🔎
Bevor wir loslegen:
nyce ist keine Rechtsberatung. Daher sind wir nicht zu einer verbindlichen Beratung im Datenschutz autorisiert. Wir möchten Dir einen Einblick in unsere empfohlene Vorgehensweise und den Diskurs aus Sicht der Praxis geben. In jedem Fall solltest Du Maßnahmen rund um den Datenschutz immer in Absprache mit Eurem Datenschutzbeauftragten oder Fachanwalt für die DSGVO durchführen.
Du möchtest Kekse sammeln?
Cookie- oder Consent-Banner stellen seit Einführung der Datenschutzgrundverordnung (DSGVO) die Online-Marketing-Welt wie kein anderes Thema auf den Kopf. Sicherlich hast Du bereits viele Male mit berechtigtem Zweifel auf das Cookie-Banner Eurer Unternehmenswebsite geschaut.
- Funktioniert unser Cookie-Banner?
- Erfüllt es die technischen und inhaltlichen Anforderungen an den Datenschutz?
- Sind wir damit „sicher“?
In diesem Blog-Beitrag möchten wir Dir eine grundlegende Orientierung in diesem Thema verschaffen. So lernst Du relevante Regelungen und Kriterien kennen, auf denen eine datenschutzkonforme Einwilligung Eurer Websitebesucher aufbaut. Am Ende erhältst Du zudem eine klare Checkliste, um die Datenschutzkonformität Eures Cookie-Banners zu evaluieren.
Was sind überhaupt Cookies?
Vereinfacht dargestellt sind Cookies Text-Dateien, die im Browser geladen werden, wenn eine Website besucht wird. In diesen Dateien werden verschiedene Verhaltensmerkmale dokumentiert und für den Betreiber der Website zugänglich gemacht. Durch die Daten können Nutzer identifiziert, wiedererkannt und die gesamte Interaktion nachvollziehbar gemacht werden.
Welche Verhaltensweisen dokumentiert werden und wie weitreichend diese Beobachtung stattfindet, ist von Cookie zu Cookie unterschiedlich und muss im Sinne der Einwilligung durch den Nutzer im Einzelfall geprüft werden. Es gibt zwei grundlegende Ebenen, auf denen die Verwendungen eines Cookies und die damit verbundene Erhebung von Daten geprüft werden muss:
Speicherort und Beobachtungsraum
Möchtest Du das Nutzerverhalten auf Euren Webseiten beobachten und werden die erhobenen Daten auf Euren eigenen Servern gespeichert? Dann handelt es sich hierbei um einen First-Party-Cookie. Ein First-Party-Cookie wird also von Euch gesetzt und darf nicht an Dritte übermittelt werden.
Möchtest Du beobachten, über welche Werbeplattformen Nutzer auf Eure Seite gelangen und wie diese mit Euren Webseiten interagieren, handelt es sich höchstwahrscheinlich um Third-Party-Cookies (auch Tracking-Cookies genannt). Diese Cookies werden von Drittanbietern im Web gesetzt, wenn Nutzer auf Eure Website gelangen und werden auf den Servern der betreffenden Betreiber gespeichert.
⚠️
Achtung!
Sobald Cookies nicht auf den eigenen Servern gespeichert wird, handelt es sich nicht mehr um First-Party-Cookies. Selbst, wenn lediglich das Nutzerverhalten auf Eurer Website dokumentiert werden soll. Somit ist der Google Analytics Cookie ein Third-Party-Cookie.
Funktion von Cookies
Cookies können unterschiedliche Verwendungszwecke erfüllen und dementsprechend kategorisiert werden. Zum aktuellen Stand (03/2022) gibt es keine verbindliche Nomenklatur der Funktionen. Dennoch hat sich eine Benennung weitreichend etabliert: essenzielle Cookies, statistische Cookies, Marketing Cookies (oder Tracking-Cookies) und funktionale Cookies.
Cookies können notwendig für die Kernfunktionalität Eurer Website sein. Dabei handelt es sich um essenzielle Cookies. Falls sie auf dem Server des Webseitenbetreibers gespeichert werden, gelten sie als First-Party-Cookies und dürfen beim Besuch der Website automatisch gesetzt werden. Cookies, die nicht zwingend für den Betrieb Eurer Webseite notwendig sind, die Usability aber verbessern können, werden als funktionale Cookies eingestuft. Cookies, die das Nutzerverhalten auf der Website dokumentieren, sind statistische Cookies.
