Die Datenschutz-Checkliste

Für die betriebliche Praxis – ohne Fachjargon

Cookie-Banner DSGVO-konform und TTDSG-konform

Was ist ein Cookie-Banner, einfach erklärt?

Cookie-Banner gibt es in verschiedenen Varianten. Es gibt sie als dezente Leiste am Rand des Browser-Fensters, als störende Overlays und als strenge Cookie-Walls, die den Zugang zur Website versperren, bis man eine Einwilligung in das Setzen von Cookies gegeben hat.

Cookies sind kleine Dateien, die auf dem Endgerät des Website-Besuchers gespeichert werden. Cookies beinhalten Informationen, die meist nur für das Unternehmen verständlich sind, die das Cookie beim Besucher der Website auf dem Computer gesetzt hat. Ohne eine Erläuterung, was das Cookie macht und was sein Inhalt bedeutet, ist sein Zweck und seine Funktion unklar.

Man nutzt Cookies meistens, um das Einloggen in Benutzerkonten zu ermöglichen und um Warenkörbe von Webshops zu speichern, damit ein Warenkorb nicht spurlos verschwunden ist, wenn man aus Versehen den Browser geschlossen hat. Diese Cookies nennt das Gesetz „technisch notwendige Cookies„. Für Cookies, über die Benutzerkonten und Warenkörbe funktionieren gelten alle unten genannten Bedingungen nicht. Sie müssen nicht im Cookie-Banner stehen. Über diese Cookies muss nur in der Datenschutzerklärung der Website informiert werden. Jedes Cookie-Banner, dass „technisch notwendige“ oder „essenzielle“ Cookies oder ähnliches mit aufzählt, ist schlecht designt und zeugt von Unkenntnis.

Cookies wurden erfunden, damit all diese Daten nicht auf den Servern des Website-Betreibers liegen und sich dort nicht immer mehr und mehr Daten anhäufen. Cookies sorgen also dafür, dass dauerhaft mehr Platz auf dem Server des Website-Betreibers bleibt, indem stattdessen Daten auf den Endgeräten der Website-Besucher gespeichert werden.

Einige Cookies werden von Werbeplattformen wie denen von Google, Microsoft, Apple, Facebook und Pinterest gesetzt und dienen dem Tracking, also dem genauen Protokoll der Aktivitäten von Menschen im Internet. Diese Cookies sammeln auf Schritt und Tritt, welche Seiten ein bestimmter Benutzer besucht, welche Suchbegriffe er oder sie eintippt, was man liest, kauft und auf sozialen Netzwerken liked.

Warum Cookie-Consent?

Nicht jeder möchte, dass all diese Aktivitäten von Werbeplattformen gesammelt werden. Deswegen hat der Gesetzgeber beschlossen, dass solches Tracking erst erfolgen soll, wenn man darin eingewilligt hat. Diese Regelung folgt dem Grundsatz, dass nur die notwendigsten personenbezogenen Daten gesammelt werden, falls die Betroffenen nicht mehr erlauben. Dieser Grundsatz wird „privacy by design and default“ genannt.

Wann benötigt man Cookie-Banner?

Wenn man kein Tracking einsetzt, ist ein Cookie-Banner nicht unbedingt nötig.

Grundlegend gibt es drei Bedingungen, unter denen ein Cookie-Banner erforderlich ist:

  1. Es werden von der Website Daten auf den Endgeräten von Website-Besuchern gespeichert (das sind fast immer Cookies).
  2. Über die Website wird Tracking (ob mit oder ohne Cookies) durchgeführt.
  3. Über die Website werden sensible personenbezogene Daten verarbeitet.

Die erste Bedingung kommt aus der ePrivacy-Richtlinie bzw. dem Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG), das die europäische ePrivacy-Richtlinie in Deutsches Recht umsetzt. Diese Gesetze dienen dem Schutz der Privatsphäre von EU-Bürgern und das Speichern von Dateien auf Endgeräten von Website-Besuchern wird als ein Eingriff in die Privatsphäre dieser Website-Besucher betrachtet.

Die beiden anderen Bedingungen kommen aus der Datenschutz-Grundverordnung (DS-GVO). Wann immer nach dem Datenschutzrecht nur eine Einwilligung die Verarbeitung personenbezogener Daten über eine Website erlaubt, muss für die entsprechende Verarbeitung eine Einwilligung eingeholt werden. Dafür kann beispielsweise ein Cookie-Banner eingesetzt werden.

Was muss ins Cookie-Banner?
Entscheidungsbaum: Was muss ins Cookie-Banner? Grüne Pfeile bedeuten „Ja“, rote Pfeile bedeuten „Nein“.

Welche Cookies müssen bestätigt werden?

Tracking-Cookies müssen immer bestätigt werden. Das sind insbesondere Cookies von Werbeplattformen:

  • Google Ads,
  • Facebook Pixel,
  • Microsoft Advertising,
  • Apple Ads,
  • Pinterest Ads,
  • TikTok Pixel,
  • Spotify Ads etc.

Es gibt außerdem eine Reihe von Content Delivery Networks (CDNs), die nicht datenschutzkonform sind und deren Einsatz deswegen in der Praxis oft erst nach einer Einwilligung erfolgt, um rechtliche Risiken zu reduzieren. Dies sind beispielsweise:

  • YouTube und
  • Google Fonts.

