Wie muss ein Cookie-Banner aussehen und welche Cookies darf ich nutzen? Wir erklären, wie die Nutzung von Cookies datenschutzkonform umgesetzt werden kann.
Der EuGH hat mit seinem Urteil vom 1. Oktober 2019 („Planet49“) eine wichtige Entscheidung in Hinblick auf die Nutzung von Cookies gefällt. Insbesondere hat er Aussagen dazu getroffen, wie eine wirksame Einwilligung in Cookies aussieht und welche Informationspflichten man erfüllen muss. In diesem Blogartikel wollen wir klären, wie man weiterhin Cookies nutzen kann und wie Cookie-Banner konkret ausgestaltet sein sollten.
Welche Cookies werden genutzt und welche Rechtsgrundlage ist möglich?
Bevor man beginnt, das Cookie-Banner zu entwickeln und es auszugestalten, muss man zunächst eine Bestandsaufnahme aller verwendeten Cookies vornehmen. Dies ist nötig, um herauszufinden, welche Kategorien von Cookies (gruppiert nach Zwecken) existieren und auf welcher Rechtsgrundlage man die Cookies verwenden kann. Als Rechtsgrundlage für Cookies kommen aus Art. 6 Abs. 1 DSGVO insbesondere in Betracht: die Einwilligung und das berechtigte Interesse.
Bei der Frage, ob man die entsprechenden Cookies auf Grundlage eines berechtigten Interesses nutzen kann, kann man sich am Kriterienkatalog der Datenschutzkonferenz (DSK) orientieren. Dieser formuliert 8 Kriterien, nach denen man eine Interessenabwägung vornehmen kann. Das ist zwar im Einzelfall aufwendig, jedoch im Rahmen der Rechtsgrundlage nach Art. 6 Abs. 1 lit. f DSGVO nötig, um deren dreistufige Voraussetzung (Vorliegen eines berechtigten Interesses, Erforderlichkeit der Datenverarbeitung sowie Interessenabwägung im Einzelfall) dokumentiert und nachvollziehbar zu erfüllen. Aus dem Kriterienkatalog lassen sich folgende Fragen ableiten:
- Vorhersehbarkeit und Transparenz: Entspricht die Datenverarbeitung den vernünftigen Erwartungen der betroffenen Personen? (dazu gehört nicht z. B. Maustracking)
- Interventionsmöglichkeiten: Besteht die Möglichkeit, die Datenverarbeitung durch Cookies zu unterbinden oder einzuschränken? (z. B. Opt-out)
- Verknüpfung der Daten: Werden die verarbeiteten Daten mit weiteren Daten verknüpft? (z. B. Profilbildung, geräteübergreifendes Tracking)
- Anzahl der beteiligten Akteure: Sind mehrere Akteure an der Datenverarbeitung beteiligt?
- Dauer der Verarbeitung: Erfolgt die Verarbeitung über einen längeren Zeitraum, gibt es ein Verfallsdatum für persistente Cookies?
- Kategorien von Daten: Werden besondere Datenkategorien oder wird besonders detailliert verarbeitet? (z. B. Gesundheitsdaten, Tippverläufe, Texte aus nicht abgeschickten Formularen)
- Umfang der Datenverarbeitung: Werden Daten in großem Umfang verarbeitet?
- Kategorien von betroffenen Personen: Sind besonders geschützte Personen betroffen? (z. B. Kinder)
Die DSK formuliert übrigens deutlich, dass eine solche Interessenabwägung „eine substantielle Auseinandersetzung mit den Interessen, Grundrechten und Grundfreiheiten der Beteiligten verlangt“, wobei „unzureichende oder pauschale Feststellungen, dass eine Datenverarbeitung gemäß Art. 6 Abs. 1 lit. f) DSGVO zulässig sei“ die gesetzlichen Anforderungen nicht erfüllten.
Als grobe Faustregel könnte man formulieren, dass Cookies zu Präferenzen (z. B. Schriftgröße, Darstellung, Farben) sowie zur Analyse der Seitenaufrufe wohl häufig aufgrund eines berechtigten Interesses zulässig sind, während Cross-Site-Marketing und Re-Targeting auf Drittseiten wohl nur mit Einwilligung zulässig wären. Praktisch lässt sich jedoch keine einfache Formel zur Zulässigkeit aufstellen, da sie zu sehr vom konkreten Cookie und der damit verbundenen Datenverarbeitung abhängt.
Wann braucht man ein Cookie-Banner und wie wird es ausgestaltet?
In dem unwahrscheinlichen Fall, dass die Website lediglich unbedingt (technisch) erforderliche Cookies verwendet (z. B. Session-Cookies, Warenkorb-Cookies, Login-Cookies), ist kein Cookie-Banner erforderlich. Gleichwohl müssen aber auch in diesem Fall die Informationspflichten in der Datenschutzerklärung beachtet werden.
Ansonsten ist stets ein Cookie-Banner erforderlich – also auf den allermeisten Websites. Wird die Nutzung der Cookies auf ein berechtigtes Interesse gestützt, ist das Cookie-Banner dringend empfehlenswert, während es bei der Einholung der Einwilligung zwingend notwendig ist.
