Cookie-Banner: Die größten Fehler & wie Sie sie vermeiden

Typische Fehler in Cookie-Bannern im Überblick

Die Datenschutzkonferenz (DSK) hat in ihrer Orientierungshilfe für Anbieter von Telemedien auf einige klassische Fallstricke im Zusammenhang mit Cookies hingewiesen. Das Papier ist äußerst hilfreich, sowohl für Webseiten-Betreiber als auch für Datenschutzbeauftragte. Vor allem der Überblick über häufige Fälle lässt sich gut für Datenschutz-Schulungen oder bei der Beratung des Verantwortlichen nutzen.

Die DSK macht kurz gefasst die folgenden typischen Fehler bei Cookie-Bannern aus:

• Intransparenz: Die DSK kritisiert, dass Webseiten und Apps oft mit intransparenten Bannern eine Einwilligung einholen wollen. Beispielsweise sind die Zwecke des Zugriffs auf ein Endgerät und die beteiligten Akteure nicht ausreichend erkennbar.
• Abweichungen von der Datenschutzerklärung: In der Praxis fallen regelmäßig Webseiten und Apps auf, deren Cookie-Banner andere Informationen enthalten als die Datenschutzerklärung, wenn sie eine Einwilligung abfragen. Das gilt insbesondere für andere Rechtsgrundlagen, andere Drittanbieter und andere Zwecke.
• Unklarheit: Enthalten Einwilligungsbanner lediglich eine „Okay“-Schaltfläche, ist das Anklicken der Schaltfläche keine unmissverständliche Erklärung. Auch die Bezeichnungen „Zustimmen“, „Ich willige ein“ oder „Akzeptieren“ können im Einzelfall nicht ausreichend sein. Das gilt vor allem, wenn aus dem begleitenden Informationstext nicht eindeutig hervorgeht, wozu der Nutzer konkret die Einwilligung erteilen soll.
• Versteckspiele: Gibt es bereits auf der ersten Ebene des Cookie-Banners einen Button, um eine Einwilligung für verschiedene Zwecke erteilen zu können, muss diese erste Ebene auch konkrete Informationen zu den einzelnen Zwecken enthalten.
• Zwang: Es ist davon auszugehen, dass ein Zwang besteht, wenn ein Banner oder ein sonstiges grafisches Element zur Einwilligungsabfrage den Zugriff auf die Webseite insgesamt oder Teile des Inhalts verdeckt und sich das Banner nicht einfach ohne Entscheidung schließen lässt.
• Mehraufwand: Anbieter erzeugen einen Mehraufwand, indem sie etwa die Ablehnung erst auf einer zweiten Banner-Ebene und damit nur mit einer höheren Anzahl an Klicks ermöglichen.

Fehler 1: Cookies technisch nicht nötig, trotzdem wird keine Einwilligung verlangt

Dabei könnte es so einfach sein, Fehler bei Cookie-Bannern zu vermeiden: Alle Cookies, die technisch nicht notwendig sind, um eine Online-Funktion zu erbringen, die ein Nutzer oder eine Nutzerin wünscht, benötigen eine informierte Einwilligung. Das war aus Sicht der Datenschutz-Aufsichtsbehörden bereits durch die Datenschutz-Grundverordnung (DSGVO) klar. Nun finden sich die Vorgaben auch im Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG).

Fehler 2: Cookies technisch nötig, trotzdem wird Einwilligung verlangt

Umgekehrt ist eine Einwilligung nicht notwendig, wenn die Speicherung von und der Zugriff auf Informationen in den Endgeräten unbedingt erforderlich sind, damit ein Anbieter einen Telemediendienst, den Webseiten-Besuchende ausdrücklich wünschen, zur Verfügung stellen kann.

Das ist zum Beispiel der Fall bei einem Cookie, der dazu dient, Artikel eines Online-Shops in einem Warenkorb zu speichern (siehe https://www.datenschutz.de/ttdsg-tritt-in-kraft-klare-regeln-fuer-cookies-und-aehnliche-technologien/)

Fehler 3: Wer Datenschutz will, braucht Zeit

Wer im Netz unterwegs ist, kann selbst auf bekannten Webseiten Dinge erleben, die zum Geduldsspiel werden. Typisch sind Cookie-Banner, die sich schnell schließen lassen, wenn man alle Cookies akzeptiert. Wer aber die Informationen etwa auf die notwendigen, funktionalen Cookies beschränken möchte, wartet: Dann dauert es auf einmal so lange, die gewählten Optionen zu speichern, dass man abbrechen und alle Cookies akzeptieren möchte.

Keine Frage, ein solcher Cookie-Banner widerspricht den Vorgaben. Denn die Aufsichtsbehörden für den Datenschutz haben klargestellt, dass es nicht unnötig kompliziert sein darf, nicht erforderliche Cookies abzulehnen. Zweifellos ist eine Verzögerung etwas, das das Ablehnen kompliziert macht.

Fehler 4: Gut versteckte Optionen

Ein weiteres Phänomen bei Cookie-Bannern, das weit verbreitet ist, sieht so aus, dass sich alle Cookies mit nur einem Knopfdruck akzeptieren lassen. Wer jedoch alle nicht technisch erforderlichen Cookies ablehnen möchte, muss erst einmal suchen. Der entsprechende Button ist mitunter kleiner, nicht farblich hervorgehoben, falsch bezeichnet oder erst nach mehreren weiteren Klicks überhaupt zu finden.

Auch hier gilt: Ein solcher Cookie-Banner entspricht nicht den Vorgaben. Dieses Versteckspiel könnte Konsequenzen haben, wenn eine Aufsichtsbehörde darauf aufmerksam wird.

Nudging

So berichtete die Landesbeauftragte für den Datenschutz Niedersachsen Barbara Thiel anlässlich ihrer Prüfung zu Cookies und Drittdiensten auf niedersächsischen Webseiten, dass manche Seiten die Nutzerinnen und Nutzer mehr oder weniger vehement zur Einwilligung „drängten“, indem sie das sogenannte Nudging verwenden.

Nudging beeinflusst das Verhalten unterschwellig. Webseiten-Anbieter arbeiten beispielsweise damit, den „Zustimmen“-Button im Cookie-Banner im Vergleich zum „Ablehnen“-Button farblich auffälliger zu machen. Oder sie verkomplizieren den Prozess des Ablehnens, indem sie längere Klickwege einbauen.

„Hat ein User durch solche Nudging-Maßnahmen keine echte Entscheidungsfreiheit mehr zwischen Einwilligung und Ablehnung, ist die Grenze des Erlaubten überschritten“, so Barbara Thiel.

Zu aufwendige Ablehnung

„Aus dem Datenschutzrecht ergibt sich, dass es ebenso einfach sein muss, Tracking abzulehnen, wie darin einzuwilligen. Die Ablehnung darf nicht aufwendiger oder gar versteckt sein“, so die frühere Berliner Datenschutzbeauftragte.

„Zudem werden die Einwilligungsabfragen gerne eingebettet in unvollständige oder missverständliche Angaben und Beschriftungen. Wie die Webseitenbetreibenden bei solch einer Gestaltung nachweisen wollen, dass die Nutzer*innen freiwillig und informiert zugestimmt haben, ist mir ein Rätsel.“

Oliver Schonschek