Beliebte Fehler im Cookie-Banner – und wie sie diese vermeiden

Seit der Entscheidung des Bundesgerichtshofs vom 28.05.2020 (Az. I ZR 7/16 – Cookie-Einwilligung II) sind die Themen Cookies und Einwilligungen bei Website- und Webshopbetreibern wieder hoch im Kurs. Der BGH hat bekräftigt, dass Cookies für Zwecke der Werbung oder Marktforschung nur nach der ausdrücklichen Einwilligung des Nutzers eingesetzt werden dürfen. Diese Entscheidung kam nicht überraschend.

Interessanter ist für die betroffenen Websitebetreiber, wie sie die vom BGH festgestellte Verpflichtung umsetzen können.

Zu diesem Zweck setzen viele Websitebetreiber sogenannte Cookie-Banner ein. In diesem Beitrag stellen wir Ihnen die häufigsten Fehler oder Irrtümer im Zusammenhang mit dem Cookie-Banner vor:

Wie muss ein Cookie-Banner aussehen? Welche Hinweise müssen erfolgen?

Bereits seit längerer Zeit setzen Websitebetreiber sogenannte Cookie-Hinweise ein. Diese Cookie-Hinweise informieren lediglich darüber, dass Cookies (bereits) eingesetzt werden. Diese Cookie-Hinweise enthalten häufig Schaltflächen wie „OK“, „Einverstanden“ oder schlicht „Schließen“. Der Nutzer kann über diese Cookie-Hinweise den Einsatz von Cookies durch den Websitebetreiber nicht steuern, geschweige denn dem Einsatz von Cookies zustimmen.

Aus diesem Grund genügen derartige Cookie-Hinweise nicht den Anforderungen des BGH.

Muss in jedes Cookie eingewilligt werden?

Die Antwort lautet klar: NEIN!

Für den Einsatz von technisch notwendigen Cookies benötigen Sie keine Einwilligung des Nutzers. Diese Cookies dürfen Sie ohne Weiteres einsetzen. Es gibt leider keine klare Vorgabe dafür, was unter den Begriff „technisch notwendig“ fällt. Technisch notwendig sind Cookies wohl dann, wenn diese für den Betrieb der Website und deren wesentliche Funktionen erforderlich sind. Warenkorb-Cookies, Cookies zur Steuerung der Sprachsauwahl oder Login-Cookies sind denkbare technisch notwendige Cookies.

Aber Vorsicht: Websitebetreiber sollten nicht auf die Idee kommen, Werbecookies einfach als technisch-notwendige Cookies zu deklarieren und deshalb keine Einwilligung für die Cookies einzuholen. Dieses Vorgehen ist rechtswidrig und überdies leicht zu entdecken. Lassen Sie daher besser die Finger davon!

Sind nur Werbecookies betroffen?

Auch wenn es die Entscheidung des BGH naheliegt, ist die Einwilligung des Nutzers nicht nur für die Verwendung von Werbecookies einzuholen.

Letztlich soll der Nutzer in die Verwendung jedweder Cookies oder Tools einwilligen (müssen), welche entweder personenbezogene Daten des Nutzers verarbeiten oder Rückschlüsse auf den Nutzer ermöglichen.

Als sichersten Weg sollten Sie daher für sämtliche Cookies oder Tools die Einwilligung des Nutzers einholen, die für den Betrieb Ihrer Website nicht erforderlich sind, z.B. für den Einsatz wie z.B. von Google-Maps, YouTube-Plugins, Internetschriftarten, Geolokalisierungsdienste, Tracking-Tools.

Wann dürfen Werbecookies ihre Arbeit aufnehmen?

Ein Cookie-Banner nützt Ihnen gar nichts, wenn Werbecookies bereits vor der Einwilligung der Nutzer gesetzt werden. Sie müssen daher technisch sicherstellen, dass die Datenverarbeitung durch technisch nicht notwendige Cookies oder ähnliche Tools erst beginnt, nachdem der Nutzer in deren Verwendung eingewilligt hat.

