Jeder kennt sie, kaum einer mag sie: Cookie-Consent-Banner. Seit Inkrafttreten des TTDSG im Dezember 2021 und den damit einhergehenden strengeren Anforderungen an die Cookie-Einwilligung aus § 25 TTDSG, ist es umso wichtiger, dass Unternehmen bei dem Einsatz von Cookies ein rechtskonform ausgestaltetes Consent-Banner auf ihrer Website verwenden.
Wann Sie ein Consent-Banner überhaupt benötigen (und wann nicht) und wie ein solches Banner aussehen sollte, erklären wir Ihnen in diesem Beitrag.
Wann wird ein Consent-Banner benötigt?
Ein Consent-Banner benötigen Sie immer dann, wenn Sie einwilligungsbedürftige Cookies auf Ihrer Website verwenden. Das Einwilligungserfordernis bestimmt sich nach dem Telekommunikations-Telemedien-Datenschutz-Gesetz (kurz „TTDSG“). Das Gesetz gilt unabhängig davon, ob personenbezogene Daten verarbeitet werden oder nicht und findet somit neben der DSGVO Anwendung.
Einwilligungspflicht aus § 25 Abs. 1 TTDSG
§ 25 Abs. 1 TTDSG legt fest, dass eine Einwilligung zwingend eingeholt werden muss, wenn Informationen auf Endeinrichtungen der Endnutzer:innen gespeichert oder abgerufen werden. Die Norm bezieht sich dabei nicht nur auf die Einwilligungsbedürftigkeit von Cookies, sondern umfasst alle Technologien, die Informationen in einer Endeinrichtung wie einem Laptop oder Smartphone speichern oder aus einer solchen abrufen.
Hierdurch sind auch sonstige Technologien wie z.B. Local Storage- und Session Storage-Elemente von der Vorschrift umfasst. Eine abschließende Auflistung der erfassten Technologien liegt aktuell nicht vor. Allerdings hat der Europäische Datenschutzausschuss Leitlinien zum technischen Anwendungsbereich der Vorschrift bzw. der ihr zu Grunde liegenden Regelung aus der E-Privacy-Richtlinie veröffentlicht, in der verschiedene technische Use-Cases bewertet werden. In diesem Beitrag fassen wir all diese Technologien der Einfachheit halber unter dem Stichwort „Cookies“ zusammen.
Ausnahmen von der Einwilligungspflicht
Eine Ausnahme von der Einwilligungsbedürftigkeit von Cookies macht § 25 Abs. 2 TTDSG. Demnach ist eine Einwilligung nicht erforderlich, wenn der Einsatz von Cookies unbedingt erforderlich ist, damit der Anbietende den vom Nutzenden ausdrücklich gewünschten Telemediendienst (Website, App etc.) zur Verfügung stellen kann.
Hierbei ist insbesondere umstritten, wann der Einsatz von Cookies unbedingt erforderlich ist. Die Datenschutzkonferenz (DSK) ist hierauf in ihrer Orientierungshilfe zum neuen TTDSG etwas genauer eingegangen. Von der Ausnahme sollen nur solche Cookies erfasst sein, die für die Funktionalität der Website technisch erforderlich sind. Technisch erforderlich sind zum Beispiel sog. Sessions-Cookies, die Warenkorbinhalte, Login-Daten oder Eingaben von Nutzer:innen speichern. Allerdings muss auch hierbei die zeitliche, inhaltliche und personelle Dimension berücksichtigt werden. Als Beispiel nennt die DSK Cookies, die den Warenkorbinhalt der Nutzenden speichern. Diese sind erst dann technisch erforderlich, wenn auch tatsächlich eine Interaktion der Nutzenden stattgefunden hat, d.h. ein Artikel in den Warenkorb gelegt wurde.
Nicht technisch erforderlich sind hingegen Cookies, die ein bestimmtes Nutzungsverhalten der Websitebesuchenden zu Marketing- oder Marktforschungszwecken tracken.
Die Einordnung von technisch erforderlichen Cookies ist oft schwierig und muss in aller Regel im Einzelfall geprüft werden. Die Entscheidung sollte dabei gut dokumentiert werden.
Einwilligung für die Datenverarbeitung aus der DSGVO
Werden mittels Cookies personenbezogene Daten verarbeitet, ist neben dem TTDSG außerdem das Datenschutzrecht und insbesondere die DSGVO zu beachten. Dabei sind die verschiedenen Phasen der Datenverarbeitung zu unterscheiden. Werden personenbezogene Daten auf Endeinrichtungen der Endnutzer:innen gespeichert oder abgerufen, unterliegt dies dem TTDSG. Eine sich anschließende weitere Verarbeitung der so erlangten Daten unterfällt den Anforderungen des Datenschutzrechts.
