Sind Cookie-Banner den meisten Websitebetreibern und auch Websitenutzern ein Dorn im Auge, so führt nach der jetzigen Rechtslage in den allermeisten Fällen doch kein Weg an ihnen vorbei. Zwar wurden die Spielregeln für das Setzen von Cookies durch die Datenschutz-Grundverordnung (DS-GVO) nicht verändert, jedoch sind die Strafen für die Nichtbeachtung der Vorschriften mit der DS-GVO deutlich empfindlicher geworden. Dies führte dazu, dass der Gestaltung der sog. Cookie-Banner sichtlich mehr Beachtung geschenkt wird – nicht unbedingt von den Unternehmen selbst, aber vielfach von den zuständigen Aufsichtsbehörden und den Usern der Homepage. Besonders hart zu spüren bekam das eine spanische Billigfluglinie, denn gegen sie wurde bereits im Oktober 2019 ein Bußgeld in Höhe von 30.000 Euro verhängt.

Das Wichtigste in Kürze

  • Eine spanische Billigfluglinie bot Usern nur die Möglichkeit, in die Setzung aller Cookies durch Nutzung der Homepage oder Betätigen des Buttons „akzeptieren“ einzuwilligen.
  • Die spanische Aufsichtsbehörde sanktionierte das Fehlen weiterer Auswahlmöglichkeiten sowie detaillierter Informationen zu den Cookies mit einem Bußgeld in Höhe von 30.000 Euro.
  • Auch in einigen weiteren Fällen fehlerhafter Cookie-Banner-Gestaltung verhängte die spanische Behörde Bußgelder zwischen 1800 € und 6000 €.
  • Auch wenn die sanktionierten Vorschriften aus nationalen spanischen Gesetzen stammen, sind wegen der DS-GVO vergleichbare Bußgelder in Deutschland möglich.

Was sind Cookies?

Cookies sind kleine Textdateien, die auf dem Endgerät des Seitenbesuchers abgelegt werden. Sie speichern zum einen Informationen, die Websitebesuchern das Benutzen der Homepage erleichtern sollen, zum anderen können sie auch für statistische Analysezwecke oder für bedarfsgerechte Werbung verwendet werden. Um ihre Aufgabe zu erfüllen, müssen viele Cookies mit personenbezogenen Daten von Usern arbeiten, sodass die Spielregeln der DS-GVO beachtet werden müssen.

Notwendigkeit eines Cookie-Banners

Aufgrund der Brisanz der Thematik und dem Bewusstsein bei Homepage-Usern für die Problematik ist ein Cookie-Banner grundsätzlich auf jeder Homepage zu empfehlen. Die Gestaltung des Banners hängt entscheidend davon ab, zu welchem Zweck die gesetzten Cookies persönliche Informationen (zu denen auch die IP-Adresse zählt) verarbeiten. Lässt sich die konkrete Verarbeitung nur auf Grundlage einer Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a) DS-GVO rechtfertigen, muss mit dem Cookie-Banner eine wirksame Einwilligung eingeholt werden, die den Anforderungen von Art. 7 DS-GVO genügt. Gibt es für die Verarbeitung der Daten durch die Cookies auch andere Rechtfertigungsgründe wie das überwiegende berechtigte betriebliche Interesse, eine vorvertragliche Maßnahme oder eine gesetzliche Pflicht, reicht ein rein informatives Cookie-Banner aus.

Bußgeld wegen rechtswidriger Cookie-Policy

Auf der Homepage einer spanischen Billigfluglinie waren mehrere Cookies gesetzt, deren Datenverarbeitung nur auf eine wirksame Einwilligung gestützt werden konnte. Die Fluglinie hatte zwar auf ihrer Homepage ein entsprechendes Banner installiert, dessen Gestaltung erfüllte aber nicht die Anforderungen an eine wirksame Einwilligung. Die User der Homepage wurden lediglich darauf hingewiesen, dass sie mit Nutzung der Seite dem Setzen der Cookies zustimmten. Parallel dazu konnten Sie auch einen Button „Akzeptieren“ nutzen. Es gab aber keine Auswahlmöglichkeit für den User, mit dem Klick willigte man lediglich in alle Cookies ein.

Der User wurde zwar darauf hingewiesen, dass er den Browser so konfigurieren könne, dass entweder standardmäßig alle Cookies akzeptiert oder abgelehnt werden bzw. dass eine Benachrichtigung über den Empfang jedes einzelnen Cookies auf dem Bildschirm angezeigt wird. Jedoch stellt diese Vorgehensweise nach Ansicht der spanischen Aufsichtsbehörde einen Verstoß gegen das Gebot der Informationspflicht hinsichtlich der Speicherung von Daten dar. Als Begründung wurde angeführt, dass es kein System gibt, durch welches es dem Nutzer ermöglicht wird, einzelne Cookies zu deaktivieren. Um die Auswahl der Cookies zu ermöglichen, müsste das Banner eine Schaltfläche beinhalten, mit der der Nutzer alle Cookies ablehnen oder aktivieren oder nur einzelne Cookies zulassen kann. Das aktuelle Cookie-Banner bietet nur die Möglichkeit, die Cookies generell zuzulassen, um auf der Seite weiterzusurfen.

