Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

Navigation und Service

Cookie-Banner

Nutzerfreundliche und datenschutzkonforme Einwilligungsbanner sind möglich – verantwortliche Stellen können hier bereits Flagge zeigen

Stilisiertes Cookie-Banner
Quelle: ©Faithie - stock.adobe.com

Für den Einsatz technisch nicht-erforderlicher Tracking-Technologien wie Cookies muss der Webseitenbetreiber eine Einwilligung des Nutzers einholen (siehe hierzu den Beitrag „Cookies & andere Tracking-Technologien“). Darüber hinaus muss auch für die Verarbeitung der mit den Technologien erhobenen personenbezogenen Daten durch den Webseitenbetreiber oder einen Drittanbieter eine Einwilligung eingeholt werden, soweit keine andere Rechtsgrundlage der Datenschutz-Grundverordnung (DSGVO) greift. Einwilligungsbedürftig ist jedenfalls eine Datenverarbeitung zur Personalisierung von Onlinewerbung.

Oftmals wird für die Erhebung der Einwilligung ein Einwilligungsbanner/Cookie-Banner eingesetzt. Die erhobene Einwilligung und die Informationen der Endnutzer müssen den Anforderungen der DSGVO (insbesondere vorherige Information und Verständlichkeit, Freiwilligkeit und Widerruflichkeit der Einwilligung) genügen.

Einwilligung

Um eine wirksame Einwilligung zur erheben, muss der Verantwortliche gewährleisten, dass die Erhebung in informierter Art und Weise erfolgt. Hierzu sind neben den allgemeinen Informationen in der Datenschutzerklärung auch konkrete Informationen zu der einwilligungsbedürftigen Verarbeitung bereitzustellen. Die Informationen zu den einwilligungsbedürftigen Verarbeitungen müssen für die Nutzerinnen und Nutzer zugänglich sein, bevor die Einwilligung erhoben wird. Der Nutzer muss diese Informationen auch verstehen können. Der Verantwortliche muss die Informationen adressatenbezogen aufbereiten. Ein allgemeiner Text mit Auszügen aus dem Gesetz reicht nicht aus.

Die Nutzerinnen und Nutzer müssen eine echte freiwillige Wahl erhalten. Ein Cookie-Banner, das nur einen "zustimmen"-Button enthält, erfüllt diese Anforderungen nicht. Die verantwortliche Stelle muss Nutzerinnen und Nutzern gestatten die Datenverarbeitung abzulehnen. Die Ablehnung einer Verarbeitung muss so einfach sein, wie deren Zustimmung. Der Verantwortliche sollte auf oberster Ebene neben der Schaltfläche für „zustimmen“ auch eine Schaltfläche für „alles ablehnen“ bereitstellen.

Eine erteilte Einwilligung darf von den Nutzerinnen und Nutzern jederzeit widerrufen werden. Der Webseitenbetreiber hat demnach den Nutzerinnen und Nutzern eine einfach zugängliche Widerrufsmöglichkeit anzubieten. Hierzu kann beispielsweise ein Link im Footer und in der Datenschutzerklärung hinterlegt sein, der die Nutzerinnen und Nutzer zu einer Übersicht der erteilten Einwilligungen (Datenschutzeinstellungen) navigiert und diese dort ihre Willenserklärungen mittels Schieberegler oder Schaltfläche technisch umsetzen.

Cookie Walls

Cookie-Walls stellen einen Sonderfall der Cookie-Banner dar. Eine Cookie-Wall verlangt zunächst eine Entscheidung des Nutzenden, bevor die Webseite aufgerufen werden kann. Diese Cookie-Walls sind nur dann zulässig, wenn es auch eine Alternative gibt. Dies kann ein „Cookies ablehnen“-Button sein. Zulässig kann es aber ebenso sein, wenn beispielsweise ein journalistischer Dienst den Zugang zu den Artikeln alternativ gegen Gebühr anbietet. Die Informationspflicht bleibt jedoch weiterhin bestehen. 

Umgang mit Cookies

In aktuellen Browsern kann der Nutzende Vorgaben hinterlegen, wie mit Cookies umgegangen werden soll. Etwa kann vorgegeben werden, dass Third-Party-Cookies oder sogar gar keine Cookies angelegt werden. Ebenso kann der Browser alle Cookies beim Schließen des Browsers löschen.

Eine Alternative zu Cookie-Bannern ist die Verwaltung der Einwilligungen über Einwilligungsmanagement-Dienste.

Weitere Informationen über die Gestaltung von Cookie-Bannern finden Sie in der "Orientierungshilfe für Anbieter:innen von Telemedien" mit Stand Dezember 2022 der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK). Zudem hat der Europäische Datenschutzausschuss (EDSA) einen Bericht über die Cookie Banner Taskforce (aktuell nur auf Englisch verfügbar) vom 17. Januar 2023 veröffentlicht. Der Bericht stellt den gemeinsamen Nenner bei der Bewertung einer Reihe von Beschwerden gegen den Einsatz von Tracking-Technologien und die Gestaltung von Cookie-Bannern dar, auf den sich die europäischen Aufsichtsbehörden in ihrer Auslegung des geltenden vielschichtigen Rechtsrahmens geeinigt habe. 

Weitere Informationen zum Thema

Verweis auf die "Orientierungshilfe für Anbieter:innen von Telemedien" der DSK

Verweis auf den Cookie-Banner-Report des EDPB (nur auf englisch verfügbar)