Auf fast allen Webseiten begegnen uns mittlerweile Banner, die auf Cookies hinweisen. Manche von ihnen informieren darüber, dass eine Webseite auch Cookies einsetzt, andere fordern eine ausdrückliche Zustimmung des Nutzers. 

Auf Webseiten erfüllen Cookies wichtige Funktionen. Cookies werden auf dem Endgerät des Nutzers gespeichert. Es handelt sich um keine Dateien, die einen Wert speichern können, zum Beispiel eine Identifikationsnummer. Sie ermöglichen es unter anderem, einen Nutzer wiederzuerkennen. Dass Nutzer einer Webseite nicht jedes Mal neu einloggen müssen oder ein Onlineshop einen Warenkorb anbieten kann, verdanken wir Cookies. 

Neben einer Verbesserung des Komforts für den Nutzer, können Cookies auch dazu genutzt werden, sein Verhalten auf der Webseite nachzuverfolgen. Dienste wie Google Analytics setzen Cookies ein, aber auch unzählige weitere, beispielsweise Werbenetzwerke. Die aus einem solchen Tracking gewonnenen Daten lassen umfangreiche Auswertungen zu. 

Die Datenschutzgrundverordnung (DSGVO) verbietet ein Tracking von Nutzern nicht generell, fordert aber eine rechtliche Grundlage. In Betracht kommen berechtigte Interessen des Webseitenbetreibers und eine Einwilligung des Nutzers. 

Nach Auffassung der Datenschutzbehörden wird ein Tracking nicht auf Grundlage eines berechtigten Interesses des Webseitenbetreibers möglich sein, sondern nur mit einer vorherigen Einwilligung. Daraus folgt, dass ein Tracking-Cookie nicht einfach auf dem Endgerät des Nutzers gespeichert werden darf. Wenn der Nutzer eine Webseite aufruft, weiß er nicht, welche Technologien diese nutzt und ob seine Aktivitäten nachverfolgt werden. Er muss daher irgendwie ausdrücklich einwilligen, dass Cookies gesetzt werden. Viele Webseitenbetreiber wollen allerdings, auch wenn es rechtlich in der Regel erforderlich sein dürfte, keine ausdrückliche Einwilligung einholen. Zumeist werden wirtschaftliche Gründe eine Rolle spielen. Denn wenn der Nutzer einwilligen muss, dann wird die Nutzung von Cookies in manchen Fällen auch abgelehnt werden. Dies ist gerade für Webseiten, die sich über Werbung finanzieren ein Problem. Abschließend geklärt ist die Frage, ob eine Einwilligung notwendig ist, noch nicht. Allerdings wird ein Tracking ohne Einwilligung des Nutzers mit hocher Wahrscheinlichkeit nicht zulässig sein. Zudem hat die Entscheidung des Europäischen Gerichtshofs in Sachen Planet49 in dieser Frage ebenfalls in diese Richtung gewiesen (EuGH, Urteil vom 01.10.2019 - C‑673/17).

Ergebnis: Webseitenbetreiber sollten davon ausgehen, dass Cookies, mit denen das Verhalten von Nutzern nachverfolgt werden kann, eine Einwilligung erfordern. Cookies zu setzen, ohne dass der Nutzer eingewilligt hat, dürfte nach derzeitigem Stand nicht (mehr) zulässig sein. 

In dieser Gemengelage können Cookie-Banner unterschiedliche Funktionen erfüllen. Sie können zur Einholung einer Einwilligung des Nutzers dienen oder lediglich auf die Nutzung von Cookies hinweisen. Banner gibt es in allen Formen, Farben, Größen und Ausgestaltungen. Allgemein lassen sie folgende Bannerlösungen unterscheiden:

Einwilligung mit Möglichkeit zur Ablehnung: Das Cookie-Banner ermöglicht dem Nutzer, in die Nutzung von Cookies einzuwilligen. Cookies werden erst gesetzt, wenn er zugestimmt hat und der Nutzer hat die Möglichkeit einer Ablehnung. Neben einfachen Bannern werden vermehrt Consent-Tools eingesetzt, mit denen der Nutzer genau einstellen kann, welche Arten von Cookies er akzeptieren will, zum Beispiel nur zur Webanalyse oder zu Werbezwecken.