Diese Vorgehensweise verstößt damit gegen § 22 Abs. 2 des nationalen spanischen E-Commerce-Gesetzes und wurde von der Aufsichtsbehörde entsprechend sanktioniert. Nach dieser gesetzlichen Vorschrift sind die Websitebetreiber in Spanien nämlich verpflichtet, die Nutzer der Website über die Speicherung von Daten zu informieren und ihnen die Möglichkeit bereitzustellen, auf einfache Weise kostenlos die weitere Verarbeitung ihrer Daten zu untersagen. Der Verstoß gegen das nationale Recht könnte mittlerweile zeitgleich auch einen Verstoß gegen die DS-GVO darstellen. Denn bereits am 01.10.2019 verdeutlichte der EuGH, dass für die Speicherung von Cookies eine aktive Einwilligung seitens der betroffenen Personen erfolgen müsse und weiterhin auch die umfassenden allgemeinen Informationspflichten zu erfüllen sind.

Warum ist der Fall auch für Deutschland wichtig?

Zwar erging das Bußgeld im vorliegenden Fall auf Grundlage nationaler spanischer Datenschutzgesetze und damit gerade nicht unter Bezugnahme auf die DS-GVO oder einer Entscheidung des EuGH. Jedoch hat Spanien mit dem hier relevanten § 22 Abs. 2 des nationalen spanischen E-Commerce-Gesetzes die sog. Cookie-Richtlinie (Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation) umgesetzt. Da die ePrivacy-Verordnung noch immer im Gesetzgebungsverfahren feststeckt und damit bis heute nicht gilt, sind diese Vorgaben europaweit zu beachten. Im Gegensatz zu einer Verordnung muss die Richtlinie aber in nationale Gesetzte umgesetzt werden. Eine solche Umsetzung hat in Deutschland bisher nicht stattgefunden.

Dennoch kann ein nicht datenschutzkonformes Cookie-Banner auch in Deutschland mit einem Bußgeld geahndet werden, denn in Deutschland müssen seit 2018 die allgemeinen Vorgaben der DS-GVO bei jeder Verarbeitung von persönlichen Daten beachtet werden. Im Grunde wurde im vorliegenden Fall ein Verhalten sanktioniert, das auch der EuGH in seiner Entscheidung vom 01.10.2019 zum Gegenstand hatte. Dieser verkündete in seiner damaligen Entscheidung, dass

  • auf im Endgerät des Nutzers gespeicherte Informationen nur zugegriffen werden darf, wenn der Nutzer auf Grundlage von klaren und umfassenden Informationen seine Einwilligung gegeben hat.
  • der Nutzer vor Erteilung seiner Einwilligung umfassend über das gesetzte Cookie, die Funktionsweise, die Funktionsdauer und auch über Zugriffsmöglichkeiten von Dritten aufgeklärt werden muss.
  • ohne aktive Zustimmung des Nutzers keine Einwilligung vorliegt.

Der Bundesgerichtshof (BGH) bestätigte diese Ansicht für Deutschland in seinem Urteil vom 28.05.2020. Websitenutzern muss also unbedingt die Möglichkeit gegeben werden, sich für oder gegen die Speicherung von Cookies zu entscheiden. Insbesondere die Option zur Einwilligung in einzelne Cookies und auch die Ablehnung dieser ist essenziell für ein datenschutzkonformes Cookie-Banner. Eine pauschale Einwilligung in alle Cookies verstößt stets gegen die Vorgaben der DS-GVO und kann den Websitebetreiber unnötiges Geld kosten.

Was muss ein datenschutzkonformes Cookie-Banner enthalten?

Die Anforderungen an Cookie-Banner sorgen bei dem ein oder anderen Websitebetreiber für Verwirrung. Doch im Grunde genommen müssen folgende Anforderungen erfüllt sein, damit ein Cookie-Banner datenschutzkonform gestaltet ist:

