Cookies auf Webseiten oder genauer im Online-Tracking sind ein althergebrachtes Mittel, um zu schauen: „Wer kommt von wo und was macht er auf meiner Webseite?“ Das Cookies und hier insbesondere die kostenlosen Cookies von Google, gesetzt durch das beliebte Google Analytics datenschutzrechtlich nicht unproblematisch sind, ist keine besondere Neuigkeit. So haben schon viele Aufsichtsbehörden, ob in Österreich, den Niederlanden, Frankreich oder sogar in Deutschland den unrechtmäßigen und vor allem einwilligungspflichtigen Gebrauch dieser Cookies aufgrund der Drittanbieterproblematik geahndet. Ebenso gilt es zu beachten: Cookies sind nicht gleich Cookies, denn wir unterscheiden zwischen den sogenannten essentiellen Cookies und weiteren wie Marketing, Personalisierung und anderen Kategorien (zum Teil ist der Phantasie der Marketingabteilung den Bezeichnungen keine Grenzen gesetzt).
Auch wenn es eine beliebte Praxis der Aufsichtsbehörden ist etwas zu verbieten oder zu zeigen wie es nicht geht, fehlt es weiterhin an handfesten Beispielen, wie genau diese Cookie-Banner auszusehen haben. Dennoch lohnt es sich einige Grundregeln zu befolgen, um hier sogenannte Dark Pattern zu vermeiden, technisch auf der sicheren Seite zu sein und angemessen die Informationspflichten sicherzustellen.
Allen voran zu nennen ist natürlich der Zeitpunkt der Aktivierung der ansprechenden Cookies. Alle Veröffentlichungen weisen hier nochmal entsprechend daraufhin, dennCookies die über die essentiell hinausgehen sind erst nach der Einwilligung zu aktivieren. Auch wenn dieser Hinweis lächerlich erscheinen mag, testen Sie ihre technische Umsetzung ausführlich ob sie diese Vorgabe auch umsetzt.
Vermeiden sie missverständliche Überschriften. Suggerieren Sie eine Überschrift wie „Wir benötigen Ihre Einwilligung um fortzufahren“, dass die Zustimmung zu allen Cookies erforderlich ist. Auch sind Begriffe wie „Nutzererlebnis“ nur abstrakt zu verstehen und lassen einen Informationsgehalt vermissen. Vermeiden Sie eine derartige Irreführung und punkten Sie mit Transparenz und Offenheit gegenüber Ihren Besuchern.
Unverzeihlich sind auch vorausgewählte Optionen bei zustimmungspflichtigen Cookies. Mit solch groben Fehlern riskiert man nur unnötige Beschwerden durch Nutzer. Dies wurde bereits 2019 in einem Gerichtsverfahren bemängelt und mit einem Bußgeld belegt. Dass eine Beschwerde nicht unbedingt erst den Verantwortlichen trifft, sondern auch gleich an eine Aufsichtsbehörde gerichtet werden kann, sollte jedem Verantwortlichen zusätzlich klar sein.
Relativ neu aber empfohlen ist, die Platzierung der Ablehnung auf der obersten Ebene, das heißt unmittelbar im Cookie Banner selbst. Hier hat sogar kürzlich YouTube als Google-Unternehmen reagiert und seinen Cookie Banner dementsprechend angepasst. Natürlich geschah dies nicht freiwillig, sondern erst auf Intervention der deutlich abmahnfreudigeren französischen Aufsichtsbehörde CNIL. Diese sogenannte „Level-1-Ablehnung“ wird mittlerweile mehr und mehr umgesetzt und sollte auch in Ihrem Cookie Banner dementsprechend implementiert sein.
Um den Transparenzpflichten im Rahmen der DS-GVO Genüge zu tun, sollte auch ohne aktive Zustimmung das Impressum und die Datenschutzerklärung bequem über das Cookie Banner erreichbar sein. Das heißt technisch sollte es möglich sein, das Impressum oder die Datenschutzerklärung der Seite ohne konkrete Aktionen einsehen zu können, beispielsweise durch einen direkten Link.
Einwilligung und Tracking wird weiterhin ein aktuelles Thema bleiben. Die technische Entwicklung wird voranschreiten und Anbieter werden neue Lösungen finden, um Webseitenbesucher zu analysieren. Dabei wird der Datenschutz immer eine wichtige Rolle spielen. Denn sie wissen ja Datenschutz bleibt spannend.
Zur weiteren Lektüre empfehlen wir die Veröffentlichung des European Data Protection Board: edpb_03-2022_guidelines_on_dark_patterns_in_social_media_platform_interfaces_en.pdf (europa.eu)
Das FAQ zu Cookies und Tracking des Landesbeauftragten für Datenschutz Baden-Württemberg: FAQ zu Cookies und Tracking – Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
und die Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien der Datenschutzkonferenz: 20211220_oh_telemedien.pdf (datenschutzkonferenz-online.de)