DSGVO-konforme Gestaltung von Consent-Bannern

cookiebox1

Hallo an alle Interessierten,

Cookiebanner umschwirren uns wie lästige Fliegen. Einige sind völlig überflüssig, manche gaukeln DSGVO-Konformität lediglich vor und die allermeisten sind nicht regelkonform. Daher versuche ich im Folgenden die wichtigsten Eckpunkte auszuleuchten.

1. Die DSGVO ist nicht an allem schuld!

Der eigentliche Grund, warum für bestimmte Dienste auf Webseiten vorab vom Seitenbesucher eine Einwilligung eingeholt werden muss, ist nicht die DSGVO, sondern Artikel 5, Abs. 3, der ePrivacy-Richtlinie:

Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er … u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. …..

Da die ePrivacy Richtlinie Vorrang vor der DSGVO hat, kann für den Einsatz solcher Dienste auch nicht der Rechtsgrund Art. 6, Abs. 1, lit. f „berechtigtes Interesse“ der DSGVO herangezogen werden, sondern es greift ausschließlich Art. 6, Abs. 1, lit. a, DSGVO „Einwilligung“.
In welcher Form die Einwilligung eingeholt werden muss, kann wiederum der DSGVO entnommen werden.

2. Wofür benötigt man eigentlich eine Einwilligung und wofür nicht?

a. Eine Einwilligung ist nicht erforderlich zum Beispiel für:

  • Clientseitige Endgeräteinformationen (z.B. IP-Adressen, Bildschirmauflösung, Betriebssystem) zur Anzeige von Websites/Apps und zur Sicherheit der Website/App
  • Technisch notwendige Cookies für Einstellungen zur Sprache und zu Schriften, für die Nutzer-Authentifizierung beim Log-In, für Nutzereinstellungen, für eine Warenkorb-Funktion oder Bereitstellung von Online-Formularen (Session-Cookies)
  • Einbindung von Diensten zur Verbesserung der Darstellung, zur Verkürzung von Ladezeiten oder der Optimierung der Website (z.B. Auslieferung von Content mittels CDN, Web Fonts, etc.)

Es sind also grundsätzlich keine Einwilligungen für Cookies/Dienste erforderlich, die den Betrieb der Webseite sicherstellen oder für die Bereitstellung eines vom Nutzer ausdrücklich gewünschten Dienstes benötigt werden. Wer auf seiner Seite ausschließlich solche Features einsetzt, braucht überhaupt kein Cookie- oder Consent-Banner, sondern muss lediglich seine Datenschutzerklärung entsprechend ergänzen.

Die berühmt-berüchtigten Banner „Wir setzen Cookies ein bla, bla, bla… OK“ sind unnötig und dienen nur der Verwirrung und Abstumpfung der Nutzer.

Für Tools, mit denen rein statische Webanalysen durchgeführt werden (z. B. zur Optimierung des Webangebotes) wird normaler Weise ebenfalls keine Einwilligung benötigt. Matomo gehört beispielsweise in diese Kategorie, zumal der Dienst auch auf eigenen Servern gehostet werden kann. Der Einsatz solcher Dienste kann auf die Rechtsgrundlage des berechtigten Interesses (Art. 6, Abs. 1, lit. f, DSGVO) gestützt werden. In einigen Fällen macht es dabei Sinn, eine Interessensabwägung vorzunehmen und zu dokumentieren. Das ist allerdings ein reines Datenschutzthema und hat mit der Bannergestaltung nichts zu tun.

Google Analytics stellt hier eine Ausnahme dar, da es sich aus Sicht der Aufsichtsbehörden um ein „echtes“ Tracking-Tool handelt – auch wenn der Webseitenbetreiber eigentlich nur Interesse an der Webseiten-Statistik hat. Für Google Analytics ist also eine Einwilligung erforderlich.

b. Eine Einwilligung ist erforderlich für:

  • Statistische Analyse und Reichweitenmessung
  • Verhaltens-/standortbezogene Werbung
  • Social Media Plugins

Eine mögliche Alternative bei Social Media Plugins kann die Heise-2-Klick-Lösung (Shariff-Button) sein. Oder man verwendet anstelle der Plugins einfach Grafiken oder Icons mit einem hinterlegten Link. In diesem Fall ist keine Einwilligung erforderlich und es müssen in der Datenschutzerklärung nur die entsprechenden Informationen enthalten sein. Optional kann man noch ein Mouseover-Popup mit einem Hinweis (z.B. „Sie werden auf die Facebook-Seite weitergeleitet“ o. ä.) einsetzen. Dann ist man schon ganz vorne mit dabei.