Zentral ist dabei die Rechtmäßigkeit der Datenverarbeitung. Dabei gilt: Eine Verarbeitung personenbezogener Daten, die nachgelagert auf der Speicherung von oder durch den Zugriff auf Informationen in der Endeinrichtung basiert, kann nur rechtmäßig erfolgen, wenn die vorgelagerte Verarbeitung nach dem TTDSG rechtmäßig ist. Sofern eine notwendige Einwilligung nicht erteilt wurde oder Wirksamkeitsmängel der Einwilligung festgestellt werden, wirkt dies auf die nachgelagerte Verarbeitung fort.
Wenn nach dem TTDSG eine Einwilligung notwendig ist, muss regelmäßig auch die anschließende Datenverarbeitung auf der Grundlage einer Einwilligung der betroffenen Person gem. Art. 6 Abs. 1 Buchst. a DSGVO erfolgen. Sofern das TTDSG keine Einwilligung verlangt, lässt sich die mit der Verwendung von Cookies einhergehende Datenverarbeitung regelmäßig im Rahmen der Interessensabwägung gem. Art. 6 Abs. 1 Buchst. f DSGVO rechtfertigen.
Inhaltliche Gestaltung des Consent-Banners
Werden einwilligungsbedürftige Cookies verwendet, ist ein Consent-Banner unerlässlich. Die rechtskonforme Ausgestaltung eines solchen Banners ist jedoch nicht unumstritten.
Mindestinformationen im Consent-Banner
Ein Consent-Banner sollte in jedem Fall zumindest die folgenden Informationen beinhalten:
- die Identität der verantwortlichen Stelle,
- die Zwecke der Datenverarbeitung,
- die Art der verarbeiteten Daten,
- die Speicherdauer der Cookies,
- die Rechtsgrundlage der Datenverarbeitung (hier: Einwilligung),
- ggf. die Absicht einer Datenübermittlung in Drittländer,
- den Hinweis, dass Einwilligungen jederzeit und ohne Angabe von Gründen widerrufen werden können und wie dies mittels des Banners möglich ist.
Je nach den Umständen der Datenverarbeitung können weitere Informationen erforderlich sein, um die gesetzlichen Informationspflichten zu erfüllen, z.B. wenn besondere Technologien eingesetzt oder spezifische Zwecke verfolgt werden. Erstreckt sich die mögliche Einwilligung z.B. auf den Einsatz von Drittdiensten, sind diese einzeln zu benennen.
Wenn mittels der Cookies (auch) personenbezogene Daten verarbeitet werden, muss aus der Einwilligungserklärung deutlich hervorgehen, dass neben der Einwilligung nach dem TTDSG auch eine datenschutzrechtliche Einwilligung eingeholt wird.
In den meisten Fällen ist es sinnvoll, eine Klassifizierung der verwendeten Cookies und Technologien vorzunehmen. Beispiele für mögliche Klassifizierungen sind „Unbedingt erforderliche Cookies“, „Funktionale Cookies“ und „Marketing Cookies“. Eine Unterscheidung von technisch notwendigen und technisch nicht notwendigen Cookies sollte in jedem Fall erfolgen und auch für die Website-Besuchenden erkennbar sein.
Außerdem darf die Beschreibung der Zwecke nicht zu unkonkret und allgemein sein. Die Formulierung „Die Setzung von Cookies soll […] Ihr Surferlebnis verbessern“ ist laut der Niedersächsischen Landesdatenschutzbeauftragten beispielsweise nicht ausreichend. Insbesondere ist über eine etwaige Erstellung von individuellen Nutzungsprofilen und Anreicherung von Profilen mit Daten anderer Websites hinzuweisen.
Mehrschichtige Consent-Banner
Für die Erfüllung der Informationspflicht der Art. 13 und 14 DSGVO sind weitere Informationen, z.B. zu den Rechten der betroffenen Person (Kapitel III DSGVO) oder den Kontaktdaten des Datenschutzbeauftragten, erforderlich. Diese müssen allerdings nicht im Consent-Banner enthalten sein. Vielmehr ist es ausreichend, wenn im Consent-Banner auf die Datenschutzerklärung der Website hingewiesen wird, die über die vollständigen Informationen verfügt.
Wird ein mehrschichtiges Consent-Banner verwendet, muss bereits auf der Ebene, auf der die Einwilligung erteilt werden kann, auch eine Alternative zum Ablehnen der Einwilligung angeboten werden. Sofern auf erster Ebene nur die Möglichkeiten „Akzeptieren“ und „Einstellungen“ angeboten werden, führt dies dazu, dass über die Schaltfläche „Akzeptieren“ keine rechtswirksame Einwilligung eingeholt wird.
