In diesem Artikel:
Gestaltung des Einwilligungsverfahrens
Optische Gestaltung
Inhaltliche Gestaltung
Die datenschutzkonforme Gestaltung des Cookie-Banners ist im „Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz“ – kurz TDDDG geregelt. Das TDDDG legt eine strenge Einwilligungspflicht für Informationen fest, die in Endeinrichtungen gespeichert werden oder auf die von Endeinrichtungen aus zugegriffen werden.
Als Endeinrichtungen sind sämtliche technischen Geräte, die ans Internet angeschlossen sind, zu verstehen. Die Speicherung und der Zugriff auf diese Informationen erfolgt mittels Cookies oder Drittanwendertechnologien wie Browser-Fingerprinting. Um diese Informationen speichern und verwerten zu dürfen bedarf es in der Regel einer Einwilligung.
Ausnahmen hierzu gelten nur für solche Informationen, die entweder für die Durchführung der Übertragung einer Nachricht im öffentlichen Telekommunikationsnetz notwendig sind oder wenn die Speicherung von Informationen zur Bereitstellung des Telekommunikationsdienstes technisch unbedingt notwendig ist. In diesen Fällen entfällt eine explizite Einwilligung. Als Beispiel hierfür sind technisch notwendige Cookies (z.B. Cookies für Nutzereingaben oder Sicherheits-Cookies) zu nennen.
Update September 2024: Neue Verordnung des Bundes
Die Bundesregierung hat eine neue Verordnung über die Dienste zur Einwilligungsverwaltung beschlossen. Diese Verordnung, die vom Bundesministerium für Digitales und Verkehr vorgelegt wurde, ermöglicht künftig auf Grundlage des § 26 Absatz 2 des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG) eine Alternative zu Cookie-Bannern. Nutzer müssen dann nicht immer wieder in die Verwendung von Cookies einwilligen, sondern können ihre Entscheidungen dauerhaft hinterlegen. Die Details der Verordnung finden Sie hier. Für Anbieter von Telemedien und digitalen Diensten bestehe allerdings kein verpflichtender Erfüllungsaufwand und erfolgt somit auf freiwilliger Basis.
Gestaltung des Einwilligungsverfahrens
Um die Anforderungen umzusetzen, bedarf es einer technischen Lösung auf dem Endgerät. Eine solche Lösung stellt die datenschutzkonforme Gestaltung eines Cookie-Banners, auch Banner für Drittanwendertechnologien genannt, dar, welches zur digitalen Einwilligungsverwaltung geeignet ist.
Cookie-Banner Datenschutz Einwilligung
Die Speicherung der Daten ist nur mit einer Einwilligung z.B. über den Cookie-Banner möglich.
Hierfür wiederum gelten die von in Art. 7 DSGVO vorgegebenen Grundsätze zu Einwilligungen.
Update: Neue Regelung der Bunderegier
Folgende Punkte sind zur datenschutzkonformen Gestaltung des Cookie-Banners zu beachten:
Optische Gestaltung des Cookie-Banners
Da eine Einwilligung aktiv erfolgen muss, bietet sich eine Button-Lösung (z.B.: „Akzeptieren“ oder „Ablehnen“) an. Der Klick auf einen Button an sich simuliert die aktive Handlung einer Einwilligung. Ein einfacher Button in Form einer bloßen Zustimmung („OK“, oder „Verstanden“) reicht jedoch nicht aus, da dabei keine aktive Handlung des Nutzers vorausgesetzt wird, sondern ein Hinnehmen bzw. eine Untätigkeit ausreichend ist.
Neben einer Bezeichnung der Buttons für die Zustimmung der Cookies soll auch eine klare
Bezeichnung zur Ablehnung der Cookies vorhanden sein (z.B.: „Akzeptieren“ und „Ablehnen“). Ein zweistufiges Verfahren, bei dem für das Ablehnen von Cookies auf eine weitere Ebene verwiesen wird (z.B.: „Weitere Einstellungen“), ist nicht zulässig.
