Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

21. Februar 2022

Cookie-Banner: Die größten Fehler & wie Sie sie vermeiden

So vermeiden Sie typische Fehler bei Cookie-Bannern
Bild: iStock.com / Guzaliia-Filimonova
5,00 (5)
Inhalte in diesem Beitrag
Rechtskonforme Einwilligungen nach DSGVO
Viele Nutzerinnen und Nutzer ärgern sich über Cookie-Banner auf Webseiten. Auch Datenschützer ärgern sich – aber über die vielen Fehler, die Website-Betreiber bei den Cookie-Bannern machen. Die Datenschutzkonferenz gibt einen Überblick, was alles unzulässig ist.

Typische Fehler in Cookie-Bannern im Überblick

Die Datenschutzkonferenz (DSK) hat in ihrer Orientierungshilfe für Anbieter von Telemedien auf einige klassische Fallstricke im Zusammenhang mit Cookies hingewiesen. Das Papier ist äußerst hilfreich, sowohl für Webseiten-Betreiber als auch für Datenschutzbeauftragte. Vor allem der Überblick über häufige Fälle lässt sich gut für Datenschutz-Schulungen oder bei der Beratung des Verantwortlichen nutzen.

Die DSK macht kurz gefasst die folgenden typischen Fehler bei Cookie-Bannern aus:

  • Intransparenz: Die DSK kritisiert, dass Webseiten und Apps oft mit intransparenten Bannern eine Einwilligung einholen wollen. Beispielsweise sind die Zwecke des Zugriffs auf ein Endgerät und die beteiligten Akteure nicht ausreichend erkennbar.
  • Abweichungen von der Datenschutzerklärung: In der Praxis fallen regelmäßig Webseiten und Apps auf, deren Cookie-Banner andere Informationen enthalten als die Datenschutzerklärung, wenn sie eine Einwilligung abfragen. Das gilt insbesondere für andere Rechtsgrundlagen, andere Drittanbieter und andere Zwecke.
  • Unklarheit: Enthalten Einwilligungsbanner lediglich eine „Okay“-Schaltfläche, ist das Anklicken der Schaltfläche keine unmissverständliche Erklärung. Auch die Bezeichnungen „Zustimmen“, „Ich willige ein“ oder „Akzeptieren“ können im Einzelfall nicht ausreichend sein. Das gilt vor allem, wenn aus dem begleitenden Informationstext nicht eindeutig hervorgeht, wozu der Nutzer konkret die Einwilligung erteilen soll.
  • Versteckspiele: Gibt es bereits auf der ersten Ebene des Cookie-Banners einen Button, um eine Einwilligung für verschiedene Zwecke erteilen zu können, muss diese erste Ebene auch konkrete Informationen zu den einzelnen Zwecken enthalten.
  • Zwang: Es ist davon auszugehen, dass ein Zwang besteht, wenn ein Banner oder ein sonstiges grafisches Element zur Einwilligungsabfrage den Zugriff auf die Webseite insgesamt oder Teile des Inhalts verdeckt und sich das Banner nicht einfach ohne Entscheidung schließen lässt.
  • Mehraufwand: Anbieter erzeugen einen Mehraufwand, indem sie etwa die Ablehnung erst auf einer zweiten Banner-Ebene und damit nur mit einer höheren Anzahl an Klicks ermöglichen.
Praxis-Tipp
Wer Cookie-Banner-Sünden sieht, sollte ablehnen

Sensibilisieren Sie in Ihrer Datenschutz-Schulung die Internet-Nutzerinnen und -nutzer dafür, dass Cookie-Banner, die ihnen kaum eine Wahl lassen oder es sehr kompliziert machen mit der Auswahl, nur eine Antwort verdienen: die Ablehnung.

Fehler 1: Cookies technisch nicht nötig, trotzdem wird keine Einwilligung verlangt

Dabei könnte es so einfach sein, Fehler bei Cookie-Bannern zu vermeiden: Alle Cookies, die technisch nicht notwendig sind, um eine Online-Funktion zu erbringen, die ein Nutzer oder eine Nutzerin wünscht, benötigen eine informierte Einwilligung. Das war aus Sicht der Datenschutz-Aufsichtsbehörden bereits durch die Datenschutz-Grundverordnung (DSGVO) klar. Nun finden sich die Vorgaben auch im Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG).

Fehler 2: Cookies technisch nötig, trotzdem wird Einwilligung verlangt

Umgekehrt ist eine Einwilligung nicht notwendig, wenn die Speicherung von und der Zugriff auf Informationen in den Endgeräten unbedingt erforderlich sind, damit ein Anbieter einen Telemediendienst, den Webseiten-Besuchende ausdrücklich wünschen, zur Verfügung stellen kann.

