Praxistipp: Der richtige Einsatz von Cookie-Bannern

Man sieht sogenannte Cookie-Banner in allen möglichen Farben, Größen und Formen. Auch die Formulierungen und die geforderte Interaktion der Webseitenbesucher mit diesen Bannern unterscheidet sich gravierend.
Einer der am häufigsten eingesetzten Banner sieht wohl so aus:
Doch ist dies ausreichend? Welche Anforderungen stellen die Behörden an den Cookie-Einsatz?

Gestaltung von Cookie-Bannern folgt klaren Richtlinien

Eine gute Hilfe für die Beantwortung dieser Fragen ist die „Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien“ aus März 2019.
An eine Einwilligung stellt die DSGVO gewisse Anforderungen. Für Consent-Banner sehen die Behörden diese Voraussetzungen nur erfüllt, wenn die Banner folgendermaßen gestaltet sind:
- Der Banner muss beim erstmaligen Öffnen der Webseite angezeigt werden und während der Banner angezeigt wird, müssen alle einwilligungsbedürftigen Cookies blockiert sein. Der Zugriff auf das Impressum und die Datenschutzerklärung muss dennoch möglich sein. Nur wenn der Nutzer seine Einwilligung abgibt, dürfen die Cookies aktiviert werden.
- In dem Banner müssen alle einwilligungsbedürftigen Verarbeitungsvorgänge mit Nennung der Dienstleiser und Funktionen aufgeführt werden und einzeln aktiviert werden können. Nach Art. 4 Nr. 11 und Art. 7 DSGVO müssen die Nutzer eine selbstbestimmte und freiwillige Einwilligung geben und diese muss durch aktives Handeln, wie zum Beispiel das Setzen eines Häkchens oder das Ankreuzen eines Kästchens, geschehen. Dadurch wird eine unmissverständliche und eindeutige Einwilligung abgegeben. Wenn jedoch das Kästchen in dem erschienenen Banner bereits angekreuzt ist, ist die Einwilligung unwirksam.
- Die Einwilligung muss jederzeit widerrufen werden können. Da der Widerruf so einfach möglich sein muss, wie die Erteilung der Einwilligung, sollte die Möglichkeit leicht auffindbar in die Webseite (z.B. in der Datenschutzerklärung) integriert werden.

Was bedeutet dies für unseren oben dargestellten Cookie-Banner?

Die Nutzung der Webseite ist keine ausdrückliche Zustimmungshandlung, da der Nutzer den Banner möglicherweise nicht wahrgenommen hat. Auch das Klicken des „OK“-Buttons auf dem Banner führt zu keinem anderen Ergebnis, da kein Button gegeben ist, mit dem man die Aktivierung der Cookies ablehnen kann. Zudem fehlen die Informationen über die eingesetzten Cookies und die Möglichkeit, deren jeweiligen Einsatz zuzustimmen oder abzulehnen.
Der Cookie-Banner ist damit ungeeignet, wenn der Webseitenbetreiber sich für den Einsatz seiner Cookies eine Einwilligung einholen muss.

Einwilligung von Webseitenbesuchern zur Verwendung von Cookies hängt von jeweiligen Funktionen ab

Ob man sich für Cookies eine Einwilligung einholen muss oder ob der Einsatz des Cookies auch durch das berechtigte Interesse des Betreibers gerechtfertigt sein kann, hängt von dem jeweiligen Cookie und seinen Funktionen ab.
Für die Interessenabwägung (Art. 6 Abs 1 S. 1 lit. f) DSGVO) haben die Datenschutzbehörden in der Orientierungshilfe drei Kriterien innerhalb eines Stufenmodells aufgestellt, die die Anwendung dieser Vorschrift erleichtern sollen, da es sich um eine sehr flexible und auf viele Sachverhalte anwendbare Vorschrift handelt, die oft Rechtsunsicherheit aufwirft.
- erste Stufe: „Vorliegen eines berechtigten Interesses der Verantwortlichen oder eines Dritten“
Der Ausdruck „berechtigtes Interesse“ ist in der DSGVO nicht direkt definiert. Die Behörden verstehen es als das wesentliche Motiv für die Verarbeitung, das den Nutzen der Verarbeitung widerspiegelt. Das Interesse kann dabei wirtschaftlicher, ideeller oder rechtlicher Natur sein.
Als Motive werden in der Orientierungshilfe der Datenschutzbehörde zum Beispiel die Wiedererkennung der Nutzer, die Personalisierung der Webangebote oder die Reichweitenmessung genannt
- zweite Stufe: „Erforderlichkeit der Datenverarbeitung zur Wahrung der berechtigten Interessen“
Dabei muss die Verarbeitung der persönlichen Daten dazu geeignet sein, die Interessen und Motive des Verantwortlichen zu erreichen, und es darf kein milderes Mittel geben, welches dieselben Ziele erreichen würde.
Möchte der Webseitenbetreiber etwa messen, wie viele Nutzer seine Webseite besuchen, ist es nicht erforderlich ein Analyse-Tool einzusetzen, das die Daten an Dritte weitergibt. Gleich geeignet wäre auch ein lokal implementiertes Tool, auf dessen Daten nur der Webseitenbetreiber zugreifen kann.
- dritte Stufe: „Abwägung mit den Interessen, Grundrechten und Grundfreiheiten der betroffenen Person im konkreten Einzelfall“
Hierbei handelt es sich um den Kern der Interessenabwägung wobei die Rechte des Nutzers, wie zum Beispiel das Recht auf Vertraulichkeit, dem Interesse des Webseitenbetreibers gegenüberstehen und gewichtet werden müssen. Dabei müssen ganz besonders die Auswirkungen auf die betroffene Person berücksichtigt werden.

Folgende Kriterien sind in die Abwägung einzubeziehen:
- Vernünftige Erwartung der betroffenen Personen und Vorhersehbarkeit / Transparenz
- Interventionsmöglichkeiten der betroffenen Personen
- Verkettung von Daten
- Beteiligte Akteure
- Dauer der Beobachtung
- Kreis der Betroffenen (bspw. besonders schutzbedürftige Personen)
- Datenkategorien
- Umfang der Datenverarbeitung

Kann der Einsatz des Cookies mit einem berechtigten Interesse gerechtfertigt werden, sollte auf die Einholung einer Einwilligung verzichtet werden. Vielmehr muss der Nutzer nur über den Einsatz dieser Cookies informiert werden und eine Möglichkeit haben, diesem Einsatz zu widersprechen. Es müssen daher alle Cookies in der Datenschutzerklärung ausführlich beschrieben werden. Zudem soll dort auch eine leichte Widerspruchsmöglichkeit implementiert werden.

Bei der Gestaltung Ihres Cookie-Banners, der Anpassung Ihrer Datenschutzerklärung und der Bewertung Ihrer Cookies sind wir Ihnen gerne behilflich.