cookies müssen draussen bleiben.001

Danke für Ihr Einverständnis!

Wenn Sie diesen Text hier lesen, gehe ich davon aus, dass Sie damit einverstanden sind, wenn ich Ihre Daten weiterverkaufe, ins Ausland sende und auf ewig speichere. Sie wollen das nicht? Tja, Pech gehabt, jetzt ist es zu spät.

Auf solch eine Information würden Sie wahrscheinlich mit Empörung reagieren. Zu Recht! Leider steht genau dieser Text auf unzähligen Cookie-Bannern im Netz. Wobei doch selbst ohne Grundkurs in Jura klar sein sollte, dass da irgendetwas nicht stimmen kann. Kann man wirklich so einfach von einem Einverständnis oder einer Einwilligung des Website-Besuchers ausgehen? Braucht es nicht etwas mehr, um einen Willen zu erkennen?

Diesen und weitere Fehler beim Einsatz eines Cookie-Banners will ich in diesem Beitrag, so kurz wie es geht, erklären. Wenn einmal das Prinzip für den Einsatz eines Cookie-Banners klar ist, wird die technische Umsetzung zur Nebensache.

Cookie Banner
Das ist keine wirksame Einwilligung für das Setzen von Cookies.

“Der” oder “Das” Cookie Banner?

Normalerweise redet man von Banner, wenn man eine Werbegrafik auf einer Website meint. Zumindest in den Anfangszeiten des Internets waren das häufig wild blinkende Werbeanzeigen in der Form eines länglichen Rechtecks. Ursprünglich ist die Bezeichnung natürlich viel älter als online und offline Werbebanner und reiht sich ein zwischen Flaggen, Standarten, Wappen und anderen Hoheitszeichen.
Nimmt man also die Wortherkunft ernst, ist das neutrale Genus am naheliegendsten. DAS Cookiebanner.

Ende der Diskussion? Nein:

Warum Sie “der” Cookie Banner sagen sollten, wenn Sie es mit der DSGVO ernst meinen

DAS Banner spannt sich ohne wirkliche Funktion über eine Website. Es sieht schick aus und man kann vielleicht auch irgendetwas bestätigen oder ablehnen. Aber in den meisten Fällen ist es ihm völlig egal, wie der Nutzer sich entscheidet. Genauso gut könnte das Banner auch gar nicht da sein. Es macht im Grunde gar keinen Unterschied.

DER Banner hingegen verbannt aktiv böse Funktionen von der Website. Er ist kein Feigenblatt, das gewisse Dinge nur verdeckt oder dem Nutzer eine Entscheidungsmöglichkeit vorgaukelt, die es eigentlich gar nicht gibt. Er informiert transparent über den Einsatz von Cookies und ist in der Lage, diese auf Wunsch des Besuchers auch zu deaktivieren.

Crashkurs Datenschutz

datenschutzhinweise

Vielleicht sitzen Sie selbst gerade an dem Problem so einen Cookie-Banner für Ihre Website installieren zu wollen. Sie sollten sich dabei als Erstes darüber bewusst werden, welchen datenschutzrechtlichen Hintergrund das Ganze überhaupt hat.

Was sind Cookies?

Die Definition können Sie in jeder besseren Datenschutzerklärung lesen. Also nur ganz kurz:
Cookies sind Dateien, die der genutzte Browser (Firefox, Safari, Explorer etc.) selbstständig auf dem Gerät des Websitebesuchers erstellt und in denen gewisse Informationen über den Besucher und seinen Besuch gespeichert werden. Manche Cookies löschen sich sofort wieder, wenn man die Seite verlässt, andere bestehen jahrelang weiter, solange der Besucher sie nicht von Hand löscht. Derjenige, der die Webseite verwaltet, kann entscheiden (wenn er es denn kann), ob solche Cookies zum Einsatz kommen.
Da hier mitunter personenbezogenen Daten verarbeitet werden, befinden wir uns im Datenschutz und es treffen den Websitebetreiber gewisse Pflichten.

Rechtsgrundlage

Personenbezogene Daten dürfen nur verarbeitet werden, wenn es dafür auch einen triftigen Grund gibt. Die Verarbeitung muss also einen Zweck erfüllen. Das Gesetz (DSGVO) erlaubt die Verarbeitung unter gewissen Voraussetzungen. Diese Rechtsgrundlagen finden sich im Art. 6 DSGVO. Die bekannteste aller Rechtsgrundlagen ist wohl die Einwilligung. Hier verarbeitet man die Daten mit der Zustimmung des Nutzers.

Informationspflicht

Sobald Sie personenbezogene Daten verarbeiten (und das tun Sie, sobald Sie eine Website betreiben), müssen Sie den Besucher darüber informieren, was Sie mit seinen Daten anstellen. Dieser Informationspflicht kommt man mit der sog. Datenschutzerklärung nach.

Cookies, Rechtsgrundlage und Informationspflicht

Nehmen wir die Punkte zusammen, kommen wir zu dem Schluß, dass wir für den Einsatz von Cookies eine Rechtsgrundlage brauchen und den Seitenbesucher darüber informieren müssen.

