So muss ein Cookie-Hinweis in 2022 aussehen, damit er DSGVO-konform ist!

In diesem Beitrag möchte ich dir erklären wie dein Cookie-Hinweis aussehen muss, damit er im Einklang mit der bisherigen Rechtsprechung zur DSGVO und der Abmahnung-Praxis ist.

Zuvor werde ich dir aber noch erklären, welche Art der Zustimmung (Einwilligung, § 183 BGB oder Genehmigung, § 184 BGB) für die Nutzung von Cookies vorliegen muss und wie diese erklärt werden muss (konkludent oder ausdrücklich), damit sie auch als rechtlich wirksam eingeholt gilt.

Daneben erfährst du auch noch welche Arten von Cookie-Hinweisen (Banner/ Wall/ Pop-up) es gibt und was du bei deren Einsatz beachten musst, damit du sie auch DSGVO-konform verwendest.

Arten der Zustimmung für die Verwendung von Cookies

Von dem Besucher deiner Internetseite musst du für die Nutzung von nicht-erforderlichen Cookies eine Zustimmung einholen.

Diese Zustimmung zur Verwendung von Cookies ist eine Willenserklärung zu einem Rechtsgeschäft und kann grundsätzlich auf 2 Arten erfolgen:

  • Vorherige Zustimmung (sog. Einwilligung, § 183 BGB)
  • Nachträgliche Zustimmung (sog. Genehmigung, § 184 BGB)

Gemäß Art. 6 Abs. 1 Satz 1 lit. a DSGVO muss, damit eine Verarbeitung von personenbezogenen Daten auch rechtmäßig ist, eine Einwilligung der betreffenden Person vorliegen.
Damit setzt der Wortlaut der DSGVO eindeutig eine Einwilligung (vorherige Zustimmung) voraus.

Daneben gibt es in Art. 6 Abs. 1 Satz 1 lit. b-f noch eine Reihe anderer Gründe wann eine Verarbeitung von personenbezogenen Daten rechtmäßig ist. Diese werden aber regelmäßig nicht für das Betreiben eines Blogs in Frage kommen.

Da bei der Verwendung von Cookies fast immer personenbezogene Daten gespeichert und verarbeitet werden, bedarf es somit regelmäßig auch einer Einwilligung des Seitenbesuchers für die Verwendung von Cookies auf deiner Website.

Zwischen-Fazit: 
Somit wissen wir schon einmal, dass definitiv eine vorherige Zustimmung, eine sog. Einwilligung (§ 183 BGB) für die Verwendung von Cookies vorliegen muss.

Fraglich ist jedoch, wie der Seitenbesucher diese vorherige Zustimmung (Einwilligung) erteilen muss, damit sie auch als rechtmäßig eingeholt gilt.
Grundsätzlich kann man eine Zustimmung auf 2 Arten erklären:

  • durch ausdrückliches Äußern (in Wort oder Schrift)
  • durch sog. konkludentes Handeln (schlüssiges Verhalten)

Zuerst möchte ich auf die konkludente Zustimmung eingehen, die fast immer im “klassischen” Cookie-Banner genutzt wurde, aber auch heute noch oft in Blogs und auf Websites zu sehen ist.

Konkludente Zustimmung

Normalerweise muss ein innerer Wille nach außen erkennbar gemacht werden. Ein Schweigen oder Nichtstun ist daher grundsätzlich keine Erklärung eines Willens.
Allerdings kann die Erklärung des Willens nach außen nicht nur auf ausdrücklichem Wege erfolgen, sondern auch durch ein schlüssiges Verhalten vorgenommen werden, das sog. konkludente Handeln. Dieser Grundsatz wird aus § 116 BGB abgeleitet.

Bringt somit jemand seinen Willen stillschweigend, aber durch konkludentes Handeln zum Ausdruck, so kann ein redlicher Empfänger von einer dementsprechend abgegebenen Willenserklärung ausgehen.

Dies wurde und wird auch von manchen Internetseitenbetreibern so gesehen und angewendet. Sie gehen davon aus, dass ein Seitenbesucher der trotz des Hinweises, dass auf dieser Internetseite Cookies genutzt werden, die Seite weiter verwendet, der Verwendung der Cookies auch konkludent zustimmt. Für das weitere Verwenden der Internetseite genügt dabei schon das Herunterscrollen oder das Klicken von Elementen der Website.

