Datenschutzkonforme Gestaltung des Cookie-Banners

In diesem Artikel:

• Gestaltung des Einwilligungsverfahrens
• Optische Gestaltung
• Inhaltliche Gestaltung

Die datenschutzkonforme Gestaltung des Cookie-Banners ist im „Telekommunikation-Telemedien-Datenschutz-Gesetz“ – kurz TTDSG gereget. Das TTDSG legt eine strenge Einwilligungspflicht für Informationen fest, die in Endeinrichtungen gespeichert werden oder auf die von Endeinrichtungen aus zugegriffen werden.

Als Endeinrichtungen sind sämtliche technischen Geräte, die ans Internet angeschlossen sind, zu verstehen. Die Speicherung und der Zugriff auf diese Informationen erfolgt mittels Cookies oder Drittanwendertechnologien wie Browser-Fingerprinting. Um diese Informationen speichern und verwerten zu dürfen bedarf es in der Regel einer Einwilligung.

Ausnahmen hierzu gelten nur für solche Informationen, die entweder für die Durchführung der Übertragung einer Nachricht im öffentlichen Telekommunikationsnetz notwendig sind oder wenn die Speicherung von Informationen zur Bereitstellung des Telekommunikationsdienstes technisch unbedingt notwendig ist. In diesen Fällen entfällt eine explizite Einwilligung. Als Beispiel hierfür sind technisch notwendige Cookies (z.B. Cookies für Nutzereingaben oder Sicherheits-Cookies) zu nennen.

Gestaltung des Einwilligungsverfahrens

Um die Anforderungen umzusetzen, bedarf es einer technischen Lösung auf dem Endgerät. Eine solche Lösung stellt die datenschutzkonforme Gestaltung eines Cookie-Banners, auch Banner für Drittanwendertechnologien genannt, dar, welches zur digitalen Einwilligungsverwaltung geeignet ist.

Hierfür wiederum gelten die von in Art. 7 DSGVO vorgegebenen Grundsätze zu Einwilligungen. Folgende Punkte sind zur datenschutzkonformen Gestaltung des Cookie-Banners zu beachten:

Optische Gestaltung des Cookie-Banners

• Da eine Einwilligung aktiv erfolgen muss, bietet sich eine Button-Lösung (z.B.: „Akzeptieren“ oder „Ablehnen“) an. Der Klick auf einen Button an sich simuliert die aktive Handlung einer Einwilligung. Ein einfacher Button in Form einer bloßen Zustimmung („OK“, oder „Verstanden“) reicht jedoch nicht aus, da dabei keine aktive Handlung des Nutzers vorausgesetzt wird, sondern ein Hinnehmen bzw. eine Untätigkeit ausreichend ist.
• Neben einer Bezeichnung der Buttons für die Zustimmung der Cookies soll auch eine klare
  Bezeichnung zur Ablehnung der Cookies vorhanden sein (z.B.: „Akzeptieren“ und „Ablehnen“). Ein zweistufiges Verfahren, bei dem für das Ablehnen von Cookies auf eine weitere Ebene verwiesen wird (z.B.: „Weitere Einstellungen“), ist nicht zulässig.

Ebenso unzulässig ist auch eine nicht deutlich erkennbare Bezeichnung für Ablehnung von Cookies (z.B.: „nur notwendige Cookies verwenden“).

• Es darf weiterhin kein optisches Ungleichgewicht zwischen den Buttons für Zustimmung und Ablehnung von Cookies bestehen. Beide Buttons müssen sich in Größe und Farbgebung entsprechen.
• Eine generelle Einwilligung in alle Cookies/Drittanwendertechnologien ist dann als zulässig anzusehen, wenn der Nutzer zweifelsfrei erkennen kann, dass seine Einwilligungshandlung alle Cookies/Drittanwendertechnologien umfasst und diese jeweils erkennbar sind.

Inhaltliche Gestaltung des Cookie-Banners

Ein Urteil des Europäischen Gerichtshofs (EuGH, 1.10.2019 – C-673/17 „planet49“) besagt, dass folgende Informationen zu Cookies und Drittanwendertechnologien bereitgestellt werden müssen.

Art und Funktionsweisen der Cookies/Drittanwendertechnologien

• Der Nutzer muss erkennen können, welche Arten von personenbezogenen Daten verarbeitet werden und zu welchen Zwecken dies geschieht (z.B.: IP-Adressen, Marketing, Profiling).
• Es empfiehlt sich diese Informationen nicht nur in der Datenschutzerklärung aufzuführen, sondern auch bereits im Cookie-Banner bereit zu stellen (Gruppierung von Cookies nach z.B. Marketing oder Statistik möglich).

Lebensdauer der Cookies

• Sie sollten generell über die Lebensdauer Ihrer verwendeten Cookies Bescheid wissen und ggf. beim eingesetzten Dienstleister erkundigen.
• Stellen Sie dann diese Informationen zur Lebensdauer von Cookies dem Nutzer zur Verfügung.

Identität der Dienstleister der Cookies/Drittanwendertechnologien

• Die eingesetzten Dienstleister der Cookies/Drittanwendertechnologien sind auch bereits im Cookie-Banner zu benennen.
• Auch, wenn Cookies nur mit Ihrer Verantwortung verarbeitet werden bzw. Drittanwendertechnologien nur lokal eingebunden werden, soll dies mitgeteilt werden.

Widerrufmöglichkeit

• Aus den bestehenden Gesetzen leitet sich ab, dass der Widerruf genau so einfach erfolgen muss, wie die ursprüngliche Einwilligung.
• Für Cookies, die technisch notwendig sind, müssen Sie keine Widerrufsinformation bereitstellen.

Einleitungstext

Zur einfacheren Verständlichkeit bietet es sich an einen kurzen Einleitungstext zu formulieren, mit dessen Hilfe Sie über die generelle Funktionsweise des Cookie-Banners informieren. Der Text sollte Informationen enthalten, wie die Einwilligung erfolgt, über das Widerrufsrecht aufklären und auf weitere Informationen zu Cookies/Drittanbietertechnologien auf der Website verweisen.

Exkurs Content-Blocker

• Für die Einbettung individueller Inhalte, wie z.B.: Social-Media-Posts oder Videos, kann auch eine explizite Einwilligung eingeholt werden.
• Diese kann mittels eine sog. Content-Blockers den angesprochenen Inhalten vorgeschaltet werden, so dass die Inhalte nur eingesehen werden, wenn die Einwilligung hierfür explizit erteilt wurde.
• Ansonsten kann der Nutzer die Inhalte einer Webseite nicht sehen.

Noch mehr Beratung zum Thema Datenschutz gefällig? Die zertifizierten Berater der actago GmbH führen mit Ihnen gerne eine SOLL/IST-Analyse der aktuellen Datenschutzsituation und ein Audit der technischen und organisatorischen Maßnahmen durch. Mehr Informationen erhalten Sie hier.