Cookie-Banner weiterhin im Visier

Es sind besonders wertvolle Kekse für Webseiten-Betreiber: Cookies, kleine Datensätze, die genutzt werden, um Besucher einer Webseite identifizierbar zu machen. Mit ihrer Hilfe können individuelle Profile erstellt werden, die weitreichende Rückschlüsse über Surfverhalten, Vorlieben und Lebensgewohnheiten zulassen. Dieses Wissen wird etwa für personalisierte Werbung herange­zogen – ein lukratives Geschäftsmodell. Doch was im Marketing attraktiv ist, ist datenschutzrechtlich nicht immer zulässig. Zwar greift die Datenschutz-Grundverordnung (DSGVO) das Thema Cookies selbst nicht auf, dennoch ist die Rechtslage in Deutschland eindeutig: Werden „Informationen in der Endeinrichtung des Endnutzers gespeichert“ oder wird „der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind“, ermöglicht, so geht das nur, wenn hierfür die Einwilligung des Nutzers vorliegt (so geregelt in § 25 TTDSG). Ausnahmen sind nur für die Technologien erlaubt, die zwingend zum Bereitstellen der Webseite erforderlich sind.

Rechtssicherheit für Webseiten-Betreiber sollen sogenannte Cookie-Einwilligungsabfragen bringen. Doch mit der Umsetzung dieser Cookie-Banner tun sich viele Unternehmen schwer. Im Mai 2021 schickte die Organisation NOYB von Max Schrems 422 Beschwerdeschreiben an Unternehmen in Europa und in den USA – weitere 226 folgten bei 18 Aufsichtsbehörden im August. Und das wird wohl nicht das Ende sein: Auf der Website des Vereins heißt es, dass „in den kommenden Monaten bis zu 10.000 Websites gescannt, geprüft, verwarnt und schließlich das Gesetz durchgesetzt“ werden sollen. Während der Fokus hierbei bislang nur auf der Consent-Management-Plattform (CMP) von OneTrust liegt, sollen künftig auch andere CMP-Marktteilnehmer unter die Lupe genommen werden.

Auch die französische Aufsichtsbehörde CNIL geht gegen unzureichende Cookie-Banner vor: Erst kassierte Google ein Bußgeld in Höhe von 100 Millionen Euro und dann Amazon eines von 35 Millionen Euro. Grund dafür waren das Setzen von Werbe-Cookies ohne vorherige Einwilligung und unzureichende sowie intransparente Cookie-Banner.

Dabei ist es recht simpel: Nach dem Gesetz müssen die Anbieter ihre Systeme fair gestalten und den Nutzern eine echte Wahlmöglichkeit bieten – Cookies ja oder nein. Schaut man sich die Praxis an, sieht man diese Option recht selten. Stattdessen wird versucht, Nutzer zur Abgabe ihrer Einwilligung etwa durch geschickt gewählte Farb- und Schriftgestaltung (sogenanntes Nudging) zu verleiten.

Das Einmaleins für ein Cookie-Banner, das nicht zu einer Beschwerde oder gar einem Millionen-Bußgeld führt, ist gar nicht schwer: Zunächst dürfen bei Aufruf der Website keine Tracking- oder Werbe-Cookies gesetzt werden. Im Cookie-Banner sollte kurz und verständlich erläutert werden, zu welchen Zwecken Cookies genutzt werden. Hier kann eine Kategorisierung sinnvoll sein, zum Beispiel erforderliche Cookies, Analyse, Marketing. Daneben ist bei einer Einwilligung auf das jederzeitige Widerrufsrecht zu verweisen. Zudem sollten die Datenschutzerklärung und, falls vorhanden, die Cookie-Richtlinie verlinkt werden. Und, wie erwähnt, muss am Ende der Nutzer eine echte Wahlmöglichkeit haben – also muss es je eine Schaltfläche zum Annehmen und Ablehnen von Cookies geben.