cookie banner dsgvo eprivacy

Cookie-Banner – aber richtig! Diese 7 Dinge solltest du dabei beachten

Zuletzt aktualisiert am

Das Erscheinungsbild der Cookie-Banner hat sich in der letzten Zeit auf vielen Webseiten geändert. Früher bekam man lediglich in einem kleinen Pop-up-Fenster einen lapidaren Hinweis darauf, dass auf der Webseite irgendwelche nicht näher spezifizierten „Cookies“ gesetzt werden. Mittlerweile erhält man vielfach eine Aufzählung der einzelnen Cookies und eine Auswahlmöglichkeit über Checkboxen, welche davon akzeptiert werden oder nicht. Warum ist das so – und was ist jetzt richtig?

Dieser Artikel bringt Licht ins Dunkel der Cookie-Banner und erklärt dir, wie du den Cookie-Hinweis auf deiner Webseite richtig gestaltest. Bevor wir zu den Einzelheiten kommen, ist es allerdings notwendig, zu verstehen, wann und warum du überhaupt einen Cookie-Banner brauchst.

Warum brauchst du überhaupt einen Cookie-Banner? 

Cookies sind Informationen, die im Endgerät des Webseitenbesuchers (PC, Smartphone etc.) gespeichert werden. Diese sind zum einen notwendig, um eine Webseite überhaupt richtig darzustellen („technisch notwendige Cookies“). Zum anderen werden sie aber auch für weitere Zwecke gesetzt, zum Beispiel zur Analyse des Verhaltens der Webseitenbesucher, für Werbezwecke oder bei der Einbindung von Social Plugins. (Anmerkung: Mit dem Begriff „Cookies“ sind im Folgenden auch vergleichbare Technologien wie zum Beispiel Zähl-Pixel etc. gemeint.) 

Schauen wir uns zunächst die derzeitige Rechtslage an. Insofern gilt seit Inkrafttreten der DSGVO (Verordnung (EU) 2016/679) am 25.05.2018 folgendes:

Erfolgt die Speicherung der Cookies auf dem Endgerät des Webseitenbesuchers nicht zur Wahrung der berechtigten Interessen des Webseitenbetreibers oder eines Dritten, ist hierfür eine Einwilligung des Webseitenbesuchers gemäß Art. 6 Abs. 1 DSGVO erforderlich.

cookie banner dsgvo

Da die berechtigten Interessen des Webseitenbetreibers bzw. Dritten mit den Interessen oder Grundrechten und Grundfreiheiten des Webseitenbesuchers abzuwägen sind, ist im Einzelfall oft unklar, welche Interessen überwiegen.

Ein berechtigtes Interesse beim Betrieb einer Webseite ist natürlich immer, dass die Webseite korrekt angezeigt wird. Hierfür notwendige Cookies sind daher stets vom berechtigten Interesse des Webseitenbetreibers umfasst. 

Schwieriger wird es, wenn Cookies gesetzt werden, um das Verhalten des Webseitenbesuchers zu analysieren oder zu Werbezwecken auszuwerten. Hier lässt sich oft nicht ausschließen, dass die Interessen der Webseitenbesucher im Streitfall von den Datenschutzaufsichtsbehörden und/oder den Gerichten höher gewichtet werden würden.

Abgesehen von den technisch notwendigen Cookies sollte das Setzen von Cookies daher immer auf die Einwilligung des Webseitenbesuchers gestützt werden können. Diese Einwilligung wird klassischerweise über eine Checkbox eingeholt.

Nicht verschwiegen werden soll, dass sich diese Rechtslage mit dem Inkrafttreten der E-Privacy-Verordnung ändern könnte. Da die E-Privacy-Verordnung aber derzeit noch in der politischen Diskussion ist, bleibt es bezüglich Cookies & Co. bis auf Weiteres bei der Anwendung der DSGVO – und damit bei der vorsorglichen Einholung einer Einwilligung mittels Checkbox. Die Einzelheiten hierzu kannst du in meinem OutOfTheBox-Artikel Die E-Privacy-Verordnung: Was kommt auf dich zu? nachlesen.

Kennst du schon die aktuellen WordPress-News?