Auf manchen Internetseiten wurde/wird neben dem Cookie-Hinweis zudem noch ein Button zum „Akzeptieren“ der Vorgehensweise eingesetzt. Dieser Button ist aber nur schmückendes Beiwerk, da die Cookies bereits gesetzt wurden und durch die weitere Nutzung der Webseite auch weiter genutzt werden, auch wenn der Nutzer den „Akzeptieren“-Button nicht anklickt.

Beispiel eines Textes und “Akzeptieren”-Buttons in einem Cookie-Banner:

Beispiel eines Cookie-Banners
Beispiel eines Cookie-Banners

Bei dieser Art der Zustimmung werden die Cookies bereits beim Aufruf der Internetseite gesetzt und damit genutzt, ohne dass zuvor eine VORHERIGE Zustimmung (sog. Einwilligung, § 183 BGB) eingeholt wurde.

Durch die weitere Nutzung der Internetseite ist dann eigentlich nur noch eine konkludente NACHTRÄGLICHE Zustimmung (sog. Genehmigung, § 184 BGB) möglich. Zudem kann der Nutzung der Cookies hierbei auch nicht (nachträglich) rückwirkend widersprochen werden.

Zwischen-Fazit:
Eine konkludente Zustimmung für die Verwendung von Cookies ist nicht rechtens, da nach neuerer Rechtsprechung eine ausdrückliche VORHERIGE Zustimmung vorliegen muss. Weitere Hintergründe dazu findest du in meinem Beitrag zur DSGVO. Bei der Verwendung von Cookies mithilfe der konkludenten Zustimmung ist aber de facto keine vorherige Zustimmung möglich, da die Cookies bereits gesetzt wurden wenn die Seite aufgerufen wird und es keine Möglichkeit der Zustimmung mehr gibt.

Opt-Out – Nachträglicher Widerspruch

Beim nachträglichen Widerspruch, dem sog. Opt-Out Verfahren, werden die Cookies ebenfalls wie bei der konkludenten Zustimmung schon durch den bloßen Aufruf der Internetseite gesetzt und damit verwendet.

Hier besteht aber die Möglichkeit, der Verwendung der (teilweise einzeln auswählbaren) Cookies aktiv zu widersprechen, sog. Opt-Out Lösung.

Wenn der Verwendung der Cookies nicht widersprochen wird, kann hierin aber nur eine (konkludente) NACHTRÄGLICHE Zustimmung (sog. Genehmigung, § 184 BGB) gesehen werden, da die Cookies ja bereits ohne Einwilligung gesetzt und damit genutzt wurden.

Problematisch ist genau dieser Umstand, dass bei dem Opt-Out Verfahren die Informationen des Internetnutzers bereits in den Cookies gespeichert und damit verarbeitet werden, ohne dass zuvor eine Einwilligung des Seitenbesuchers eingeholt wurde. Dies ist aber nach der Rechtsprechung des EuGH / BGH dringend erforderlich! Daher ist das Opt-Out Verfahren nicht mehr rechtskonform und sollte daher auch nicht mehr angewendet werden!

Zwischen-Fazit:
Das Opt-Out Verfahren ist nach neuester Rechtsprechung nicht mehr rechtens. Auch wenn die Regelung des § 15 Abs. 3 Satz 1 TMG den Widerspruch (Opt-out) als rechtmäßig erscheinen lässt, so ist diese Norm nach der DSGVO-konformen Auslegung nur das Opt-in Verfahren als rechtmäßig zu sehen.

Opt-In – Einwilligung / Ausdrückliche vorherige Zustimmung

Beim Cookie Opt-In Verfahren, werden Cookies NICHT schon direkt mit dem Aufruf der Internetseite gesetzt (so wie bei der konkludenten Zustimmung und dem Opt-In Verfahren), sondern erst, wenn der Internetnutzer der Nutzung aktiv zustimmt. Somit ist hier eine VORHERIGE Zustimmung (sog. Einwilligung, § 183 BGB) notwendig, bevor überhaupt erstmalig Cookies gesetzt werden.

Wenn der Seitenbesucher seine Einwilligung nicht gibt, werden folglich auch keine Cookies gesetzt. Nur bei dieser Art der Erlangung der Zustimmung sind bei Nichtabgabe der Einwilligung auch noch keine Informationen des Internetnutzers gespeichert worden.