Es können zudem Cookies von Drittanbietern auf Eurer Website gesetzt werden. Diese ermöglichen die Domain-übergreifende Beobachtung von Nutzeraktivitäten im Web und werden in der Regel für Werbezwecke verwendet. Wenn Dein Unternehmen etwa Werbeanzeigen auf LinkedIn schaltet, werden Marketing Cookies oder Tracking Cookies auf Eurer Website gesetzt, um die Performance Eurer Kampagnen zu analysieren.
⚠️
Achtung!
Auf dünnes Eis begibt man sich, wenn die Kernfunktionalität der Website von Drittanbietern abhängig gemacht wird. Ein gängiges Beispiel im Datenschutz ist die Einbindung von Videos auf Eurer Webseite, die auf Video-Plattformen wie YouTube oder Vimeo hochgeladen wurden. Unter Umständen wird durch die Einbindung der externen Videos automatisch ein Marketing-Cookie der Video-Plattform gesetzt. Dabei würde es sich nicht um einen essenziellen Cookie handeln und es bedarf somit der expliziten Einwilligung des Nutzers zu Marketing-Cookies. Entscheidet sich der Nutzer, alle nicht essenziellen Cookies abzulehnen (Opt-out) könnten Video-Inhalte so nicht wiedergegeben werden. Hier muss das Recht des Nutzers immer über die Interessen des Web gestellt werden.
Warum benötigen wir überhaupt ein Cookie-Banner?
Durch die Datenschutzgrundverordnung steht ein Webseitenbetreiber in der EU in der Pflicht, seine Nutzer vor dem nicht bewilligten Gebrauch personenbezogener Daten zu schützen. Auf diese Art sollen grundlegende Rechte der Nutzer im Web gesichert werden. Außerdem muss der Betreiber auf seiner Seite vor Einwilligung des Nutzers in umfassender Form über den Gebrauch von Cookies aufklären. Dieses Gesetz trat am 25.05.2018 in Form der DSGVO in Kraft und stellt einen umfassenden Anforderungskatalog an Webseitenbetreiber dar. In der Praxis lässt die DSGVO als Gesetz jedoch viel Raum für Interpretation und löst immer wieder neue Diskussionen zu Auslegung, Umsetzung und Recht aus.
In Folge dieser Unklarheiten haben sich länderspezifische Initiativen gebildet. Deutschland verabschiedete in der Konsequenz zusätzlich das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG), das am 01.12.2021 in Kraft trat. Ferner kündigt Europa seit 2019 ein neues Gesetz zur Verarbeitung von Cookies an: Die ePrivacy Richtlinie. Letztere ist zum aktuellen Stand (03.2022) jedoch noch nicht weiter erläutert.
Wir möchten an dieser Stelle nicht inhaltlich auf Recht und Gesetzmäßigkeiten des Datenschutzes eingehen. Wir möchten lediglich dafür sensibilisieren, dass unter Umständen neben der DSGVO weiteren Richtlinien Folge zu leisten ist.
🔎
Dieser Beitrag bezieht sich primär auf Webseiten, die von Deutschland aus betrieben werden.
Zurück zum Cookie-Banner: Um das Recht Eurer Nutzer zu wahren und diese vor dem unbewilligten Sammeln personenbezogener Daten auf Eurer Seite zu schützen, muss gleich bei Eintritt auf Eure Website eine Aufklärung, Einwilligung und Dokumentation der erhobenen Daten durchgeführt werden. Diese Funktion muss das Cookie-Banner erfüllen.
Doch halt: Sehr viele Cookie-Banner erfüllen das Feature der Dokumentation in dieser Form nicht und übernehmen nur die Steuerung der Cookies. Eine Dokumentation oder ein Logging der Einwilligung ist im Rechtsstreit ebenfalls erforderlich. Im Online Marketing spricht man hier auch vom sogenannten Consent Management. Vereinfacht ausgedrückt: Ein konformer Cookie-Banner sichert Webseitenbetreiber und dessen Online-Marketing Maßnahmen rechtlich ab.
Die Betonung an dieser Stelle liegt auf dem Begriff konform. Einzig das Cookie-Banner sichert noch keinen sicheren Consent. Durch die Gesetzeslage müssen für eine solche Zustimmung des Nutzers diverse Kriterien beachtet werden. Diese Kriterien stellen wir Euch im nächsten Abschnitt vor.
