Gewiss haben Computer und Digitalisierung unser Leben häufig einfacher gemacht. Aber es entstehen dadurch auch neue Herausforderungen. Allein ein Hinweistext auf Cookies hat komplexe Regeln zu erfüllen, denn er muss konform sein zu den ePrivacy-Richtlinien, zur DSGVO und zum Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG).
Es gibt mehrere Arten von Cookie-Consent-Bannern
Wer sich auf die Suche nach geeigneten Cookie-Bannern macht, findet eine ganze Reihe von Plugins und Cloud-Cookie-Bannern, die vermeintlich alle rechtskonform sein sollen. Doch das ist mitnichten so. Einige einzubindende WordPress-Plugins oder WordPress-Dienste setzen gleich mehrere Cookies oder Informationen, die diesen sehr ähnlich sind. Der Einfachheit halber werden sie im Folgenden dennoch als „Cookie“ bezeichnet.
Opt-in Cookie-Banner
Gemäß der aktuellen Rechtsprechung sind in der EU überhaupt nur noch Opt-in Cookie-Banner zugelassen. Es handelt sich dabei um jene Cookie-Consent-Banner, die eine aktive und zugleich informierte Einwilligung der Seitenbesucher einfordern. Dabei geht es darum, dass die Besucher beim erstmaligen Aufruf einer Webseite ein Banner beziehungsweise einen Dialog angezeigt bekommen, über den sie selbst auswählen können, welche Cookies gesetzt oder welche Services geladen werden dürfen. Das Cookie-Banner darf dabei keine Cookies vorauswählen. Dies bedeutet aber auch, dass erst nach der expliziten Zustimmung des Nutzers solche Dienste wie Google Analytics eingebunden werden dürfen.
Opt-out Cookie-Banner
In diesem Fall werden die Cookies gleich erst mal gesetzt. Allerdings muss der Nutzer sofort die Möglichkeit bekommen, dem zu widersprechen. Man kann diese Variante gut daran erkennen, dass am unteren Rand des Bildschirms ein Link aufkommt der Art „Don’t sell my personal Informations“. Wenn der User auf diese Weise widerspricht, müssen alle Cookies unmittelbar wieder gelöscht werden. Dazu gehört auch die Unterbindung der damit verbundenen Plugins und Dienste.
Diese Ausprägung der Cookie-Banner wird vom „California Consumer Privacy Act“ (CCPA) gefordert, um die US-Bürger Kaliforniens zu schützen. Betreiber von Webseiten, die auch auf dem US-Markt unterwegs sind, sollten dies unbedingt berücksichtigen. Es ist dann darauf zu achten, dass das restriktivere europäische Opt-in Cookie-Banner die Anforderung des CCPA ebenso erfüllt.
Cookie-Hinweise
Es war lange üblich, auf der Webseite lediglich einen Hinweis darauf zu platzieren, dass Cookies verwendet werden. Immerhin enthielten die Datenschutzerklärungen in der Regel Anleitungen darüber, wie ein User der Nutzung von Cookies widersprechen kann. Doch bei genauerer Betrachtung wurde nicht wirklich für alle Cookies erläutert, wie diesen widersprochen werden kann. Inzwischen hat der Bundesgerichtshof (Az. I ZR 7/16) über die Cookie-Einwilligung klar entschieden, dass derartige Hinweise in Deutschland nicht ausreichend und daher nicht zulässig sind.
Warum sind so viele Cookie-Banner nicht rechtskonform?
Es ist ja lobenswert, dass der Gesetzgeber versucht, für ausreichenden Datenschutz im Internet zu sorgen, indem die umfangreichen personenbezogenen Datensammlungen zumindest erschwert werden. Konkret erreicht wurde damit jedoch, dass das Betreiben einer Webseite heute so komplex geworden ist, dass selbst Profis dabei am Rande zur Illegalität entlang schrammen. Es ist in der Tat zu viel verlangt, dass jeder kleine Hobby-Blogger dazu verpflichtet ist, ellenlange Gesetzestexte zu lesen und zu verstehen. Das schießt übers Ziel hinaus.
Was muss also drinstehen im Cookie-Banner?
Das Dialogfeld sollte mit einer unmissverständlichen Überschrift wie „Privatsphäre – Einstellungen“ klar gekennzeichnet sein. Danach folgt eine Aufklärung darüber, dass der Nutzer hier Einstellungen zum Schutz seiner Privatsphäre vornehmen kann. Dazu möchten wir an dieser Stelle ein Beispiel präsentieren:
Informationen und Rechtsbelehrung zur Datenverarbeitung
Auf dieser Webseite werden Cookies und ähnliche Technologien verwendet und personenbezogene Daten wie die IP-Adresse verarbeitet. Diese Daten teilen wir auch mit Dritten. Diese Form der Datenverarbeitung kann nur mit Ihrer Einwilligung erfolgen. Ein berechtigtes Interesse vorausgesetzt, können Sie aber den individuellen Datenschutzeinstellungen widersprechen. Sie haben das Recht, ausschließlich in essenzielle Dienste einzuwilligen, wobei die Einwilligung in die Datenschutzerklärung später jederzeit geändert oder widerrufen werden kann.
Es geht also darum, dem Nutzer diese drei wichtigen Punkte nahezubringen:
- Welche Daten werden verwendet und verarbeitet? Am besten mit Beispielen unterlegen.
- Warum werden diese Daten verwendet und weiter verarbeitet?
- Wie kann die Einwilligung widerrufen oder geändert werden?
Jugendschutz
Wer noch nicht 16 Jahre alt ist, darf formal rechtlich gar nicht selbst in optionale Services einwilligen, so jedenfalls steht es in Artikel 8 der DSGVO. Jeder Betreiber einer Webseite muss daher geeignete Maßnahmen dafür treffen, dass sichergestellt ist, dass Jugendliche ihre Einwilligung nur zusammen mit ihren Eltern beziehungsweise erziehungsberechtigten Personen abgeben können.
Diese Auswahlmöglichkeiten müssen gewährleistet sein
- Alle akzeptieren
- Weiter ohne Einwilligung
- Individuelle Privatsphäre – Einstellungen
Häufig wird diese Funktion mit „Cookies konfigurieren“ bezeichnet.
Rechtliche Seiten wie die Datenschutzerklärung oder das Impressum dürfen nicht durch Cookie Pop-ups verdeckt werden. Es ist daher ratsam, diese beiden Seiten direkt auf dem Cookie-Banner zu verlinken.
Abschließender Hinweis
Es werden viele kostenlose Cookie-Banner-Text-Generatoren angeboten. Die meisten davon sind aber rechtlich nicht auf aktuellem Stand. Gleiches gilt vielfach für Cookie-Banner-Plugins.