Das sog. Opt-In Verfahren ist daher das einzige Verfahren, dass rechtskonform die VORHERIGE Einwilligung zur Nutzung von Cookies einholt. Technisch betrachtet können sowohl das Verfahren der konkludenten Zustimmung als auch das Opt-Out Verfahren die Aktivierung von Cookies nicht unterbinden. Dies ist aber die Voraussetzung, um faktisch überhaupt eine rechtmäßige vorherige Einwilligung einholen zu können. Nur das Opt-In Verfahren bietet technisch diese Möglichkeit und ist daher das einzige Verfahren, was DSGVO-konform für die Cookie Einwilligung genutzt werden kann!

Fazit

Das Opt-in Verfahren ist die einzige DSGVO-konforme Lösung zur rechtswirksamen Einholung der Cookie-Einwilligung, da Cookies (zumindest die nicht-erforderlichen Cookies) erst gesetzt werden, wenn die Einwilligung erteilt wurde.

Daneben darf es auch keine Beeinflussung des Seitenbesucher geben, die versucht diese Einwilligung auf irgendeinem Wege zu “erschleichen”.

Zudem muss auch noch ein nachträglicher Widerruf der Einwilligung möglich sein.

Arten von Cookie-Hinweisen

Um den Besucher deines Blogs / deiner Website auf die zu verwendeten Cookies hinzuweisen, musst du zu Beginn des Seitenaufbaus einen sog. Cookie-Hinweis geben. Dieser Cookie-Hinweis wird grundsätzlich in zwei verschiedenen Ausführungen dargestellt, die sich nur in der gestalterischen Umsetzung unterscheiden.

Cookie-Banner

Ein Cookie-Banner ist meist ein oben oder unten, über die ganze Breite der Internetseite befindlicher, farblich abgesetzter Streifen, der den Seitenbesucher über die Verwendung von Cookies informieren soll.

Bisher wurden diese “klassischen“ Cookie-Banner oft so umgesetzt, dass durch die Weiternutzung der Internetseite auch die Zustimmung zur Verwendung von jeglichen Cookies antizipiert wurde.

Der Seitenbesucher hat bei den reinen “klassischen” Cookie-Bannern keinerlei Auswahlmöglichkeit, welche Cookies er erlauben möchte und welche nicht. Der “klassische” Cookie-Banner erfüllte damit nur eine grundlegende Hinweispflicht, dass auf der besuchten Internetseite Cookies verwendet werden, mehr nicht.


Problem:
Das größte Problem bei Einsatz solcher “klassischer” Cookie-Banner in Zeiten strikterer Datenschutzreglungen wie der DSGVO ist aber, dass neben der fehlenden Auswahlmöglichkeit der Cookies, auch schon mit dem Aufruf der Internetseite bereits die Cookies gesetzt wurden. Es wurden somit bereits die entsprechenden Informationen des Seitenbesuchers gespeichert und evtl. verarbeitet, ohne dass dies vom Seitenbesucher wieder rückgängig gemacht werden kann. Und diese Cookies wurden gesetzt, ohne dass zuvor eine Einwilligung eingeholt wurde. Auch das umgehende Verlassen der Internetseite macht diesen Umstand nicht rückgängig. Auch ein nachträglicher Widerspruch ist bei dieser Art von Cookie Banner meist nicht möglich.


Diese “klassischen” Cookie-Banner sind mit der aktuellen Rechtsprechung des EuGH oder BGH nicht mehr vereinbar und sollten daher auf keinen Fall mehr genutzt werden.

Grundsätzlich kann ein Cookie-Banner aber auch DSGVO konform gestaltet werden. Dazu muss eine Ablehnungsmöglichkeit für die nicht-erforderlichen Cookies bestehen und die Cookies dürfen erst gesetzt werden, wenn der Seitenbesucher eingewilligt hat. Somit ist ein Cookie-Banner nicht per se nicht mehr zulässig, sondern nur der „klassische“ Cookie-Banner, der sofort ohne jegliche Einwilligung Cookies setzt und auch keine Ablehnungs- oder Auswahlmöglichkeiten aufweist.
Wichtig ist ebenfalls dass durch den Cookie-Banner nicht der Zugriff auf das Impressum und die Datenschutzerklärung verhindert wird. Dies muss immer zugänglich sein.

Cookie-Pop-up/-Wall

Ein/e Cookie-Pop-up/-Wall ist eine Einblendung, meist in der Mitte der aufgerufenen Internetseite, die über die Verwendung von Cookies informiert. Der Unterschied zwischen dem Cookie-Pop-up und der Cookie-Wall ist lediglich, dass die Cookie-Wall über die ganze Webseite erscheint und das Cookie-Pop-up nur ein kleines Fenster, meist in der Mitte der Webseite ist. Diese Art der Cookie-Hinweise werden fast ausschließlich mit Ablehnungs- und Auswahlmöglichkeiten hinsichtlich der genutzten Cookies genutzt.