Welche Kriterien muss ein Cookie-Banner erfüllen?
Wenn Du das Cookie-Banner Eurer Unternehmenswebseite prüfen möchtest, solltest die auf 9 Dinge achten. Nachfolgend möchten wir Dir erklären, was es damit auf sich hat. Aber keine Sorge: Zum Abschluss bekommst Du dann alle wichtigen Punkte in Form einer übersichtlichen Checkliste bereitgestellt.
1. Priorität:
Bevor das Cookie-Banner vom Nutzer bearbeitet wurde, dürfen nur essenzielle Cookies gesetzt werden. Jede Form von funktionellen, statistischen und Marketing-Cookies darf erst nach Einwilligung des Nutzers konform freigegeben werden. Um diese Priorität zu sichern, muss das Cookie-Banner mit den relevanten Web-Technologien auf der Seite verknüpft sein. Schließlich muss das Banner das automatische Setzen von Cookies bis zur Freigabe des Nutzers unterbinden, um den Schutz personenbezogener Daten zu sichern.
2. Explizitheit:
Die konforme Einwilligung des Nutzers erfolgt über einen Button-Klick auf das Cookie-Banner. Die Formulierung dieses Buttons muss ein klarer Hinweis dafür sein, dass es sich hierbei um eine proaktive Bestätigung der Cookies handelt. Beispielsweise durch „Ich akzeptiere“ oder „Cookies zulassen“. Implizite Arten der Formulierung wie „weitersurfen“, „OK“, oder „Website besuchen“ sind nicht zulässig.
3. Darstellung:
4. Transparenz:
Im Rahmen des Cookie-Banners müssen alle Informationen zu verwendeten Cookies in deren Form erläutert werden. Dazu gehört die Zweckmäßigkeit und Ziel der Datenerhebung, die Rechtsgrundlage der Erhebung, Speicherdauer sowie Angaben zur Weitergabe der Daten. Im Falle einer Weitergabe muss der Nutzer die Möglichkeit haben, den exakten Verwendungszweck und einen Auftragsverarbeitungsvertrag (AVV) einzusehen. Außerdem muss ein Verweis auf die allgemeinen Datenschutzbestimmungen und das Impressum sichergestellt sein.
5. Rückzug:
6. Granularität:
7. Dokumentation:
Um sich als Webseitenbetreiber rechtlich abzusichern, muss man in der Lage sein, jederzeit Auskunft über die Consent-Historie erteilen zu können. Sowohl gegenüber den Datenschutz-Behörden als auch gegenüber der Nutzer.
8. Einschränkungsfreiheit:
9. Transfer in EU-Drittländer:
Drittländer sind aus unserer Sicht EU-externe Länder. Für die Übertragung personenbezogener Daten in solche Länder muss laut DSGVO ein „angemessenes Schutzniveau“ gewährleistet sein. Dieser Schutz muss im Falle einer Prüfung nachgewiesen werden. Ein konformes Cookie-Banner weist explizit auf eine solche Übertragung hin und klärt auf.
Wie kann ich dem Datenschutz gerecht werden?
Zusammengefasst werden durch den Datenschutz eine Vielzahl von technischen und inhaltlichen Anforderungen an ein DSGVO-konformes Cookie-Banner gestellt. Wir untersuchen jede Woche Tracking-Setups auf deren Konformität und können sagen, dass nahezu keine Standard-Banner oder Eigenbauten diesen Anforderungen standhalten. Dafür ist vordergründig der Programmieraufwand schlicht zu komplex. Das Gute ist: Für dieses Problem gibt es mittlerweile eine einfache Lösung. Diese Lösung nennt sich Consent-Management-Plattform (CMP).
Consent Management Plattformen (CMP) sind Plug-Ins oder externe Skripte, die von Betreibern in den Quellcode der eigenen Website implementiert werden. Diese Software bietet die Möglichkeit, Einwilligung (Opt-in), Dokumentation und Rückzug (Opt-out) konform zu regeln und speichern. Das heißt, CMPs stellen unter anderem ein Cookie-Banner zur Verfügung, das bei neuen Website-Nutzern automatisch ausgelöst wird. Dabei bietet die Software die komplexe, technische Infrastruktur und wird regelmäßig auf Basis aktueller Änderungen im Datenschutz Diskurs optimiert.
