Datenschutz – Wie sieht die Zukunft der Cookie-Banner aus?

Datenschutz - Wie sieht die Zukunft der Cookie-Banner aus

Copyright © Shutterstock / liubaska


Am 1. Oktober 2019 fällte der Gerichtshof der Europäischen Union (EuGH) ein wegweisendes Urteil, das den Umgang mit Datenschutz im Internet und die Gestaltung der Cookie-Banner nachhaltig beeinflussen wird. Die Unsicherheit ist seitdem gerade im Online-Marketing groß: Wie sollen Besucher einer Website von nun an rechtskonform über die Bearbeitung ihrer Daten informiert werden? Auch User sind unsicher, da im Grunde immer schwer nachvollziehbar war, was gesammelte Daten über den Benutzer verraten. Der EuGH will nun mit seinem Urteil von Beginn an Transparenz einfordern und schaffen.

Dreh- und Angelpunkt des EuGH-Urteils sind für alle Praktiker die Cookie-Banner. Das Problem: Es gibt noch kein wirklich passendes Muster für einen Cookie-Banner, das einer rechtlich verbindlichen Darstellung entspräche; immerhin gibt es aber einige Richtlinien, die berücksichtigt werden können. Darüber hinaus können die Gesetze zur Cookie-Einwilligung in jedem Land unterschiedlich sein, da es einige Regeln gibt, die Gesetze außer Kraft setzen.

In diesem Beitrag finden Sie mehrere Informationen und Hinweise zum Thema Cookies. Wir möchten aber darauf hinweisen, dass viele Informationen sich widersprechen, da es noch ein paar Unklarheiten gibt. Darüber hinaus sind wir keine Anwälte, alle Informationen wurden von mehreren Quellen gesammelt und zusammengefasst. Bei Fragen können Sie sich gerne an uns wenden.

Hinweis: Es handelt sich hier um einen Artikel vom März 2020 – dieser Artikel ist keine rechtliche Beratung. Es wird keine Garantie auf Rechtssicherheit gegeben.

Wie alles begann

Alles begann mit der Online-Plattform Planet49, die vor allem für verschiedene Gewinnspiele bekannt war. Um teilzunehmen, mussten Benutzer ein Formular ausfüllen und ihre persönlichen Daten hinzufügen. Am Ende gab es zwei Checkboxen, eine für die allgemeinen Geschäftsbedingungen, eine andere für die Verarbeitung der Nutzerdaten, die vom Nutzer bestätigt werden sollten. Das AGB-Feld war von der Website nicht angeklickt. Die Daten-Checkbox war jedoch bereits angekreuzt. Ein Benutzer bemerkte dies und stellte die Rechtmäßigkeit dieses Verfahrens in Frage.

Planet49 Online Spiel Teilnehmer

Copyright © Screenshot / Planet49

Nach langer Verhandlung kam der EuGH in seinem Urteil zum folgenden Beschluss: Der Nutzer muss der Verarbeitung seiner personenbezogenen Daten frei zustimmen. Nach Auslegung des EuGH hat Planet49 daher nicht datenschutzkonform gehandelt. Ein Urteil mit Folgen, da im Bereich Online-Marketing niemand wusste, welche Praxis sich nun als rechtskonform erweisen soll.

Der EuGH hat entschieden

Aufgeworfen wurden durch das Planet49-Urteil mehrere Fragen. In der Praxis beziehen diese sich auf die Erstellung von Cookie-Bannern und Checkboxen. Berücksichtigt wurden bei der Entscheidungsfindung auch die Richtlinien der ePrivacy. Laut der schon länger bestehenden ePrivacy-Richtlinien sollten alle Cookies, außer solche, die unbedingt notwendig sind, vorab nicht angekreuzt sein. Diese benötigen also in jedem Fall eine Einwilligung vom Nutzer.

ePrivacy-Regelung

Die ePrivacy-Regelung dient dem Schutz von Personen und Unternehmen in der Online-Welt, insbesondere für die elektronische Kommunikation in Europa. Die Regelung möchte die privaten und persönlichen Daten der Internetnutzer respektieren. Im Fokus stehen Unternehmen, die Tracking und ähnliche Marketingmethoden auf ihren Websites anwenden. Die ePrivacy-Verordnung soll Mitte 2020 eintreten und ab 2021 überall verpflichtend sein.

Im Urteil wurden dann mehrere Fragen erörtert, die die neue Gesetzeslage betreffen. Um es unkompliziert zu machen, haben wir die Fragen vereinfacht:

  • Braucht man eine wirksame Einwilligung, wenn man Informationen auf dem Endgerät des Nutzers speichern will?
  • Gelten vorangeklickte Checkboxen als eine gültige Einwilligung?
  • Wenn ich eine Einwilligung einhole, welche Informationen muss ich dem Nutzer weitergeben?