Problem:
Teilweise wird durch ein/e Cookie-Pop-up/Wall auch die Sichtbarkeit des Inhalts der eigentlichen (dahinterliegende) Website verhindert, bevor der Seitenbesucher den Cookies nicht zugestimmt oder sie ablehnt hat. Dies ist allerdings nicht erlaubt. Der Inhalt muss zumindest sichtbar, d.h. lesbar sein, damit der Seitenbesucher sehen kann, was ihn für einen Inhalt erwartet. Ansonsten wird der Seitenbesucher einer Art Druck ausgesetzt, den Cookies zuzustimmen und dies wäre nicht erlaubt. Neben der Lesbarkeit des Inhalts muss auch unbedingt das Impressum und die Datenschutzerklärung zugänglich (anklickbar) sein, da ansonsten ebenfalls ein rechtlicher Verstoß vorliegt. Ist der Inhalt lesbar, aber nicht anklickbar, muss zumindest jeweils ein Link zum Impressum und der Datenschutzerklärung auf der ersten Ebene des/der Cookie-Pop-ups/-Wall vorhanden sein.


Somit musst du ein paar Dinge bei der Konfiguration deines/deiner Cookie-Pop-ups/-Wall beachten und dann hast du die Basis für eine wirksamen Cookie-Hinweis gelegt.

Fazit

Du kannst somit grundsätzlich einen Cookie-Banner als auch eine Cookie-Wall oder ein Cookie-Pop-up als Basis für deinen Cookie Hinweis nutzen. Wichtig ist nur, dass der Cookie-Hinweis keine wichtigen Elemente der Webseite verdeckt und auch weiterhin der Besuch deiner Website, auch ohne Einwilligung, möglich bleibt.

Cookie-Hinweis/Banner DSGVO-konform gestalten

Nun stellt sich die Frage, wie denn der Cookie-Hinweis gestaltet werden muss, damit dieser auch DSGVO-konform ist.

Die Gerichtsurteile des BGH und EuGH geben einen guten Einblick, wie die Gerichte die aktuellen, etwas widersprüchlichen Gesetze und Richtlinien interpretieren. Die Leitsätze dieser Gerichtsentscheidungen solltest du unbedingt beachten und sie als Grundlage für deinen Cookie-Hinweis anwenden.

Auch die bereits erfolgten Abmahnungen solltest du als Basis für die Gestaltung deines Cookie Hinweises heranziehen.

Berücksichtigt man die ergangenen Gerichtsurteile und erfolgten Abmahnungen, kann man somit folgende grundlegenden Handlungsempfehlungen zusammenfassen, wie du deinen Cookie-Hinweis gestalten solltest:

