Der Cookie-Banner: Wann man ihn braucht und was rein muss!
Ein Cookie ist eine kleine Datei, die während des Besuchs auf der Website auf dem Rechner des Nutzers gespeichert wird. Die Informationen werden bei einem späteren Besuch des Nutzers wieder ausgelesen. Das dient dazu, Teile des Nutzerverhaltens auf der Website nachverfolgen zu können. Hierzu erhalten die Nutzer Kennungen, welche als personenbezogene Daten zu klassifizieren sind. Bei der Verwendung von Cookies, Retargeting und Tracking Pixel auf der eigenen Website, müssen die Nutzer beim ersten Besuch auf diese Tatsache hingewiesen werden. Hierfür benötigt man den sogenannten Cookie-Banner.
So weit so gut – das wissen inzwischen die Meisten. Allerdings gelten seit Einführung der DSGVO und den jüngsten Entscheidungen des EuGH bzw. des BGH schärfere Regeln zu diesem Thema. Vor der DSGVO reichte es aus, gemäß der EU-Cookie-Richtlinie über die Nutzung von Cookies zu informieren. Um welche Cookies es sich handelt, musste nicht dargelegt werden. Anders heute! Die EU-Cookie-Richtlinie kommt zwar immer noch zur Anwendung, allerdings müssen Cookie-Banner im Vergleich zu früher viel umfangreicher sein. Die bloße Information über die Nutzung von Cookies reicht längst nicht mehr aus.
Wann benötigt eine Website einen Cookie-Banner?
Ganz einfach – sobald die Website Cookies verwendet! Um welche Cookies es sich handelt, ist zur Beantwortung dieser Frage nicht entscheidend.
Zustimmung bei nicht-technischen Cookies
Laut der EU-Cookie-Richtlinie müssen Besucher einer Website über den Einsatz von Cookies in einer leicht verständlichen Form informiert werden und sie müssen der Speicherung ihrer Daten ausdrücklich zustimmen. Diese Zustimmung entfällt nur dann, wenn die Cookies technisch notwendig sind – also zwingend erforderlich, um einen durch den Nutzer erwünschte Dienst umzusetzen. Beispielsweise zählen hierzu sogenannte Session-Cookies zur Speicherung der Spracheinstellung, der Log-in-Daten oder des Warenkorbs.
Im Gegensatz hierzu bedarf es einer aktiven Zustimmung des Website Besuchers bei technisch nicht notwendigen Cookies, wie beispielsweise bei Tracking und Werbe-Cookies von Drittanbietern. Hier reicht es, entgegen der noch weit verbreiteten Meinung nicht aus, auf die Opt-Out Version zu setzen. In der Praxis sind noch viele Cookie-Banner anzutreffen, bei welchen man als Website Besucher oft Folgendes zu lesen bekommt: „Wir nutzen Cookies – wenn Sie unsere Website weiterhin nutzen, erklären Sie sich mit der Cookie-Nutzung einverstanden“. Viele Unternehmen denken es wäre schon high end, wenn sie dann noch innerhalb des Cookie-Banners auf ihre Datenschutzerklärung verweisen. Leider aber nicht!
Sowohl der EuGH, als auch der BGH haben in ihren Urteilen deutlich gemacht, dass die Verwendung technisch nicht notwendiger Cookies der ausdrücklichen Einwilligung des Nutzers bedarf. Eine solche Einwilligung kommt durch die klassische Opt-Out Version gerade eben nicht zu Stande, da der Nutzer sich nicht aktiv mit der Verwendung einverstanden erklärt.
Wie muss ein Cookie-Banner jetzt aussehen?
Viele stellen sich die berechtigte Frage, wie ein Cookie-Banner auszusehen hat. Hier gibt es zahlreiche verschiedene Versionen auf dem Markt, von welchen viele wirklich gut sind. Möchte man wirklich auf Nummer sicher gehen, kann man sich bei Anbietern von professionellen Cookie-Bannern Hilfe holen. Hier wird man auch über die aktuelle rechtliche Situation informiert und etwaige Änderungen der Rechtsprechung.