Die Entscheidung des EuGH sollte für alle europäischen Länder gelten. Die wichtigste Entscheidung war, dass – sollte eine Einwilligung nötig sein – die vorangeklickten Checkboxen nicht gültig sind. Was die Informationen betrifft, so sollen diese sehr ausführlich sein. Aber zu diesen Themen kommen später weitere Hinweise.

Cookie Banner Cookiebot

Copyright © Screenshot / Cookiebot

Ein Beispiel für ein nicht ausreichendes Cookie-Banner sind etwa die Einblendungen, auf denen nur ein Hinweis zum Thema sowie ein OK-Button zu finden sind, da es keine klare und zweifelsfreie Einwilligung für den konkreten Fall der Cookie-Nutzung(en) gibt.

Cookie Banner SEO Day Cologne - Christian Solmecke

Copyright © Screenshot / SEO Day Cologne Christian Solmecke

In vielen Fällen kann der Nutzer entweder alle Cookies akzeptieren oder auf der Website weitersurfen. In beiden Fällen werden die Cookies automatisch gesetzt, laut Gerichtsurteil sollte dies nicht mehr der Fall sein. Es handelt sich hier um eine implizite Zustimmung, die wir später erläutern werden.

Was wurde vom EuGH nicht entschieden?

In Deutschland gibt es ein Datenschutzgesetz, das bisher immer gültig war. Das Telemediengesetz war für alle Websites gedacht, insbesondere für Online-Marketing-Unternehmen. Dies ermöglichte das Tracken des Nutzerverhaltens ohne Einwilligung.

Der Dienstanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht. Der Dienstanbieter hat den Nutzer auf sein Widerspruchsrecht im Rahmen der Unterrichtung nach § 13 Abs. 1 hinzuweisen. Diese Nutzungsprofile dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden. (Telemediengesetz, Art. 15, Abs. 3)

Als das EuGH-Urteil jedoch gefällt wurde, wurden Rechtsprechungen zum Telemediengesetz in Deutschland nicht berücksichtigt. Welches Gesetz über das andere herrschen sollte, wurde auch nicht beantwortet. Viele deutsche Websites berücksichtigen deswegen bei der Gestaltung der Cookie-Banner die Einwilligung immer noch nicht, aber dies sollte sich bald ändern.

Laut Christian Solmecke, Anwalt für Internet- und Medienrecht, ist das EuGH-Gesetz bindender als das Telemediengesetz, weshalb Website-Betreiber ab jetzt dem Nutzer eine gültige Einwilligung anbieten sollten. Ergänzt wurde, dass das Bundesgericht auch eine Entscheidung in Kürze über die Hierarchie der Gesetze treffen sollte. Kommt es zum Urteil, ist es wahrscheinlich, dass das Telemediengesetz nicht gültig ist und verändert werden wird.

Mehr zum Thema hier:

https://www.youtube.com/watch?v=TqaeveVUBXw

Die neue Cookie-Banner-Einwilligung für Websitebetreibende

Die wichtigste Lehre aus dem EuGH-Urteil: Der Nutzer muss der Verarbeitung seiner personenbezogenen Daten aktiv zustimmen. Laut der DSGVO (Abk. für Datenschutz-Grundverordnung) muss die Einwilligungs-Option klar dargestellt werden. Außerdem soll diese für den konkreten Fall der Website-Nutzung gelten.

Einwilligung der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist (DSGVO, Art. 4, Nr. 11)

Unter Berücksichtigung des obigen Gesetzes wird verständlich, dass der Benutzer die Verfolgung seiner Aktivitäten und Daten nur durch das Anklicken der entsprechenden Checkboxen genehmigt. Dies wird als gültige Einwilligung zur Verarbeitung von Nutzerdaten gekennzeichnet.

Im Falle von Planet49 und anderen Gewinnspiel-Anbietern gilt das Klicken auf „Teilnahme senden“ nicht als Zustimmung für Cookies. Dies gilt nur als Teilnahme-Bestätigung für den Wettbewerb.

Die gerichtliche Entscheidung will das Privatleben des Internetnutzers weiter schützen. Es handelt sich auch um einen Versuch, Angriffe von Spyware – zum Beispiel Hidden Identifiers – zu vermeiden, welche heimlich auf das Endgerät des Benutzers gelangen. Spyware dieser Art kann auf die Informationen einer Person zugreifen und deren Online-Aktivität tracken.

