Einzeilige Cookie-Banner gehören seit Ende 2019 der Vergangenheit an. Die Cookie-Popups auf den Websites werden zwar größer und komplexer, sind trotzdem leider noch oft nicht rechtskonform.
Häufige Mängel von Cookie-Popups
Die Folgen von rechtswidrig gestalteten Cookie-Popups sind schwerwiegend: die Einwilligung der Nutzer ist nicht rechtsgültig, die Verarbeitung der Nutzerdaten erfolgt rechtswidrig.
Ich zeige anhand des Datenschutztools von legalweb.io, an welchem ich selbst mitarbeite, worauf es nach Ansicht der Gerichte und Datenschutzbehörden ankommt.
Wirklich nur Cookies?
Die Bezeichnung “Cookie-Popup” ist irreführend. Es geht um deutlich mehr, als nur um Cookies.
E-Privacy-Richtlinie
Eine Einwilligung des Nutzers ist gemäß Art. 5 (3) der Richtlinie 2002/58/EG (bzw. in Österreich § 96 (3) TKG) für die Speicherung von Daten auf dem Endgerät des Benutzers und für den Zugriff auf am Endgerät des Nutzers gespeicherte Daten erforderlich, sofern dies nicht zur Bereitstellung eines vom Nutzer ausdrücklich gewünschten Dienst unbedingt technisch erforderlich ist.
Die Vorschrift umfasst daher nicht nur die Speicherung und das Auslesen von einwilligungspflichtigen Cookies, sondern z.B. auch Local Storage, Zählpixel oder Browser Fingerprinting.
DSGVO
Damit nicht genug. Cookies, Local Storage, Zählpixel, Browser Fingerprinting und dergleichen sind keine eigenständigen Verarbeitungsvorgänge, sondern immer nur ein oft wichtiger, aber dennoch kleiner Bestandteil eines darauf aufbauenden Verarbeitungsvorgangs.
Dabei gilt die Regel: ist die Datenerhebung einwilligungspflichtig, dann ist fast immer der gesamte Verarbeitungsvorgang einwilligungspflichtig.
Daher ist die Einholung der Einwilligung so auszugestalten, dass der gesamte Verarbeitungsvorgang in seiner vollen Tragweite umfasst ist.
Anzuwendendes Recht
Trotz DSGVO bestehen zwischen den EU-Staaten rechtliche Unterschiede. So hat Österreich beispielsweise die E-Privacy-Richtlinie voll umgesetzt, Deutschland hingegen nicht.
Cookie-Popup und Datenschutzerklärung müssen diese rechtlichen Unterschiede berücksichtigen. Je nach Staat müssen teils unterschiedliche Rechtsgrundlagen angeführt oder individuelle Eigenheiten der Umsetzung berücksichtigt werden.
Welches Recht zur Anwendung kommt, bestimmt sich nach dem Sitz des Websitebetreibers.
Sprachen
Das Cookie-Popup und die Datenschutzerklärung müssen in allen Sprachen der Website abrufbar sein. Das gilt generell für alle Rechtstexte auf einer Website.
Mindestinformation
Bereits auf dem ersten Blick muss der Websitebenutzer zumindest erkennen können, wer Verantwortlicher für die Website ist, welche Dienste in die Website eingebunden sind, welche Unternehmen diese Dienste betreiben und ob eine Datenübermittlung in Drittstaaten stattfindet.
Die in der Praxis oft anzutreffende Ausgestaltung, bei der über dem “Alles Akzeptieren”-Button nur drei nicht aussagekräftige Optionen “Essentiell – Analyse – Marketing” ohne Zusatzinformationen zur Auswahl stehen, ist daher nicht ausreichend. Eigentlich logisch – wie soll der Nutzer eine Einwilligung erteilen, wenn er nicht einmal erkennen kann, wozu er einwilligen soll?
Diese Mindestinformationen müssen auf der ersten Seite des Cookie-Popups ersichtlich sein und dürfen nicht in Detailseiten versteckt sein.
Detailinformation
Der Websitebenutzer muss die Tragweite der Datenverarbeitung und seiner Einwilligung erkennen können. Die dazu notwendigen Informationen sind sehr umfangreich, müssen daher nicht am ersten Blick zu sehen sein, dürfen aber nicht weiter als einen Klick, z.B. auf einen Button “Alle Details“, entfernt sein.
Notwendige Detailangaben
Die folgenden Detailangaben müssen dem User vor Erteilung der Einwilligung zur Verfügung gestellt werden.
- Zweck der Verarbeitung
- Dauer der Verarbeitung
- Rechtsgrundlage der Verarbeitung
- Kontaktdaten des gemeinsamen Verantwortlichen oder Auftragsverarbeiters
- die Folgen einer Nichteinwilligung
- Rechtsgrundlage einer etwaigen Übermittlung in Drittstaaten
Aus den Detailangaben muss sich die tatsächliche Tragweite der Datenverarbeitung ergeben. Im Fall einer Datenverarbeitung mittels Google Doubleclick reicht es also nicht aus, “zum Zweck der Werbeschaltung” anzuführen. Es ist klar auf die Verarbeitung zum Zweck der Profilbildung, des Trackings aus Millionen von Websites und die Zuverfügungstellung der Daten an andere Werbetreibende hinzuweisen.
Checkboxen
Proaktive Einwilligung
Die noch immer oft gelesene Formulierung „Durch Weitersurfen stimmen Sie der Datenverarbeitung zu“ ist rechtswidrig. Durch bloßes Weitersurfen kommt keine rechtsgültige Einwilligung zustande.
