Best Practices zur Umsetzung der DSGVO Was bei Cookie-Bannern immer noch falsch gemacht wird

Autor / Redakteur: Dipl.-Phys. Oliver Schonschek / Peter Schmitz

Für viele Internetnutzer sind Cookie-Banner ein Ärgernis, weil sie als störend empfunden werden. Doch auch aus Datenschutz-Sicht besteht Grund zur Kritik, denn viele Cookie-Banner sind weiterhin fehlerhaft, wenn es darum geht, eine informierte Einwilligung einzuholen. Die Aufsichtsbehörden haben nochmals Hinweise veröffentlicht, aus denen sich auch die Fehler ableiten lassen.

Firmen zum Thema

Die Anforderungen an eine informierte Einwilligung zu Cookies nach Datenschutz-Grundverordnung (DSGVO) sind hoch und vielfältig.
Die Anforderungen an eine informierte Einwilligung zu Cookies nach Datenschutz-Grundverordnung (DSGVO) sind hoch und vielfältig.
(© Matic Štojs Lomovšek - stock.adobe.com)

Der Bundesdatenschutzbeauftragte bezeichnete die Rechtslage bei Cookies im Internet als verwirrend, und viele Webseitenbetreiber und Internetnutzer werden ihm Recht geben. Der Grund: Das deutsche Telemediengesetz (TMG) und die geltende europäische e-Privacy-Richtlinie machen unterschiedliche Vorgaben. Das Ergebnis dieser Unsicherheit ist eine Flut von Cookie-Bannern, die die Nutzer verärgern. Der Bundesdatenschutzbeauftragte weist seit Jahren auf diesen Missstand hin, beispielsweise in seinen jährlichen Tätigkeitsberichten.

Vieles im Online-Datenschutz ist im Fluss: Die datenschutzrechtlichen Regelungen aus dem Telekommunikationsgesetz (TKG) und dem TMG sollen in ein sogenanntes Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG) münden, ein neuer, widersprüchlicher Entwurf für die ePrivacy-Verordnung stiftet zusätzliche Verwirrung.

Das bedeutet aber nicht, dass man nun die korrekte Umsetzung einer informierten Einwilligung bei Cookies einstweilen aussitzen könnte. So haben mehrere Aufsichtsbehörden für den Datenschutz nochmals Hinweise zur richtigen Umsetzung der Cookie-Banner veröffentlicht.

Aufsichtsbehörden geben Hinweise zu Cookie-Bannern

Wenn Website-Betreiber auf ihren Seiten personenbezogene Daten sammeln und verarbeiten wollen, benötigen sie eine datenschutzrechtliche Einwilligung der Nutzerinnen und Nutzer. Um die Zustimmung einzuholen, kommen meist sogenannte Consent-Layer zum Einsatz, die oftmals auch als Consent-Banner oder Cookie-Banner bezeichnet werden, sagt zum Beispiel der Sächsische Datenschutzbeauftragte.

Sowohl für die Verwendung von Cookies als auch generell für die Einbindung von Drittdienstleistern auf Webseiten (wie Analyse-, Marketing-, Tracking-, Karten-, Wetter-, Chat-, Video-, Bildoptimierungs-, Push-Nachrichten- und Umfrage-Dienste) ist eine datenschutzrechtliche Einwilligung der Seitennutzerinnen und -nutzer erforderlich, betont die Landesbeauftragte für den Datenschutz Niedersachsen. Vor der Geltung der Datenschutz-Grundverordnung (DSGVO) wurden überwiegend einfache Cookie-Banner auf Webseiten eingesetzt, durch die User in der Regel über den Einsatz von Cookies lediglich informiert wurden, eine Entscheidung für oder gegen Cookies war meist nicht möglich, so die Aufsichtsbehörde.

Mittlerweile finden sich vermehrt aufwändige Consent-Fenster, die Nutzerinnen und Nutzern erstens detaillierte Informationen über den Einsatz von Cookies und die Einbindung von Drittdiensten und zweitens echte Entscheidungs- und Wahlmöglichkeiten geben (sollen). Entsprechend aufwändiger ist die Gestaltung und die Umsetzung von Consent-Layern geworden.

Offensichtlich werden dabei aber immer noch Fehler gemacht, wie jeder Internetnutzer in kurzer Zeit selbst feststellen kann, wenn man einige Webseiten nacheinander besucht.

Die größten Fehler bei Cookie-Bannern

Die Anforderungen an eine informierte Einwilligung nach Datenschutz-Grundverordnung (DSGVO) sind hoch und vielfältig, und es versteht sich, dass auch und gerade bei Cookies keine Abstriche daran gemacht dürfen. Die laufende Diskussion, was denn nach dem Ende der Third-Party-Cookies, also den Cookies von Drittanbietern wie Werbenetzwerken, für eine zielgruppengerechte Werbung und für das Online-Tracking genutzt werden kann, zeigt, wie wichtig Cookies auch dazu sind, Nutzerdaten zu sammeln.

