Cookie-banner 1

Neues zum Cookie-Banner für Webseiten

Zum Jahresende 2022 haben sich einige neue Erkenntnisse rund um das Thema „Cookie-Banner“ und Einwilligungen für Webseiten-Funktionalitäten ergeben. Das Landgericht München hat im Fall focus.de über die Zulässigkeit bestimmter Gestaltungsmerkmale von Cookie-Bannern entschieden. Daneben haben die deutschen Aufsichtsbehörden ihre Orientierungshilfe zum TTDSG aktualisiert und ihre Sichtweisen zur Gestaltung von Cookie-Bannern dokumentiert.

Cookie-Banner von focus.de ist datenschutzwidrig

Das Landgericht München hat am 29.11.2022 entschieden, dass der Cookie-Banner von FOCUS-Online (focus.de) datenschutzwidrig ist (Az. 33 O 14776/19, Volltext der Entscheidung). Das Gericht befindet, dass der Cookie-Banner aufgrund vieler technisch nicht erforderlicher Cookies zu unübersichtlich und der Aufwand zum Ablehnen der Cookies zu aufwändig ist. FOKUS-Online hat ein Cookie-Banner nach dem TFC-Standard eingesetzt und hier kein „Alle-Ablehnen“-Button angeboten. Stattdessen wären alle einwilligungspflichtigen Funktionen einzeln abzulehnen. Im Volltext der Gerichtsentscheidung nehmen die Bildschirmfotos aller Bereiche des eingesetzten Cookie-Banners die ersten rund 140 Seiten in Anspruch.

Das „GDPR Transparency and Consent Frameworks (TCF)“, das im März 2018 vom Branchenverband International Advertising Bureau (IAB) Europe in Version 1.1 gelauncht wurde, beschreibt einen Standard für die Einholung Nutzereinwilligung.

Cookie-banner 2
Das bemängelte focus.de-Cookie-Banner (Logo hier vorsorglich geschwärzt)

Detailliertere Vorgaben der deutschen Aufsichtsbehörden

Die deutschen Aufsichtsbehörden für den Datenschutz haben Ihre „Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien“ Version 1.1 herausgegeben. Neu sind hier unter anderem die deutlich konkreteren Vorgaben zur Gestaltung von Cookie-Bannern und Einwilligungserklärungen auf Webseiten.

Orientierungshilfen der Aufsichtsbehörden stellen keine rechtlichen Vorgaben für Unternehmen dar. Dennoch sind diese sehr relevant, um einschätzen zu können, wie die Aufsichtsbehörden z. B. bei den Untersuchungen von Beschwerden betroffener Personen die jeweiligen Themen rechtlich einordnen könnten.