  • Der Cookie Hinweis (insb. eine Cookie Wall) darf die Internetseite oder wichtige Teile der Internetseite nicht verdecken.
    Eine Einwilligung gilt nur als rechtswirksam abgegeben, wenn sie freiwillig, das heißt, ohne Druck oder Zwang erfolgte. Für den Seitenbesucher müssen daher die Inhalte der Internetseite auch ohne eine abgegebene Einwilligung für die Verwendung der nicht-erforderlichen Cookies sichtbar sein. Ist dies nicht der Fall, z.B. durch eine sog. „Cookie Wall“, wird eine Art Druck aufgebaut die Einwilligung abzugeben, was nicht rechtens ist. Insbesondere dürfen der Zugriff auf das Impressum und die Datenschutzerklärung nicht durch den Cookie Hinweis blockiert werden.
  • Als Seitenbetreiber musst du dafür sorgen, dass die Seitenbesucher umfassend über die eingesetzten Cookies informiert werden. Insbesondere musst du über die Funktionsdauer der Cookies und über den möglichen Zugang Dritter aufklären.
  • Der Einsatz von erforderlichen Cookies kann ohne vorherige Einwilligung erfolgen.
    Dass du das Einholen der Einwilligung für diese Art von Cookies weglassen kannst, bedeutet aber nicht, dass du dies auch unbedingt tun musst, es ist ja schließlich nur die gesetzliche Mindestanforderung. Daher, wenn du deinen Seitenbesuchern gegenüber sehr transparent sein möchtest, oder zu den ganz vorsichtigen gehörst und jegliche rechtliche Auseinandersetzung oder Abmahnung vermeiden willst, kannst du auch für die erforderlichen Cookies eine vorherige Einwilligung einholen, dann bist du definitiv auf der ganz sicheren Seite. Auch wenn es für die erforderlichen Cookies keine wirkliche Wahlmöglichkeit gibt, da sie für den einwandfreien Betrieb deiner Internetseite erforderlich sind, und der Seitenbesucher sie nicht abwählen kann, so ist es dennoch die rechtlich sauberste Lösung, da auch diese Cookies erst aktiviert werden, wenn der Seitenbesucher eingewilligt hat.
  • Um nicht-erforderliche Cookies wie Marketing-Cookies einsetzen zu können, musst du definitiv eine vorherige Einwilligung einholen, d.h. bevor die Cookies überhaupt „aktiviert“ werden. Dies kannst du nur durch die Verwendung des sog. Opt-In Verfahrens umsetzen. Diese Verfahren werden von sog. Cookie Consent Tools verwendet.
  • Eine indirekte / implizite / konkludente Zustimmung ist nicht erlaubt.
    Ein Cookie Banner der nur erklärt, dass sich der Seitenbesucher durch die Nutzung der Internetseite auch mit der Nutzung der Cookies einverstanden erklärt, ist nicht erlaubt. Auch nur ein „OK“-Button als alleinige „Auswahl“-Möglichkeit der Zustimmung zur Nutzung von Cookies ist nicht rechtens, da dies eben keine Abwahl von Cookies ermöglicht.
  • Nur die explizite aktive Einwilligung ist rechtens. Das bedeutet, vorangekreuzte Kästchen für die Einwilligung zu nicht-erforderlichen Cookies sind nicht erlaubt.
    Der Seitenbesucher muss das Häkchen für die Einwilligung zur Nutzung von nicht-erforderlichen Cookies selbst aktiv setzen! Ist das Kästchen oder der Schieberegler zur Aktivierung der nicht-erforderlichen Cookies bereits vorangekreuzt/aktiv geschaltet, gilt die Einwilligung daher als nicht wirksam. Der Seitenbesucher darf nicht gezwungen sein, die bereits aktivierten Kästchen zur Einwilligung erst wieder deaktivieren zu müssen, um eine Nichtabgabe der Einwilligung herbeizuführen!
  • Der Widerruf der Einwilligung muss weiterhin auf der ersten Ebene des Cookie Hinweises möglich sein.
    Muss der Seitenbesucher die erste Ebene des Cookie Hinweises verlassen, um seine Einwilligung auszuschlagen, so ist dies ebenfalls nicht erlaubt. Insbesondere darf die Abwahl von Cookies nicht allein über einen Passus in den Datenschutzbestimmungen, mit dem Hinweis auf die Deaktivierung von Cookies über die Browsereinstellungen, als alleinige Möglichkeit gegeben sein.
  • Keine Beeinflussung des Seitenbesuchers, sog. „Nudging“ oder „dark patterns“
    Wird der Seitenbesucher durch bestimmte grafische Elemente bei der Abgabe der Einwilligung beeinflusst, so ist die so erlangte Einwilligung nicht rechtmäßig. Eine Beeinflussung liegt z.B. vor, wenn der Button für die Zustimmung aller Cookies „Alles Akzeptieren“ grün und der „Ablehnen“ oder „Konfigurieren“ Button hellgrau ist und damit schlecht erkennbar. Damit liegt eine Beeinflussung vor, die den Seitenbesucher unterbewusst in seiner Freiwilligkeit der Entscheidung beeinträchtigt und die somit nicht rechtens ist. 

Nun weißt du, welche Anforderungen dein Cookie-Hinweis hinsichtlich der Informationspflicht und der Einwilligung erfüllen muss.

Denke bitte daran immer einen Cookie-Hinweis zu nutzen, wenn du nicht-erforderliche Cookies auf deiner Website nutzt.

Daneben musst du natürlich auch immer ein Impressum und eine Datenschutzerklärung auf deine Website einbinden, unabhängig davon, ob du Cookies verwendest oder nicht.

Hinweis zur Werbung: 
Links die mit einem * gekennzeichnet sind, sind Partnerprogramm/Affiliate-Links. Kaufst du über diesen Link ein, erhalte ich eine kleine Provision. Der Preis für dich ändert sich nicht! Wenn dir mein Beitrag gefallen und hoffentlich sogar geholfen hat, würde ich mich freuen, wenn du mich auf diesem Wege unterstützt. Vielen Dank!

Das könnte dich auch interessieren:

Schreibe einen Kommentar