Bewegt man sich heutzutage im Internet, sind sog. Cookie-Banner allgegenwärtig. Hintergrund der neuerlichen Flut von Cookie-Bannern sind neuere Entscheidungen einiger Gerichte. Nun geben auch die ersten Datenschutzbehörden wertvolle Hinweise, was bei ihrer datenschutzkonformen Gestaltung zu beachten ist. Nach den Datenschutzbehörden kommt es dabei entscheidend darauf an, die Einwilligung über den Cookie-Banner vor dem Setzen von Cookies durch eine freiwillige eindeutig bestätigende Handlung einzuholen. Daneben müssen dem Nutzer über den Cookie-Banner zwingend gewisse Pflichtinformation bzgl. der einzelnen Cookies erteilt werden.
Zudem muss sichergestellt werden, dass die Datenschutzerklärung mit den Informationen im Cookie-Banner – insbesondere zur gewählten Rechtsgrundlage – übereinstimmt.
1. Wann ist ein Cookie-Banner erforderlich?
Ein Cookie-Banner ist immer dann erforderlich, wenn auf einer Webseite technisch nicht notwendige Cookies verwendet werden. In diesem Fall kann der Nutzer die erforderliche Einwilligung über den Cookie-Banner erteilen.
Bei der Verwendung von Cookies ist zwischen technisch notwendigen und technisch nicht notwendigen Cookies zu unterscheiden. Um technisch notwendige Cookies handelt es sich, wenn diese Cookies zwingend erforderlich sind, um die Seite bereitzustellen. Welche Cookies technisch notwendig sind, hängt von der jeweiligen Webseite ab. In der Regel dürften hierunter aber Session-Cookies oder Cookies für Login-Daten oder Warenkörbe fallen. Technisch nicht notwendig sind hingegen Cookies, die z.B. Werbezwecken oder der Profilbildung dienen.
Für den Einsatz technisch nicht notwendiger Cookies allein aufgrund eines berechtigten Interesses des Webseiten-Betreibers ggf. mit der Möglichkeit eines Widerspruchs, sog. opt-out, ist nach der neusten Rechtsprechung kaum noch Raum. Es ist daher zu empfehlen im Fall des Einsatzes technisch nicht notwendiger Cookies stets einen Cookie-Banner zu implementieren.
2. Angebotene Standardlösungen
Cookie-Banner – oder auch Consent-Management-Tools – werden von zahlreichen Unternehmen als Standardlösung angeboten. Diese Unternehmen werben damit, die von Ihnen angebotenen Cookie-Banner entsprächen den datenschutzrechtlichen Anforderungen. Nicht alle Unternehmen können dieses Versprechen auch halten. Einige Anbieter erlauben jedoch umfangreiche Anpassungen, mit denen die Empfehlungen der Datenschutzbehörden umgesetzt werden können.
3. Anforderungen an Cookie-Banner
Mittlerweile ergingen erste Gerichtsentscheidungen, welche Anforderungen an Cookie-Banner zu stellen sind. Weitere Hinweise können den Empfehlungen der Datenschutzbehörden entnommen werden. Diese hängen maßgeblich von den eingesetzten Cookies und ihrer Implementierung ab.
3.1 Zeitpunkt der Einwilligung
Die Einwilligung muss zwingend erteilt werden, bevor die Cookies gesetzt werden. Schließlich soll die Einwilligung die Verwendung von Cookies bzw. die Einbindung von Drittdienstleistern legitimieren. Werden die Cookies schon vorher gesetzt, ist die Cookie-Nutzung nicht mehr von der Einwilligung gedeckt.
3.2 Pflichtinformationen
Das Cookie-Banner muss auch einige Pflichtinformationen für jedes Cookie angeben. Nach den Empfehlungen der Datenschutzbehörden muss der Besucher zumindest über die Art der verwendeten personenbezogenen Daten, über die Person bzw. das Unternehmen, das seine personenbezogenen Daten verwendet, sowie den Zweck der Verwendung der Daten informiert werden.
Dabei sollte der Zweck der einzelnen Cookies möglichst genau genannt werden. Pauschale Formulierungen des Vertragszwecks wie „Gestaltung und Verbesserung der Webseite für Sie“ oder „Durchführung von Webanalyse und Webmaßnahmen“ genügen nicht. Eingebundene Drittdienstleister sind namentlich zu benennen.
Der Nutzer ist außerdem bereits im Rahmen des Cookie-Banners über sein Widerrufsrecht zu informieren. Fehlt der Hinweis, ist die Einwilligung unwirksam.
3.3 Eindeutig bestätigende Handlung
Der jeweilige Nutzer muss seine Einwilligung durch eine eindeutig bestätigende Handlung erteilen. Das heißt, z.B. indem er ein Kästchen anklickt, technische Einstellungen auswählt oder eine andere ähnliche aktive Handlung ausführt. Das bloße Weiterscrollen nach einem entsprechenden Hinweis genügt nicht. Die Schaltfläche, über die der Nutzer seine Einwilligung erteilt, muss einen eindeutigen Erklärungsinhalt verkörpern. Die Bezeichnung und/oder die Gestaltung der Schaltfläche muss dafür klar und verständlich sein.
3.4 Freiwilligkeit der Einwilligung
Die Einwilligung in die Verwendung von Cookies sowie die Einbeziehung von Drittdienstleistern muss freiwillig erteilt werden. Die Einwilligung darf nicht infolge von gewissem Druck oder Zwang erteilt werden.
Insbesondere sog. „Cookie-Walls“, bei denen der Besucher die Webseite nur nutzen kann, wenn er seine Einwilligung für technisch nicht notwendige Cookies erteilt hat, sehen die Datenschutzbehörden kritisch. Anders ist das nur zu beurteilen, wenn neben der Möglichkeit der Einwilligung die Möglichkeit besteht, die Webseite gegen eine angemessene Bezahlung zu nutzen. Das gleiche gilt, wenn die Erteilung der Einwilligung – etwa durch farbliche Hervorhebungen – wesentlich leichter gestaltet wird, als ihre Verweigerung (sog. „Nudging“).
4. Ausblick
Gerichte und Datenschutzbehörden sorgen mit ihren Entscheidungen und Orientierungshilfen für ein Stück mehr Klarheit, wie Einwilligungen auszugestalten sind. Das erhöhte Augenmerk, das die Datenschutzbehörden nunmehr auf eine datenschutzkonforme Gestaltung von Webseiten und insbesondere von Cookie-Bannern legen, bedeutet aber auch, dass sie diese in Zukunft auch vermehrt überprüfen werden. Unternehmen ist daher zu empfehlen bei der Gestaltung der Cookie-Banner die Empfehlungen der Datenschutzbehörden zu beachten, um etwaige Bußgeldrisiken zu vermeiden.