Die Einwilligung muss durch proaktive Handlung des Websitebenutzers erfolgen (z.B. aktives Ankreuzen einer leeren Checkbox).
Keine Vorauswahl
Die Checkboxen müssen daher auf „nicht aktiviert“ voreingestellt sein.
Einzeln auswählbar
Jeder Dienst muss einzeln auswählbar sein. Ähnliche Dienste können in Gruppen segmentiert und gemeinsam ausgewählt werden, sofern diese Dienste weiterhin auch einzeln ausgewählt werden können.
Ein Verstecken der Auswahlmöglichkeit in einer zweiten Ebene reicht nicht aus. Die Auswahl einzelner Dienste muss genauso einfach möglich sein, wie die Einwilligung in alle Dienste. Muss der User daher einen Klick mehr machen, um zur Auswahl zu gelangen, ist das schon illegal.
Ausnahme: Essentielle Dienste
Für den Betrieb einer Website unbedingt technisch notwendige Dienste bedürfen keiner Einwilligung und sohin auch keiner gesonderten Auswahlmöglichkeit.
Konsequent zu Ende gedacht, bedeutet das: eine Website, die nur essentielle Dienste hat, benötigt kein Cookie-Popup.
Buttons
Psychotricks
Psychotricks wie ein knallgrüner „Zustimmen-Button“ mit einem hellgrauen „Ablehnen-Button“ auf hellgrauem Hintergrund oder gar mit einem klitzekleinen, kaum sichtbaren „Ablehnen-Link“ sind illegal.
Der Fachausdruck für solche Techniken lautet Nudging. Nudging ist das englische Wort für “Schupsen” oder “Stupsen”. Der Nutzer wird also in die richtige Richtung manövriert. Das kann z.B. mittels Voreinstellungen oder mehr oder weniger subtil mittels prominenter Platzierung, großerer Ausführung oder farblicher Hervorhebung der vom Websitebetreiber gewünschten Option erreicht werden.
Aus datenschutzrechtlicher Sicht untergräbt Nudging die Freiwilligkeit der Einwilligung des so (oft nur unterbewusst) beeinflussten Nutzers. Die Verwendung von Nudging-Technologien führt daher dazu, dass die Einwilligung des Nutzers mangels Freiwilligkeit ungültig ist.
Eine gleichwertige grafische Ausgestaltung des „Zustimmen-Buttons“ und des „Ablehnen-Buttons“ ist Voraussetzung für eine rechtskonforme Einwilligung.
Speichern-Button
In der Praxis sieht man oft Cookie-Popups, die zwei Optionen anbieten: Alles Akzeptieren und Speichern. Alles Akzeptieren hätte zur Folge, dass sämtliche Optionen ausgewählt werden. Speichern hätte zur Folge, dass die Voreinstellung oder die vom Nutzer selbst getroffene Auswahl gespeichert wird.
Für den Nutzer, der keine Einwilligung erteilen will, ist das verwirrend. Er will ja eigentlich nichts speichern. Meiner Ansicht nach ist diese Gestaltung von Cookie-Popups daher rechtswidrig.
Einstellungen-Link
Die Nichterteilung der Einwilligung sollte ganz einfach mit Klick auf den „Ablehnen-Button“, mit Klick auf „Schließen (X)“ und mit Klick in das graue Overlay neben dem Cookie-Banner funktionieren.
Die Nichteinwilligung muss genauso einfach ausgestaltet sein, wie Einwilligung. Ist die Nichteinwilligung auch nur um einen einzigen Mausklick aufwendiger als die Einwilligung, dann beeinträchtigt dies ebenfalls die Freiwilligkeit der Einwilligung, die Einwilligung des Nutzers wäre daher ungültig.
Das häufig zu sehende Verstecken der Möglichkeit zur Nichteinwilligung hinter einem Link zu weiteren Einstellungen ist daher unzulässig.
Widerruf
Widerrufsmöglichkeit
Da eine Einwilligung widerruflich ist, muss eine entsprechende Möglichkeit zum Widerruf implementiert werden. Der Widerruf der Einwilligung muss jederzeit möglich und so einfach wie die Einwilligung selbst sein.
Im Idealfall wird dazu nochmals das Cookie-Popup geladen, damit der Websitebenutzer seine Einstellungen ändern kann.
Folgen des Widerrufs
Nach Widerruf der Einwilligung müssen die Datenverarbeitung eingestellt und die Dienste deaktiviert werden.
Im Idealfall erfolgt ein Seitenreload, sodass die Dienste nicht mehr ausgeführt und keine neuen Daten erfasst werden. Verarbeiten die Dienste die Daten nur anonym, ist damit alles erledigt.
Cookie-Popup > Datenschutzerklärung
Konsistenz
Die Datenschutzerklärung der Website und die „Alle Details“-Texte des Cookie-Popups müssen präzise aufeinander abgestimmt sein. Im Idealfall werden das Cookie-Banner und die Datenschutzerklärung wie bei dem von mir mitentwickelten Datenschutztool von legalweb.io mit demselben Tool generiert.
Verlinkungen
Die Information des Websitebenutzers über die Datenverarbeitung darf nicht mittels Verlinkung in die Datenschutzerklärungen von Drittanbietern „ausgelagert“ werden. Links zu anderen Datenschutzerklärungen bringen daher nichts.