Im abschließenden Teil unserer News‑Reihe zur Erstellung eines TTDSG‑ und DSGVO‑konformen Online‑Auftritts befassen wir uns mit den rechtlichen Anforderungen an ein wirksames Einwilligungsbanner und dessen korrekter Umsetzung.
Was ist ein Cookie‑Banner?
Im dritten Teil unserer Website‑Check‑Reihe haben wir bereits die verschiedenen Arten von Cookies dargestellt und auf die Notwendigkeit hingewiesen, zwischen technisch notwendigen und technisch nicht notwendigen Cookies zu unterscheiden. Einige Cookies dürfen ausschließlich nach vorheriger Einwilligung der Nutzer eingesetzt werden.
Genau an dieser Stelle kommt der sogenannte Cookie‑Banner zum Einsatz. Er enthält die wesentlichen Informationen, die einem Nutzer beim erstmaligen Aufruf einer Website angezeigt werden. In der Entscheidung des Europäischen Gerichtshofs „Planet49“ wurden die rechtlichen und formalen Anforderungen an Cookie‑Banner konkretisiert.
Der Nutzer muss eine aktive Einwilligung erteilen, damit die Datenverarbeitung durch Cookies rechtskonform ist. Insbesondere darf die Option „Akzeptieren“ nicht voreingestellt sein. Auf diese Weise sollen sogenannte „Dark Patterns“ oder „Nudging“ vermieden werden, bei denen Nutzer durch Gestaltung oder Hervorhebung unbewusst zu einer Einwilligung bewegt oder in eine bestimmte Richtung gelenkt werden.
Was ist bei der inhaltlichen Ausgestaltung zu beachten?
Ein rechtskonformes Cookie‑Banner muss bestimmte Mindestinformationen enthalten. Dazu gehören insbesondere:
- eine gleichwertige „Akzeptieren“- und „Ablehnen“-Option
- keine farbliche Hervorhebung der „Akzeptieren“-Option
- keine vorangekreuzten Auswahlfelder
- Angaben zu Art, Funktionsweise, Zweck und Lebensdauer der Cookies
- Verlinkung zur Datenschutzerklärung und zum Impressum
- Informationen zu Dienstleistern sowie Links zu deren Datenschutzerklärungen
- Angaben zu Empfängern der Daten
- Hinweise auf Datenübermittlungen in Drittländer
- Informationen zum Widerruf der Einwilligung
- der Hinweis auf die Freiwilligkeit der Einwilligung
Bei der Zweckbeschreibung ist besonders darauf zu achten, diese möglichst konkret zu formulieren. Allgemeine oder pauschale Angaben werden von Aufsichtsbehörden regelmäßig als unzureichend bewertet. Die Landesbeauftragte für den Datenschutz Niedersachsen hat beispielsweise folgende Formulierungen als nicht ausreichend eingestuft:
- „die Webseite für Sie optimal zu gestalten und zu verbessern“
- „Ihr Surferlebnis zu verbessern“
- „Webanalyse und Werbemaßnahmen durchzuführen“
- „Marketing, Analyse und Personalisierung zu ermöglichen“
Zudem ist darauf hinzuweisen, wenn Nutzertracking durch Dritte eingesetzt wird, um umfassende Nutzerprofile zu erstellen. Nach der Rechtsprechung des LG Berlin ist es außerdem unzulässig, die Voreinstellungen zur Sichtbarkeit von Nutzerprofilen auf Partnerseiten zu ignorieren, wenn Nutzer die „Do‑Not‑Track“-Option aktiviert haben. Das Surfverhalten darf in diesem Fall nicht weiterhin für Tracking‑, Werbe‑ oder Analysezwecke genutzt werden.
Was ist bei der optischen Ausgestaltung zu beachten?
Auch die optische Gestaltung des Cookie‑Banners ist von zentraler Bedeutung. Die Schaltflächen „Akzeptieren“ und „Ablehnen“ müssen sofort erkennbar und gleichwertig gestaltet sein. Unterschiede in Farbe, Größe oder Position können Nutzer beeinflussen und sind daher unzulässig.