Erhalte alle zwei Wochen unsere neusten E-Books, Artikel und Neuigkeiten rund um WordPress, Online Business und mehr!

Ja, ich bin mit der Datenverarbeitung einverstanden.

Wie solltest du deinen Cookie-Banner gestalten?

Ein Cookie-Banner richtig zu gestalten ist gar nicht so schwierig. Wichtig ist nur, dabei ein paar Kleinigkeiten zu beachten, die ich dir im Folgenden vorstelle.

#1 Der richtige Zeitpunkt

Wichtig ist, dass der Cookie-Banner sofort beim Aufruf der Webseite erscheint und zunächst keine Cookies gesetzt werden und auch keine Daten an Dritte (zum Beispiel über ein Social Plugin) übermittelt werden dürfen.

#2 Der richtige Platz

Ferner sollte darauf geachtet werden, dass keine anderen wesentlichen Inhalte überdeckt werden: So wird der Cookie-Banner oft im Bereich des Footers platziert – und überdeckt dort den Link auf Impressum und/oder Datenschutzerklärung.

#3 Freiwilligkeit 

Wichtig ist auch, dass der weitere Besuch der Webseite nicht davon abhängig gemacht wird, dass der Webseitenbesucher in das Setzen aller Cookies einwilligt. Auch dann, wenn lediglich eine Einwilligung zum Setzen der technisch notwendigen Cookies erteilt wird, muss der Besuch der Webseite weiterhin möglich sein. Klar ist natürlich, dass dann mangels Einwilligung evtl. einige Funktionen der Webseite nicht richtig funktionieren.  

#4 Vollständige Aufzählung aller Cookies

Im Cookie-Banner sollten die einzelnen Cookies oder – wenn es zu viele sind – zumindest die einzelnen Kontexte (technisch notwendige Cookies, Analyse-Cookies, Cookies zu Werbezwecken etc.) aufgelistet werden; werden nur Kontexte genannt, sollten diese ggf. durch Anklicken in einem weiteren Fenster näher erläutert und die einzelnen Cookies dort spezifiziert werden.    

#5 Checkboxen mit Opt-in

Einwilligungen auf Webseiten werden sinnvollerweise mittels Checkboxen eingeholt.

Das bedeutet, dass im Cookie-Banner pro Cookie – bzw. pro Cookie-Kontext – eine separate Checkbox vorhanden ist. 

Wichtig ist, dass lediglich bei der Checkbox für die technisch notwendigen Cookies bereits ein Häkchen gesetzt sein darf – bei allen weiteren müssen die Checkboxen leer sein. Durch Anklicken der übrigen Checkboxen kann der Webseitenbesucher nun selbst entscheiden, welche Cookies bzw. Kontexte er akzeptiert oder nicht.

eugh optin wordpress borlabs cookie blog

Der rechtliche Hintergrund hierzu ist folgender: 

Wird eine Einwilligung mittels einer Checkbox eingeholt, bestehen grundsätzlich zwei Möglichkeiten: Opt-in oder Opt-out. Der Unterschied ist, dass die Checkbox beim Opt-in zunächst leer ist und der Webseitenbesucher seine Einwilligung aktiv durch Anklicken des Kästchens bzw. Setzen des Häkchens erteilen muss. Beim Opt-out ist das Häkchen bereits standardmäßig gesetzt – die Einwilligung also bereits erteilt – und der Webseitenbesucher muss aktiv durch Anklicken der Checkbox das Häkchen entfernen.

Viele Webseitenbetreiber verwenden standardmäßig das Opt-out. Vermutlich weil sie wissen, dass die meisten ihrer Besucher schnell auf die Webseite wollen und daher den OK-Button des Cookie-Banners anklicken – ohne den Banner-Text zu lesen oder darüber nachzudenken, wofür sie da gerade ihre Einwilligung erteilen.

Warum das Opt-out nicht ausreicht

Auch wenn dieses Vorgehen weit verbreitet ist, ist es rechtlich jedoch nicht in Ordnung. Eine Einwilligung bedarf einer aktiven Handlung des Webseitenbesuchers. Rechtlich einwandfrei ist daher lediglich das Opt-in, also dass der Webseitenbesucher seine Einwilligung – zum Beispiel zur Verwendung eines Analysetools wie Google Analytics – aktiv durch Setzen des Häkchens erteilt.