Im Sinne des EuGH-Urteils sind alle Programme betroffen, die Zugriff auf Daten haben und diese bearbeiten können. Dies betrifft also nicht nur Websites, die Daten bearbeiten, sondern auch die gesammelten Kundendaten im Zuge eines Newsletter-Versands. Gängige Newsletter-Tools haben bekanntlich auch Zugang auf Nutzer-Daten und speichern diese für Bearbeitungs- und Auswertungszwecke. Insbesondere geht es dabei um folgende Informationen: Öffnungsrate, demografische Informationen, Gerät, Browser, Öffnungszeitpunkt, Herkunft und Standort.

Für Newsletter werden entsprechende Tools benutzt, um eben diese Informationen zu sammeln und zu analysieren. Deswegen sollten Cookie-Banner die Informationen zur Datenverarbeitung mit einem erklärenden Opt-In-Verfahren verknüpfen, damit diese als juristisch einwandfrei gelten kann. Auch beim Abonnieren von Newslettern muss deswegen der Benutzer eine Einwilligung zu der Bearbeitung von Daten geben. D.h. der Nutzer muss sagen, welche Daten durch die Newsletter bearbeitet und analysiert werden können.

Explizite Einwilligung ist die einzige gültige Einwilligung

Es gibt zwei Arten von Einwilligung für Cookies. Einerseits gibt es die explizite Zustimmung und andererseits die implizite Einwilligung, welche bis zum Urteil des EuGH gültig war. Eine Einwilligung ist nicht gültig, wenn die Checkboxen schon angekreuzt sind bzw. der User diese selbst abwählen muss.

Explizite Einwilligung

Diese ist auch als aktive Zustimmung bekannt, hier entscheidet der Nutzer selbst, wie er mit dem Umgang von Daten und Cookies verfahren möchte. Es handelt sich in diesem Fall um eine aktive, spezifische und positive Entscheidung.

Um die personenbezogenen Daten zu verarbeiten, muss die Website eine Einwilligung vom Nutzer bekommen. Ohne diese können Daten in keinen Fall bearbeitet werden, da es sich um einen Verstoß der Nutzergesetze handelt.

Alle Daten – persönliche, sensible usw. – können nur nach der aktiven Einwilligung getrackt werden.

Personenbezogene Daten sind alle Informationen, die sich auf eine bestimmte Person beziehen. Eigenschaften wie zum Beispiel Name, Steueridentifikationsnummer, Standort oder Online-Kennung sind hier zu nennen. Andere Merkmale, die in diese Kategorie gehören, sind physische, physiologische, kulturelle oder soziale Eigenschaften.
Sensible Daten fokussieren sich auf die Gesundheit, ethnische Herkunft, religiöse Überzeugung, strafrechtliche Vergangenheit oder Sexualleben einer Person.

Wichtiger Touchpoint der Cookie-Einstellungen sind die Widerrufsmöglichkeiten. Der Nutzer kann zu jederzeit die Cookies ändern und diese neu einstellen. Im Cookie-Banner sollte ein Hinweis auf die Widerrufsmöglichkeit vorkommen. Dieser soll auch in der Datenschutzerklärung ergänzt werden.

Implizite Einwilligung

Diese Art von Zustimmung war bis zum Entschluss des Planet49-Urteils in den meisten europäischen Länder gültig, soweit die Website nur personenbezogene Daten bearbeitet hat. Websites, die sensible Daten bearbeitet haben, konnten in keinem Fall mit einer impliziten Einwilligung funktionieren.

Bei einer impliziten Einwilligung, auch als Soft-Opt-In bezeichnet, musste der Besucher auf der Website die Cookie-Schaltflächen „Akzeptieren“ oder „OK“ nicht klicken. Das Ignorieren des Cookie- Banners interpretiert die Website als eine gültige Einwilligung.

Zum Beispiel: Ich besuche eine Website zum ersten Mal und ein Cookie-Banner taucht auf. Dieser informiert mich, dass diese Website Cookies verwendet. Ich lese das Banner, aber anstatt den „OK“-Button zu klicken, navigiere ich auf der Seite weiter. Als Konsequenz verschwindet das Banner und ich scrolle weiter. Dies wird dann als gültige Einwilligung betrachtet und somit kann die Website meine Aktivität tracken.

Cookie Banner Mercedes

Copyright © Screenshot / Mercedes-Benz

Cookie Banner KFW

Copyright © Screenshot / KFW

Bei vielen Websites sind die Einstellungen schon von vornherein ausgewählt. Diese Praxis ist laut EuGH-Gericht nicht mehr möglich, da der Nutzer die Einstellungen einzeln akzeptieren und ankreuzen soll.