Betrachtet man nun die aktuellen Hinweise der Aufsichtsbehörden zum richtigen Aufbau von Cookie-Bannern, findet man schnell Punkte, die einem als Internetnutzer weiterhin auffallen, wenn plötzlich Cookie-Banner erscheinen. Tatsächlich werden weiterhin Fehler begangen, die von den Aufsichtsbehörden als Verletzung gewertet werden könnten und somit auch Sanktionen nach sich ziehen können.

An dieser Stelle sollen einige Beispiele diskutiert werden, die sich aus den Hinweisen der Aufsichtsbehörden ableiten lassen. Man kann auch sagen, welche groben Fehler weiterhin bei Webseiten zu beobachten sind:

  • Zeitpunkt der Einwilligung: Eine Einwilligung muss vor der Datenverarbeitung erteilt werden, also vor dem Setzen der Cookies und nicht etwa danach. Die einwilligungsbedürftigen Cookies dürfen erst dann gesetzt werden, wenn der Nutzer dem auch zugestimmt hat.
  • Informiertheit der Einwilligung: Die Verarbeitungszwecke müssen konkret beschrieben werden. Häufig finden sich Formulierungen, dass Cookies eingesetzt würden, um „für Sie die Webseite optimal zu gestalten und zu verbessern“, „Ihr Surferlebnis zu verbessern“, „Webanalyse und Werbemaßnahmen durchzuführen“ und „Marketing, Analytics und Personalisierung“zu ermöglichen. Solche Formulierungen sind nicht ausreichend, wie die Aufsichtsbehörden betonen.
  • Eindeutige bestätigende Handlung: Es finden sich beispielsweise immer noch Consent-Banner mit lediglich einem „Okay-Button“. Auch die Bezeichnungen „Zustimmen“, „Ich willige ein“ oder „Akzeptieren“ können im Einzelfall nicht ausreichend sein, wenn aus dem Informationstext nicht eindeutig hervorgeht, wozu konkret die Einwilligung erteilt wird.
  • Nudging verboten: Nudging bezeichnet Techniken, durch die das Verhalten der Nutzer beeinflusst werden soll. Im Zusammenhang mit dem Consent-Layer auf Webseiten wird Nudging eingesetzt, um den User zur Abgabe einer Einwilligung zu „schubsen“: Beispielsweise ist in Consent-Fenstern die „Zustimmen"-Option oft im Vergleich zur „Ablehnen"-Option auffälliger gestaltet.
  • Umsetzung Widerruf der Einwilligung: Sofern ein Consent-Fenster eingesetzt wird, sollte dem Nutzer eine leicht auffindbare Möglichkeit gegeben werden, dieses jederzeit wieder öffnen und seine zuvor vorgenommenen Einstellungen ändern zu können. Der Widerruf muss genauso einfach zu tätigen sein wie zuvor die Einwilligung.

Achtung: Nicht einfach jeder Consent-Management-Plattform vertrauen

Zu den Hinweisen der Aufsichtsbehörden gehört es auch, dass man bei den „Werbeversprechen von Consent-Tools“ Vorsicht walten lassen sollte. Dazu die Landesbeauftragte für den Datenschutz Niedersachsen: „Zur Implementierung einer umfassenden Einwilligungslösung werden zunehmend Consent-Management-Tools eingesetzt, die von zahlreichen Firmen angeboten werden. Diese werben häufig damit, dass mit dem Einsatz ihres Tools datenschutzkonforme oder DSGVO-konforme Einwilligungen auf der Webseite eingeholt werden“.

Die Landesbeauftragte erklärt weiter: „Diese Werbeversprechen sind allerdings mit Vorsicht zu genießen. Zutreffend ist, dass der Einsatz eines Consent-Management-Tools es in der Regel ermöglichen kann, dass auf der Webseite datenschutzkonforme Einwilligungen eingeholt und die erteilten oder verweigerten Einwilligungen der Nutzer individuell berücksichtigt werden.“

Es folgt aber noch eine wichtige Einschränkung: „Allerdings hängt dies maßgeblich vom konkreten Einsatz des Tools ab. Der Betreiber der Webseite hat zahlreiche Konfigurationsmöglichkeiten, so dass nur durch den Einsatz des Consent-Tools keinesfalls automatisch datenschutzkonforme Einwilligungen eingeholt werden.“

Also sollten auch die Unternehmen, die ein entsprechendes Tool nutzen, nochmals genau schauen, ob sie nicht trotzdem einen der genannten oder andere Fehler bei der Umsetzung von Cookie-Bannern begehen.

(ID:47536043)

Über den Autor

Dipl.-Phys. Oliver Schonschek

Dipl.-Phys. Oliver Schonschek

IT-Fachjournalist, News Analyst und Commentator bei Insider Research