Richtig sicher fährt man aber nur, wenn man für den eigenen konkreten Einzelfall prüfen lässt, welche Cookies und Plugins nur mit vorheriger Einwilligung gesetzt bzw. eingesetzt werden dürfen.

Welche Cookies setzt meine Website?

Welche Cookies eine Website setzt kann mit bestimmten Analyse-Tools geprüft werden. Schnell und sicher kann dies die Caladan GmbH für Sie prüfen und Ihnen gleichzeitig konkrete Anleitung für Ihr Cookie-Banner geben, damit es rechtssicher gestaltet ist.

Wie funktionieren Cookie-Banner?

Cookie-Banner funktionieren oft selbst mittels Cookies. In einem sogenannten Consent-Cookie wird abgespeichert, in welche Verarbeitungen der Benutzer eingewilligt hat oder nicht. Consent-Cookies sind glücklicherweise auch technisch notwendig, und sie müssen nicht im Cookie-Banner mit aufgeführt werden. Über diese Cookies muss nur in der Datenschutzerklärung der Website informiert werden.

Wichtig ist, dass wenn man Einwilligungen in Verarbeitungen eingeholt hat, die in den Geltungsbereich der DS-GVO fallen, diese Einwilligung nicht nur im Cookie auf dem Endgerät des Benutzers gespeichert ist. Man muss im Ernstfall drei Jahre lang nachweisen können, dass man eine gültige Einwilligung eingeholt hat, bevor mit der Verarbeitung (etwa dem Tracking) begonnen wurde. Andernfalls können Datenschutz-Bußgelder drohen oder sogar Haftstrafen wegen des Ausspähens von Daten.

Was muss im Cookie-Banner stehen?

Das TTDSG stellt die Anforderung an Cookie-Banner, dass die Anforderungen der DS-GVO erfüllt sind. Das heißt, dass im Cookie-Banner (oder leicht über das Cookie-Banner erreichbar) alle Informationen stehen müssen, die bei einer Einwilligung, wie man sie aus dem Datenschutz kennt, notwendig sind. Die Informationen sind die gleichen wie bei einer Datenschutzerklärung für Websites.

Wie erstelle ich einen Cookie-Hinweis?

  • Ein Cookie-Hinweis bündelt alle Cookies nach ihren Zwecken. Es reicht also genau eine Einwilligung in Tracking-Cookies aus.
  • Man darf eine gebündelte Einwilligung für mehrere Zwecke einholen. Man darf also einen „In alle Cookies einwilligen“-Button in seinem Cookie-Banner haben.
  • Einwilligungen für Cookies, die erst nach der Einwilligung der Website-Besucher gesetzt werden dürfen, dürfen nicht vorausgewählt sein
  • Einwilligungen und für andere Funktionen (z. B. cookieless tracking), die eine vorherige Einwilligung der Website-Besucher erfordern, dürfen ebenfalls nicht vorausgewählt sein.
  • Der Cookie-Hinweis muss in kurzer Form all die Informationen beinhalten, die man für die Verarbeitung, die über den Cookie läuft, auch in die Datenschutzerklärung für die Website schreiben muss.
  • Es muss möglich sein, ein Cookie-Banner einfach weg zu klicken, ohne in irgendetwas einzuwilligen. Man darf von Website-Besuchern nicht verlangen, lange im Text nach einem Link zu „weiteren Einstellungen“ zu suchen. Es muss einen „Nur technisch notwendige Cookies“-Button oder ähnliches geben.

Wie lange noch Cookies?

Cookies entlasten die Website-Betreiber, indem ihre Webserver weniger Speicherplatz benötigen. Speicherplatz kostet Geld, weswegen der Einsatz von Cookies sinnvoll ist. Alternative Technologien von Cookies, die auf andere Weise Daten auf den Endgeräten von Website-Besuchern speichern, sind von den gleichen gesetzlichen Anforderungen betroffen, da die Datenschutzgesetze technologieneutral formuliert sind. Dem Gesetz geht es nicht um Cookies, sondern um das Eindringen in die Privatsphäre der Website-Besucher durch das Speichern von Daten auf deren Endgeräten.

Nochmal in trocken!

  • § 25 TTDSG beschreibt, wann eine Einwilligung für Cookies (und ähnliche Technologien) eingeholt werden muss.
  • Art. 7 DS-GVO beschreibt, welche Bedingungen eine solche Einwilligung erfüllen muss.
  • Art. 12–14 DS-GVO beschreibt, welche Informationen über das Cookie-Banner bzw. die Datenschutzerklärung den Website-Besuchern zur Verfügung gestellt werden müssen. Siehe hierzu auch unseren Beitrag zu Datenschutzerklärungen für Websites.

Wo erfährt man mehr darüber?

  • Der Europäische Datenschutzausschuss (EDSA) hat sich mit den Bedingungen an Einwilligungen und den Gestaltungen von Cookie-Bannern im Speziellen in seinen Guidelines on Consent auseinandergesetzt.
  • Material von Aufsichtsbehörden und dem Europäischen Datenschutzausschuss zu den Informationen, die den Website-Besuchern zur Verfügung gestellt werden müssen, findest du am Ende unseres Beitrags zu Datenschutzerklärungen für Websites.

Über den Verfasser

Dieser Beitrag wurde von Dr. Werner Schäfke‑Zell, Datenschutzauditor (TÜV), Geschäftsführer von Caladan, verfasst.