Durch eine implizite Einwilligung konnten einige Cookie-Checkboxen vorab ausgewählt werden. Dies galt für Notfall- & Präferenz- sowie statische Cookies. Andererseits durften die Marketing-Cookies vorab nicht angekreuzt werden. Unter den Cookies, die auch keine Einwilligung benötigen, sind dies die unbedingt erforderlichen Cookies.

Unbedingt erforderliche Cookies

Auch als First-Party-Cookies gekennzeichnet, brauchen diese unbedingt erforderlichen Cookies keine Zustimmung vom Nutzer. Eigentlich. Denn so einfach ist es dann doch nicht. Es gibt zu diesem Thema mehrere Diskussionspunkte, da die unbedingt erforderlichen Cookies vor Gericht nicht definiert wurden und es deswegen keine richtigen oder konkreten Beispiele gibt.

Auch die Regelung ist noch unklar:

Die Mitgliedstaaten stellen sicher, dass die Benutzung elektronischer Kommunikationsnetze für die Speicherung von Informationen oder den Zugriff auf Informationen, die im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur unter der Bedingung gestattet ist, dass der betreffende Teilnehmer oder Nutzer gemäß der Richtlinie 95/46/EG klare und umfassende Informationen insbesondere über die Zwecke der Verarbeitung erhält und durch den für diese Verarbeitung Verantwortlichen auf das Recht hingewiesen wird, diese Verarbeitung zu verweigern. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung oder Erleichterung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder, soweit dies unbedingt erforderlich ist, um einen vom Teilnehmer oder Nutzer ausdrücklich gewünschten Dienst der Informationsgesellschaft zur Verfügung zu stellen. (Art. 5 Abs. 3 ePrivacy-RL)

Laut EuGH sind diese Richtlinien nicht auf personenbezogene Daten beschränkt, vielmehr werden hier alle Cookies gemeint. Es gibt Cookies, die keine Benutzerinformationen sammeln, wie zum Beispiel die IP-Adresse. Wenn wir aber alle Cookies – auch die kleinen und unbedeutenden Informationen – zusammenstellen, dann würde es gelingen, den Benutzer als Individuum kenntlich zu machen. Deswegen soll sich die ePrivacy-Richtlinie nicht nur auf personenbezogene Daten beziehen, vielmehr werden von nun an auch anonyme Cookies berücksichtigt.

Anonyme Cookies

Wenn ein Nutzer eine Website besucht, generieren Webanalysesoftware-Programme ein Third-Party-Cookie. Mit diesen kann die Website nachvollziehen, wie viele neue Besucher sie hat und wie viele die Website schon mehrmals besucht haben. Die Arbeit dieser Cookies ist nur von statistischem Wert, mithin können diese für die Identifizierung einer Person nicht verwendet werden; daher bleibt alles anonym.

Unter den unbedingt erforderlichen Cookies versteht man die Cookies, die keine Daten weitergeben. Auch Daten, die für die Funktion der Website erforderlich sind, wie zum Beispiel die technisch notwendigen Cookies, sind hier inbegriffen. Da die Website ohne diese nicht funktionieren würde, brauchen diese keine Einwilligung vom Nutzer. Der Nutzer kann diese Cookies auch nicht deaktivieren. Außerdem werden diese nach dem Schließen der Browsersession gelöscht.

Einige Cookies, die unter diese Art fallen, sind folgende:

  • Warenkorb-Cookies eines E-Shops: Damit der Inhalt des Warenkorbs nicht verloren geht, müssen hier Cookies verwendet werden. Bei jedem neuen Seitenaufruf bleibt der Warenkorb-Inhalt gespeichert.
  • Log-In-Daten: Damit sich der User bei einer Website nicht jedes Mal einloggen muss, werden hier Benutzername und Passwort gespeichert.
  • Sprachauswahl: Wenn der Benutzer eine Seite besucht und eine bestimme Sprache auswählt, bleibt diese schon für den nächsten Seitenaufruf definiert.
  • Cookie-Einwilligung speichern: Damit die Cookie-Banner nicht jedes Mal auftauchen, speichert ein Cookie die Einwilligung automatisch. Falls der Nutzer die Einstellungen danach ändern möchte, muss er es bei der Datenschutzerklärung machen.
  • Flash-Daten: Obwohl Flash-Dateien im Online-Marketing-Bereich nicht sehr beliebt sind, gibt es Websites, die diese trotzdem benutzen. Wenn eine Website Flash-Daten benutzt, muss der User diese für die spezifische Website installieren. Damit dieses Verfahren nicht jedes Mal von Neuem geschieht, speichern die Cookies diese Informationen.
  • Session-Cookies: Dieses Cookie löscht alle Daten nach dem Schließen des Browsers

Nicht unbedingt erforderliche Cookies

Im Gegensatz zu den unbedingt erforderlichen Cookies braucht diese Art von Cookies eine Einwilligung vom Nutzer. Diese dürfen deswegen vorab nicht angekreuzt sein.