Angenommen, wir wollen uns nicht weiter mit anderen möglichen Rechtsgrundlagen beschäftigen oder wollen auf Nummer sicher gehen, und wählen als Rechtsgrundlage die Einwilligung. Dann brauchen wir jetzt eine Vorkehrung, die dafür sorgt, dass Cookies erst gesetzt werden, wenn der Besucher auch aktiv seine Zustimmung gegeben hat. Hat man eine solche Vorkehrung nicht oder nicht korrekt installiert, verarbeitet man personenbezogene Daten des Besuchers ohne dessen wirksame Einwilligung. Man begeht dabei nichts anderes als einen handfesten Datenschutzverstoß. Je nach Besucheraufkommen können davon etliche Personen betroffen sein, deren Daten Sie unrechtmäßig verarbeiten.

Wirksame Einwilligung per Cookie Banner

Cookie Banner
Hier fehlen leider nötige Informationen, wie z.B. der Hinweis auf’s Widerrufsrecht.

Anforderungen an den Cookie Banner:

  • Bis zum Klick auf “Zustimmen” dürfen keinerlei Cookies gesetzt werden.
  • Bei Klick auf “ich stimme nicht zu” (Verweigerung der Einwilligung) dürfen keine Cookies gesetzt werden.
  • Weiteres Nutzen der Seiten, Scrollen oder ähnliche Handlung stellen keine wirksame Einwilligung dar.
  • Vor der Abgabe der Einwilligung müssen Sie den Nutzer über sein Widerrufsrecht informierten. Dieses Recht muss er auch technisch ausüben können, d.h. er muss auf der Webseite die Möglichkeit haben, seine Einwilligung wieder zurückzunehmen. Danach sollten alle Cookies auch gelöscht werden.

Der Cookie-Banner muss die o.g. Punkte gewährleisten können, ansonsten ist er mehr oder weniger nutzlos. Diese Anforderungen werden aus einem Zusammenspiel aus der textlichen und technischen Gestaltung des Cookie Banners gewährleistet.

Ich würde einmal behaupten, dass die meisten Cookie Banner, die im Umlauf sind, diese Kriterien schon allein aufgrund ihrer technischen Gestaltung gar nicht erfüllen können. Es handelt sich in der Regel um reine Design-Tools, die gar nicht auf den funktionalen Teil der Website zugreifen können. Eine Entscheidung des Nutzers, ob er nun der Verwendung von Cookies zustimmen möchte oder nicht, können sie überhaupt nicht verarbeiten.

Gerade bei CMS-Systemen, wie z.B. WordPress, gibt es unzählige Cookie Banner Plug-Ins, die zwar nett gemeint sind, die Bedingungen an eine wirksame Einwilligung aber nicht im Ansatz erfüllen. Diese Plugins verbannen oder blockieren nicht das geringste.

Eine gute Auflistung von WordPress Cookie Plugins, die Ihrem Namen gerecht werden, findet man z.B. bei Holger Freier.

Erfüllt mein Cookie Banner die Anforderungen an eine wirksame Einwilligung?

Ob Ihr Cookie Banner derzeit technisch gesehen eine wirksame Einwilligung einholt, können Sie folgendermaßen herausfinden:

  1. Löschen Sie über die Einstellungen Ihres Browser alle Cookies
  2. Gehen Sie auf Ihre eigene Webseite und klicken Sie keinen Button Ihres Cookie Banners. Checken Sie mit dieser Anleitung, ob und welche Cookies gesetzt wurden.
  3. Testen Sie auf diese Weise, ob nach Klick auf “zustimmen” Cookies gesetzt werden bzw. nach Klick auf “ablehnen” weiterhin keine. Spielen Sie diese Möglichkeiten durch und löschen Sie zwischendurch die Cookies.

Ob der Hinweistext auf Ihrem Cookie Banner den Anforderungen an eine wirksame Einwilligung genügt, ist nicht pauschal zu beantworten.

Im Grunde gilt dieser Text, als erste kurze Information, zu welchem Zweck Cookies verwendet werden. Außerdem muss der Besucher über sein Widerrufsrecht aufgeklärt werden. Ein Link zur eigenen Datenschutzerklärung ist ein Muss. Ein paar Beispielformulierungen für den Cookie Banner finden Sie beim Cookie-Bot

Fazit

Wenn Sie sich entscheiden, den Einsatz von Cookies auf Ihrer Seite auf eine Einwilligung des Besuchers zu stützen, machen Sie es richtig. Sowohl textlich als auch technisch muss Ihr Cookie Banner so konfiguriert sein, dass eine wirksame Einwilligung eingeholt werden, bzw. diese auch nicht erteilt werden kann.


Es handelt sich hierbei um keine Rechtsberatung. Der Verfasser ist TÜV-geprüfter Datenschutzbeauftragter und kein Rechtsanwalt. Sie sind selbst verantwortlich für eine datenschutzkonforme Gestaltung Ihrer Website.

0
Comments

    Ich freue mich auf Ihren Kommentar. Was mit Ihren Daten passiert, wenn Sie mir einen Kommentar hinterlassen, erfahren Sie in den Datenschutzhinweisen.

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

    *