Die wichtigsten Vorgaben zu Cookie-Bannern und Einwilligungserklärungen

  1. Nicht jede Nutzung von Cookies erfordert eine Einwilligung. Einwilligungsbanner sollen nur eingesetzt werden, wenn tatsächlich eine Einwilligung erforderlich ist.
  2. Das Einwilligungsbanner soll als eigenständiges HTML-Element angezeigt werden, wenn eine Webseite erstmalig geöffnet wird, unabhängig davon, ob es sich hier um eine Startseite oder Unterseite handelt.
  3. Während der Anzeige des Cookie-Banners dürfen die jeweiligen Cookies, Funktionen oder Drittdienste noch nicht eingesetzt (geladen) werden. Dies ist erst zulässig, wenn die Einwilligung erteilt wurde.
  4. Der Zugriff auf Impressum und Datenschutzerklärung darf während der Anzeige des Einwilligungsbanners nicht behindert werden.
  5. Die „beteiligten Akteure“ und deren Funktion müssen ausreichend erklärt werden und über ein Auswahlmenü aktivierbar sein. Bei dieser Auswahlmöglichkeit (z. B. durch Checkboxen oder Schieberegler), dürfen diese nicht „aktiv“ voreingestellt sein. Die Aktivierung bzw. Einwilligung muss durch ein aktives Handeln der betroffenen Person erfolgen (z. B. durch Aktivieren einer Auswahlmöglichkeit oder Klick auf eine Schaltfläche).
  6. Es ist darüber zu informieren, dass mit dem Einwilligungsbanner eine Einwilligung zur Speicherung und/oder dem Auslesen von Daten auf dem Endgerät der betroffenen Person und für nachfolgende Verarbeitungen eingeholt werden soll.
  7. Die Informationen können gestaffelt (erst allgemeine Informationen, mit weiterem Klick mehr Details) dargestellt werden. Hierbei kann der Mehrebenen-Ansatz des EDSA genutzt werden. Dieser ist in der “guideline in transparency” näher beschrieben. Auf der ersten Ebene sind folgende Informationen erforderlich:
    • konkrete Zwecke der Verarbeitung,
    • wenn individuelle Profile angelegt und mit Daten von anderen Webseiten zu umfassenden Nutzungsprofilen angereichert werden,
    • wenn Daten auch außerhalb des EWR verarbeitet werden und
    • an wie viele Verantwortliche die Daten offengelegt werden.
  8. Bei der Verwendung von Drittdiensten (Drittdienstleister), sind diese einzeln zu benennen und zu beschreiben. Vor allem sind hier die Zwecke darzulegen.

Ablehnung und Widerruf

  • Eine Ablehnfunktion muss (nur) dann vorhanden sein, wenn die betroffene Person mit dem Einwilligungsbanner interagieren muss, um die Nutzung der Webseite ohne Einwilligung fortsetzen zu können.
  • Eine Ablehnfunktion darf nicht auf einer tieferen Ebene „versteckt“ sein, wenn die Einwilligung auf einer oberen Ebene erteilt werden kann.
  • Die vorhandene Ablehnfunktion muss klar erkennbar und funktionsfähig sein – das gilt auch für die Darstellung auf mobilen Endgeräten mit kleinen Bildschirmen. Die Ablehnfunktion muss gleichwertig zur Einwilligungsfunktion gestaltet sein.
  • Die Beschriftung einer Ablehnenschaltfläche muss unmissverständlich sein. Eine Schaltfläche „Einstellungen oder Ablehnen“ ist nicht ausreichend.
  • Es ist eine Möglichkeit zum einfachen Widerruf der erteilten Einwilligungen anzubieten. Der Widerruf muss so einfach und zugänglich gestaltet sein, wie die Erteilung der Einwilligung.

Nudging und Dark Pattern

Die Aufsichtsbehörden schließen die Nutzung von Nudging bei Einwilligungsbannern nicht grundsätzlich aus. Allerdings darf die Freiwilligkeit der Einwilligung nicht durch zu stark lenkende Gestaltung beeinträchtigt werden. Einwilligungsbanner, die so designt sind, dass die betroffene Person den Eindruck hat, man müsse die Einwilligung erteilen, allein nur, um die Website zu besuchen, werden als unzulässig angesehen. Konkrete Vorgaben für die farbliche Gestaltung von Einwilligungsbannern sehen die Aufsichtsbehörden nicht als erforderlich an. Allerdings muss eine angemessene Lesbarkeit gegeben sein. Eine Bewertung muss im Einzelfall erfolgen, wobei für eine solche Bewertung die “Guidelines 3/2022 on Dark patterns in social media platform interfaces: How to recognise and avoid them” des EDSA genannt werden.

Brauchen Sie jetzt Orientierung?

Die Prüfung von Webseiten in Bezug auf den Datenschutz und vor allem mit dem Blick unter die technische Motorhaube gehört zu unserer Standardberatung. Wir unterstützen Sie gerne bei der Prüfung und Gestaltung Ihrer Einwilligungslösung für Webseiten oder Apps.

Termin zu Cookie-Banner vereinbaren

Interesse an mehr Information? Dann vereinbaren Sie hier einfach einen für Sie kostenfreien und unverbindlichen Kennenlern-Termin mit uns.