Versuchen Sie auch nicht zu tricksen. Mit frei erhältlichen Browser-Erweiterungen wie z.B. Ghostery, uBlock, Adblock Plus lässt sich schnell und einfach feststellen, welche Cookies oder Tools (auch vor der Einwilligung) eingesetzt werden.

Was müssen Sie über die optische Aufmachung des Cookie-Banners wissen?

Die Cookie-Banner präsentieren sich dem Nutzer in vielfältiger optischer Aufmachung und Position auf dem Bildschirm.

Allerdings müssen Sie sicherstellen, dass das Cookie-Banner weder den Zugang zu Ihrem „Impressum“ noch zu Ihrer Datenschutzerklärung verdeckt. Ansonsten könnten Sie Ihre Pflicht nach § 5 Abs. 1 TMG nicht erfüllen, die vorgenannten Informationen leicht zugänglich zur Verfügung zu stellen.

Es empfiehlt sich daher, Links auf Ihr Impressum und auf Ihre Datenschutzerklärung in das Cookie-Banner aufzunehmen.

Müssen Sie dem Nutzer eine Widerrufsmöglichkeit anbieten?

Die Antwort lautet: JA!

Nach Art. 7 Abs. 3 S. 1 DSGVO kann der Nutzer seine Einwilligung jederzeit widerrufen. Nach Art. 7 Abs. 3 S. 4 DSGVO muss der Widerruf so einfach sein wie die Erteilung der Einwilligung. Mit anderen Worte: Wenn der Nutzer mit einem Klick seine Einwilligung erteilen kann, muss er sie auch mit einem Klick widerrufen können.

Die Cookie-Banner sehen diese Widerrufsmöglichkeit technisch vor. Sie müssen allerdings technisch sicherstellen, dass der Nutzer die Cookie-Einstellungen des Cookie-Banners jederzeit erreichen und sein Widerrufsrecht ausüben kann. Viele Websitebetreiber fügen hierfür in die Fußzeile ihrer Website einen entsprechenden Link ein. Dies empfehlen wir allen Websitebetreibern.

Schließlich müssen Sie ebenfalls sicherstellen, dass nach einem Widerruf die entsprechenden Cookies oder Tools Daten nicht mehr verarbeiten.

Sonderthema: Unwirksamkeit des EU-US-Privacy-Shields

Die vorgenannten Hinweise zum Einsatz des Cookie-Banners betreffen nur die notwendige Einwilligung nach Art. 6 Abs. 1 lit. a), 7 DSGVO.

Sie müssen zusätzlich berücksichtigen, ob und in gegebenenfalls welches Land außerhalb der EU oder des Europäischen Wirtschaftsraums die personenbezogenen Daten des Nutzers übermittelt werden.

Nach der vermutlich unter fast allen Websitebetreibern bekannten Entscheidung des EuGH vom 16. Juli 2020 (Az. C-311/18) ist das EU-US-Privacy-Shield unwirksam. Für eine Datenübermittlung in die USA kann auf dieses Instrument nicht mehr zurückgegriffen werden. Dies ist allenfalls noch durch die Verwendung von sogenannten Standardvertragsklauseln möglich. Allerdings sehen die deutschen Aufsichtsbehörden auch diese Praxis für eine Übermittlung in die USA kritisch (siehe die Stellungnahme der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 28.07.2020).

Wegen der hohen Rechtsunsicherheit bezüglich der Übermittlung von personenbezogenen Daten in die USA empfiehlt es sich für Websitebetreiber, auf Software von US-Anbietern nach Möglichkeit zu verzichten und auf Dienstleister aus Europa und insbesondere auf eine Datenverarbeitung in Europa umzusteigen.

Wie so häufig, steckt in Datenschutzthemen der Teufel im Detail. Wir stehen Ihnen im gesamten Bereich des IT-/IP- und Datenschutzrechts als Berater gerne zur Verfügung, damit Ihr Webauftritt datenschutzkonform wird oder bleibt.

GoldbergUllrich Rechtsanwälte 2020

Julius Oberste-Dommes LL.M. (Informationsrecht)

Rechtsanwalt und

Fachanwalt für Informationstechnologierecht