';

Das 1×1 beim Cookie Banner – Checkliste zum Aufbau eines rechtskonformen Cookie Banners (Stand 03/2021)

 
Die Gesetzeslage | Unsere Checkliste | Auswirkungen auf das Marketing | Linkliste
 

DSGVO, Bundesdatenschutzgesetz, Privacy Shield: Ein Exkurs in die Gesetzeslage

Seit Mai 2018 gilt die EU Datenschutzgrundverordnung (EU-DSGVO) für alle EU-Mitgliedsstaaten. Zeitgleich trat das neu konzipierte Bundesdatenschutzgesetz in Kraft, das die DSGVO um die Bereiche ergänzt, in denen die Verordnung der Europäischen Union den Mitgliedstaaten Gestaltungsspielräume belassen hatte. Das BDSG und die DSGVO regeln den Umgang mit Daten und begegnen uns seitdem vielerorts mit dem Ziel, die Interessen von Unternehmen und Konsumenten zu bedienen und dabei den Schutz personenbezogener Daten sowie freien Datenverkehr innerhalb der Europäischen Union zu gewährleisten.

Im Internet begegnen uns überall Antworten auf die geltenden Gesetze in Form von Cookie Bannern. Wo früher oft eher spärliche Hinweise zu sehen waren, die sich manchmal eure Kenntnisnahme nicht erst durch ein klickbares Element haben bestätigen lassen, trifft man nun Banner, die den Inhalt der Seiten, ähnlich einer Paywall, zum Teil oder ganz verdecken. Erst nachdem ihr die Cookie-Einstellungen vorgenommen habt, könnt ihr die Seite störungsfrei betrachten. Der Europäische Datenschutzausschuss ist der Auffassung, dass mit Cookie-Walls keine wirksame Einwilligung eingeholt werden kann. Ausnahmen gibt es für den Einsatz im Zusammenhang mit bezahlten Diensten. Das kann den offiziellen Guidelines (englisch) entnommen werden.

Unternehmen versuchen der DSGVO und dem BDSG gerecht zu werden, um einerseits das Vertrauen der Konsumenten zu wahren und andererseits hohen Strafen durch den abschreckenden Bußgeldrahmen, der bei gravierenden Verstößen bis 20 Millionen Euro oder im Fall eines Unternehmens bis zu 4% des gesamten weltweit erzielten Jahresumsatzes reicht, zu entgehen.

Mit dem Urteil vom 28. Mai 2020 folgt die höchste rechtliche Instanz in Deutschland, der Bundesgerichtshof (BGH), der Einschätzung des EuGHs vom Vorjahr in Bezug auf den Fall “Planet49”. Demnach ist die aktive und freie Einwilligung des Nutzers unbedingt erforderlich, bevor nicht-notwendige Cookies auf einer Website platziert werden. Vorab angekreuzte Auswahlkästchen werden im BGH-Urteil ebenso als gesetzwidrig eingestuft.

Eine weitere Entscheidung kam am 16. Juli 2020 vom Europäischen Gerichtshof (EuGH), bei der das sogenannte Privacy Shield-Abkommen zwischen der EU und den USA für ungültig erklärt wurde. Dies soll einen ausreichenden Schutz bei der Übertragung von Daten europäischer Verbraucher in ein Drittland wahren. Davon könne jedoch auf Grundlage der US-Gesetzgebung nicht ausgegangen werden. Das bedeutet in der Theorie, dass keine Nutzerdaten aus der EU in die USA übertragen und dort verarbeitet werden dürfen. Für unzählige Tools und Dienste wäre dies das Ende. Da das Internet, wie wir es heute kennen und nutzen, damit weiter massiv eingeschränkt wird, wird aktuell noch über mögliche Lösungen diskutiert. Unternehmen sind dennoch dazu angehalten, zu prüfen, welche Dienste sie aus den USA nutzen und wie die Datenverarbeitung in Drittländer aktuell aussieht.

Des Weiteren kommt es zu Veränderungen im Datenverkehr mit United Kingdom. Da dieses durch den Brexit voraussichtlich ab Mitte 2021 als EU-Drittstaat gelten könnte, ist die DSGVO nicht mehr anwendbar. Dies betrifft alle Projekte, deren Unternehmen in UK sitzen, gezielt dort werben und/oder personenbezogene Daten erfassen. Die DSGVO wurde als UK GDPR in nationales Recht überführt, wodurch sich aktuell keine inhaltlichen Änderungen im Datenverkehr ergeben, sondern lediglich formulierungstechnische Anpassungen in Verträgen nötig sind. In Bezug auf eure Kundenprojekte erhaltet ihr weitere Informationen von eurem Datenschutzbeauftragten bzw. Rechtsbeistand.