Das Wichtigste bei zustimmungspflichtigen Elementen ist in jedem Fall, dass die Einwilligung eingeholt werden muss, BEVOR eine Datenerhebung und/oder -übermittlung stattfindet!

3. Kartendienste, Video- und Streamingplattformen

Hier herrscht derzeit noch keine Einigkeit. Einige Datenschützer gehen davon aus, dass nach Verabschiedung der ePrivacy Verordnung (sollte eigentlich zeitgleich mit der DSGVO in Kraft treten – dauert aber noch) auch für diese Dienste eine vorherige Einwilligung erforderlich sein wird. In diese Richtung weisen auch die aktuellen Urteile des EuGH (Herbst 2019) und des BGH vom Mai 2020.

Das Bayerische Landesamt für Datenschutzaufsicht (LDA Bayern) schreibt auf seiner Homepage aktuell noch, dass das Einbinden von Videos ohne vorherige Einwilligung zulässig ist, wenn das Video erst nach aktivem Anklicken durch den Nutzer startet und bis zu diesem Zeitpunkt noch keine Datenübertragung stattfindet (2-Klick-Lösung oder Embetty). Außerdem sollten YouTube Videos im erweiterten Datenschutzmodus (no-cookie) eingebunden werden.

Ähnlich sieht das LDA Bayern die Sachlage bei Google Maps. Die Inhalte von Google Maps sollten erst dann geladen werden, wenn der Nutzer aktiv den Kartendienst in Anspruch nimmt, z. B. durch einen extra Klick (2-Klick-Lösung).

Ich habe diesbezüglich bei der bayerischen Landesdatenschutzaufsicht nachgefragt. Die oben beschriebene Darstellung entspricht aktuell noch der Einschätzung der Behörde. Allerdings wurde darauf hingewiesen, dass die Urteilsbegründungen erst noch genau analysiert werden müssen. Daraus kann sich dann durchaus eine Änderung der Einschätzung ergeben.

Wer also eventuell schon für die Zukunft gerüstet sein will, sollte sich überlegen, auch für diese Dienste schon jetzt mit einer Einwilligung zu arbeiten. Denn mehr geht im Datenschutz immer!

4. Grundsätze für die Einwilligung

Eine Einwilligung muss VORAB, INFORMIERT and FREIWILLIG erfolgen. Das heißt im Klartext:

a. VORAB:
Beim erstmaligen Öffnen einer Webseite müssen alle Skripte, die potenziell Nutzerdaten erfassen und an Dritte weitergeben, zunächst deaktiviert sein.
b. INFORMIERT:
Der Nutzer soll in einer einfachen, klaren Sprache eine kompakte Information über die implementierten Dienste erhalten. Eine übersichtliche Gestaltung macht hier wirklich Sinn. Schließlich soll der Nutzer informiert und nicht abgeschreckt werden.
c. FREIWILLIG:
Bei keiner Checkbox darf die Zustimmung bereits vorbelegt sein. Der Nutzer muss aktiv zustimmen, nicht abwählen müssen.

Merke:

Allgemeine Informationen wie beispielsweise „Diese Seite verwendet Cookies für Webanalyse und Werbemaßnahmen“ oder „… um Ihr Surferlebnis zu verbessern“ alleine sind nicht ausreichend, weil die damit verbundenen Verarbeitungen nicht transparent gemacht werden.

Außerdem gehört zur Freiwilligkeit, dass der Besucher eine echte Wahl hat – er also die Webseite auch dann nutzen kann, wenn er seine Zustimmung zum Einsatz der optionalen Dienste nicht erteilt.

