Datenschutzkonforme Cookie Banner

Die meisten Unternehmen setzen Cookies auf Ihrer Website ein. Für die Verwendung nichttechnischer Cookies ist die ausdrückliche Einwilligung der Nutzer durch ein opt-in Verfahren notwendig. Die Cookie-Banner, mit denen die Einwilligung der Nutzer eingeholt wird, wurden von den Datenschutzbehörden nun überprüft und häufig beanstandet, da sie nicht datenschutzkonform sind. Hier geben wir Ihnen einen Überblick über häufige Fehler, die bei Cookie-Bannern gemacht werden.

Was sind Cookies nochmal und wozu werden sie genutzt?

“Cookies” sind kleine Datensätze, die auf dem Endgerät des Website Besuchers gespeichert werden. Besuchen Nutzer später noch einmal dieselbe Internetseite, können Sie wiedererkannt werden. Cookies können daher genutzt werden, um Inhalte von Warenkörben oder Nutzerlogins zu speichern. Sie können das Surfen im Internet für den Nutzer also komfortabler machen. Durch den Einsatz von Cookies kann aber auch das Surfverhalten des Nutzers analysiert und zur Profilbildung verwendet werden.

Man unterscheidet grundsätzlich zwischen technisch notwendigen und optionalen nicht notwendigen Cookies. Zu den notwendigen Cookies gehören solche, die eine Webseite erst nutzbar machen oder ausschließlich der IT-Sicherheit dienen. Nicht notwendige Cookies sind vor allem solche, die das Verhalten von Nutzern im Internet zu Marketingzwecken verfolgen (sog. Tracking- und Analyse Cookies).

Warum braucht man eigentlich eine Einwilligung für Cookies auf Webseiten

Der BGH hat entschieden (Cookie-Einwilligung II, Az.: I ZR 7/16), dass der Nutzer in die Verwendung von nichttechnischen Cookies auf Webseiten einwilligen muss. Dies geht aus Art. 5 Abs. 3 Richtlinie 2002/58/EG in der Fassung 2009/136/EG (ePrivacy-Richtlinie) hervor. Für alle Cookies, die nicht zwingend für das Funktionieren der Website erforderlich sind, wird damit eine Einwilligung des Nutzers benötigt.

Der BGH hat in seiner „Planet 49“ Entscheidung vom 28.05.2020 (Az. I ZR 7/16) außerdem klargestellt, dass die Möglichkeit eines opt-outs dafür nicht ausreichend ist. Eine vorausgefüllte Check-in box ist daher nicht zulässig, der Nutzer muss die Schaltfläche aktiv anklicken, also im opt-in Verfahren, um eine wirksame Einwilligung zu erteilen.

Am 1. Dezember 2021 tritt das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) in Kraft, mit dem unter anderem die Vorgaben der ePrivacy-Richtlinie in nationales Gesetz umgesetzt wurde. § 25 TTDSG schreibt nun ausdrücklich auf nationaler Ebene die grundsätzliche Einwilligungsbedürftigkeit des Einsatzes von Cookies vor.

Was wird bei dem Cookie Banner häufig falsch gemacht?

Mehrere Landesdatenschutzbehörden haben aufgrund eines Prüfkataloges die Cookie Einwilligung, die von Medienunternehmen verwendet werden, untersucht. 1 Dabei wurde festgestellt, dass die meisten Einwilligungen auf den Webseiten nicht datenschutzkonform sind. (1 Pressemitteilung der Bayerischen Landesbehörde für Datenschutz vom 30.06.21, S. 2)
Die bayerische Landesbehörde für Datenschutz hat vor allem Folgendes beanstandet:

• Häufig werden einwilligungsbedürftige Cookies bereits beim Öffnen der Website gesetzt, also schon vor der Einwilligungsabfrage.

• Es werden falsche und unzureichende Informationen über das Nutzertracking gegeben.

• Selbst wenn der Nutzer Cookies ablehnt, bleiben zahlreiche Cookies und Drittdienste aktiv, die eine Einwilligung erfordern.

• Während bei allen Einwilligungsbannern auf der ersten Ebene eine Schaltfläche vorhanden ist, mit der eine Zustimmung zu sämtlichen Cookies und Drittdiensten erteilt werden kann, fehlt auf dieser Ebene häufig eine ebenso einfache Möglichkeit, das einwilligungsbedürftige Nutzertracking gänzlich abzulehnen oder das Banner ohne Entscheidung schließen zu können.

• Häufig werden die Nutzer unterschwellig zur Zustimmung gedrängt. Dies ist beispielsweise dann der Fall, wenn die Schaltfläche zur Zustimmung farblich auffälliger gestaltet ist als der Button zum Ablehnen. Dies stellt eine Manipulation der Nutzer dar, die als Nudging bezeichnet wird.

Fazit

Da Cookie Einwilligungen Spitzenplätze bei den Beschwerden der Landesdatenschutzbehörden einnehmen, ist damit zu rechnen, dass die Behörden weitere Kontrollen vornehmen werden. Unternehmen sind daher gut beraten, ihre Cookie Banner auf die genannten Kriterien hin zu überprüfen, um Bußgelder zu vermeiden. 

Gerne stehen wir Ihnen bei Fragen zur Verfügung!

Ihre Kanzlei für IT-Recht und Datenschutz München