Wer das nicht möchte, kann natürlich auch selbst einen Cookie-Banner rechtskonform gestalten. Wichtig ist, dass der Cookie-Banner wirklich über alle gesetzten Cookies auf der Website informiert, also auch über die technisch notwendigen. Darüber hinaus sollten die Gründe für die Nutzung der Cookies kurz und knapp im Banner selbst erläutert werden. Beispielsweise „Wir verwenden Cookies, um die technische Darstellung der Website einwandfrei zu ermöglichen. Darüber hinaus nutzen wir Cookies, um Informationen zu Ihrer Verwendung unserer Website an unsere Partner für soziale Medien, Werbung und Analysen weiterzugeben.“ Selbstverständlich kann der Cookie-Banner auch einen völlig anderen Text haben. Schließlich muss es aber zu der individuellen Website des Betreibers passen.
Neben der Information über die Verwendung von Cookies, muss der Cookie-Banner unbedingt auf die Datenschutzerklärung verlinken. Seit Einführung der DSGVO muss der Website Betreiber alle verwendeten Cookies inklusive der hierfür zu Grunde liegenden Rechtsgrundlage innerhalb der Datenschutzerklärung ausführlich erläutern. Damit der Nutzer der Website diese Rechtsgrundlagen, also die Legitimation zur Verwendung seiner personenbezogenen Daten auch vor Nutzung der Website gleich nachvollziehen kann, muss er eben schnellen Zugriff auf die Datenschutzerklärung erhalten.
Jetzt kommt es zum umstrittenen und schwierigeren Teil: Die rechtskonforme Zustimmung zu nicht technisch notwendigen Cookies.
Die in der Praxis noch viel verbreiteten Cookie-Banner, bei welchen der Nutzer auf ein „ok“ klicken muss, reichen leider seit der EuGH bzw. BGH Entscheidung nicht mehr aus. Der Nutzer muss sehr differenziert entscheiden können, welchen Cookies er nun zustimmen möchte und welchen nicht. Selbstverständlich kann man die technisch notwendigen Cookies dieser Zustimmung entziehen. Aus diesem Grund trifft man positiverweise immer mehr Cookie-Banner, welche differenzieren zwischen: Notwendig, Marketing, Statistik und Präferenzen. Bei jeder dieser Möglichkeiten kann man ein Häkchen zur Zustimmung setzen, oder eben nicht. Bei den notwendigen Cookies ist der Haken schon vorgesetzt, das ist aber auch völlig legitim. Manche Cookie-Banner haben noch den Zusatz, dass man sich diese Möglichkeiten zur Auswahl sogar noch detaillierter ansehen kann. Hierzu findet man zahlreiche Beispiele im Netz.
Diese Version haben auch manche Unternehmen umgedreht, sodass bereits alle Häkchen vorangekreuzt sind. Grundsätzlich handelt es sich hierbei um eine Opt-Out Version und ist nicht zulässig. Viele retten die Situation jedoch, indem Sie die Möglichkeit geben: „Auswahl speichern“ oder „Nur essentielle Cookies zulassen“. Wem also diese Version besser gefällt, kann sich auch hierfür entscheiden.
Wo muss der Cookie-Banner angebracht werden?
Im Idealfall platziert man den Cookie-Banner ganz unten, sodass auch ohne Zustimmung oder Bearbeitung des Cookie-Banners, die Website einwandfrei genutzt werden kann. Das anklicken bzw. erlauben oder nicht erlauben von Cookies, sollte kein Hindernis sein die Website in ihren Grundfunktionen nutzen zu können.
Fazit
Eigentlich sollte mit der DSGVO die sogenannte E-Privacy Verordnung und mit ihr auch eine einheitliche Regelung zur Verwendung zu Cookies kommen. Leider sind wir noch weit von einer solchen Verordnung entfernt. Solange bleibt es spannend, wie die Rechtsprechung weiter mit der Verwendung von Cookies verfahren wird und wie die Praxis diese Urteile und vorallem auch diese Unsicherheit umsetzen wird.