Cookie‑Banner, bei denen der Button „Alle akzeptieren“ farblich hervorgehoben wird, während Ablehnungsoptionen im Fließtext versteckt oder nur über zusätzliche Einstellungsebenen erreichbar sind, wurden vom LG Köln als rechtswidrig eingestuft.
Rechtliche Absicherung durch Cookie‑Consent‑Tools
Wie bereits im dritten Teil unserer Website‑Check‑Reihe ausgeführt, sind Websitebetreiber verpflichtet, bei der Verwendung technisch nicht notwendiger Cookies eine wirksame Einwilligung einzuholen. Bestehen Unsicherheiten bei der Einordnung einzelner Cookies, können sogenannte Cookie‑Consent‑Tools oder Consent‑Management‑Plattformen unterstützend eingesetzt werden.
Diese Tools erfassen automatisiert die auf einer Website eingesetzten Cookies und helfen bei der Erstellung eines Einwilligungsbanners. Ein Beispiel hierfür ist der sogenannte „Cookiebot“, der mithilfe eines Scanners Cookies erkennt und auf dieser Basis ein Cookie‑Banner generiert.
Ob und inwieweit der Einsatz solcher Tools tatsächlich zu einer vollständig datenschutzkonformen Website führt, ist jedoch stets im Einzelfall zu prüfen.
„PIMS“ statt Cookie‑Banner?
Seit Inkrafttreten des TTDSG am 1. Dezember 2021 wird zudem über die Einführung sogenannter Personal Information Management Services (PIMS) diskutiert. Grundlage hierfür ist § 26 TTDSG, der anerkannte Dienste zur Einwilligungsverwaltung regelt.
Ziel ist es, dass Nutzer ihre Einwilligungen künftig zentral für verschiedene Telemedien verwalten können. Im Unterschied zu herkömmlichen Cookie‑Bannern, die bei jedem Websitebesuch erneut angezeigt werden, könnten PIMS‑Lösungen die gespeicherten Präferenzen auslesen und auf separate Banner verzichten.
Am 01.06.2023 hat das Bundesministerium für Digitales und Verkehr einen ersten Entwurf für eine Einwilligungsverordnung vorgelegt. Die konkrete Ausgestaltung und praktische Umsetzung bleibt jedoch weiterhin abzuwarten.
Vorsicht ist geboten
Verwendet eine Website Cookies, ohne ein Cookie‑Banner bereitzustellen, liegt regelmäßig ein DSGVO‑Verstoß vor. Gleiches gilt für sogenannte Opt‑Out‑Modelle, bei denen Werbung ohne vorherige Einwilligung erfolgt und Nutzer aktiv widersprechen müssen.
Orientierungshilfen, Leitlinien und Rechtsprechung liefern klare Vorgaben zur rechtssicheren Gestaltung von Cookie‑Bannern. Werden diese nicht eingehalten, drohen Abmahnungen durch Aufsichtsbehörden sowie Bußgelder von bis zu 20 Millionen Euro bei schweren Verstößen.
Was können Sie tun?
- ein Cookie‑Banner auf Ihrer Website implementieren
- Aktualität und Inhalt des Cookie‑Banners regelmäßig prüfen
- rechtliche und technische Vorgaben konsequent einhalten
- manipulative Gestaltungen vermeiden
- bei technisch nicht notwendigen Cookies ein geeignetes Consent‑Management‑Tool einsetzen
Unterstützung bei der rechtssicheren Konzeption und Umsetzung bieten unsere Compliance‑ & Datenschutz‑Lösungen für Unternehmen.
Eine nachhaltige und regelkonforme Umsetzung gelingt zudem durch gezielte Datenschutz‑ & Compliance‑Schulungen für Mitarbeitende.
Haben Sie Fragen zu Cookie‑Bannern, Einwilligungsmanagement, Datenschutz, DSGVO oder Compliance‑Pflichten in Ihrem Unternehmen? Wir unterstützen Unternehmen mit praxisnaher Beratung, strukturierten Lösungen und klarer Orientierung. Nehmen Sie gerne unverbindlich Kontakt mit uns auf.