Cookies und Cookie-Banner
Was sind Cookies und warum gibt es Cookie-Banner? Braucht meine Website einen Banner und wie muss dieses aussehen? Diese und weitere Fragen beantworten wir auf dieser Seite.
Was sind Cookies im Internet?
Hinweis: dieser Artikel ist vom 11.09.2020 und thematisiert nicht das TTDSG.
Cookies sind kleine Textdateien, die beim Besuch einer Seite im Browser des Nutzers abgelegt werden. Bei einem späteren Besuch kann der Anbieter der Seite die Cookies wieder abrufen und damit den Browser des Nutzers und seine Einstellungen „wiedererkennen“.
Sie werden nicht immer nur von der besuchten Seite gesetzt, sondern auch von anderen („Drittanbieter“). Dienste von Drittanbietern sind auf vielen Websites eingebettet, mal sichtbar, mal unsichtbar. Häufig eingebundene Dienste sind etwa von Google, Facebook oder Twitter.
Die Textdateien sollen die Navigation im Internet erleichtern, enthalten aber auch Informationen über den Nutzer (meist eine eindeutige Identifikationsnummer, „ID“). Durch das Wiedererkennen eines Nutzers kann sein Surfverhalten beobachtet werden. Cookies sind deshalb für die Werbung hochinteressant. Sie werden zum Beispiel dazu verwendet, Verbrauchern individuelle Werbung zu präsentieren, Informationen darüber zu erhalten, wie lange ein Nutzer auf der Webseite war – oder auch, welche anderen Webseiten er besucht.
In den Datenschutzeinstellungen des Webbrowsers können Cookies jederzeit wieder gelöscht oder grundsätzlich abgelehnt werden. Mehr dazu im Abschnitt Tipps gegen Verfolgung durch Cookies.
Die Rechtslage
Bezüglich Cookies herrscht derzeit zurecht Unsicherheit: bis heute hat Deutschland die EU Cookie-Richtlinie nicht umgesetzt. Diese fordert eine ausdrückliche Einwilligung des Nutzers zum Setzen von Cookies. Bisher galt nur nach §15 Abs. 3 Telemediengesetz (TMG), dass es ausreicht, den Nutzer zu informieren und auf sein Widerspruchsrecht hinzuweisen.
Seit Mai 2018 ist die Datenschutz Grundverordnung (DSGVO) anwendbar. Konkrete Einschränkungen oder gar Vorgehensweisen bezüglich Cookies gehen aus ihr allerdings nicht hervor. An dieser Stelle sollte die ePrivacy-Verordnung (ePVO) greifen, die die DSGVO ergänzen und auch die Cookie-Richtlinie ablösen soll. Von der ePVO gibt es bisher nur einen Entwurf aus dem Jahr 2017, in Kraft getreten ist sie bisher noch nicht.
Mehr Klarheit darüber, wie bisherige Richtlinien und die Regelungen der DSGVO auszulegen sind, bietet die Rechtsprechung. Der EuGH entschied am 01.10.2019 in einem Präzedenzfall, dass das Setzen von Cookies die aktive Einwilligung des Nutzers erfordert. Der BGH folgte am 28.05.2020 dieser Einstellungen.
Im konkreten Fall war ein Ankreuzkästchen bereits ausgewählt (auch Widerspruchslösung bzw. „Opt-Out“ genannt), wodurch der Nutzer dem Setzen von Cookies automatisch „einwilligte“. Daraufhin wurde ein Cookie von einem Webanalysedienst gesetzt. Der Cookie enthielt eine eindeutige Identifikationsnummer, die der Dienst mit auf der Seite eingegebenen, persönlichen Daten verknüpft hat. Besucht der Nutzer daraufhin anderen Seiten, auf denen der Webanalysedienst ebenfalls eingesetzt wird, erkennt der Dienst den Nutzer wieder und ermöglicht interessengerichtete Werbung.
