Die Regelungen über Cookies sind ein Trauerspiel. Auf fast jeder Webseite nerven Cookie-Banner die Besucher, die ständig eine Auswahl bestätigen und Einblendungen wegklicken müssen. Diese nutzerunfreundlichen Banner sind häufig unnötig und manchmal sogar juristisch falsch gestaltet. Doch wie machen Sie es richtig?
Bestenfalls benötigen Sie kein Cookie-Banner, weil Sie für die regulären Besucher Ihrer Webseite keine Cookies oder nur Session-Cookies setzen. Dann genügt die Aufklärung der Besucher in der Datenschutzerklärung. Beachten Sie dazu auch den generellen Beitrag zu den datenschutzrechtlichen Anforderungen an Cookies.
Für andere Cookies werden Cookie-Banner angeboten, die jedoch häufig nicht optimal sind. Zum Teil schießen die Cookie-Banner über das Ziel hinaus, indem sie den Besucher zum umständlichen Auswählen der Einstellungen zwingen. Wenn der Besucher alle nicht notwendigen Cookies ablehnt, muss er bei jedem neuen Besuch die Prozedur wiederholen, da seine Einstellungen nicht längerfristig lokal gespeichert werden dürfen.
Andere Lösungen sind weniger aufdringlich, leiden aber an einer datenschutzrechtlich fraglichen Ausgestaltung. Den Besuchern werden zumindest zwei Auswahlfelder angeboten: eines für technisch notwendige Cookies und ein anderes für alle Cookies. Dem flüchtigen Betrachter ist häufig nicht klar, welche Cookies mit der Option „Alle akzeptieren“ gemeint sind. Hinzu kommt eine Farbgebung der Auswahlflächen, die eindeutig die Option „Alle akzeptieren“ bevorzugt und so den Besucher zum vorschnellen Wegklicken des Banners verleitet, indem er auch die technisch nicht erforderlichen Cookies akzeptiert.
Eine solche Lösung entspricht nicht dem Geist der DSGVO, nach der die Nutzer vollständig aufgeklärt eine freiwillige Entscheidung treffen sollen. Der Anreiz, den farbigen Button zu klicken, könnte so gewertet werden, dass die Besucher zu einem Einverständnis bewegt werden sollen, das sie nicht geben wollten.
Sie sehen, selbst professionelle Lösungen, die monatliche Kosten verursachen, sind nicht frei von möglichen datenschutzrechtlichen Problemen. Im Grunde ist es zum Scheitern verurteilt, einen Spagat zwischen Datenschutz und Nutzer-Tracking zu versuchen.
Wie gesagt sind technisch notwenige Cookies im Prinzip ausschließlich Session-Cookies, die nach Schließen des Browser-Fensters wieder gelöscht werden. Bei einem dauerhaften Cookie, das die Cookie-Präferenzen speichert, könnte man noch streiten. Für die Funktionsfähigkeit der Webseite ist die Speicherung der Präferenz nämlich nicht erforderlich. Es nervt nur weniger.
Für Nutzer, die sich auf der Webseite einloggen oder Kommentare hinterlassen, kann und sollte die Zustimmung für dauerhafte Cookies beim Einloggen bzw. Ausfüllen des Formulars abgefragt werden.
Tracking-Cookies, mit denen das Verhalten des Nutzers über die Webseite hinweg ausgewertet werden sollen, sind niemals notwendig im Sinne der DSGVO. Es besteht auch kein berechtigtes Interesse des Webseitenbetreibers, da die Webseite auch ohne das Nutzer-Tracking funktioniert. Damit sind die für statistische Zwecke gesetzten dauerhaften Cookies nur mit vorheriger Einwilligung der Besucher möglich.
Ein korrektes Banner muss für jede Funktion, für die ein Cookie gesetzt wird, eine Auswahl vorsehen, die voreingestellt abgewählt ist. Ein kurzer Text erläutert, worum es geht. Im Prinzip ist dann nur ein Button mit „Auswahl bestätigten“ nötig. Jedenfalls sollte er nicht auffälliger gestaltet sein als der Button zum Ablehnen der nicht notwendigen Cookies. Die Cookies dürfen tatsächlich erst gesetzt werden, nachdem sie akzeptiert wurden. Dazu ist auf Ihrer Webseite die Einbindung einer JavaScript-Lösung erforderlich, welche die Auswahl prüft und eingebettete Tracking-Tools entsprechend nachlädt. Diese Lösung sollte zudem die jederzeitige einfache Löschung der Cookies ermöglichen.
Wenn Sie diese Regeln beherzigen, dann wird naturgemäß die Frage aufkommen, inwiefern die Nutzer den Cookies für Tracking und Werbung noch zustimmen. Überlegen Sie, ob die Statistiken genügen, die sich aus dem Server-Protokoll generieren lassen. Häufig bieten Webserver-Betreiber eine vorinstallierte Analyse-Software wie die klassische AWStats. Für mehr Komfort kann etwa die Open-Source-Software Matomo auf dem eigenen Server installiert werden. Sie erlaubt ebenfalls Statistiken ohne Cookies. Suchen Sie sich Werbepartner, die keine Tracking-Cookies einsetzen. Dann können Sie gegebenenfalls ganz auf Cookies von Dritten verzichten und benötigen kein Banner mehr.
Dürfen Webseiten die Zustimmung zu Cookies erzwingen?
Manche Webseiten verlangen inzwischen, dass man nicht-notwendigen Cookies insbesondere für Werbung zustimmt, wenn man die Seite sehen möchte. Das Erzwingen einer Zustimmung zu Tracking und Werbung für unregistrierte Nutzer ist datenschutzrechtlich jedoch kritisch. Denn nach Artikel 7 Absatz 4 der DSGVO muss eine datenschutzrechtliche Einwilligung freiwillig, d.h. ohne jeden Druck oder Zwang, abgegeben werden.
Gemäß Erwägungsgrund 42 der DSGVO muss eine echte Wahlfreiheit der betroffenen Person bestehen, die in der Lage sein soll, die Einwilligung zu verweigern oder zurückzunehmen, ohne dadurch Nachteile zu erleiden. Und schließlich steht in Erwägungsgrund 43 Satz 2 der DSGVO: „Die Einwilligung gilt nicht als frei mitgeteilt, wenn zu verschiedenen Verarbeitungsvorgängen von personenbezogenen Daten nicht gesondert eine Einwilligung erteilt werden kann, obwohl dies im Einzelfall angebracht ist, oder wenn die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung abhängig ist, obwohl diese Einwilligung für die Erfüllung nicht erforderlich ist.“
Rechtlicher Hinweis
Die Darstellungen auf dieser Seite sollen rechtlichen Laien eine erste Orientierung bieten, können aber eine Rechtsberatung im Einzelfall nicht ersetzen. Für verschiedene Lebensbereiche gelten unterschiedliche Regelungen und es kann nicht ausgeschlossen werden, dass eine Norm sich nach Veröffentlichung verändert oder hier übersehen bzw. falsch interpretiert wurde.