Einwilligung ohne Möglichkeit zur Ablehnung: Auch hier werden Cookies erst gesetzt, wenn der Nutzer einen Button betätigt. Allerdings wird nicht deutlich, dass der Nutzer durch den Button mit der Aufschrift "Auswahl bestätigen" in die Verwendung von Cookies für Tracking nicht einwilligen kann. Diese Variante wird den Nutzer in der Regel dazu verleiten, Cookies zu akzeptieren, weil er die Alternative kaum erkennen wird.

Der Spiegel geht einen anderen Weg und ermöglicht ein „Pur-Abo“ – für 4,99 € im Monat.

Banner als Information: Die Webseite setzt Cookies, der Nutzer wird nur darüber informiert, ohne dass er zustimmen müsste. Hier hat der Nutzer weder die Möglichkeit, ausdrücklich einzuwilligen, noch kann er Cookies auf der Webseite ablehnen.

In diese Kategorie gehören auch Cookie-Banner, die auf den ersten Blick eine Zustimmung des Nutzers suggerieren, bei denen aber bereits beim Betreten der Webseite Cookies gesetzt werden. So werden bei Rewe beispielsweise zahlreiche Cookies des Unternehmens Adform gesetzt, einem Unternehmen für digitale Medienwerbung. Der Nutzer kann zwar „OK“ klicken, dadurch wird das Banner aber nur ausgeblendet.

Wenn Cookie-Banner eingesetzt werden, um eine Einwilligung einzuholen, muss die Gestaltung des Banners berücksichtigen, dass die DSGVO spezifische Anforderungen an die Einwilligung stellt,damit sie wirksam ist. Nach Erwägungsgrund 32 sollte die Einwilligung

bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Nach der bereits erwähnten Entscheidung des Europäischen Gerichtshofs ist ein vorangekreuztes Kästchen nicht ausreichend. Auch das bloße Wegklicken und Weitersurfen wird nicht als Einwilligung gewertet werden können, da es sich nicht um eine eindeutigende bestätigende Handlung handelt. Bei Cookie-Bannern, die nur darüber informieren, dass Cookies gesetzt werden fehlt es erst Recht um eine eindeutige und bestätigende Handlung. Webseitenbetreiber sollten darauf achten, dass das genutzte Tool für den Nutzer so einfach und transparent wie möglich ist.

Zweifelhaft sind Cookie-Banner und Consent-Tools, die dem Nutzer zwar die Zustimmung und Ablehnung von Cookies ermöglichen, bei denen aber die Zustimmung durch einen Klick erfolgt, eine Ablehnung aber in Untermenüs oder auf Unterseiten „versteckt“ ist oder erst zahlreiche Kästchen abgewählt werden müssen. Vorausgewählte Kästchen sind keine aktive bestätigende Handlung des Nutzers, die folgende Gestaltung sollte daher nicht genutzt werden:

Im Internet gibt es eine bunte Vielfalt an Bannern. Aber nicht alle Banner erfüllen die rechtlichen Vorgaben des DSGVO. Wenn Nutzeraktivitäten nachverfolgt werden, sollten Webseitenbetreiber eine Einwilligung einholen. Dabei sollten sie darauf achten, dass folgende Punkte eingehalten sind:

Welche Dienste auf Ihrer Webseite eingesetzt werden, können Sie durch unsere Webseitenanalyse herausfinden. Dabei geben wir Ihnen auch einen Hinweis, ob eine Einwilligung des Nutzers voraussichtlich erforderlich ist. Einen passenden Rechtstext für Ihre Datenschutzerklärung können Sie sich mit unserem Generator erstellen – für Privatpersonen, gemeinnützige Vereine und Kleinunternehmer kostenlos.