Hier handelt es sich normalerweise um Cookies, die von externen Werbeunternehmen stammen, deswegen werden diese mit Tracking, Marketing oder Third-Party-Cookies verbunden.

Diese müssen über ein Opt-In-Verfahren funktionieren, d.h. Sie brauchen eine Zustimmung von den Nutzern. Falls der Nutzer diesen Cookies zustimmt, kann die Website sein Verhalten tracken, z.B. welche Websites er besucht, wie oft er auf der Website ist, wie lange er durch die Seiten scrollt und welche Suchanfragen er macht.

Diese Art von Cookies wird normalerweise für folgende Aufgaben genutzt:

  • Tracking
  • Targeting
  • Soziale Medien
  • Analyse

Sind Cookie-Opt-Out-Verfahren noch gültig?

Ähnlich wie Planet49 verwenden auch viele andere Websites das Cookie-Opt-Out-Verfahren. Unter diesem Begriff versteht man vorrangig aktivierte Cookies, die den Benutzer dazu verpflichten, diese aktiv zu deaktivieren.

Cookie Banner Süddeutsche Zeitung

Copyright © Screenshot / Süddeutsche Zeitung

Dies bedeutet, dass die Cookies bereits aktiv sind und der User der Datenspeicherung nur nachträglich widersprechen kann, indem er diese deaktiviert.

Laut Gericht sowie nach Auskunft von Anwalt Christian Solmecke ist die Opt-Out-Praxis gar nicht möglich, denn der Nutzer muss ohne Zweifel und bei jedem Punkt einzeln die Einwilligung geben können. Es kann nicht ausgeschlossen werden, dass beigefügte Informationen nicht gelesen oder dass die Checkboxen gar nicht wahrgenommen wurden. Wenn das Banner erscheint, muss der User alles einzeln anklicken.

Zusätzlich zu der Tatsache, dass alle Websites die Opt-In-Methode implementieren sollten, muss für den Benutzer auch die Möglichkeit bestehen, die Cookie-Einstellungen zu ändern. Diese Möglichkeit sollte im Cookie-Banner vorkommen, aber auch im Footer der Website.

Die Cookie-Opt-In-Alternative

Nach dem Urteil des EuGH ist diese Alternative ab jetzt Pflicht und sollte in den folgenden Monaten umgesetzt werden. Alle Cookie-Banner sollten nach diesen Verfahren funktionieren, d.h. der Nutzer muss eine Einwilligung geben.

Die Cookies werden nicht von Beginn an gesetzt und die Checkboxen sind nicht vorgewählt. Der Nutzer sucht sich freiwillig aus, welche Daten die Website sammeln und bearbeiten darf, indem er die Checkboxen anklickt. Erst nach der Datenspeicherung erhält die Website Zugang u.a. auf personenbezogene Daten.

Es gibt aktuell noch ganz viele und auch große Websites, die diesen Regelungen nicht folgen und deren Darbietung der Cookie-Einwilligung laut Gericht nicht gültig ist. Es gibt noch ganz viele Seiten, die noch diese Methode benutzen, indem man alles zustimmen muss oder erst alles einstellen muss, wie zum Beispiel:

  • autoscout24.de (Stand: 06.04.2020)
  • baywa-baustoffe.de (Stand: 06.04.2020)
  • n26.de (Stand: 06.04.2020)
  • saturn.de (Stand: 06.04.2020)
  • dell.com (Stand: 06.04.2020)
  • focus.de (Stand: 06.04.2020)
  • Audi.de (Stand: 06.04.2020)
  • Vodafone.de (Stand: 06.04.2020)
  • merkleinc.com (Stand: 06.04.2020)
  • ebay.de (Stand: 06.04.2020)
Cookie Banner N26

