Wie Sie Ihren Cookie Banner rechtskonform gestalten

Wir informieren Sie in diesem Beitrag, weshalb viele Cookie Banner unzureichend sind und weshalb Ihre Cookie Banner an die aktuelle Rechtslage anpassen sollten. Viele Betreiber und Besucher von Internetseiten dürften es kennen: Mehr oder weniger nervige Abfragen beim Betreten von Internetseiten, dass man der Verwendung von Cookies zustimmen möge.

Nach der Entscheidung des EuGH vom 01.10.2019 (Az. C-673/17) und des BGH vom 28.05.2020 (Az. I ZR 7/16) muss der Nutzer in die Verwendung technisch nicht notwendiger Cookies oder Tools aktiv einwilligen. Die Einwilligung muss technisch und rechtlich zuverlässig und nachweisbar eingeholt werden. Hierfür haben sich die Cookie Banner diverser Anbieter etabliert. Entgegen der klaren Bezeichnung können mit einem Cookie Banner nicht nur der Einsatz von Cookies, sondern auch der Einsatz diverser anderer Tools (z.B. Google-Maps, YouTube) gesteuert werden.

Aktuell regt sich Widerstand aus dem privaten Sektor. Der österreichische Verein NOYB – europäisches Zentrum für digitale Rechte hat nach eigenen Angaben eine Software entwickelt, die verschiedene Arten von rechtswidrigen Cookie Bannern erkennt und automatisch Beschwerden generiert. Bevor die formalen Beschwerden eingebracht werden, haben die Unternehmen ein Monat Zeit, um ihr Cookie Banner an die rechtlichen Anforderungen anzupassen. Mit diesem System soll NOYB die meistbesuchten Websites in Europa überprüfen und gegebenenfalls bis zu 10.000 Beschwerden einbringen können (vgl. https://noyb.eu/de/noyb-setzt-dem-cookie-banner-wahnsinn-ein-ende; https://www.heise.de/news/Noyb-Datenschutzaktivisten-greifen-Cookie-Banner-an-6057733.html).

Sollte sich NOYB mit seinem Vorgehen etablieren, könnte dies diverse private und/oder gewerbliche Nachahmer nach sich ziehen.

Nachfolgend geben wir Ihnen einen Prüfungsleitfaden an die Hand. Sofern Ihr Cookie Banner bei nur einem Punkt den Anforderungen nicht genügt, sollten Sie Ihr Cookie Banner prüfen und anpassen (lassen):

1. Hat der Nutzer eine echte individuelle Wahlmöglichkeit?

Viele Cookie Banner erlauben nur die Funktionen „(Alle) akzeptieren“ und „Einstellungen o.ä.“. Diese Gestaltung genügt nach der Entscheidung des LG Rostock (Az. 3 O 762/19) und des BGH (Az. I ZR 7/16) nicht den gesetzlichen Anforderungen. Die Freiwilligkeit ist damit unzulässig eingeschränkt. Die abgegebene Einwilligungserklärung wäre damit unwirksam.

2. Haben alle Buttons die gleiche Farbe und Größe?

Häufig ist zu beobachten, dass die diversen Button im Cookie Banner verschiedenfarbig gestaltet sind. Die Button zur Einwilligung in das Setzen von (meist allen) Cookies sind grün/blau/rot, die restlichen Button grau oder weiß gehalten. Teilweise sehen diese Button so aus, als ob man diese gar nicht anklicken kann.

Nach dem LG Rostock ist diese als „Dark Pattern“ bekannte abweichende Farbgestaltung der Button verboten. Der Nutzer soll bewusst in die Irre geführt und zu einer Einwilligung gedrängt werden. Eine Einwilligungserklärung wäre unwirksam.

Ferner sollten die Buttons auch die gleiche Größe haben.

3. Haben Sie alle Cookies und Tools der richtigen Kategorie zugeordnet?

Die meisten Cookie Banner bieten die Möglichkeit, Cookies und/oder Tools den Kategorien technisch notwendig oder technisch nicht notwendig (z.B. Statistik- oder Marketingzwecke) zuzuordnen. Für technisch notwendige Cookies und/oder Tools ist eine Einwilligung nicht erforderlich, für technisch nicht notwendige Cookies und/oder Tools hingegen schon.

Wenn Sie technisch nicht notwendige Cookies und/oder Tools als technisch notwendig deklarieren, wird eine wirksame Einwilligung nicht eingeholt. Dieser Fehler ist für Behörden und Mitbewerber schnell und leicht dokumentierbar zu erkennen.