Verstöße gegen die DSGVO-Richtlinien ziehen je nach Art und Umfang Bußgelder und Strafen nach sich. Folgende Konsequenzen drohen unter anderem nach aktuellem Stand:

  • Untersagungsverfügungen der Behörden
  • Umsatzabhängige Bußgelder (in Deutschland mindestens einen Tagesumsatz)
  • Abmahnungen  und Schadensersatzforderungen der Nutzer (Unterlassungsforderungen samt Vertragsstrafen von ca. 2.500 – 5.000 Euro bei Wiederholung)
  • Abmahnungen durch klagebefugte Organisationen (z.B. Verbraucherzentrale, Wettbewerbszentrale etc).
  • Abmahnungen durch von Mitbewerbern aktivierten Anwälten

Das Thema des datenschutzkonformen Trackings sowie der rechtskonforme Einsatz von Tools und Diensten wird für den Nutzer immer unübersichtlicher und sorgt für Verwirrung. Das schürt die Angst bei Unternehmen, geltende Gesetze nicht korrekt auf der eigenen Website umzusetzen und am Ende sowohl finanziellen Schaden zu nehmen als auch das Vertrauen der Anwender zu verlieren. Auch wir sind keine Rechtsberatung und können diese Aufgabe für euch nicht vollends übernehmen. 

Da uns bei vielen Websites jedoch immer wieder auffällt, dass die Cookie Banner nicht korrekt auf Basis der aktuellen Gesetzeslage umgesetzt sind, möchten wir mit unserer Checkliste eine Hilfestellung geben. Diese enthält die wichtigsten Anforderungen bzgl. des Aufbaus und der Inhalte an einen Cookie Banner. Beachtet bitte, dass ihr bei der Umsetzung die Texte von eurem Datenschutzbeauftragten oder Rechtsbeistand auf Vollständigkeit und Richtigkeit überprüfen lassen solltet. Wir sprechen an dieser Stelle nur von unseren Empfehlungen und Erfahrungen.

Checkliste: Das macht einen guten Cookie Banner aus

Informationen über Cookies

Euer Cookie Banner muss einen Einleitungstext enthalten. Dieser …

  • … erklärt die Funktionsweise des Cookie Banners
  • … beschreibt, wie Änderungen an den Einstellungen vorgenommen werden können.
  • … enthält die Kategorisierung der Cookies inkl. der Informationen je Kategorie.
  • Diese sind in Kategorien eindeutig voneinander getrennt.
  • In jeder Kategorie wird erklärt, welche Cookies verwendet werden und wofür.

Auswahl und Einstellungen

Bezüglich der (Vor-)Auswahl der Cookies und der Einstellungen des Banners ist folgendes zu beachten:

  • Lediglich essentielle Cookies sind im Banner vorausgewählt. Alle weiteren Kategorien dürfen nicht im Vorfeld aktiviert sein, da sie die aktive Einwilligung des Nutzers erfordern.
  • Jede Kategorie ist separat an- und abwählbar.
  • Die Datenschutzerklärung der Website ist im Banner verlinkt. Diese enthält eine Übersicht aller genutzten Cookies inkl. der Dauer der Speicherung, des Speicherortes (EU oder Nicht-EU) und der Verwendung. Wichtig: Hier sollte der vom Unternehmen eigens deklarierte Datenschutzbeauftragte, mit einem Benennungsvertrag gewählt und der Aufsichtsbehörde mitgeteilt, bekannt gegeben werden.
  • Bereits im ersten Schritt des Banners (= beim Öffnen der Website) ist es möglich, die Kategorien auszuwählen.
  • Website-Besucher haben die Möglichkeit, ihre Einwilligung zu ändern, zum Beispiel im Footer oder in der Datenschutzerklärung der Website.
  • Um rechtlich auf der sicheren Seite zu sein: Die Option “Alle Cookies akzeptieren” sollte/darf nicht prominenter dargestellt werden als die Option “Meine Auswahl bestätigen”. Es sollte/darf keine Priorisierung der Auswahlmöglichkeiten erfolgen.

Zugang zum Cookie Banner

Die folgenden Punkte sind bezüglich des Abrufs des Banners wichtig:

  • Der Cookie Banner erscheint sofort beim Öffnen der Website.
  • Impressum und Datenschutzerklärung sind im Cookie Banner verlinkt und auch ohne aktive Einwilligung erreichbar (= kein Überdecken durch den Banner).
  • Die Website funktioniert auch, wenn der Nutzer nur essentielle Cookies akzeptiert.

Darstellung und Design

Ihr habt euch für eine der Darstellungsformen des Cookie Banner entschieden, die sich in das Gesamtlayout eurer Website stimmig einfügt:

  • Der Banner erscheint als Layer über der Website.
  • Durch die “eingeforderte” Handlung des Nutzers steigt die Chance auf die Einwilligung in weitere Cookie-Kategorien.
  • Genau dies kann jedoch auch stören und den Nutzer schnell nerven, sodass er die Website ohne Handlung verlässt, wenn die Wege zu umständlich sind.

