Netzum Sorglos

Brauchen Sie ein Cookie-Banner auf Ihrer Website?

Spätestens seit 2018 sieht man sie gefühlt fast überall: Cookie-Banner. Diese finden sich in verschiedenen Formen - als reine Hinweise, mit Auswahl- und teilweise mit sehr detailierten Einstellungsmöglichkeiten. Sind sie erforderlich? Ja — zumindest teilweise — meinen manche. Die Rechtslage ist noch nicht abschließend geklärt (Stand: September 2019), aber es gibt ein paar Empfehlungen.
Nachtrag vom 04.10.2019: Ein Urteil des EuGH vom 01.10.2019 spricht sich erneut für die Zustimmungspflicht beim Einsatz von Cookies aus.

Die E-Privacy-Verordnung sollte endlich Klarheit schaffen, wie mit Cookies zu verfahren ist. Ursprünglich sollte sie in 2018 zeitgleich mit der EU-Datenschutz-Grundverordnung (DSGVO) wirksam werden. Nun sieht es so aus, als müssten wir noch weiter warten, denn sie tritt voraussichtlich erst 2022 in Kraft. Solange gibt es vereinzelte Urteile, Meinungen und Empfehlungen an denen wir uns orientieren können. Links zum Nachlesen finden Sie am Ende des Artikels.

Es handelt sich bei unseren Artikeln zu Rechtsfragen stets um eigene Recherchen nach bestem Wissen und Gewissen. Wir können (und dürfen) keine Rechtsberatung anbieten und auch dieser Beitrag ist nicht als solche zu verstehen. Sollten Sie eine Rechtsberatung benötigen, wenden Sie sich bitte an einen entsprechenden Juristen oder Datenschutzberater.

Arten von Cookies

Rechtlich werden verschiedene Arten von Cookies unterschieden: Technisch notwendige Cookies und nicht notwendige Cookies. Darüber hinaus spielt es eine Rolle, ob die Cookies von der Website selbst gesetzt werden oder ob es sich um Drittanbieter-Cookies handelt.

Am kritischsten sind Drittanbieter-Cookies, die nicht zum Betrieb der Website notwendig sind. In den meisten Fällen handelt es sich in der Praxis hierbei um Tracking-Cookies für Webanalysen oder Marketing-Aktivitäten.

Es ist wahrscheinlich, dass es auf folgende Handhabung hinauslaufen wird, die manche bereits heute empfehlen (und die in zwei Urteilen des EuGH von Juli und Oktober 2019 vertreten wurde):
Für Tracking-Cookies von Drittanbietern ist eine vorherige Einwilligung des Nutzers erforderlich. Damit gilt, dass zum Beispiel Google Analytics nur noch mit Opt-In statt (wie bisher) mit einem Opt-Out eingesetzt werden darf.

Was ist der Unterschied zwischen Opt-Out und Opt-In?

Opt-Out bedeutet, dass dem Nutzer eine Möglichkeit des Widerspruchs gegeben werden muss. Im Falle von Google Analytics wird er also getrackt, hat aber die Möglichkeit, dem zu widersprechen. Üblicherweise wird diese Opt-Out-Option in den Datenschutzhinweisen platziert.

Opt-In bedeutet, dass der Nutzer im Vorfeld zustimmen muss. Im Beispiel von Analytics darf also kein Tracking erfolgen, bevor der Besucher dem nicht zugestimmt hat.

In manchen Fällen gilt sogar die Vorgabe eines Double-Opt-Ins, der Nutzer soll hierbei zweimal zustimmen. Das kommt zum Beispiel bei Newslettern zum Einsatz, denen wir einmal zustimmen und dann nochmals eine Bestätigungsmail (zum Beispiel mit einem Aktivierungslink) erhalten.

Lösungsvorschläge für typische Fälle auf Websites

Cookie-Banner

In den Fällen, in denen zustimmungspflichtige Cookies gesetzt werden, ist ein Cookie-Banner sinnvoll. In jedem Fall aber eines, dass dem Nutzer eine tatsächliche Entscheidung ermöglicht und nicht nur einen reinen Hinweis enthält.

Wenn Sie ein Banner einsetzen, achten Sie darauf, dass es nicht die Links auf Impressum und Datenschutz verdeckt.

Setzen Sie ausschließlich technisch notwendige Cookies ein (wie ein Session-Cookie zum Login), ist ein Hinweis in den Datenschutzhinweisen ausreichend.

Werden durch Ihre Website Drittanbieter-Cookies gesetzt, deren Handling Sie nicht beeinflussen können, empfehlen wir eine Zwei-Klick-Lösung, bei der der Besucher dann im Einzelfall zustimmen muss (zum Beispiel beim Einbinden von YouTube-Videos).

Zwei-Klick-Lösung

Werden Inhalte von anderen Websites geladen (YouTube Videos, Karten von Google Maps und dergleichen), ist es möglich, dass Ihr Besucher von diesen Websites Cookies erhält. Da Sie dies aber nicht so elegant über ein Banner lösen können wie beim eigenen Tracking, empfehlen wir hier eine Zwei-Klick-Lösung:

Ersetzen Sie den Inhalte durch einen Platzhalter, der auf die Folgen des Ladens des Inhaltes aufmerksam macht und laden Sie die Inhalte erst, wenn der Besucher erneut klickt und damit sein Einverständnis signalisiert. Lesen Sie hierzu den Abschnitt zur Zwei-Klick-Lösung in unserem Artikel Videos datenschutzkonform in eine Website einbinden.

Das dort beschriebene Handling kann ebenso auf andere, vergleichbare Inhalte angewendet werden.

Lokale Einbindung

Für andere Einbindungen von Drittanbietern prüfen Sie, ob nicht eine lokale Einbindung oder eine andere Umsetzung möglich ist.

Typische Fälle hierfür sind externe Webfonts oder Captcha-Lösungen.

Prüfung und Planung

Grundsätzlich gibt es bei den typischen datenschutzrelevanten "Problemfällen" verschiedene Lösungsmöglichkeiten. Am Beispiel von Analytics haben Sie die Wahl, den Code zu entfernen und Analytics nicht weiter zu nutzen. Die Webanalyse können Sie durch andere Tools, zum Beispiel logbasierte Analysetools ersetzen. Oftmals wird eine derartige Statistik vom Hoster angeboten. Wenn Sie Analytics weiter verwenden und ein Restrisiko nicht scheuen, nutzen Sie es so, wie es bisher rechtskonform war (also mit Opt-Out-Funktion). Wollen Sie ganz sicher sein, stellen Sie die Nutzung auf Opt-In um.

In jedem Fall ist es sinnvoll, zunächst eine Bestandsaufnahme Ihrer Website zu machen, um zu sehen, was auf Ihre Website zutrifft. Wenn Sie keine Cookies setzen, benötigen Sie auch kein Cookie-Banner — soviel ist sicher.

Jetzt Website überprüfen lassen!

Zum Nachlesen

Wir haben Ihnen eine kleine Linksammlung mit lesenswerten Artikeln zur weiteren Lektüre zusammengestellt. Hier erfahren Sie mehr zu Hintergründen oder auch weiteren Details zur Umsetzung.

Veröffentlicht: Tags: WebdesignOnline-Marketing Permalink