4. Werden die Cookies und Tools ausreichend erläutert?

Nach Art. 7 DSGVO ist eine Einwilligung unter anderen nur dann wirksam, wenn der Nutzer über die wesentlichen Elemente der Datenverarbeitung informiert wurde.

In vielen Cookie Bannern werden die Cookies und/oder Tools gar nicht oder viel zu oberflächlich beschrieben. In diesem Fall ist die Einwilligung unwirksam.

Viele Cookie Banner enthalten entweder gar keine oder nur eine sehr kurze Einleitung. Der Einleitungstext sollte dem Nutzer erläutern, in welche Verarbeitungsarten er einwilligt, dass er jederzeit widersprechen kann und wo er weitere Informationen erhält. Nur mit einer ausreichenden Einleitung genügen Sie dem Transparenzgebot in Art. 5 Abs. 1 lit a) DSGVO.

Sprechen Sie uns gerne an. Wir formulieren für Sie eine rechtssichere Einleitung.

Bei vielen Internetseiten kann der Nutzer in die Verwendung von technisch nicht notwendigen Cookies zwar einwilligen. Nachdem sich das Cookie Banner geschlossen hat, besteht vielfach keine Möglichkeit mehr, zum Cookie Banner zurückzukehren, um Einstellungen zu ändern. Dadurch vereiteln Sie jedoch die Widerrufsmöglichkeit nach Art. 7 Abs. 3 S. 1, 4 DSGVO. Sie riskieren dadurch ein Bußgeld nach Art. 83 Abs. 5 lit. a) DSGVO.

Wir erläutern Ihnen, wie Sie eine rechtswirksame Änderungsmöglichkeit implementieren können.

7. Haben Sie Ihre Datenschutzerklärung leicht erreichbar verlinkt?

Die Datenschutzerklärung muss im Fenster des Cookie Banners gut erkennbar verlinkt sein. Ansonsten fehlen dem Nutzer wesentliche Informationen zu den einzelnen Cookies und/oder Tools. Die Einwilligung würde in diesem Fall nicht informiert erfolgen und wäre damit unwirksam.

Ihre Datenschutzerklärung selbst muss selbstverständlich vollständig und richtig sein. Wir formulieren für Sie eine rechtssichere Datenschutzerklärung.

8. Setzen Sie Cookies und/oder Tools von US-amerikanischen Anbietern ein?

Setzen Sie Google-Produkte (z.B. Analytics, Maps) oder Produkte anderer US-amerikanischer Anbieter ein? In diesem Fall müssen Sie genau prüfen (lassen), ob Sie diese Produkte überhaupt wirksam einsetzen könnten, selbst wenn der Nutzer eingewilligt hat (Die Einwilligung dürfte bisher übrigens unwirksam sein). Bis zuletzt waren Übermittlungen in die USA nur in engen und wenigen Ausnahmefällen überhaupt zulässig. Dies hat sich nunmehr vermutlich geändert. Die EU-Kommission hat am 04.06.2021 neue Standardvertragsklauseln für eine Datenübermittlung unter anderem in die USA beschlossen (vgl. https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=uriserv%3AOJ.L_.2021.199.01.0031.01.DEU&toc=OJ%3AL%3A2021%3A199%3ATOC). Dieses Thema ist allerdings noch sehr neu. Lassen Sie sich in jedem Fall über dieses Thema beraten. Für Ihre „Feinde“ ist nichts leichter, als eine vermutlich illegale Datenübermittlung in die USA zu erkennen und zu verfolgen bzw. abzumahnen.

Fazit:

Es gibt viele Anbieter, die Cookie Banner anbieten, die rechtskonform ausgestaltet werden können. Sie können diese Cookie Banner mit kleinen inhaltlichen Änderungen als rechtskonformen Cookie Banner einsetzen. Der Einsatz und die Kosten für die juristische Beratung sind überschaubar. Sie vermeiden hierdurch ggfs. Bußgelder und Abmahnungen (vgl. Falsches Cookie Banner = Wettbewerbsverstoß).

Lassen Sie sich von uns beraten.

Wir stehen im gesamten Bereich des IT-Rechts, insbesondere für den Bereich Datenschutzrecht als Berater gerne zur Verfügung. Gerne prüfen wir Ihr Cookie Banner für Sie.

GoldbergUllrich Rechtsanwälte 2021

Julius Oberste-Dommes LL.M. (Informationsrecht)

Rechtsanwalt und

Fachanwalt für Informationstechnologierecht