Weiterhin ist es zulässig, das Consent-Banner mehrschichtig zu gestalten, indem etwa auf einer ersten Ebene weniger detaillierte Informationen enthalten sind als auf einer zweiten Ebene. Sofern aber auf der ersten Ebene eine Einwilligung erteilt werden kann, muss bereits auf dieser Ebene eine konkrete Beschreibung der einzelnen Zwecke erfolgen. Zudem sollten die Nutzenden über ihre Wahlmöglichkeiten und über das Widerrufsrecht informiert werden. Die erste Ebene sollte jedoch nicht mit zu vielen Informationen überladen werden, damit die Nutzer:innen nicht in die Irre geführt werden.
Anforderungen an die Einwilligungshandlung
Aktive Handlung erforderlich
Die Websitebesucher:innen haben die Einwilligung mit einem aktiven Handeln abzugeben. Die Einwilligung kann daher nicht durch Untätigkeit erteilt werden. Auch das einfache Weiterscrollen auf der Website, der Konsum von Websiteinhalten, die Voreinstellung einwilligungsbedürftiger Technologien oder ähnliche Handlungen lassen nicht auf die aktive Erteilung einer Einwilligung schließen und sind somit nicht ausreichend. Daher sind regelmäßig das Klicken einer Schaltfläche, die Auswahl von technischen Einstellungen oder andere Handlungen erforderlich.
Da Einwilligungen zugleich unmissverständlich erteilt werden müssen, kommt es für das Vorliegen einer rechtmäßig erteilten Einwilligung auch auf die Bezeichnung und Gestaltung der Schaltflächen an. Die Schaltfläche, mit der die Einwilligung erteilt werden soll, sollte daher nicht mit „Okay“ beschriftet werden, da das Anklicken einer solchen Schaltfläche keine unmissverständliche Einwilligungserteilung darstellt. Vielmehr muss die Schaltfläche für die Nutzenden die Möglichkeit bieten, den wahren Willen zum Ausdruck zu bringen. Für die Nutzenden muss die Möglichkeit, die Einwilligung zu verweigern zudem genau so einfach sein, wie die Option ihr zuzustimmen.
Freiwilligkeit & Cookie-Walls
Neben der aktiven Handlung ist zudem erforderlich, dass die Einwilligung freiwillig erfolgt. Eine Handlung erfolgt dann freiwillig, wenn die Endnutzer:innen eine tatsächliche Wahl haben und eine Verweigerung der Einwilligung keine spürbaren Nachteile mit sich bringt. Fraglich ist eine freiwillige Handlung der Nutzenden insbesondere bei sog. „Cookie-Walls“, also Consent-Bannern, welche den gesamten Inhalt der Website verdecken und sich auch nicht umgehen lassen. Durch eine verweigerte Einwilligung wird dem Nutzenden der gesamte Inhalt der Website vorenthalten. Bei Websites, welche für den Nutzenden notwendig sind, kann dann nicht mehr von einer freiwillig erteilten Einwilligung ausgegangen werden. Eine Cookie-Wall wäre in diesem Fall unzulässig.
Darf die Nutzung der Website von der Erteilung der Einwilligung abhängig gemacht werden?
Vor allem Konsumierende von Online-Nachrichten werden bereits Erfahrungen mit Consent-Bannern gemacht haben, bei denen die Einwilligung nicht ohne Weiteres verweigert werden kann. Als Alternative wird stattdessen angeboten, die Website gegen Zahlung eines bestimmten Geldbetrages zu nutzen (sog. PUR-Abo-Modelle). Ob ein solches Vorgehen rechtmäßig ist, wurde noch nicht endgültig von Gerichten entschieden.
Die Datenschutzkonferenz hat in ihrem Beschluss vom 30.03.2023 zur „Bewertung von Pur-Abo-Modellen auf Websites“ die Anforderungen an „Pur-Abo-Modelle“ konkretisiert und festgelegt. Hierin wird klargestellt, dass „(..) die Nachverfolgung des Nutzerverhaltens (Tracking) auf eine Einwilligung gestützt werden kann, wenn alternativ ein trackingfreies Modell angeboten wird, auch wenn dies bezahlpflichtig ist.“ Wichtig ist jedoch, dass bei Nutzenden, welche sich für die kostenpflichtige Variante entscheiden, nur technisch notwendige Cookies gesetzt werden.
Dürfen Einwilligungen für mehrere Datenverarbeitungen gleichzeitig eingeholt werden?
Es ist möglich, die notwendigen Einwilligungen für alle Datenverarbeitungen gleichzeitig einzuholen, zum Beispiel über eine Schaltfläche, welche mit „Alle akzeptieren“ beschriftet ist. Hierbei gilt es jedoch zu beachten, dass die Nutzenden hinsichtlich der Zwecke und Funktionalitäten der Cookies direkt vom Consent-Banner aus auf die Datenschutzerklärung verwiesen werden oder das Banner selbst (z.B. auf einer zweiten Ebene) die notwendigen Informationen über die verschiedenen Dienste und Verarbeitungen enthält.