5. Dokumentation und Nachweispflicht

Einwilligungen müssen dokumentiert werden und nachweisbar sein. Dazu ist nach Auffassung vieler Datenschützer ein Nachweis durch „abstrakte“ Informationen ausreichend (z.B. Einwilligungstext mit Datumsstand, Skript bzw. Code des Banners mit Datumsstempel, Zeit-, Versionsstempel, Cookie-ID des Nutzers etc.). Die Erhebung zusätzlicher Nutzerdaten für die Nachweiserbringung ist nicht erforderlich und widerspricht dem Prinzip der Datenminimierung.

6. Widerruf/Opt-Out-Funktion

Die Nutzer haben jederzeit das Recht, eine erteilte Einwilligung zu widerrufen. Das bedeutet also, dass es für die eingesetzten Dienste immer eine Opt-Out-Lösung geben muss. Diese Opt-Out-Funktion muss für die Seitenbesucher jederzeit leicht aufrufbar sein und natürlich auch wirklich funktionieren.

7. Wie kann es denn nun aussehen, das Consent-Banner?

Folgende Inhalte sind verpflichtend im Banner anzugeben:

  • Verantwortlicher (falls auf Seite nicht eindeutig genug)
  • Name des Tools
  • Zweck der Verarbeitung
  • Empfänger der Daten
  • Hinweis auf die Freiwilligkeit mit Widerrufsmöglichkeit (Opt-Out-Lösung)
  • Link zur Datenschutzerklärung
  • Vorsicht bei der Platzierung des Banners: Der Zugang zu Impressum und Datenschutzerklärung darf nicht verdeckt werden!

Vorgegeben sind lediglich die notwendigen Inhalte, in der Gestaltung des Banners ist man frei. Um die Darstellung nicht zu überfrachten, können die Informationen in verschiedenen Untermenüs zur Verfügung gestellt werden. So könnte das 1. Layer eines Banners, das die Mindestanforderungen abdeckt, gestaltet sein:

Dieses Beispiel ist nur eine von vielen möglichen Designvarianten der ersten Informationsschicht und dient lediglich einer Orientierung.

Es gibt eine ganze Reihe von Consent Management Provider (CMP) Tools. Im Internet kann man sich über Leistungsumfang und Unterschiede informieren. Einige Beispiele für die bekannteren Tools sind Cookiebot, Borlabs Cookie, Usercentrics or Consentmanager.

Grundsätzliche Anforderungen an ein Consent-Tool sollten u. a. sein:

  • Einblendung des Consent-Tools sofort beim Besuch der Seite (gilt auch für APPs)
  • Einblendung des Banners, ohne die gesetzlichen Pflichtinformationen auf der Webseite wie Impressum, AGB oder Datenschutzerklärung zu überdecken
  • Cookies oder Werbe-IDs mobiler Endgeräte dürfen erst gesetzt/verarbeitet werden, wenn die Zustimmung des Nutzers aktiv erfolgt (also keine Zustimmung durch passive Verhaltensweisen wie z.B. Navigieren auf der Website, automatisiertes Schließen nach einer Zeitspanne oder Wegklicken des Consent-Tools)
  • Besuch der Website/App muss auch möglich sein, wenn Nutzer Cookies oder Werbe-IDs etc. ablehnen
  • Opt-Out-Funktion
  • Protokollierung und Reporting zur systemseitigen Unterstützung der Nachweispflicht

Weitergehende Hinweise finden Sie z. B. in der Orientierungshilfe für Anbieter von Telemedien der Datenschutzkonferenz und einer FAQ-Liste zu Cookies und Tracking der Datenschutzbehörde von Baden-Württemberg.

Jeder Seitenbetreiber – auch durch Beratung seiner Webagentur – muss letztendlich entscheiden, welche Lösung für ihn die richtige ist. Es lohnt sich, die Tools aller relevanten Anbieter zu prüfen und zu vergleichen, falls man sich den Aufwand einer selbst programmierten Lösung ersparen möchte.
Aus datenschutzrelevanter Sicht sollte zu den Auswahlkriterien auch gehören, ob der Anbieter belastbar DSGVO-Konformität zusichert oder welche Serverstandorte genutzt werden.