Copyright © Screenshot / N26

Cookie Banner Dell

Copyright © Screenshot / Dell

Cookie Banner Baywa Baustoffe

Copyright © Screenshot / Baywa Baustoffe

Cookie Banner Audi

Copyright © Screenshot / Audi

Cookie Banner Vodafone

Copyright © Screenshot / Vodafone

Cookie Banner Saturn

Copyright © Screenshot / Saturn

Cookie Banner Merkle

Copyright © Screenshot / Merkle

Cookie Banner Autoscout

Copyright © Screenshot / AutoScout

Cookie Banner Ebay

Copyright © Screenshot / Ebay

Wenn man keine richtige Cookie-Einwilligung benutzt, dann bringt dies folgende Nachteile:

  • ein Fehlen könnte zu einem Bußgeld führen, da es laut EuGH-Urteil Pflicht ist
  • Der Benutzer ist nicht informiert und kann keine richtige Entscheidung treffen
  • bei ungültigen Cookie-Bannern darf man die Daten vom Nutzer nicht bearbeiten

Nutzer müssen auch über Cookies informiert sein

Um eine fundierte Entscheidung treffen zu können, muss der Benutzer über die Cookies und die Bearbeitung seiner Daten informiert sein. Ähnlich einem Kochrezept gibt es hier einige Schritte, denen Sie folgen sollten. Somit sind Sie sich sicher, dass Ihre Website in Übereinstimmung mit der DSGVO ist.

Folgende Informationen sollten im Cookie-Banner konkret vorkommen:

Hier muss erwähnt werden, welche Arten von Daten die Website bearbeitet und zu welchen Daten die Website Zugriff hat (zum Beispiel die IP-Adresse). Die Praxis von Online-Marketing, die Verhaltensanalyse auf Basis von interessenbezogenen Angaben, ist auch hier mit inbegriffen. Da es sich hier um eine umfangreiche Aufklärung handelt, sollte diese in voller Länge in der Datenschutzerklärung platziert werden.
Nutzer müssen informiert werden, wie lange die Cookies auf der Website bleiben. Im Online-Marketing sollten diese eine Lebensdauer von maximal 24 Monaten haben.
Haben Dritte Zugriff auf Daten? Dann muss dies pflichtmäßig erwähnt werden – mitsamt Identität (zum Beispiel Google Ads oder Analytics). Wer die Daten verarbeitet, muss im Cookie-Banner erwähnt werden. Um sicher zu sein, dass es keinen Verstoß gegen die Datenschutzrichtlinien gibt, sollte ein Link zur Website des Drittanbieters platziert werden. Wenn kein Dritter Zugriff auf die Daten hat, weil Ihre Website diese selbst bearbeitet, muss diese Information auch im Cookie-Banner vorkommen.
Impressum und Datenschutzerklärung sind wichtige Bestandteile des Datenschutzes; diese Elemente befinden sich normalerweise im Footer der meisten Websites. Dies ist aber nicht genügend, denn diese sollten auch leicht erreichbar sein und auch in der Cookie-Einwilligung vorkommen.

Lösungen für Websites und Online-Marketing-Bereich

Browser wie Mozilla und Safari haben den ersten Schritt zum Schutz der Nutzer-Daten schon unternommen. Wenn Sie eine Website besuchen und dabei einen der Browser verwenden, werden die Cookie-Einstellungen automatisch deaktiviert. Auch wenn die Website ein Opt-Out-Verfahren verwendet, werden diese vom Browser deaktiviert. Für Online-Marketing-Betreiber stellt das ein Problem dar, da der Nutzer höchstwahrscheinlich diese Marketing-Einstellung nicht erlauben wird.

Wenn dies in Ihrem Browser nicht der Fall ist, dann können Sie die Sicherheitseinstellungen aufrufen und diese ändern, damit der Browser automatisch gestellte Cookies blockiert.

Chrome will diese Möglichkeit auch in Zukunft ergänzen und arbeitet momentan an den passenden Einstellungen, damit der Nutzer Cookie-Einstellungen nicht selber ändern muss.

Andere Alternativen wie Plug-Ins werden auch immer beliebter, es entstehen aber weitere Probleme bei diesen Möglichkeiten. Nämlich: Die Plug-In-Hersteller sagen von Anfang an, dass Sie keine Haftung wegen schlechter Cookie-Texte übernehmen. Die Texte sollten von den Webseite- Betreibenden selbst erstellt werden, wenn diese Probleme vermeiden möchten.

In Österreich gab es einen Fall, wo dem Nutzer zwei Alternativen zu den Cookie-Einstellungen angeboten wurden: Hier gab die Website standard.at dem User die Möglichkeit, eine die Cookies betreffende Auswahl zu treffen. Der User konnte ein Abo bezahlen und die Cookies wurden dann nicht getrackt – oder er stimmte der Verwendung von Cookies zu. In Österreich wurde entschieden, dass diese Praxis gültig ist, da der Nutzer eine Auswahl treffen kann und nicht gezwungen ist, Cookies zu akzeptieren. Ob dies in Zukunft vom EuGH akzeptiert wird, bleibt noch offen.