Zwar könnte man jetzt argumentieren, dass beim Opt-out die eigentliche  Einwilligung im Klicken des OK-Buttons des Cookie-Banners liegt. Aber damit begibt man sich auf dünnes Eis. Denn gemäß Erwägungsgrund 32 zur DSGVO gilt bezüglich Einwilligungen Folgendes (Hervorhebungen durch mich):

linie infobox

Die Einwilligung sollte durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist, etwa in Form einer schriftlichen Erklärung, die auch elektronisch erfolgen kann, oder einer mündlichen Erklärung.

Dies könnte etwa durch Anklicken eines Kästchens beim Besuch einer Internetseite, durch die Auswahl technischer Einstellungen für Dienste der Informationsgesellschaft oder durch eine andere Erklärung oder Verhaltensweise geschehen, mit der die betroffene Person in dem jeweiligen Kontext eindeutig ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezogenen Daten signalisiert.

Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person sollten daher keine Einwilligung darstellen. Die Einwilligung sollte sich auf alle zu demselben Zweck oder denselben Zwecken vorgenommenen Verarbeitungsvorgänge beziehen. Wenn die Verarbeitung mehreren Zwecken dient, sollte für alle diese Verarbeitungszwecke eine Einwilligung gegeben werden. Wird die betroffene Person auf elektronischem Weg zur Einwilligung aufgefordert, so muss die Aufforderung in klarer und knapper Form und ohne unnötige Unterbrechung des Dienstes, für den die Einwilligung gegeben wird, erfolgen.“

linie infobox

#6 Anpassung der Datenschutzerklärung

Bei der Gestaltung deines Cookie-Banners darfst du nicht vergessen, deine Datenschutzerklärung anzupassen. Das heißt, dass die Einzelheiten zu den einzelnen gesetzten Cookies auch in der Datenschutzerklärung erläutert werden müssen. 

#7 Sonderproblem Social Plugins

Ein Sonderproblem besteht bei der Einbindung von Social Plugins, da bei diesen nicht nur Cookies gesetzt werden, sondern darüber hinaus auch automatisch personenbezogene Daten deiner Webseitenbesucher an das entsprechende soziale Netzwerk etc. gesandt werden.

Nach einem aktuellen Urteil des EuGH vom 29. Juli 2019 dürfen die personenbezogenen Daten des Webseitenbesuchers erst nach Erteilung der entsprechenden Einwilligung an das soziale Netzwerk etc. übermittelt werden. Daher ist darauf zu achten, dass das Social Plugin nur dann aktiv wird, wenn der Webseitenbesucher zuvor seine Einwilligung durch Setzen des Häkchens in der entsprechenden Checkbox erteilt hat. (Dieses Urteil bezieht sich zwar noch auf die „Datenschutz-Richtlinie“, d.h. die Vorgängerregelung der DSGVO; das Ergebnis gilt aber auch für die DSGVO.) 

3. Fazit

Einen Cookie-Banner richtig, d.h. rechtskonform, zu gestalten ist kein Hexenwerk. Und es ist auch kein Nachteil für den Webseitenbetreiber. Denn auch mit den Besuchern seiner Webseite sollte fair umgegangen werden. Und hierzu gehört auch, dass zunächst transparent darüber informiert wird, was passiert, wenn die Webseite aufgerufen wird. Nur dann sind die Webseitenbesucher in der Lage, eine gut informierte Entscheidung darüber zu treffen, ob und gegebenenfalls welche Daten sie von sich preisgeben möchten. So wie viele Webseitenentwickler und -betreiber ihrerseits ungern von Dritten ausgespäht werden, sollten sie auch den Besuchern ihrer eigenen Webseite die Möglichkeit geben, selbst zu entscheiden, welche Daten sie von sich preisgegeben möchten oder nicht.

WooCommerce gratis Hosting

Beitragsbild: Emily Wilson | Unsplash
Weitere Bilder: Rawpixel | pexels, RAIDBOXES