8. Und das Marketing?

Es ist nicht von der Hand zu weisen, dass viele Seitenbesucher nicht getrackt werden möchten und daher auf „alles ablehnen“ klicken werden. Auch wenn das aus Marketing- und Analysesicht bedauerlich sein mag, so üben die Seitenbesucher dadurch lediglich ihr gesetzlich verankertes Recht auf informationelle Selbstbestimmung aus.

Ich habe kürzlich an einer Informationsveranstaltung teilgenommen, bei der ein Mitarbeiter des schwedischen Consentmanager-Anbieters Jaohawi AB einen Vortrag gehalten hat. In der Präsentation fanden sich diesbezüglich recht interessante Zahlen:

Bei der Auswertung der Akzeptanzrate wurde von den Kollegen zum Beispiel ermittelt, dass durchschnittlich 40-50% der Seitenbesucher den Button „alle Dienste akzeptieren“ wählen. Im Umkehrschluss heißt das natürlich, dass 50-60% die Zustimmung verweigern.

Den Zustimmungswert kann man nach Aussage des Referenten durch Optimierung des Banners auf ca. 65% steigern. Bei loyalen Stammkunden steigt der Zustimmungswert auf ca. 70%.

Durchschnittlich kann man nach seinen Ausführungen davon ausgehen, dass in den Auswertungen etwa die Hälfte der Marketingdaten fehlt, sobald ein Consent-Banner implementiert wurde. Diese Werte kann man durch entsprechende Einbeziehung in den Forecast statistisch kompensieren.

Es ist möglich, dem Datenschutz Rechnung zu tragen und gleichzeitig aus Marketingsicht zu versuchen, durch die Optimierung des Banners (beispielsweise durch Positionierung, Farbgebung, Formulierungen etc.) mehr Seitenbesucher davon zu überzeugen, zustimmungspflichtige Dienste zuzulassen.

Aber bitte nicht übertreiben!

Übergroße Darstellung des „Akzeptieren-Buttons“, fast nicht auffindbare „Ablehnen-Buttons“ oder allzu manipulative Gestaltung wird dem Gesetz nicht gerecht.

Fakt ist: Eine Einwilligung, die nicht 100%ig gesetzeskonform eingeholt wurde, ist zu 100% unrechtmäßig. Und das ist ein bußgeldrelevanter Verstoß.
Darüber hinaus sind neben den Datenschützern in diesem Bereich auch vermehrt Verbraucherschutzorganisationen aktiv und beobachten die Entwicklung aufmerksam.

9. Fazit

Gehen Sie mit gesundem Menschenverstand und fair ans Werk. Prüfen Sie, welche einwilligungspflichtigen Features für Ihre Kunden überhaupt erforderlich und sinnvoll sind. Beachten Sie die Grundsätze und Nachweispflichten, gestalten Sie das Banner ausgewogen und denken Sie an die Opt-Out-Funktion.

10. Weiterführende Links und Informationen

Weiterführende Informationen und Hilfestellungen finden Sie u. a. in der Infothek der DSK (Datenschutzkonferenz) oder auf den Seiten der jeweiligen Aufsichtsbehörden. In Bayern ist zu beachten, dass es zwei unterschiedliche Aufsichtsbehörden (eine für den öffentlichen und eine für den nicht-öffentlichen Bereich) gibt.
In der Fachliteratur finden sich zwischenzeitlich ebenfalls recht verständliche und praxisnahe Publikationen. Oder man fragt einfach bei einem fachkundigen Datenschützer nach!

Did you know that ...

... tracking (i.e. web analysis) is also possible without cookies? The Trackboxx generates a hash instead of cookies. Personal data is not stored. So you can - under certain conditions - even do without the Consent Banner. Sounds good? Then test the Trackboxx completely free of charge and without obligation.

Über den Autor:

claudia-sohn-final

Der vorstehende Aufsatz gibt eine Übersicht über die grundsätzlichen Eckpunkte, den aktuellen Sachstand und meine Auslegung dazu. Die Informationen können Ihnen dabei helfen, die relevanten Dienste und Features DSGVO-konform und gleichzeitig praxisnah einzusetzen. Bei Fragen und Anmerkungen freue ich mich über Ihre Nachricht!

 

Be the first to share this article:

Leave a Comment

Your email address will not be published. Required fields are marked *