Beim Surfen im Internet dürften sich viele Nutzer schon daran gewöhnt haben, PopUp-Nachrichten mit Einwilligungstexten zur Cookiesetzung „wegklicken“ zu müssen. Die Anforderungen der Datenschutz-Aufsichtsbehörden an datenschutzkonforme Cookie-Banner sind jedoch hoch und ungenügende Einstellungen können einem schnell eine Abmahnung und schlimmstenfalls ein Bußgeld bescheren. Worauf Sie bei der Erstellung des Cookie-Banners auf Ihrer Website achten müssen, erfahren Sie im folgenden Beitrag.
Rechtliche Grundlagen bei Verwendung von Cookies
Cookies sind Datenpakete, die von Webseiten zum Zwecke der Nutzerdatenspeicherung erzeugt werden. Anhand von Cookies wird erkannt, welche Einstellungen der Nutzer präferiert. Grade im Online-Marketing sind Cookies äußerst wichtig geworden. Um die personenbezogenen Daten der Nutzer speichern oder verwenden zu können ist die Nutzung von Cookie-Bannern jedoch zwingend, da die Einwilligung der Websitebesucher eingeholt werden muss.
Cookies können in unterschiedliche Kategorien untergeordnet werden. Zunächst sind die funktionalen Cookies zu nennen, die zur reibungslosen Nutzung der Webseite notwendig sind. Diese sind auch als First Party-Cookies bekannt und verbleiben nach Verlassen der Seite auf dem Nutzergerät. So „merkt“ sich ein Onlineshop beispielsweise die im Warenkorb abgelegten Artikel. Solche Cookies können ohne ausdrückliche Einwilligung der Nutzer verwendet werden.
Anders ist dies bei Cookies zur Analyse der Websitenutzung sowie denen, die zur Erstellung von personalisierter Werbung dienen. Bei dieser Variante handelt es sich um Third Party-Cookies, welche zumeist von Werbetreibenden gesetzt werden und deren Zweck vor allem in der Sammlung von Nutzerinformationen liegt. Entsprechend der gesammelten Informationsergebnisse erhält der Nutzer angepasste Werbeanzeigen beim Surfen. Werden Cookies zur Verfolgung des Nutzerverhaltens eingesetzt ist eine Einwilligung des Nutzers unumgänglich.
Das ab Dezember 2021 geltende Gesetz „Zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien“ – kurz TTDSG – wird diese Einwilligungsregeln nach § 25 TTDSG verpflichtend vorsehen, worüber wir bereits auf unserem Blog berichtet haben. Wer sich lediglich auf die notwendigen Cookies beschränkt braucht auch nicht durch Cookie-Banner auf diese aufmerksam zu machen.
Was auf jeden Fall zum Cookie-Banner dazugehören sollte
Ein rechtskonformes Cookie-Banner enthält eine Auflistung aller Cookies, die Sie für Ihren Internetauftritt benutzen. Zu diesen muss der Nutzer gezielt seine Zustimmung geben können. Darüber hinaus hat das Banner auf die Datenschutzerklärung Ihrer Webseite zu verweisen, damit der Nutzer über die direkte Verlinkung nachlesen kann, wie seine Daten genutzt werden. Falls Ihr Cookie-Banner bereits eine Vorauswahl durch entsprechende Häkchensetzung trifft, ist es äußerst wichtig, dass diese sich auf die technisch notwendigen Cookies beschränkt. Außerdem ist es sinnvoll, Ihr Banner mit einer einfach aufzufindenden Schaltfläche zu versehen, bei deren Betätigung nur essenzielle Cookies gesetzt werden. Im Banner sollte schließlich auch ein Hinweis enthalten sein, welcher den Verbraucher über die Möglichkeit der nachträglichen Deaktivierung von optionalen Cookies in Kenntnis setzt, die Sie selbstverständlich anbieten müssen.