Gleichwertige Buttons zur Einwilligung und AblehnungEine gleichwertige Darstellung der Buttons ist Pflicht.
Ebenso unzulässig ist auch eine nicht deutlich erkennbare Bezeichnung für Ablehnung von Cookies (z.B.: „nur notwendige Cookies verwenden“).
Es darf weiterhin kein optisches Ungleichgewicht zwischen den Buttons für Zustimmung und Ablehnung von Cookies bestehen. Beide Buttons müssen sich in Größe und Farbgebung entsprechen.
Eine generelle Einwilligung in alle Cookies/Drittanwendertechnologien ist dann als zulässig anzusehen, wenn der Nutzer zweifelsfrei erkennen kann, dass seine Einwilligungshandlung alle Cookies/Drittanwendertechnologien umfasst und diese jeweils erkennbar sind.
Inhaltliche Gestaltung des Cookie-Banners
Ein Urteil des Europäischen Gerichtshofs (EuGH, 1.10.2019 – C-673/17 „planet49“) besagt, dass folgende Informationen zu Cookies und Drittanwendertechnologien bereitgestellt werden müssen.
Art und Funktionsweisen der Cookies/Drittanwendertechnologien
Der Nutzer muss erkennen können, welche Arten von personenbezogenen Daten verarbeitet werden und zu welchen Zwecken dies geschieht (z.B.: IP-Adressen, Marketing, Profiling).
Es empfiehlt sich diese Informationen nicht nur in der Datenschutzerklärung aufzuführen, sondern auch bereits im Cookie-Banner bereit zu stellen (Gruppierung von Cookies nach z.B. Marketing oder Statistik möglich).
Lebensdauer der Cookies
Sie sollten generell über die Lebensdauer Ihrer verwendeten Cookies Bescheid wissen und ggf. beim eingesetzten Dienstleister erkundigen.
Stellen Sie dann diese Informationen zur Lebensdauer von Cookies dem Nutzer zur Verfügung.
Identität der Dienstleister der Cookies/Drittanwendertechnologien
Die eingesetzten Dienstleister der Cookies/Drittanwendertechnologien sind auch bereits im Cookie-Banner zu benennen.
Auch, wenn Cookies nur mit Ihrer Verantwortung verarbeitet werden bzw. Drittanwendertechnologien nur lokal eingebunden werden, soll dies mitgeteilt werden.
Widerrufmöglichkeit
Aus den bestehenden Gesetzen leitet sich ab, dass der Widerruf genau so einfach erfolgen muss, wie die ursprüngliche Einwilligung.
Für Cookies, die technisch notwendig sind, müssen Sie keine Widerrufsinformation bereitstellen.
Einleitungstext
Zur einfacheren Verständlichkeit bietet es sich an einen kurzen Einleitungstext zu formulieren, mit dessen Hilfe Sie über die generelle Funktionsweise des Cookie-Banners informieren. Der Text sollte Informationen enthalten, wie die Einwilligung erfolgt, über das Widerrufsrecht aufklären und auf weitere Informationen zu Cookies/Drittanbietertechnologien auf der Website verweisen.
Exkurs Content-Blocker
Für die Einbettung individueller Inhalte, wie z.B.: Social-Media-Posts oder Videos, kann auch eine explizite Einwilligung eingeholt werden.
Diese kann mittels eine sog. Content-Blockers den angesprochenen Inhalten vorgeschaltet werden, so dass die Inhalte nur eingesehen werden, wenn die Einwilligung hierfür explizit erteilt wurde.
Ansonsten kann der Nutzer die Inhalte einer Webseite nicht sehen.
Cookies Drittanbietertechnologien Maps
Auch Inhalte wie eine Google Maps-Einbettung werden erst durch Klick auf einen zusätzlichen Button angezeigt. Das Bild unten zeigt die Ansicht nach Zustimmung.
Noch mehr Beratung zum Thema Datenschutz gefällig? Die zertifizierten Berater der actago GmbH führen mit Ihnen gerne eine SOLL/IST-Analyse der aktuellen Datenschutzsituation und ein Audit der technischen und organisatorischen Maßnahmen durch. Mehr Informationen erhalten Sie hier.