Ist die Einwilligung in die Verwendung von Cookies widerruflich?
Die Einwilligung in die Verwendung von Cookies muss für die Nutzenden widerruflich sein. Wichtig ist, dass der Widerruf genau so einfach möglich sein muss, wie die Erteilung der Einwilligung selbst, vgl. Art. 7 Abs. 3 S. 4 DSGVO. Das bedeutet für Websitebetreibende, dass ein Widerruf über ein gesondertes Kontaktformular oder per E-Mail, Telefon oder Fax nicht ausreicht, wenn eine Einwilligung über das Consent-Banner erfolgt ist. Ein Widerrufsmöglichkeit in der Datenschutzerklärung genügt ebenfalls nicht, da auch dort ein erhöhter Aufwand im Verhältnis zu der Einwilligung über das Consent-Banner erforderlich ist. Eine zusätzliche Möglichkeit des Widerrufs über die Datenschutzerklärung ist trotzdem möglich, sofern Verlinkungen den Nutzenden direkt an die Stelle des Widerrufs verweisen.
Um Nutzer:innen die ideale Möglichkeit zu bieten, die Einwilligung zu widerrufen, sollte der Widerruf direkt über das Consent-Banner selbst und die dortigen Einstellungsoptionen möglich sein oder ein Verweis im Consent-Banner auf die richtige Stelle auf der Website erfolgen. Das Consent-Banner sollte daher zu jeder Zeit auf der Website abrufbar sein, z.B. über eine Verlinkung im Footer der Website.
Wie sollte das Consent-Banner optisch gestaltet sein?
Die optische Gestaltung des Consent-Banners ist ebenfalls entscheidend. Nicht jedes Design ist gleichermaßen rechtskonform. Wichtig ist insbesondere das Design der Buttons.
Durch unterschiedliche Farben oder Größen der Buttons können die Nutzenden je nach Design in die Irre geführt werden. Das gilt insbesondere, wenn der Button, durch den allen Cookies zugestimmt wird, deutlich hervorgehoben ist. Die Landesbeauftragte für den Datenschutz in Niedersachsen hat in einer Handreichung zur Datenschutzkonformen Einwilligung auf Webseiten einige unzulässige Designs abgebildet. Es werden allerdings weder in der DSGVO noch im TTDSG klare Regelungen zur Gestaltung des Consent-Banners getroffen, sodass immer im Einzelfall geschaut werden muss, ob die Einwilligung noch freiwillig oder nur aufgrund des irreführenden Designs erfolgte.
Wichtig ist außerdem, dass durch das Consent-Banner keine anderen Pflichtinformationen auf der Website, wie das Impressum oder die Datenschutzhinweise, verdeckt werden. Es muss möglich sein, diese Informationen aufzurufen, ohne weiter mit dem Banner zu interagieren. Hierzu sollten entsprechende Verlinkungen in das Banner aufgenommen werden.
Weitere Beispiele für eine unzulässige Bannergestaltung finden sich in der Rechtsprechung. In einem durch das LG Köln entschiedenen Fall wurde der Button „Alles akzeptieren“ im Consent-Banner durch Farbe und Größe deutlich hervorgehoben Dagegen war die Möglichkeit, nur mit den notwendigen Cookies fortzufahren im Fließtext versteckt. Neben dem „Alles Akzeptieren-Button“ hatten die Nutzenden als Wahlmöglichkeit nur die Option, die Einstellungen zu ändern. Hierin sah das LG Köln keine im Alternativverhältnis stehende Wahlmöglichkeit zu der Option, alle Cookies zu akzeptieren. Das Gericht erklärte die durch dieses Consent-Banner erteilte Einwilligung daher für unwirksam.
Fazit
Die Anforderungen an die rechtskonforme Ausgestaltung von Consent-Bannern sind in der Praxis noch nicht in jedem Detail abschließend geklärt. Mit Hilfe der Handreichungen und Orientierungshilfen der Aufsichtsbehörden lassen sich aber zumindest klare Aussagen darüber treffen, welche Vorgaben verbindlich sind, und welche Gestaltungsvarianten vermieden werden sollten. So können die Risiken von Abmahnungen oder Sanktionen der Aufsichtsbehörden wirksam minimiert werden.
Melina Voß studiert Rechtswissenschaften an der Universität Hamburg und ist wissenschaftliche Mitarbeiterin der Datenschutzkanzlei.
Marinus Stehmeier ist als Rechtsanwalt und Senior Legal Consultant bei der Datenschutzkanzlei tätig. Er ist spezialisiert auf alle rechtlichen Themen rund um Datenschutz und Datenökonomie und berät sowohl im Privatrecht als auch im Öffentlichen Sektor.