Haben Sie sich jemals gefragt, warum die Schuhe, nach denen Sie letzte Woche gesucht haben, plötzlich wieder im Werbebanner auf einer anderen Seite auftauchen? Ein Webanalyse bzw. Werbedienst erkennt den Suchbegriff (z. B. Ist „Schuh“ in der URL ablesbar) und verknüpft diesen mit der Identifikationsnummer im Cookie. Daraufhin besuchen Sie eine andere Website, auf dem der Dienst ebenfalls läuft (z.B. werden auf 97% der Top-100 Websites Cookies von Google gesetzt). Auch wenn diese Website eigentlich gar nichts mit Schuhen zu tun hat, ist es möglich, dass Werbeanzeigen auf der Seite nun Schuhe einblenden.
Wir prüfen ob Sie einen Cookie-Banner für Ihre Website benötigen.
Sind Cookies generell verboten?
Nein. Die Urteile beziehen sich auf einen Cookie, der die Verfolgung des Nutzers („Tracking“) zu Werbezwecken ermöglicht und mit personenbezogenen Daten (Name und Adresse) verknüpft wird. Diese Cookies werden meist von Drittanbietern gesetzt und von diesen seitenübergreifend genutzt.
Cookies werden aber auch zu anderen Zwecken verwendet. Beispielsweise benötigen Warenkörbe, Login- und ähnliche Funktionen regelmäßig Cookies. In diesen Fällen sind die Cookies meist „technisch notwendig“, da diese Funktionen eindeutig einer Sitzung zugewiesen werden (Inhalt des Cookies). Zudem werden diese Cookies von der besuchten Seite selber gesetzt und nur von dieser genutzt.
Beim Warenkorb kann sich der Betreiber der Seite auf vorvertragliche Maßnahmen (siehe Artikel 6 Absatz 1 lit. b DSGVO) stützen, im Fall des Logins etwa auf ein berechtigtes Interesse (Art. 6 Abs.1 f DSGVO). Beide Rechtfertigungsgründe sind natürlich nur gegeben, wenn die entsprechende Funktion auch genutzt wird. In anderen Fällen ist abzuwägen, ob ein berechtigtes Interesse des Seitenbetreibers den Belangen des Nutzers überwiegt.
Möchte man sich diese Abwägung sparen, oder kommt man zu dem Ergebnis, dass die Belange des Nutzers überwiegen, bleibt letztlich nur die Einwilligung des Nutzers (Art. 6 Abs. 1 a DSGVO). Diese muss aktiv, ausdrücklich, informiert, freiwillig und vorherig geschehen. Hier kommen Einwilligungs-Banner (auch „Cookie-Banner“) ins Spiel.
Was ist ein Cookie-Banner?
Cookie-Banner sind Benachrichtigungen, die beim Aufruf einer Seite über die Datenverarbeitungen (ob mit oder ohne Hilfe von Cookies) auf der Website informieren und für diese eine Wahlmöglichkeit bieten. Daher auch die eigentlich treffendere Bezeichnung: Einwilligungs-Banner. Bevor der Besucher in eine Datenverarbeitung eingewilligt hat, darf diese nicht stattfinden. Die noch häufig verwendeten Hinweisschilder, die nur über das Setzen von Cookies informieren und meist außer „Einverstanden“ keine Wahl lassen sind folglich in der Regel nicht ausreichend.
Cookiebanner müssen eingesetzt werden, wenn tatsächlich eine Einwilligung des Nutzers nötig ist. Also insbesondere, wenn Daten an Dritte weitergegeben werden oder Dritten die Möglichkeit eröffnet wird, Daten zu erheben. Diese Weitergabe eignet sich um Nutzerverhalten über Websitegrenzen hinweg zu verfolgen. In einem solchen Fall ist ein Hinweis auf Cookies in der Datenschutzerklärung nicht ausreichend.
Wie gestalte ich Cookie-Banner?
