“Möchten Sie einen Keks?”
Damit ist es bei der Einwilligung zu sogenannten Cookies im Internet schon lange nicht mehr getan. Seit Jahren ranken sich um die kleinen Textdateien im Netz allerlei Kontroversen und rechtliche Probleme. Dabei hatte es so harmlos angefangen: 1994 führte der Netscape-Browser erstmals Cookies ein, um Nutzern das Leben leichter zu machen. Die Idee dahinter war, bestimmte Daten im Hintergrund zu speichern. Wer also beispielsweise online Einkäufe erledigt, findet alle ausgewählten Produkte im Warenkorb. Dass sie dort gespeichert sind, ist den digitalen Keksen zu verdanken. Wer sich auf einer Webseite einloggt, bleibt dank Informationen im Cookie den ganzen Besuch über eingeloggt. Im Prinzip sind Cookies also extrem nützlich.
Ein Keks verändert die Welt
Leider lassen sich sogenannte Tracking-Cookies einsetzen, um das Nutzerverhalten über verschiedene Webseiten zu verfolgen. Das will sich die Werbeindustrie natürlich nicht entgehen lassen. Schon 2011 fanden Forscher in den USA heraus: Wer die damals 100 beliebtesten Webseiten besucht, fängt sich mehr als 5.500 verschiedene Cookies ein. Das geht über einen Warenkorb oder Login weit hinaus.
Mit dem rasanten Wachstum des Internets seit 2011 ist auch die Anzahl von Tracking-Cookies zunehmend eskaliert. Das hat den Gesetzgeber auf den Plan gerufen, etwa mit der europäischen DSGVO von 2018. Erstmals sollten dem wilden Cookie-Dschungel klare Grenzen gesetzt werden. Ein Kernelement der neuen Vorschriften ist der Consent, also die aktive Einwilligung von Besuchern einer Webseite. Webseiten sollten künftig nicht einfach Cookies setzen, sondern sich erst die explizite Erlaubnis ihrer Besucher holen. Am schnellsten geht das über Banner, die alle relevanten Cookies mit einem “Einstellungen speichern”-Button verbinden und so die Einwilligung in eine für beide Seiten angenehme Form gießen.
Auch in deutschen Datenschutzgesetzen hat sich in den vergangenen paar Jahren einiges getan. Mittlerweile haben deutsche Gerichte eine konkrete Vorstellung davon, was in Consent-Bannern geht und was nicht. Eine Folge davon sind zunehmende Abmahnungen an Unternehmen wegen ihrer Cookie-Praxis. Im Jahr 2023 kann sich bei Cookies niemand mehr auf eine unklare Rechtslage berufen. Wer die Grundregeln nicht einhält, riskiert teure Folgekosten. Wie sollte ein gutes Consent-Banner also aussehen?
Das Aus für “Dark Patterns”
Noch vor einer Weile war es im Netz nicht unüblich, Cookie-Banner möglichst verwirrend zu gestalten. Ein klassisches Beispiel sind Banner, in denen die Zustimmung zu allen Cookies voreingestellt ist und sich lediglich die Buttons “Akzeptieren” und “Einstellungen” finden. Wer dann auf “Einstellungen” klickt, muss manuell alle Häkchen entfernen oder sich gar durch Untermenüs klicken. Die Funktionsweise solcher Banner wird auch als “Dark Patterns” bezeichnet, und einschlägige Rechtsprechung zeigt, dass sie illegal ist. Wer über fehlende oder falsch platzierte “Ablehnen”-Buttons Besucher zermürben und zum Akzeptieren zwingen will, macht einen möglicherweise sehr teuren Fehler.
Manche Webseiten versuchen außerdem, Besucher über die Farbgebung der Buttons auf dem Consent-Banner in die Irre zu führen. Diese Form der Manipulation wird auch als “Nudging” bezeichnet. Damit bewegen sie sich rechtlich auf sehr dünnem Eis. Wenn das Ablehnen von Cookies mit deutlich mehr Aufwand verbunden ist als das Akzeptieren, verstößt das Banner wahrscheinlich gegen geltendes Recht.
Zwar ist das nur ein Überblick, allerdings ergibt sich aus der bestehenden Rechtsprechung eine ziemlich eindeutige Tendenz. Ein sauberes Cookie-Banner muss transparent, informativ und einfach zu bedienen sein. Falls du selber ein Cookie-Banner aufsetzt, stelle dir bei jedem Schritt die Frage, ob das Banner Nutzer in die ein oder andere Richtung manipulieren soll, ob es offen mit allen Informationen umgeht und ob das Akzeptieren von Cookies genau so einfach ist wie das Ablehnen. Letztendlich ist ein Consent-Banner kein Hexenwerk.
Für den Datenschutz geht es allein darum, dass Besuchern ernsthaft die Wahl gelassen wird – transparent und ohne Tricks.
So gelingt das Consent-Banner
Cookie-Banner sind immer dann notwendig, wenn die Cookies einer Webseite personenbezogene Daten verarbeiten. Die Einwilligung ist nur dann nötig, wenn die Cookies nicht technisch notwendig sind. Für einen Login-Cookie also müsstest du keinen Consent erfragen. Es reicht, lediglich über die Verwendung von Cookies zu informieren. Bei Marketing-Cookies dagegen ist Consent Pflicht.
Wer Banner einbaut, muss diese interaktiv gestalten. Ein Hinweis-Banner nach dem Motto “Wir verwenden Marketing-Cookies” reicht nicht aus. Links und Erklärungen zu allen wichtigen Informationen inklusive Impressum und Datenschutzerklärung müssen sich ebenfalls im Banner finden. Besucher sollten mindestens die Möglichkeit haben, Cookies auszuwählen und zu akzeptieren, sie abzulehnen (notwendige Cookies dürfen trotzdem gesetzt werden) und die Einstellungen zu speichern. Damit soll es jeder Besucher in der Hand haben, manuell die gewünschten Cookies auszuwählen.
Bei der anwaltlichen Beratung können wir Euch leider nicht unterstützen. Bei Anliegen zu datenschutzkonformen Cookie-Bannern allerdings schon. Nehmt dazu einfach Kontakt mit uns auf!
Haftungsausschluss: Dieser Inhalt ist nicht als Rechtsberatung auszulegen