Nächster Beitrag: Die sechs Grundsätze der DSGVO – Ein Leitfaden zur Umsetzung
Die datenschutzkonforme Gestaltung des Cookie-Banners ist im „Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz“ – kurz TDDDG geregelt. Das TDDDG legt eine strenge Einwilligungspflicht für Informationen fest, die in Endeinrichtungen gespeichert werden oder auf die von Endeinrichtungen aus zugegriffen werden.
Als Endeinrichtungen sind sämtliche technischen Geräte, die ans Internet angeschlossen sind, zu verstehen. Die Speicherung und der Zugriff auf diese Informationen erfolgt mittels Cookies oder Drittanwendertechnologien wie Browser-Fingerprinting. Um diese Informationen speichern und verwerten zu dürfen bedarf es in der Regel einer Einwilligung.
Ausnahmen hierzu gelten nur für solche Informationen, die entweder für die Durchführung der Übertragung einer Nachricht im öffentlichen Telekommunikationsnetz notwendig sind oder wenn die Speicherung von Informationen zur Bereitstellung des Telekommunikationsdienstes technisch unbedingt notwendig ist. In diesen Fällen entfällt eine explizite Einwilligung. Als Beispiel hierfür sind technisch notwendige Cookies (z.B. Cookies für Nutzereingaben oder Sicherheits-Cookies) zu nennen.
Update September 2024: Neue Verordnung des Bundes
Die Bundesregierung hat eine neue Verordnung über die Dienste zur Einwilligungsverwaltung beschlossen. Diese Verordnung, die vom Bundesministerium für Digitales und Verkehr vorgelegt wurde, ermöglicht künftig auf Grundlage des § 26 Absatz 2 des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG) eine Alternative zu Cookie-Bannern. Nutzer müssen dann nicht immer wieder in die Verwendung von Cookies einwilligen, sondern können ihre Entscheidungen dauerhaft hinterlegen. Die Details der Verordnung finden Sie hier. Für Anbieter von Telemedien und digitalen Diensten bestehe allerdings kein verpflichtender Erfüllungsaufwand und erfolgt somit auf freiwilliger Basis.
Gestaltung des Einwilligungsverfahrens
Um die Anforderungen umzusetzen, bedarf es einer technischen Lösung auf dem Endgerät. Eine solche Lösung stellt die datenschutzkonforme Gestaltung eines Cookie-Banners, auch Banner für Drittanwendertechnologien genannt, dar, welches zur digitalen Einwilligungsverwaltung geeignet ist.
Die Speicherung der Daten ist nur mit einer Einwilligung z.B. über den Cookie-Banner möglich.
Hierfür wiederum gelten die von in Art. 7 DSGVO vorgegebenen Grundsätze zu Einwilligungen.
Update: Neue Regelung der Bunderegier
Folgende Punkte sind zur datenschutzkonformen Gestaltung des Cookie-Banners zu beachten:
Optische Gestaltung des Cookie-Banners
Da eine Einwilligung aktiv erfolgen muss, bietet sich eine Button-Lösung (z.B.: „Akzeptieren“ oder „Ablehnen“) an. Der Klick auf einen Button an sich simuliert die aktive Handlung einer Einwilligung. Ein einfacher Button in Form einer bloßen Zustimmung („OK“, oder „Verstanden“) reicht jedoch nicht aus, da dabei keine aktive Handlung des Nutzers vorausgesetzt wird, sondern ein Hinnehmen bzw. eine Untätigkeit ausreichend ist.
Neben einer Bezeichnung der Buttons für die Zustimmung der Cookies soll auch eine klare Bezeichnung zur Ablehnung der Cookies vorhanden sein (z.B.: „Akzeptieren“ und „Ablehnen“). Ein zweistufiges Verfahren, bei dem für das Ablehnen von Cookies auf eine weitere Ebene verwiesen wird (z.B.: „Weitere Einstellungen“), ist nicht zulässig.
Eine gleichwertige Darstellung der Buttons ist Pflicht.