CMPs stellen also die technische Infrastruktur bereit. Diese muss jedoch vom Webseitenbetreiber selbst eingerichtet und mit der eigenen Infrastruktur verknüpft werden. Wir empfehlen, bei der Auswahl und Einrichtung der Plattform mit Experten zusammenzuarbeiten, sodass hier eine möglichst sichere Implementierung vorgenommen wird. Kleiner Tipp: Hier helfen wir Dir gerne!
💬
Wir helfen Dir weiter.
Gerne unterstützen wir Dich bei der Auswahl einer Consent Manangement Plattform.
Die Checkliste für ein Datenschutz-konformes Cookie-Banner.
Abschließend möchten wir Dir alle wichtigen Punkte zusammenfassen, die es bei der Prüfung Eures Cookie-Banners im Sinne des Datenschutzes zu beachten gilt. Wenn Du alle nachfolgenden Fragen mit einem klaren Ja beantworten kannst, sind Deine Zweifel ungerechtfertigt. Los geht’s.
✅
Tipps für den Cookie-Banner-Check
Wie findest Du heraus, ob vor Einwilligung des Nutzers nicht-essenzielle Cookies gefeuert werden? Ganz einfach! Besuche die Webseite Deines Unternehmens und lösche alle Cookies. In der Regel findest Du Links neben der URL einen Cookie-Tracker. Etwa ein Schloss (Google Chrome) oder Schutzschild (Safari). Lösche hier alle Cookies und lade Deine Seite neu. Nun solltest Du wieder das Cookie-Banner angezeigt bekommen. Bevor Du jetzt eine Auswahl triffst, klicke wieder auf den Cookie-Tracker und schaue, ob bereits nicht essenzielle Cookies gesetzt wurden.
Neben dieser sehr einfachen Prüfung gibt es auch Browser Plug-ins, die Dir helfen, Cookies zu identifizieren und zu prüfen:
Der Wappalyzer erkennt alle Technologien, die auf einer Website implementiert sind. Unter anderem auch, mit welchen Werbeplattformen auf der Webseite zusammengearbeitet wird. Außerdem gibt es eine Reihe von Plattform-spezifischen Identifikatoren: So gibt es beispielsweise den Google Tag Assistant, mit dem genau geprüft werden kann, wann und welche Google-Cookies gesetzt werden. Das Gleiche macht der Facebook-Pixelhelper für den Facebook-Cookie.
Fazit: Was, wenn mein Cookie-Banner dem Test nicht standhält?
Wenn Du merkst, dass Euer Cookie-Banner oder Euer Consent-Management nicht den aktuellen Datenschutzanforderungen entspricht, solltet Ihr zunächst Folgendes herausfinden:
Kann Eure aktuelle Infrastruktur so weit optimiert werden, dass ein konformer Opt-in möglich ist?
Falls das nicht möglich ist oder der Aufwand sehr hoch ist, empfehlen wir ein neues Setup mit einer Consent-Management-Plattform in Erwägung zu ziehen. Hier investiert Ihr in ein nachhaltiges Tool, dass Euch zukünftig viel Arbeit ersparen kann. Diesen Schritt sind wir in den letzten Jahren mit all unseren Analytics-Kunden gegangen.
Dafür haben wir uns früh einen starken Partner an die Seite geholt: Usercentrics bietet Dir nicht nur eine einwandfreie, technische Infrastruktur: Durch das Hosting in Deutschland bleiben alle Daten in Deutschland. Damit ist die Nutzung des Tools mit Blick auf die Datenübertragung an Dritte langfristig sicher.
Was kann Usercentrics?
Usercentrics bietet für alle Cookies und alle Klassifizierungen geprüfte Rechtsgrundlagen und Textinhalte, die sich direkt im Cookie-Banner anpassen. Ändert sich die Rechtslage, optimiert das Unternehmen betroffene Textinhalte und aktualisiert sie direkt in den Cookie-Bannern der Lizenznehmer. Usercentrics bietet ebenfalls eine Funktion zur automatischen Erstellung der Datenschutzerklärung. Über einen Code-Schnipsel werden diese Informationen in Eurem Datenschutz erstellt und automatisch geändert, wenn ihr Änderungen in Euren Cookie-Einstellungen vornehmt.
Außerdem kann mit Usercentrics auch Domain-übergreifend Consent-Management betrieben werden. Betreust Du etwa eine separate Karriere-Seite oder mehrere Webseiten einer Unternehmensgruppe? Dann kann eine eingerichtete CMP problemlos in mehrere Domains eingebunden werden.