  • Der Banner erscheint als Sticky Note-Element am Bildrand eurer Website.
  • Die Darstellungsform ist nutzerfreundlich, da keine direkte Handlung erzwungen wird. Die Website ist auch ohne Aktion des Users funktionsfähig.
  • Genau diese fehlende Handlung des Anwenders könnte allerdings auch zu einem hohen Datenverlust führen.

3rd Party Anbieter Komponenten

Für alle verwendeten Drittanbieter gilt: kein Service ohne explizite Zustimmung. D.h., dass ohne vorherige Zustimmung diese Komponente auf der Seite gar nicht erst geladen werden darf. Prüft daher eure Einstellungen bei Drittanbieter-Optionen intensiv:

  • Clustert die Cookies in einer eigenen Kategorie, z.B. “Externe Anbieter”
  • Achtet darauf, dass Medien wie YouTube-Videos nicht automatisch abgespielt geschweige denn mit Vorschaubild angezeigt werden ohne vorherige Einwilligung der Nutzer. Selbst die Einbindung über die no-cookie-Domain garantiert nicht, dass keine Übertragung personenbezogener Daten stattfindet.
  • Setzt in diesem Fall ggf. Contentblocker ein. Sie schaffen Abhilfe, indem sie das Plugin überdecken und mit einem kurzen Zustimmungs-Text die ausdrückliche Erlaubnis vor Nutzung  des Plugins einholen.
  • Fragt zusätzlich darin eine globale Zustimmung dieses Cookies ab, z.B. in Form von “YouTube immer laden”. Dies wird direkt in der globalen Cookie-Einstellung gespeichert.
  • Prüft die Einstellungen eurer Social-Media Plugins prüfen wie Facebook, Instagram und Co.
  • Das gleiche gilt für Mediendienste wie Soundcloud oder Vimeo.
  • Wendet diese Einstellungen auch bei Kartendiensten (Google Maps, OpenStreetMap etc.) an, wenn ihr solche im Einsatz habt.

Datenspeicherung

 

  • Es erfolgt eine Protokollierung über die Einwilligung der Cookies. Diese wird häufig durch das Setzen eines technisch notwendigen Opt-In-Cookies auf dem Endgerät des Nutzers erfolgen. In diesem wird der Zeitpunkt der Einwilligung sowie die Gerätezuordnung gespeichert.
  • Es ist sichergestellt, dass die Cookies technisch entsprechend ihrer Laufzeit gelöscht werden.
  • Es gibt einen vollumfänglichen, protokollierten Löschprozess, der Anwendung findet, wenn ein Nutzer sich mit dem Wunsch der Datenlöschung meldet.
  • Es gibt einen vollumfänglichen, protokollierten Löschprozess, der Anwendung findet, wenn ein Nutzer sich mit dem Wunsch der Datenlöschung meldet.

 

Unsere Checkliste zum Downloaden.

 

Die Folgen: Welche Auswirkungen auf das Marketing hat das rechtskonforme Tracking für Unternehmen?

Trotz aller Notwendigkeit müssen wir uns eingestehen: Die Folgen fürs Marketing von Unternehmen sind schmerzhaft. Unsere Erfahrung zeigt, dass ein sehr großer Teil der Nutzer keine vollständige Einwilligung gibt. Das wiederum bedeutet, dass sich der Datenumfang in Statistik- und Marketing-Tools stark verringern wird. Aktuell sehen wir Trackingverluste im Bereich von 50 bis 90 Prozent

Wir erforschen die Möglichkeiten der gesetzeskonformen Nutzung serverseitigen Trackings. Die Schwierigkeit liegt jedoch darin, dass das Opt-In-Verfahren nicht nur für Cookies, sondern für alle Tracking-Maßnahmen gilt. Von daher ist eine zufriedenstellende Lösung für das Marketing unter den aktuellen Bedingungen knifflig. Wir halten euch bei neuen Entwicklungen auf dem Laufenden.

Die aktuelle Umsetzung bietet für alle Seiten noch keine optimale Lösung und verschiedene Gesetzesentwürfe sind weiterhin im Gespräch. Aktuell sehen wir jedoch, was das Datentracking betrifft, keine alternative Lösung, da die meisten Statistik-Dienste auf der Erhebung von personenbezogenen Daten basieren. 

Die beschriebenen Hilfestellungen und Hinweise basieren auf unseren Erfahrungen und stellen keine rechtsverbindliche Aussage dar. Dazu ist es erforderlich, eine Rechtsberatung hinzu zu ziehen. Wir können euch jedoch mit der Verbindung zu unserem Rechtsbeistand und der Konzeption und Umsetzung eines Cookie Banners unterstützen.

 

Sprecht uns einfach an und wir finden eine Lösung für eure Fragen.

 

Hier findet ihr weitere Informationen und Tipps

Mehr erfahren?

Trag Dich ein und lies weiter!


    Kommentare
    Share
    Zur Übersicht
    katrin