogar Pluspunkte.

Welche Gestaltungsmöglichkeiten habe ich bei einem Cookie-Banner?

Bei einem Cookie-Banner sind die Gestaltungsmöglichkeiten relativ begrenzt: In der Regel informierst du deine User damit lediglich darüber, dass du Cookies einsetzt, und gibst ihnen nur die Alternative, deine Website stattdessen zu verlassen.

Wie du deine Nutzer im Wortlaut informierst, welche Farbe dein Banner hat oder wie groß er ist, ob du lustige GIFs benutzt oder Glitzer über den Banner regnet, ist im Wesentlichen deine Sache, solange der Nutzer deine Hinweise gut lesen und verstehen kann.

Alternative zum Cookie-Banner: Consent-Tool

In den letzten Jahren hat sich durch die EU-Richtlinien jedoch durchaus einiges verändert. Deswegen empfiehlt es sich, gar nicht erst auf einen Cookie-Banner zurückzugreifen. Es gibt ausgefuchstere Varianten, mit denen du auf der sicheren Seite bist, deine Nutzerfreundlichkeit erhöhst und zudem sichergehst, dass User, die nicht von dir getrackt werden wollen, auch nicht von dir getrackt werden.

Solche Consent-Tools gibt es für die meisten CMS-Systeme als Add-on, welche sich relativ unkompliziert in eine bestehende Website integrieren lassen. Die meisten Tools bieten auch die Einbindung eines einfachen Cookie-Banners. Darüber hinaus hast du die Option, verschiedene Cookies auszuwählen, mit denen der User einverstanden ist. Oft sind sie mit wenigen Klicks installiert und bringen dich für ein paar Euro im Monat auf die sichere rechtliche Seite. 

Allerdings solltest du darauf achten, dass du ein Tool nutzt, das datenschutzrechtlich für Europa und für Deutschland geeignet ist. Denn auch wenn die technischen Voraussetzungen ähnlich sind, sind die Bestimmungen außerhalb der EU teilweise deutlich anders. Nur dann, wenn die Entwickler sich auf den europäischen Markt konzentrieren, hast du etwas mehr rechtliche Sicherheit. Im Zweifel solltest du immer einen Anwalt fragen, wenn du dir nicht sicher bist, dass das jeweilige Tool die Datenschutzbestimmungen erfüllt.

Ich habe seit Jahren ein Cookie-Banner auf meiner Website – muss ich das updaten?

Vermutlich ist das der Fall, ja. Es hängt davon ab, wie lange es her ist, dass du dein Cookie-Banner eingerichtet hast und ob du dabei schon eventuelle zukünftige Gesetzesänderungen beachtet hast.

Relevant ist in diesem Kontext vor allem die DSGVO, die 2018 in Kraft getreten ist. Zudem können aktuellere Urteile des EuGH Änderungen an deinem bisherigen Cookie-Banner erforderlich machen. Bis es eine einheitliche ePrivacy-Verordnung gibt, wird jedoch noch eine Menge Zeit ins Land gehen: Derzeit ist keine Einigung in Sicht. Und selbst wenn, würden bis zum Inkrafttreten mindestens zwei Jahre nach Verabschiedung vergehen.

Doch es ist in jedem Fall sinnvoll, zu prüfen, ob dein Cookie-Banner immer noch den geltenden Richtlinien entspricht. Wer auf Nummer sicher gehen will, sollte am besten ein Consent-Tool nutzen, das dem User ermöglicht, die Einwilligung für jeden Punkt einzeln zu bestätigen.

Vorlage für ein DSGVO-konformes Cookies-Banner

Ich weise an dieser Stelle nochmal ausdrücklich darauf hin, dass ich ein Consent-Banner, bei dem der User einzelne Cookies an- und abwählen kann, für die sicherste Option halte, User auf Cookies hinzuweisen.

Derzeit könnte eine DSGVO-sichere Vorlage für Cookie-Banner folgendermaßen aussehen (vorausgesetzt, sie gibt die Fakten richtig wieder):

„Diese Webseite verwendet Cookies. Sie stellen die technische Funktionalität sicher. Datenschutz ist uns wichtig: Cookies zu Werbezwecken oder Tracking nutzt diese Website deswegen nicht.“

Sollte deine Website andere Cookies ebenfalls benötigen, reicht ein Cookie-Banner nach der derzeitigen Gesetzeslage nicht aus. Stattdessen müssen User die Möglichkeit haben, die Cookies abzulehnen.

Wenn du dies ermöglichst, könnte ein DSGVO-konformes Cookie-Banner folgendermaßen lauten:

Diese Webseite verwendet Cookies. Cookies stellen die technische Funktionalität dieser Website sicher. Außerdem nutzt diese Website Cookies zur Benutzerführung, Web-Analyse, für Social-Media-Features und Werbezwecke. Ich stimme der Verwendung dieser Cookies zu. Mehr Infos hier: Cookie Policy. (Hier verlinkst du auf deine Datenschutzbestimmung).“

(Wenn deine Cookies nicht alle Funktionen erfüllen, kannst du die fehlenden Funktionen einfach rauslöschen.)

Fazit: Besser heute als morgen mit Cookie-Bannern befassen

Cookie-Banner sind eine Möglichkeit, User darüber zu informieren, dass eine Website Cookies einsetzt. In vielen Fällen reichen sie jedoch nicht mehr aus, um auf der sicheren Seite zu sein. Nur dann, wenn ausschließlich Cookies gesetzt werden, die für die Funktion der Website notwendig sind, kommen sie überhaupt noch in Frage.

Deutlich sicherer sind jedoch sogenannte Consent-Tools, die es dem User erlauben, die Einwilligung zum Setzen einzelner Cookies gezielt abzuwählen. Wer kein Risiko eingehen möchte, sollte solche Tools nutzen und sich nicht nur auf das Cookie-Banner verlassen. Wer keine Daten erhebt oder weiterleitet, kann seine User hingegen darüber per Cookie-Banner informieren. Denn so wirken Webseiten seriöser. Ein komplettes Fehlen kann hingegen Misstrauen erwecken.

Es kann noch eine ganze Weile dauern, bis es eine einheitliche ePrivacy-Verordnung gibt. Bis eine EU-weite Lösung zur Speicherung und Verarbeitung von Daten feststeht, solltest du beim Einbinden eines Consent-Tools darauf achten, dass es datenschutzrechtlich für Europa und Deutschland geeignet ist.

Quellen:

Weitere Artikel