Folgende Inhalte sollte ein Cookie-Banner bieten:
-
Klare, nicht irreführende Überschrift – bloße Respektbekundungen bezüglich der Privatsphäre reichen nicht aus. Es empfehlen sich Überschriften, in denen auf die Tragweite der Entscheidung eingegangen wird, wie beispielsweise „Weitergabe Ihrer Nutzerdaten an Dritte“. Links müssen eindeutig und unmissverständlich beschrieben sein – wesentliche Elemente/Inhalte insbesondere einer Datenschutzerklärung dürfen nicht durch Links verschleiert werden.
-
Der Gegenstand der Einwilligung muss deutlich gemacht werden – Klare Beantwortung der folgenden Fragen: Welche personenbezogenen Daten sind betroffen? Was passiert mit ihnen? Wer erhält Zugriff auf die Daten? Werden die personenbezogenen Daten mit weiteren Daten verknüpft? Welchen Zwecken dient das?
-
Die Einwilligung darf nicht voreingestellt sein – ein Opt-in ist notwendig.
-
Es dürfen keine Daten weitergegeben werden, bevor eine Einwilligung durch den Nutzer erteilt wurde.
-
Der Zugriff auf Impressum und Datenschutzerklärung darf nicht verhindert oder eingeschränkt werden, bevor eine Einwilligung durch den Nutzer erteilt wurde.
-
Die Freiwilligkeit der Einwilligungs-Erklärung muss deutlich gemacht werden und ein Hinweis auf das Recht auf einen jederzeitigen Widerruf muss enthalten sein; beispielsweise „Diese Einwilligung ist freiwillig, für die Nutzung dieser Website nicht notwendig und kann jederzeit widerrufen werden, indem […]“.
-
Wie der Widerruf zu erklären ist, ist in der Information zur Einwilligungserklärung klar und deutlich zu beschreiben. Die Erklärung des Widerrufs muss jederzeit so einfach sein wie die Einwilligungserklärung selbst.
Diese Auflistung ist eine Empfehlung des Landesdatenschutzbeauftragten Baden-Württembergs, die ebenfalls Empfehlungen zum datenschutzfreundlichen Einbetten von Plugins wie Like- und Share-Buttons enthält (Zwei-Klick-Lösung).
Wir prüfen Ihren Banner auf Rechtssicherheit.
Wie schütze ich mich vor Tracking durch Cookies?
Soll Tracking durch Cookies vermieden werden, können diese vom Browser abgelehnt werden. Ist diese Einstellung gesetzt, ist es (bezogen auf Cookies) egal, was bei Cookie Bannern angegeben wird. Die Cookies können dann ohnehin nicht gespeichert werden.
Alternativ besitzen auch einige Browser die Möglichkeit, nur Cookies von Drittanbietern abzulehnen. Beide bisher gezeigten Möglichkeiten, können aber dazu führen, dass einige Funktionen nicht mehr wie vorgesehen laufen, wie etwa Warenkörbe oder Logins. Möglicherweise funktioniert das Cookie-Banner dann nicht mehr wie vorgesehen, da die dort getroffene Entscheidung oftmals auch in einem Cookie gespeichert werden soll.
Weiterhin gibt es die Möglichkeit hinter sich aufzuräumen. Cookies können nach dem Aufräumen zwar wieder gesetzt werden, allerdings mit einer neuen ID. Das Aufräumen kann manuell geschehen, indem der Browser Cache samt Cookies gelöscht wird, oder automatisiert, beispielsweise durch Leeren des Caches beim Beenden des Browsers (Tastenkombination: STRG+Shift+ENTF).
Mit verschiedenen Browsern, dem Inkognito-Modus oder verschiedenen Tab-Umgebungen können ebenso mehrere Sitzungen mit eigenen Cookies und IDs angelegt werden.
Etwas einfacher und eleganter kann das Aufräumen auch mit einem Browser-Addon gelöst werden. Ein Beispiel hierfür ist Cookie AutoDelete, welches Cookies von kürzlich geschlossenen Tabs löscht.
Cookies sind jedoch nur eine von vielen Komponenten, die zur Verfolgung von Nutzern eingesetzt werden. Eine tolle Seite, die noch viele weitere Tips zum spurenarmen Surfen bereithält, ist das Privacy-Handbuch.