Cookie Banner Standart

Copyright © Screenshot / Standart

Aus der Schweiz kommt auch eine Lösung für den Online-Marketing-Bereich, nämlich durch Log-In-Daten. Es handelt sich um eine Plattform, auf der sich Nutzer freiwillig anmelden und sich damit von Unternehmen tracken lassen. Durch die Erstellung eines Kontos bekommen die Nutzer eine konstante ID, die immer trackbar ist. Mit diesem einmaligen Log-In können die Nutzer alle angeschlossenen Websites austauschen.

Diese Lösung ist in der Schweiz ganz beliebt, da die Websites den User tracken können und die Log-In-Daten untereinander tauschen können. Manche deutsche Unternehmen haben sich auch hier schon angemeldet.

Eine beliebte Lösung, die momentan von allen Websites benutzt wird, ist die Praxis verschiedener Farb-Buttons in den Cookie-Einstellungen. Nutzer haben die Tendenz auf farbige Buttons zu klicken. Wenn es in einem Banner einen farbigen Button neben einem farblosen gibt, wird der Nutzer höchstwahrscheinlich auf den farbigen klicken. Laut Christian Solmecke wurde bisher keine Entscheidung zu diesem Thema getroffen und Websites können diese Möglichkeit benutzen.

Alternativen zu den Cookie-Einstellungen gibt es viele, Websites und Anwälte müssen zusammenarbeiten und kreative Lösungen finden, damit sie weiterhin dem Nutzer personalisierte Anzeigen darstellen können. Der Online-Marketing-Bereich kann aufgrund der neuen Änderungen Nachteile erfahren, deswegen schauen sich momentan Website-Betreiber nach Alternativen auch in der Grauzone um.

Cookie Banner OSG

Copyright © Screenshot / OSG

Ein Beispiel für gültige Cookie-Banner sind laut Anwalt Christian Schmolke Banner, wo die unterschiedlichen Cookie-Einstellungen schon vorangeklickt sind. Dann gewährt die Website die Möglichkeit, alle zu deaktivieren, indem der Nutzer auf den „Nur essenzielle Cookies akzeptieren“-Button klickt. Das EuGH hat sich zu dieser Möglichkeit nicht geäußert, aber hier finden wir den ersten Schritt in die richtige Richtung.

FAQs

Was ist eine gültige Einwilligung?

Die einzige gültige Einwilligung ist eine explizite Einwilligung, die auch als Cookie-Opt-In Verfahren gekennzeichnet wird. Im Cookie-Banner werden die Cookies von Beginn an nicht gesetzt und die Checkboxen sind nicht vorgewählt. Der Nutzer sucht sich freiwillig aus, welche Daten die Website sammeln und bearbeiten darf, indem er die Checkboxen anklickt. Erst nach der Datenspeicherung erhält die Website Zugang u.a. auf personenbezogene Daten.

Was ist der Unterschied zwischen einer impliziten und expliziten Einwilligung?

Bei einer impliziten Einwilligung, auch als Soft-Opt-In bezeichnet, musste der Besucher auf der Website die Cookie-Schaltfläche „Akzeptieren“ oder „OK“ nicht anklicken. Das Ignorieren des Cookie-Banners interpretiert die Seite als eine gültige Einwilligung. Eine explizite Einwilligung ist auch als aktive Zustimmung bekannt. Hier entscheidet der Nutzer selbst, wie er mit dem Umgang von Daten und Cookies fortfahren möchte. Es handelt sich um eine aktive, positive und spezifische Entscheidung.

Welche Cookies brauchen eine Einwilligung?

Alle Cookies, die von externen Werbeunternehmen stammen, benötigen eine Einwilligung. Auch Cookies, die für folgende Zwecke gebraucht werden, brauchen eine Zustimmung vom Benutzer: Tracking, Marketing, Third-Party-Cookies, Targeting, Analyse und soziale Medien.

Welche Cookies brauchen keine Einwilligung?

First-Party-Cookies, die auch als unbedingt erforderliche Cookies gekennzeichnet werden, brauchen keine Zustimmung vom Nutzer. Auch Cookies, die keine Daten weitergeben, wie zum Beispiel die technisch notwendigen Cookies, befinden sich in dieser Kategorie. Beispiele zu technisch notwendigen Cookies sind: Warenkorb-Cookies eines E-Shops; Log-In-Daten; Sprachauswahl; Speicherung der Cookie-Einwilligung; Flash Daten und Session-Cookies.