Das ist zum Beispiel der Fall bei einem Cookie, der dazu dient, Artikel eines Online-Shops in einem Warenkorb zu speichern (siehe https://www.datenschutz.de/ttdsg-tritt-in-kraft-klare-regeln-fuer-cookies-und-aehnliche-technologien/)

Praxis-Tipp
Manche Cookie-Banner sind schlicht überflüssig

Es gibt also Cookies, die keiner Einwilligung bedürfen. Nutzen Website-Betreiber ausschließlich solche Cookies, brauchen sie gar kein Banner. Leider tauchen trotzdem so manche Banner auf, die an sich gar nicht sein müssten. Das macht es den Internet-Nutzerinnen und -Nutzern unnötig schwer. Im Gegenzug machen andere Webseiten-Anbieter den Fehler, dass Cookie-Banner komplett fehlen oder unzureichend sind.

Fehler 3: Wer Datenschutz will, braucht Zeit

Wer im Netz unterwegs ist, kann selbst auf bekannten Webseiten Dinge erleben, die zum Geduldsspiel werden. Typisch sind Cookie-Banner, die sich schnell schließen lassen, wenn man alle Cookies akzeptiert. Wer aber die Informationen etwa auf die notwendigen, funktionalen Cookies beschränken möchte, wartet: Dann dauert es auf einmal so lange, die gewählten Optionen zu speichern, dass man abbrechen und alle Cookies akzeptieren möchte.

Keine Frage, ein solcher Cookie-Banner widerspricht den Vorgaben. Denn die Aufsichtsbehörden für den Datenschutz haben klargestellt, dass es nicht unnötig kompliziert sein darf, nicht erforderliche Cookies abzulehnen. Zweifellos ist eine Verzögerung etwas, das das Ablehnen kompliziert macht.

Fehler 4: Gut versteckte Optionen

Ein weiteres Phänomen bei Cookie-Bannern, das weit verbreitet ist, sieht so aus, dass sich alle Cookies mit nur einem Knopfdruck akzeptieren lassen. Wer jedoch alle nicht technisch erforderlichen Cookies ablehnen möchte, muss erst einmal suchen. Der entsprechende Button ist mitunter kleiner, nicht farblich hervorgehoben, falsch bezeichnet oder erst nach mehreren weiteren Klicks überhaupt zu finden.

Auch hier gilt: Ein solcher Cookie-Banner entspricht nicht den Vorgaben. Dieses Versteckspiel könnte Konsequenzen haben, wenn eine Aufsichtsbehörde darauf aufmerksam wird.

Nudging

So berichtete die Landesbeauftragte für den Datenschutz Niedersachsen Barbara Thiel anlässlich ihrer Prüfung zu Cookies und Drittdiensten auf niedersächsischen Webseiten, dass manche Seiten die Nutzerinnen und Nutzer mehr oder weniger vehement zur Einwilligung „drängten“, indem sie das sogenannte Nudging verwenden.

Nudging beeinflusst das Verhalten unterschwellig. Webseiten-Anbieter arbeiten beispielsweise damit, den „Zustimmen“-Button im Cookie-Banner im Vergleich zum „Ablehnen“-Button farblich auffälliger zu machen. Oder sie verkomplizieren den Prozess des Ablehnens, indem sie längere Klickwege einbauen.

„Hat ein User durch solche Nudging-Maßnahmen keine echte Entscheidungsfreiheit mehr zwischen Einwilligung und Ablehnung, ist die Grenze des Erlaubten überschritten“, so Barbara Thiel.

Zu aufwendige Ablehnung

„Aus dem Datenschutzrecht ergibt sich, dass es ebenso einfach sein muss, Tracking abzulehnen, wie darin einzuwilligen. Die Ablehnung darf nicht aufwendiger oder gar versteckt sein“, so die frühere Berliner Datenschutzbeauftragte.

„Zudem werden die Einwilligungsabfragen gerne eingebettet in unvollständige oder missverständliche Angaben und Beschriftungen. Wie die Webseitenbetreibenden bei solch einer Gestaltung nachweisen wollen, dass die Nutzer*innen freiwillig und informiert zugestimmt haben, ist mir ein Rätsel.“

Oliver Schonschek

Oliver Schonschek
Verfasst von
Oliver Schonschek
Oliver Schonschek
Oliver Schonschek ist freiberuflicher News Analyst, Journalist und Kommentator, der sich auf Sicherheit, Datenschutz und Compliance spezialisiert hat. Er schreibt für führende Medien, ist Herausgeber und Autor mehrerer Lehrbücher.
2 Kommentare
21. April 2022 | 14:26
marie
Mehr anzeigen Weniger anzeigen
    Antwort der Redaktion
    21. April 2022 | 15:58
    Die Redaktion (Antwortet auf marie)
    Mehr anzeigen Weniger anzeigen
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.