Was es unbedingt zu vermeiden gilt
Zunächst ist es wichtig hervorzuheben, dass Ihre Website keine Tracking-Cookies setzen darf, solange der Nutzer seine ausdrückliche Zustimmung nicht gegeben hat. Dies muss selbst dann so bleiben, wenn der Verbraucher auf der Seite surft, aber das Cookie-Banner die gesamte Zeit über nicht wegklickt. Falls Sie Ihren Internetauftritt so gestalten, dass der Zugriff auf Ihre Websiteinhalte verwehrt wird, solange der Nutzer keine Einstellungen im Cookie-Banner vornimmt, ist dies auch völlig in Ordnung. Wichtig ist lediglich, keine einwilligungsbedürftigen Cookies für einen Nutzer zu verwenden, bis dieser zugestimmt hat. Ihr Banner darf außerdem auf keinen Fall durch aufdrängende Ausdrucksweisen auffallen. Vermeiden Sie unbedingt Formulierungen wie „Durch weiterscrollen akzeptieren Sie alle Cookies“ oder Bannergestaltungen, die den Nutzer beispielsweise aufgrund von vorheriger Hakensetzung bei Werbecookies zur Zustimmung bringen sollen. Grund hierfür ist, dass ein Weiterscrollen oder Voreinstellen keine ausdrückliche Zustimmung des Nutzers ersetzt. Ihr Banner sollte den Nutzer nicht durch sein Layout auf mehr oder weniger subtile Weise dazu verleiten, schnell alles bejahend wegzuklicken, weil alles andere durch die Präsentation zu mühsam zum Navigieren ist. In derartigen Einflussnahmen auf die Nutzerentscheidung sehen die Datenschutzbehörden nämlich sogenanntes „Nudging“, welches als unzulässig gilt. Prägnante Beispiele hierfür sind Cookie-Banner, die große Schaltflächen mit „Alles Akzeptieren“ enthalten oder den „Ablehnen“-Button derart platzieren, dass er erst nach einigem Suchen wirklich erkennbar ist. Die Verwendung von solchen „dark patterns“, also manipulativen Gestaltungsmethoden, stellt ein absolutes No-Go dar.
Der Einsatz von Consent-Management-Tools
Für Ihren Internetauftritt kann das Nutzen eines Consent-Management-Tools, kurz CMT, auf den ersten Blick sehr nützlich sein, um die Anforderungen umzusetzen. Dabei handelt es sich um ein Hilfsmittel, das auf Ihrer Website implementiert wird, um Ihnen bei der Verwaltung von Nutzereinstellungen sowie der Datenverarbeitung zu helfen. Sie können mit solchen Softwares unkompliziert die notwendigen Zustimmungen für Cookies beim Websitebesucher erfragen. CMTs funktionieren als Pop-Up Fenster, die durch das Ankreuzen der gewünschten Cookieeinstellungen die Nutzerpräferenzen für Ihre Seite speichern. Allerdings gibt es zahlreiche kostenlose wie kostenpflichtige Tools, von denen nicht alle empfehlenswert sind. Achten Sie unbedingt darauf, dass Ihr Tool die aufgeführten Bedingungen erfüllt und Ihnen keinen unnötigen Ärger beschert. Solange Ihr CMT sich keiner manipulativen Gestaltungstricks bedient ist gegen den Einsatz solcher Software nichts einzuwenden.
Können wir Ihnen behilflich sein?
Für weitergehende Rechtsberatung steht Ihnen die Kanzlei Heidrich Rechtsanwälte gerne zur Verfügung. Rufen Sie uns gerne unverbindlich an unter 0511 – 37498150 oder melden Sie sich über unser Kontaktformular.
Auch Werbecookies können First Party-Cookies sein.
FPC ist ein technischer Begriff und bezeichnet Cookies, die nur von der Domain (also technisch dem Server dahinter) ausgelesen werden können, auf der sich der Nutzer gerade befindet.
Wird also auf diesistmeinedomain.de ein cookie gesetzt, so kann den auch nur diesistmeinedomain.de wieder auslesen.
Will der Betreiber Werbeerfolge erfassen, beispielsweise mit Google, so setzt das entsprechende Stück Tracking-Code auch einen Cookie. Dieser kann jetzt auch so gesetzt werden, dass nur besagter Tracking-Code auf diesistmeinedomain.de auslesen kann. Dann wäre es auch ein First Party-Cookie. Oder der Code kann den Cookie so setzen, dass Google diesen auf anderen Seiten auch auslesen kann.
Dazu wird der Cookie auf einer von Google kontrollierten Domain gesetzt beispielsweise diesedomaingehoertgoogle.com. Dann nennt man dies Third Party-Cookies. Weil eine „dritte“ Ressource in der eigentlichen Domain (meist unsichtbar) eingebunden sein muss um von dieser Domain aus einen Cookie setzen zu können.
So funktioniert das auch mit Einbindungen von YouTube oder sozialen Netzwerken.
First und Third Party-Cookies sind also technische Begriffe.