Welche Informationen sollen in einem Cookie-Banner vorhanden sein?

Damit der Benutzer eine fundierte Entscheidung zur Cookie-Verarbeitung trifft, muss er über diese informiert sein. Die Cookie-Banner sollten deswegen folgende Informationen behalten: • Art und Funktionsweise: Welche Arten von Daten werden hier bearbeitet und auf welche Daten hat die Website Zugriff. Marketing-Zwecke sollen hier auch erklärt werden. • Lebensdauer der Cookies: Wie lange bleiben Cookies auf die Website • Zugriff von Dritten: Wenn die Daten von Dritten bearbeitet werden, müssen diese Informationen im Banner vorkommen. • Impressum und Datenschutz: Zugriff auf diese Elemente sollten über das Banner möglich sein.

Fazit

Die Einwilligung für Cookies ist ein Thema, das bereits für viele Diskussionen gesorgt hat. Wenn Websites die Regeln und Gesetze nicht befolgen, kann dies zu hohen Bußgeldstrafen führen. Es wird auch erwartet, dass im zweiten Halbjahr 2020 diese Situation genauer betrachtet wird.

Wichtig ist zusammenfassend, dass die explizite Einwilligung die einzige gültige Form der Zustimmung darstellt. Da nur diese gültig ist, muss der Nutzer vorab über die Dauer und den Zugriff von Dritten informiert werden. Auch im Vorhinein können nur die unbedingt erforderlichen Cookies ausgewählt werden, alle anderen nicht. Daten für Marketing-Zwecke und -Analysen können nur nach der Zustimmung vom Nutzer bearbeitet werden, hier durch die Opt-In-Praxis. Auch wichtig zu erwähnen: Cookie-Banner dürfen das Impressum nicht verstecken, deswegen sollte ein Link zum Impressum im Cookie-Banner vorkommen.

Das Urteil hat Konsequenzen für alle europäischen Websites, welche Cookies verwenden. Auch Websites außerhalb Europas, aber mit erwartbar europäischen Nutzern, werden dadurch betroffen. D.h. diese Websites müssen die Datenschutzeinstellungen von der DSGVO benutzen.

Ein perfektes Cookie-Banner sollte transparent und informativ sein, indem nur die unbedingt notwendigen Cookies vorher angekreuzt sind. Außerdem sollte das Impressum samt Datenschutzhinweis erreichbar sein:

Bei der Lufthansa handelt es sich um ein fast perfektes Beispiel. Folgende Informationen müssten laut EuGH-Urteil ergänzt werden: Die Dauer der Cookie-Speicherung und die Widerrufsmöglichkeit. Mit diesen Einstellungen und den nötigen Ergänzungen sähe so die Zukunft der Cookie-Banner aus.

Cookie Banner Lufthansa

Copyright © Screenshot / Lufthansa

Praktisch ist das EuGH-Urteil damit auch eine kreative Herausforderung für Unternehmen: Wie werden Nutzer dazu verleitet, die Häkchen bei den Marketing-Cookies über die Opt-In-Auswahl aktiv zu setzen? Gelingt dies nicht, erleiden Marketing-Unternehmen Nachteile:

  • Retargeting ist nicht möglich
  • Man erhält keine weiteren Informationen über den Benutzer
  • Keine Optimierungsmöglichkeiten
  • Man kann die Aktivität des Benutzers auf der Website nicht tracken
  • Klickverhalten und Verweildauer bleiben im Dunkeln
  • Traffic-Entwicklung und Ergebnisse der Kampagnen können nicht gemessen werden

Um Probleme zu vermeiden, sollten Sie sich immer über die in Ihrem Land oder auf Ihrer Website geltenden Vorschriften informieren. Es ist auch wichtig, dass die Lösungen nicht alle gleich sind. Wenn verschiedene Websites unterschiedliche gültige Lösungen finden, dann gewinnt am Ende die Marketing-Branche. Kreative Wege bei der Gestaltung der Cookie-Banner sind die Zukunft.

Wenn Sie einfach standardmäßig einen 0815-Cookie-Banner nutzen, der zwar alle Vorgaben einhält, leidet am Ende Ihr Marketing und Ihre Wettbewerbsfähigkeit darunter.

Kostenloser SEO-Check der OSG



Weitere Inhalte


Keine Kommentare vorhanden


Du hast eine Frage oder eine Meinung zum Artikel? Teile sie mit uns!

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*
*