Ebenso unzulässig ist auch eine nicht deutlich erkennbare Bezeichnung für Ablehnung von Cookies (z.B.: „nur notwendige Cookies verwenden“).
Es darf weiterhin kein optisches Ungleichgewicht zwischen den Buttons für Zustimmung und Ablehnung von Cookies bestehen. Beide Buttons müssen sich in Größe und Farbgebung entsprechen.
Eine generelle Einwilligung in alle Cookies/Drittanwendertechnologien ist dann als zulässig anzusehen, wenn der Nutzer zweifelsfrei erkennen kann, dass seine Einwilligungshandlung alle Cookies/Drittanwendertechnologien umfasst und diese jeweils erkennbar sind.
Inhaltliche Gestaltung des Cookie-Banners
Ein Urteil des Europäischen Gerichtshofs (EuGH, 1.10.2019 – C-673/17 „planet49“) besagt, dass folgende Informationen zu Cookies und Drittanwendertechnologien bereitgestellt werden müssen.
Art und Funktionsweisen der Cookies/Drittanwendertechnologien
Der Nutzer muss erkennen können, welche Arten von personenbezogenen Daten verarbeitet werden und zu welchen Zwecken dies geschieht (z.B.: IP-Adressen, Marketing, Profiling).
Es empfiehlt sich diese Informationen nicht nur in der Datenschutzerklärung aufzuführen, sondern auch bereits im Cookie-Banner bereit zu stellen (Gruppierung von Cookies nach z.B. Marketing oder Statistik möglich).
Lebensdauer der Cookies
Sie sollten generell über die Lebensdauer Ihrer verwendeten Cookies Bescheid wissen und ggf. beim eingesetzten Dienstleister erkundigen.
Stellen Sie dann diese Informationen zur Lebensdauer von Cookies dem Nutzer zur Verfügung.
Identität der Dienstleister der Cookies/Drittanwendertechnologien
Die eingesetzten Dienstleister der Cookies/Drittanwendertechnologien sind auch bereits im Cookie-Banner zu benennen.
Auch, wenn Cookies nur mit Ihrer Verantwortung verarbeitet werden bzw. Drittanwendertechnologien nur lokal eingebunden werden, soll dies mitgeteilt werden.
Widerrufmöglichkeit
Aus den bestehenden Gesetzen leitet sich ab, dass der Widerruf genau so einfach erfolgen muss, wie die ursprüngliche Einwilligung.
Für Cookies, die technisch notwendig sind, müssen Sie keine Widerrufsinformation bereitstellen.
Einleitungstext
Zur einfacheren Verständlichkeit bietet es sich an einen kurzen Einleitungstext zu formulieren, mit dessen Hilfe Sie über die generelle Funktionsweise des Cookie-Banners informieren. Der Text sollte Informationen enthalten, wie die Einwilligung erfolgt, über das Widerrufsrecht aufklären und auf weitere Informationen zu Cookies/Drittanbietertechnologien auf der Website verweisen.
Exkurs Content-Blocker
Für die Einbettung individueller Inhalte, wie z.B.: Social-Media-Posts oder Videos, kann auch eine explizite Einwilligung eingeholt werden.
Diese kann mittels eine sog. Content-Blockers den angesprochenen Inhalten vorgeschaltet werden, so dass die Inhalte nur eingesehen werden, wenn die Einwilligung hierfür explizit erteilt wurde.
Ansonsten kann der Nutzer die Inhalte einer Webseite nicht sehen.
Auch Inhalte wie eine Google Maps-Einbettung werden erst durch Klick auf einen zusätzlichen Button angezeigt. Das Bild unten zeigt die Ansicht nach Zustimmung.
Noch mehr Beratung zum Thema Datenschutz gefällig? Die zertifizierten Berater der actago GmbH führen mit Ihnen gerne eine SOLL/IST-Analyse der aktuellen Datenschutzsituation und ein Audit der technischen und organisatorischen Maßnahmen durch. Mehr Informationen erhalten Sie hier.
Sie sehen gerade einen Platzhalterinhalt von Instagram. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