Das Cookie-Banner sollte mindestens darüber informieren:
- Warum bzw. welche Arten von Cookies genutzt werden (z. B. für Analyse, Verbesserung der Website, personalisierte Anzeigen und Inhalte, Funktionen für soziale Medien)
- Ob Daten weitergegeben werden (z. B. an Partner, zur Profilbildung)
- Wo man weitere Informationen erhält (Link zur Datenschutzerklärung)
- Dass und wie man Cookies deaktivieren/löschen kann (Opt-Out-Möglichkeit)
- Im Falle einer Einwilligung: dass diese freiwillig ist und auch verweigert werden kann
Beim Einsatz des Cookie-Banners sollte gewährleistet sein, dass:
- Es nicht den Link zum Impressum oder zur Datenschutzerklärung überdeckt
- Im Falle eines berechtigten Interesses: Möglichst keine Cookies gesetzt werden, bevor der Nutzer eine Interaktion ausgeführt hat (z. B. Klick auf internen Link), also ein Delay eingebaut wird
- Im Falle einer Einwilligung: Cookies erst gesetzt werden, wenn der Nutzer aktiv die Zustimmung durch eine Schaltfläche gegeben hat, und das Banner vor Entscheidung des Nutzers (Zustimmung/Ablehnung) auch nicht weggeklickt werden kann
Auf konkrete Textbeispiele wollen wir an dieser Stelle verzichten, da keines den individuellen Anforderungen der eigenen Website genügte und diese ggf. in falscher Erwartung als Standardmuster verwendet würden. Vielmehr sollte der Text des Cookie-Banners den individuellen Eigenheiten der Website und der genutzten Cookies entsprechen.
Was muss man beim Cookie-Banner aufgrund eines berechtigten Interesses noch beachten?
Das Cookie-Banner bei der Nutzung von Cookies auf Grundlage eines berechtigten Interesses sollte nicht den Eindruck erwecken, es würde eine Einwilligung darstellen. Stattdessen sollte der Banner-Text als reine Information dienen, die man etwa mit einem Button „Ok“ als Bestätigung der Kenntnisnahme abschließen könnte. Der Klick auf „Ok“ wäre wohl die einfachste Möglichkeit, zugleich das Setzen bzw. den Zugriff auf Cookies zu aktivieren, wenn man keine andere Form eines Delay nutzt (s.o.).
Mit der Kenntnisnahme verbunden werden kann ein – in diesem Fall dann unbedingt notwendiges – Cookie, welches eben diese Bestätigung, das Banner gelesen zu haben, dokumentiert. Solange dieses „Gesehen“-Cookie existiert, braucht das Cookie-Banner dann nicht mehr angezeigt zu werden. Sollte der Nutzer seine Cookies regelmäßig löschen, würde jedoch auch das Banner wieder auftauchen.
Welche Formen könnte ein Cookie-Banner mit Einwilligung annehmen?
Das Cookie-Banner sollte grundsätzlich die freie Wahl zwischen Zustimmung und Ablehnung der Cookies ermöglichen – und keinen Zwang ausüben. Die konkrete Ausgestaltung hängt wiederum davon ab, wie datenschutzfreundlich man sein bzw. wie viel Risiko man eingehen möchte.
Sicherlich wäre es besonders datenschutzfreundlich, wenn das Cookie-Banner standardmäßig keine der aufgeführten Cookie-Arten (gruppiert nach Zweck) voreingestellt hat und den Button “Keine auswählen” bzw. nach dem Ankreuzen “Auswahl bestätigen” besitzt. Dann sollte man sich jedoch zugleich bewusst sein, dass kaum jemand freiwillig Cookies für Marketing ankreuzen wird, sondern stattdessen keine Cookies auswählen wird.
Ein Mittelweg wäre wohl, die Schaltflächen “Alle Cookies akzeptieren”, “Nicht notwendige Cookies ablehnen” und “Cookies individuell einstellen” nach (oder in) dem Informationstext anzubieten. Dabei sind verschiedene Design und konkrete Ausgestaltungen möglich.
Besonders progressiv – jedoch zugleich auch risikoreicher – wäre die Möglichkeit, einen Button „Alle Cookies akzeptieren“ anzubieten und zugleich (nur) die Schaltfläche „Cookies individuell einstellen“. Aus dem Informationstext sollte dann aber deutlich hervorgehen, dass man über diesen Button auch die Cookies ablehnen kann. Die Interaktion mit diesem Button könnte dann zu nicht voreingestellten Checkboxen von nach Zwecken gruppierten Cookies führen, wobei eine Schaltfläche standardmäßig die Ablehnung nicht notwendiger Cookies ermöglichen (“Keine auswählen”) und nach dem Ankreuzen “Auswahl bestätigen” heißen könnte.
Gerichtsentscheidungen, die konkret besagen, wie die Einwilligungen mithilfe von Cookie-Bannern auszusehen haben, gibt es bisher nicht, so dass es noch an Rechtssicherheit in diesem Bereich fehlt.
Fazit: Eine Frage des Risikos
Die Ausgestaltung des Cookie-Banners für Einwilligungen kann also ziemlich unterschiedlich ausfallen, je nachdem, welche Prioritäten man setzt. Man sollte sich immer bewusst sein, dass es sich weiterhin um eine Abwägungs- und Risikofrage handelt. So sollte die Entscheidung für ein Konzept nicht leichtfertig und schnell gefällt werden, sondern immer vor dem Hintergrund einer genauen Erwägung der möglichen Vor- und Nachteile bestimmter Varianten eines Cookie-Banners.