Bereits seit dem letzten Jahr werden veraltete Cookie-Hinweise häufiger abgemahnt. Nun geraten auch zunehmend fehlerhafte "Cookie-Banner" (besser: Consent Manager) unter Beschuss durch Datenschutz, Verbraucherschutz und Abmahn-Anwälte. Wir informieren über die konkreten Fälle, geben in unserer Checkliste Tipps, wie Sie Ihre Website prüfen und bieten eine kostenlosen Analyse für Ihr "Consent-Management".
Das Online-Tech-Magazin Golem berichtet in einem aktuellen Artikel vom 17.09.2021 über neue Abmahnung der Verbraucherzentzralen gegen rund 100 Website-Betreiber. In den letzten Jahren wurden vorwiegend Banner bemängelt, die nur eine Zustimmung erlaubten und das Abwählen von Cookies nicht ermöglichten. Hier ist schon lange klar, das solche reinen Cokkie Hinweise nicht legal sind. Bei den neueren Abmahnung ging es hingegen um die Ausgestaltung der Consents, die umgangssprachlich meist als "Cookie Banner" beschrieben werden. Hier wurde unter anderem bemängelt, dass sogenannte "Dark Patterns" eingesetzt wurden. Das sind Gestaltungsmerkmale wie Buttons, Farben und Texte, die so eingesetzt werden, dass Besucher bei ihrer Entscheidung unterschwellig zur Zustimmung verleitet werden sollten.
Im Sommer hatte die Datenschutzorganisation "noyb" bereits Beschwerdeschreiben an rund 500 Unternehmen versendet. Neben eindeutigen Verstößen wie dem Setzen von Tracking-Cookies ohne aktive Einwilligung, voreingestellter Auswahl zustimmungspflichtiger Dienste oder komplett fehlender Hinweise wurden auch hier "Dark Patterns" bemängelt.
Die Kanzlei WBS sieht "Tricks, die Entscheidung der Nutzer in irgendeiner Richtung zu lenken" (siehe Artikel von WBS) als rechtliche Grauzone an. Hier gilt es also, die Gestaltung und damit verbundenen Risiken abzuwägen. Wer auf Nummer sicher gehen will, nutzt klare Formulierungen und neutrale Gestaltungselemente.
Checkliste "Cookie-Banner" - Consent Management
- Nutzen Sie grundsätzlich ein Consent Management Tool wie Usercentrics, cookiebot oder ähnliche Tools, wenn Sie Cookies oder externe Dienste nutzen - das gilt praktisch für die meisten Websites. Usercentrics ist der einzige Anbieter, der neben einer Datenbank fertig vorbereiteter Texte für viele Services auch einen Blocker (Smart Data Protector) bietet, der das Laden von Diensten wie Google Maps oder YouTube ohne Zustimmung blockiert.
- Ein reiner Cookie-Hinweis genügt nicht - es sei denn, Sie setzen nur technisch notwendige Cookies. Hierunter fällt beispielsweise das Cookie des Consent Management Systems, damit der User beim nächsten Besuch Ihrer Website seine Zustimmung nicht erneut einstellen muss.
- Sobald Sie irgendein Tracking-Tool wie Google Analytics einsetzen, das Cookies setzt oder sogar wie Google Daten von Besuchern unterschiedlicher Websites aggregiert und noch dazu in den USA verarbeitet, muss eine aktive Zustimmung eingeholt werden.
- Eine Ausnahme zur aktiven Zustimmung beim Tracking könnten cookielose Analysetools sein (Cookie-less tracking), die weder Daten unterschiedlicher Betreiber aggregieren, auf deutschen Servern laufen (eTracker zu einwilligungsfreiem Tracking) oder sogar selbst gehostet werden (Artikel zum einwilligungsfreien Tracking mit Matomo). Das cookielose
Tracking der neuen GA4 Version von Google Analytics sollte nicht ohne Zustimmung eingesetzt werden, da Sie als Betreiber nicht die Rechte über Ihre Daten haben, diese aggregiert und auf US Systemen verarbeitet werden.
- Wenn Sie Dienste ohne zuvor eingeholte Einwilligung auf Ihrer Website laden, prüfen Sie genau, ob dies rechtlich zulässig ist.
- Achten Sie darauf, dass sie mit allen Dienstanbietern einen Vertrag zur Auftragsdatenverarbeitung geschlossen haben und bevorzugen Sie Anbieter mit Rechenzentren in der EU.