An die grafische und technische Gestaltung von Cookie-Bannern sind in Zukunft noch strengere Anforderungen zu stellen. Aufsichtsbehörden und Gerichte fordern in letzter Zeit mit immer mehr Nachdruck noch ausführlichere Info-Texte, neutraler gestaltete Nutzeroberflächen und ein noch strengeres „Opt-In“-Prinzip als bisher. Daraus ergeben sich Handlungsbedarf und eventuelle Haftungsrisiken selbst für solche Website-Betreiber, die bereits ein Cookie-Banner umgesetzt haben und sich daher „compliant“ wägen.
Das Thema ist auch hoch auf der Tagesordnung der Aufsichtsbehörden. Zuletzt hat die französische Aufsichtsbehörde CNIL erneut Rekord-Bußgelder gegen Google und Amazon verhängt, weil diese Ihren Nutzern falsche oder intransparente Cookie-Informationen mitgeteilt hatten.
Hintergrund, Problem und Sanktionsrisiko
Beim Einsatz der meisten Webanalyse- und Tracking-Tools (wie z.B. Google Analytics) oder von personalisierter Werbung muss der Website-Betreiber eine explizite Einwilligung seiner Nutzer einholen. Üblicherweise geschieht dies durch sog. „Cookie-Banner“. Da die Einwilligung vor dem Tracking erfolgen muss, sind diese mehr oder weniger aufdringlichen Pop-Ups
häufig das Erste, was ein Nutzer beim Besuch einer Website sieht. Meistens kann der Nutzer die Banner jedoch schnell und einfach „wegklicken“ – durch einen Klick auf den entsprechend hervorgehobenen Button „Alle Cookies akzeptieren“. Ein kurzer Info-Text verweist den Nutzer dann für weitere Informationen nur pauschal auf die Datenschutzerklärung.
Vor diesem Hintergrund hat der Landesbeauftragte für den Datenschutz in Niedersachsen (LfD) eine Handreichung zum Thema „datenschutzkonforme Einwilligungen auf Webseiten“ veröffentlicht. Diese stellt klar, dass die oben beschriebene Praxis nicht rechtskonform ist und insbesondere nicht mit den Vorgaben der DSGVO in Einklang steht. Auch die Rechtsprechung
tendierte zuletzt in diese Richtung: So verurteilte das LG Rostock in einem Urteil vom 11. August 2020 (Az. 3 O 762/19) die Online-Plattform „advocado“ für die Verwendung eines unzureichenden Cookie-Banners.
Unsere Empfehlungen zur richtigen Gestaltung von Cookie-Bannern
Wir empfehlen daher die folgenden Maßnahmen bei der Gestaltung eines Cookie-Banners:
- Einwilligung vor dem Setzen der Cookies: Der Nutzer muss einwilligen, bevor die Cookies gesetzt werden. Hier ist auf eine saubere technische Umsetzung des Cookie-Banners und das Zusammenspiel mit Plug-Ins und Drittanbietern zu achten.
- „Opt-In“ statt „Opt-Out“: Die Einwilligungshandlung des Nutzers muss eindeutig und aktiv sein. Vorangekreuzte Auswahlkästchen oder der Hinweis, dass „Weitersurfen“ Zustimmung bedeutet, erfüllen diese Voraussetzungen nicht.
- Konkrete Informationen: Die Einwilligung muss zudem informiert erfolgen. Daher genügen vage Formulierungen wie „wir setzen Cookies ein, um Ihr Surferlebnis zu verbessern“ nicht. Auch Daten-Empfänger und Cookie-Drittanbieter müssen explizit benannt werden. Auf einen Datentransfer ins Nicht-EU-Ausland und die entsprechende Rechtsgrundlage muss ebenfalls hingewiesen werden – und der Nutzer musshierzu ggf. ebenfalls konkret einwilligen. Ein pauschaler Verweis auf die Datenschutzerklärung genügt nicht, sondern kann die Informationen nur ergänzen.
- Neutrale Gestaltung des Banners: Der Button „Alle Cookies akzeptieren“ darf nicht farblich oder gestalterisch hervorgehoben werden, um den Nutzer so zum schnellen „Wegklicken“ zu bewegen (sog. „Dark Pattern“ oder „Nudging“).
- Einfacher Widerruf durch „Consent Management“: Der Nutzer muss seine Einwilligung genauso einfach widerrufen können, wie er sie erteilt hat. Hier empfiehlt sich ein Link im Footer der Website, z.B. mit der Bezeichnung „Datenschutzeinstellungen“, über welchen der Nutzer das Cookie-Banner erneut aufrufen und dort Cookies wieder abwählen kann (sog. „Consent Management“).
- Verzicht auf Cookie-Banner nur bei Einsatz von „datensparsamen“ Webanalyse-Alternativen: Soll möglichst auf ein Cookie-Banner oder Consent-Management, nicht aber auf jegliche Auswertung von Besucher-Statistiken verzichtet werden, dürfen die verwendeten Webanalyse-Tools weder Cookies verwenden, noch Daten in Drittstaaten übertragen oder Daten zur Profilbildung oder Ausspielung von Werbung verwendet werden. Hierfür kommen ggf. Anbieter von Analyse-Tools, die sich selbst als „datensparsam“ und „cookielos“ bewerben, wie z.B. Matomo, Open Web Analytics oder Plausible in Frage. Trotzdem ist im Einzelfall zu prüfen, ob die Ausgestaltung einer „Reichweitenanalyse“ dem berechtigten Interesse des Website-Betreibers entspricht. Hierzu hat die Datenschutzkonferenz (DSK) einen Leitfaden veröffentlicht. Diese Prüfung ist auch zu dokumentieren.
Konkrete Gestaltung des Cookie-Banners
Die folgenden zwei Beispiele verdeutlichen die oben dargestellten, konkreten Anforderungen an die Ausgestaltung eines rechtssicheren Cookie-Banners.
Beispiel für eine unzulässige Ausgestaltung: Vorauswahl aller optionalen Cookie-Kategorien („Opt-Out“ statt „Opt-In“) und „Nudging“ durch farbliche Abhebung der Buttons „Auswahl erlauben“ und „Alle Cookies zulassen“.
So könnte eine zulässige Ausgestaltung (auszugsweise) aussehen: Kein „Nudging“ und keine Vorauswahl. Besonders wichtig ist, dass ein Klick auf „Details anzeigen“ Informationen über die optionalen Cookie-Kategorien sowie deren konkrete Zwecke und konkrete Anbieter anzeigt, sowie über Datentransfers in Drittländer und deren Rechtsgrundlage informiert. Auch ein Verweis auf die ausführliche Datenschutzerklärung darf nicht fehlen.
Ausblick und Handlungsempfehlung
Alle Website-Betreiber sollten prüfen, ob sie ein Cookie-Banner einsetzen müssen und wie dieses konkret auszugestalten ist. Dabei kann auf Anbieter von „out of the box“-Lösungen (z.B. Cookiebot) zurückgegriffen oder eine eigene, individuelle Lösung programmiert werden.
In jedem Fall sollte aber überprüft werden, ob die eigene Umsetzung den aktuellen Anforderungen der Rechtsprechung und Aufsichtsbehörden gerecht wird – nur die wenigsten Website-Betreiber werden hier ohne jegliche Anpassungen oder Änderungen auskommen. Das gilt insbesondere bei der Nutzung von vorgefertigten Lösungen – hier hatte der LfD explizit darauf hingewiesen, dass deren Voreinstellungen häufig nicht ausreichend sind.