8 Schritte zur wirksamen Cookie-Einwilligung
Was sich nun spätestens seit dem Inkrafttreten des TTDSG im Dezember 2021 – wenn nicht schon seit dem EuGH-Urteil im Oktober 2019 – für den Einsatz von Cookies und ähnlichem auf Websites geändert hat, wurde hier schon des Öfteren erläutert. Im Wesentlichen ist es so: Für die Einbindung aller Cookies und sonstigen Drittdienstleistern (und die damit einhergehende Datenverarbeitung), die nicht für die Bereitstellung der Kernfunktion des Webdienstes unbedingt erforderlich ist, die vom Nutzer ausdrücklich gewünscht wird, muss eine Einwilligung eingeholt werden. Das umfasst in der Regel zum Beispiel alle Analyse-, Marketing-, Karten-, Wetter-, Chat-, Video-, Bildoptimierungs-, Push-Nachrichten- und Umfrage-Dienste sowie Content-Delivery-Networks für Schriftarten, Grafiken etc. Entscheidend ist, was wirklich technisch erforderlich ist, das sagt auch der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit.
Jenseits der technischen Erforderlichkeit oder Nicht-Erforderlichkeit steht aber die Frage, die sich neben Max Schrems auch viele Websitebetreiber stellen, wie denn nun eine wirksame Cookie-Einwilligung eingeholt werden kann. Mittel der Wahl sind häufig Cookie-Banner oder auch sogenannte Consent-Management-Tools, die aber auch ihre Tücken haben. Beachtet man die folgenden Hinweise, kann man diese aber gut umschiffen.
Die Cookie-Einwilligung
Die formalen Anforderungen für eine wirksame Einwilligung finden wir in Art. 4 Nr. 11 und Art. 7 DSGVO. Demnach muss eine Einwilligung
- freiwillig
- informiert
- unmissverständlich
- nachweisbar
- von anderen Sachverhalten klar zu unterscheiden
- und jederzeit wiederrufbar sein.
So abstrakt, so gut. Und was bedeutet das jetzt für die Cookie-Einwilligung?
Für die Einbindung und Konfiguration des Cookie-Banners gelten aus unserer Beratungspraxis und Interaktion mit Aufsichtsbehörden heraus diese Maßstäbe (ein ganz klares Regelwerk gibt es nämlich leider noch nicht):
1. Einwilligungspflichtige Cookies und Funktionen werden erst nach erteilter Einwilligung aktiviert
Cookies und Funktionen, die vor der Einwilligung aktiv sind, aber eine Einwilligung brauchen, dürfen dem Nutzer nicht einfach „untergejubelt“ werden. Die Einwilligung wird in einem solchen Fall nicht rechtzeitig eingeholt, was dazu führt, dass sie nicht freiwillig und – zumindest für den Zeitraum vor der Einwilligung – auch nicht nachweisbar ist.
2. Wesentliche Inhalte wie Impressum und Datenschutzerklärung sind stets erreichbar, auch bei offenem Consent-Tool
So soll der Nutzer sich jederzeit informieren können, mit wem er es beim Websitebetreiber zu tun hat und wie seine Daten beim Besuch der Website und beim Einsatz von Cookies verarbeitet werden. Das trägt zur Freiwilligkeit bei und stellt die Informiertheit sicher.
3. Alle Verarbeitungsprozesse werden im Cookie-Dialogfenster korrekt beschrieben
Es reicht für eine informierte Einwilligung natürlich nicht, dass es überhaupt eine Datenschutzerklärung beziehungsweise Cookie-Richtlinie gibt. Wesentliche Informationen zur Verarbeitung, in die eingewilligt werden soll, müssen bereits im Cookie-Dialogfenster vorgehalten werden. Der Zweck eines jeden Cookies und jeder Funktion muss klar benannt sein und die Datenverarbeitung an sich muss in einer klaren und einfachen Sprache beschrieben werden, auch wenn sie durch einen externen Partner durchgeführt wird.
4. Es besteht eine eindeutig gleichwertige Möglichkeit der Ablehnung auf erster Ebene
Die erste Ebene des Cookie-Banners (und nicht erst die zweite Ebene unter „Einstellungen“) muss dem Nutzer die Möglichkeit geben, sich nicht mit der Cookie-Thematik beschäftigen zu müssen. Es bietet sich an, einen „Alles ablehnen“- oder „Nur essenzielle Cookies zulassen“-Button neben dem „Akzeptieren“-Button einzurichten. Dabei sollten die beiden Buttons sich in ihrer Gestaltung (Größe, Schrift, Farbe und Kontrast) zumindest ähneln – manche finden, sie sollten sogar komplett gleich gestaltet sein. Vermieden werden sollen dadurch sogenanntes Nudging und Dark Patterns, die den Nutzer zu womöglich ungewollten und damit unfreiwilligen Einwilligungen bewegen sollen. Einige Beispiele, die zeigen, wie es NICHT gemacht werden sollte, stellt der LfDI Baden-Württemberg in seiner Orientierungshilfe vor.
5. Die Einwilligung wird nicht per Opt-out eingeholt
Vorausgewählte Optionen im Consent-Manager, für die man eine Einwilligung braucht, gehen gar nicht. Das hat auch schon der EuGH im Oktober 2019 gesagt. Ansonsten ist die Einwilligung möglicherweise nicht richtig nachweisbar, freiwillig und informiert. Stattdessen braucht es eine aktive Einwilligung.
6. Die Einwilligung enthält einen Hinweis auf das Widerrufsrecht
Das Widerrufsrecht steht in Art. 7 Abs. 3 DSGVO und steht jedem Betroffenen zu. Dieser muss auch darüber informiert werden. Ist das nicht der Fall, ist die Einwilligung nicht wirksam.
7. Der Widerruf der Einwilligung ist so einfach wie das Erteilen
Es hilft ja nichts, wenn man über das Widerrufsrecht informiert, aber dann nicht die Wahrnehmung dieses Rechts ermöglicht. Denkbar wäre zum Beispiel, dass ein stets sichtbarer Direktlink („Cookie-Einstellungen“) oder Icon angezeigt wird, der unmittelbar zu den relevanten Einstellungsmöglichkeiten führt. Dort sollte dann die Einwilligung wieder zurückgenommen werden können.
8. Obacht bei Drittanbietern
Es gibt natürlich eine ganze Reihe an hilfreichen Tools von Drittanbietern, die für die Website super praktisch sind. Hier sollte aber genau geprüft werden, ob zum Beispiel eine Auftragsverarbeitungsvereinbarung gemäß Art. 28 DSGVO oder eine Vereinbarung über die gemeinsame Verantwortung gemäß Art. 26 DSGVO erforderlich ist und auch abgeschlossen wurde. Weil viele gängige Anbieter außerdem in den USA sitzen, muss man sich den internationalen Datentransfer genau ansehen und ordentlich absichern – das ist oft auch gar nicht richtig möglich und gilt auch für das Consent-Management-Tool selbst.
Fazit
Ein modernes Consent-Management-Tool kann helfen, eine wirksame Cookie-Einwilligung einzuholen. Dabei gibt es für die richtige Gestaltung und Konfiguration immer noch einiges zu beachten. Setzt man die acht Schritte gewissenhaft um, vermeidet man übliche Fehler und minimiert so Risiken. Natürlich sollte man auch darauf achten, dass ein bestimmtes Cookie oder Tool unabhängig von der Einwilligung überhaupt datenschutzkonform eingesetzt werden kann. Wer Schwierigkeiten damit hat, bittet am besten mal den Datenschutzbeauftragten um Hilfe.