Digitalization

Des Datenschützers Freud, des Marketers Leid: Cookie-Banner. Mittlerweile gibt es die Pop-up-Fenster in allen denkbaren Variationen – aber welche Anforderungen muss ein datenschutzkonformes Cookie-Banner wirklich erfüllen?

Cookie-Banner sind mittlerweile fester Bestandteil einer Website. Zumindest sollten sie das sein. Derzeit scheinen der inhaltlichen und grafischen Interpretation allerdings keine Grenzen gesetzt. Viele Verantwortlichen rätseln, welche Anforderungen ein solcher Banner erfüllen soll. Auch die Nutzer sind meist genervt von den Pop-Fenstern und akzeptieren die angebotene Lösung. Hauptsache das nervige Fenster verschwindet.

 

Rechtsprechung

Die Verunsicherung ist auf allen Seiten groß. Um Klarheit in das Cookie-Chaos zu bringen, gab es mittlerweile verschiedene Urteile, wie die Einwilligung zur Datenerhebung eines Website-Besuchers eingeholt werden soll. So hat Anfang Mai nicht nur der Europäische Datenschutzausschuss (EDSA) die Leitlinien zur Einwilligung in die Nutzung von Internetseiten aktualisiert. Ein wichtiges Urteil hierzu kam auch Ende Mai vom Bundesgerichthof (BGH). In seiner Entscheidung folgt der BGH dem Urteil des Europäischen Gerichtshofs (EuGH) von Oktober 2019. Demnach sind vorausgefüllte Cookie-Banner nicht mit europäischem Recht vereinbar. Der Nutzer muss aktiv in die Datenerhebung einwilligen (Opt-in). Deshalb muss der Betreiber der Website den Besucher darüber informieren, welche Tools eingesetzt werden. 

 

Praktische Umsetzung des Cookie-Banners

Aber wie soll nun ein rechtskonformes Banner aussehen und was sollte man dabei alles berücksichtigen werden? „Gerade im Online-Marketing in den Unternehmen und bei den Webagenturen, muss sich jetzt jeder damit auseinandersetzen. Die Sachlage ist nach dem BGH-Urteil eindeutig“, sagt Stefan Latz, Datenschutzbeauftragter bei TÜV Hessen. „Grundsätzlich wichtig ist, dass eine aktive Einwilligung des Nutzers eingeholt und diese auch entsprechend dokumentiert wird.“

Folgende Anforderungen sollte ein datenschutzkonformer Cookie-Banner erfüllen.

  • Zeitpunkt: Wie so oft, kommt es auch beim Cookie-Banner auf den richtigen Zeitpunkt an. Das Fenster sollte sich direkt beim Aufruf der Website öffnen. Solange der Nutzer noch nicht zugestimmt hat, dürfen keine Cookies gesetzt werden. Die entsprechenden Skripte dürfen also erst starten, wenn der Nutzer diese Bedingungen akzeptiert hat. 
  • Transparenz: Website-Betreiber müssen die Nutzer verständlich und genau zu allen auf der Website verwendeten Cookies und andere Tracking-Technologien informieren. Auch wenn kein Tracking oder einwilligungsbedürftige Cookies eingesetzt werden, muss der Betreiber zumindest auf die erforderlichen Cookies hinweisen. Auf irreführende Formulierungen, wie „mit der Nutzung willigen Sie ein“, sollte man verzichten. Wichtig ist in diesem Fall die bloße Information inklusive eines Links zur Datenschutzerklärung, wo der Einsatz der technisch notwendigen Cookies erklärt wird.
  • Wahlmöglichkeit: Der Nutzer muss die Möglichkeit haben, selbst zu entscheiden, welche Cookies bzw. Tracking-Methoden er verwenden will. Außerdem muss er Zugang zu den Einstellungen erhalten, um sie nachträglich aktualisieren zu können, falls er seine Meinung ändert.
  • Platzierung: Auf die richtige Platzierung des Pop-up-Fensters kommt es an. Es sollte darauf geachtet werden, dass das Cookie-Banner den Link zum Impressum und zur Datenschutzerklärung nicht überdeckt.
  • Keine Benachteiligung: Die Website muss auch dann einwandfrei funktionieren, wenn der Nutzer sich dafür entschieden hat, nur die unbedingt erforderlichen Cookies zu akzeptieren.
  • Dokumentation: Die ersteilte Zustimmung bzw. Genehmigung zum Zwecke der Dokumentation muss sicher verwahrt werden.
  • Erneuerung der Zustimmung: Alle 12 Monate sollte die Zustimmung erneut eingeholt werden.

 

Betreiber von Websites sowie Entwickler sollten sich vor diesem Thema nicht länger scheuen. „Ein datenschutzkonformes Cookie-Banner umzusetzen, stellt kein Problem mehr dar. Es gibt mittlerweile zahlreiche technische Lösungen – auch von europäischen Unternehmen.“, erklärt Stefan Latz. „Dass nicht direkt beim Besuch einer Webseite Cookies gesetzt und getrackt werden, ist ein datenschutzrechtlicher Fortschritt. Außerdem sind die Informationen um Cookies und Tracking-Tools wichtig für einen aufgeklärten Umgang mit Onlinemedien. Dem gegenüber stehen bestimmte Denkmuster in Marketing-Strategien. Diese müssen sicherlich auf den Prüfstand gestellt werden. Die Zukunft wird zeigen, ob das der richtige Weg ist und die Betroffenen, also wir alle, diese Aufklärung auch wirklich wahrnehmen. “