  1. Zeitpunkt: Das Banner sollte beim erstmaligen Öffnen der Website erscheinen. Achtung: Einwilligungspflichtige Cookies dürfen beim erstmaligen Aufruf der Website nicht aktiviert sein. Alle Cookies müssen so lange blockiert werden, bis der Nutzer seine Einwilligung erteilt. Das Scrollen oder Navigieren auf der Website oder sonstiges Ignorieren der Einwilligungsaufforderung stellt nie eine rechtskonforme Einwilligung nach DS-GVO dar.
  2. Informationen: Der Nutzer muss detaillierte und spezifische Informationen zu allen auf der Website verwendeten Tracking Tools und Cookies erhalten. Es sollte hier beschrieben werden, welche Verarbeitungsvorgänge mit dem Cookie vorgenommen werden, wer an den Verarbeitungsvorgängen des Cookies beteiligt ist und welche Funktionen die Beteiligten erfüllen. Auch die Arten der verarbeiteten Daten und die Dauer des Speicherzeitraums des Cookies müssen aufgeführt werden. Damit das Cookie-Banner nicht aus allen Nähten platzt, ist es sinnvoll, auf die Datenschutzerklärung zu verweisen und die gesetzten Cookies dort ausführlich zu beschreiben.
  3. Optionen: Der Nutzer muss die Möglichkeit erhalten, sich für oder gegen die verschiedenen Cookies zu entscheiden. Dabei ist es wichtig, dass auch einzelne Cookies aktiviert und deaktiviert werden können. Auch eine nachträgliche Änderung der Einstellung muss dem Nutzer möglich sein. Voreingestellte Ankreuzkästchen sind nicht erlaubt.
  4. Einwilligung: Der Nutzer muss die Möglichkeit erhalten, seine Einwilligung zur Verarbeitung der personenbezogenen Daten abzugeben, bevor die Cookies gesetzt werden. Die Einwilligung muss freiwillig, informiert, aktiv und vor Setzen des Cookies erfolgen.
  5. Funktionsweise: Die Website sollte auch nach Ablehnung der nicht erforderlichen Cookies noch einwandfrei funktionieren.
  6. Dokumentation: Die Einwilligung des Nutzers sollte zu Nachweiszwecken sicher aufbewahrt werden. Der Nutzer muss hierüber in der Datenschutzerklärung informiert werden. Wird die Einwilligung auf dem Endgerät des Nutzers gespeichert, hat dies den Vorteil, dass dem Nutzer das Banner beim erneuten Öffnen der Website nicht noch mal angezeigt wird.
  7. Widerruf: Der Nutzer muss die Möglichkeit erhalten, seine gegebene Einwilligung zu einem späteren Zeitpunkt zu widerrufen.

Weitere Bußgelder für Datenschutzverstöße auf der Homepage

Die spanische Aufsichtsbehörde hat auch in anderen Fällen bereits Bußgelder wegen Verletzung der Datenschutzpflichten auf der Homepage verhängt. Da hier elementare Pflichten der DS-GVO verletzt wurden, wären vergleichbare Bußgelder ebenfalls in Deutschland möglich – auch wenn die deutschen Behörden bisher (noch) keine verhängt haben.

Weil ein funktionales Cookie-Banner auf der Homepage fehlte, erhielt ein Dienstleister für Auslandsaufenthalte ein Bußgeld in Höhe von 3000 €. Gleichzeitig sprach die Behörde eine Verwarnung aus, weil das spanische Unternehmen seine Datenschutzerklärung nur auf Englisch zur Verfügung stellte.

Im eingebundenen Cookie-Banner eines spanischen Onlineshops wurden die Zwecke und Eigenschaften der eingesetzten Cookies nicht hinreichend beschrieben. Außerdem konnte die Aktivierung der Cookies nicht abgelehnt werden. Daher verhängte die spanische Aufsichtsbehörde ein Bußgeld von 3000 Euro. Zusätzlich wurde das Unternehmen wegen seiner unzureichenden Datenschutzhinweise auf der Homepage verwarnt.

Für ein nicht datenschutzkonformes Cookie-Banner musste ein spanisches Unternehmen 6000 € Bußgeld bezahlen. Das Unternehmen hatte auf der Startseite seiner Website ein Cookie-Banner installiert, das die Auswahl zwischen „weitersurfen“ und „Cookie-Richtlinie einsehen“ bot, jedoch konnten die Nutzer keinerlei Veränderungen und Einstellungen an den Cookies vornehmen. Der bei der „Cookie-Richtlinie“ hinterlegte Link führte zu einer PDF-Datei. Somit war es den Nutzern auch nicht möglich, bestimmte Cookies auszuwählen. Es wurde lediglich eine General-Einwilligung in alle Cookies durch Anwählen von „weitersurfen“ gegeben. Damit lag keine wirksame Einwilligung vor, was die spanische Aufsichtsbehörde entsprechend sanktionierte.

Ein fehlender Link zu den Cookie-Einstellungen wurde einem spanischen Verpackungshersteller zum Verhängnis. In diesem Fall fehlte im Cookie-Banner ein Link, der es dem Nutzer ermöglichte, alle Cookies abzulehnen. Laut Art. 22.2 des spanischen Gesetzes für die Dienste der Informationsgesellschaft und des E-Commerce (LSSI) muss es dem Nutzer genauso leicht gemacht werden, Cookies abzulehnen wie diese zuzulassen. Ein entsprechender Link, der zu den Cookie-Einstellungen führte, fehlte jedoch und wurde sanktioniert.

Ein spanischer Onlineshop geriet durch die Beschwerde einer Mitarbeiterin ins Visier der Datenschutzbehörde. Diese stellte bei ihrer Überprüfung fest, dass die Datenschutzhinweise für gesetzte Cookies auf der Website nicht datenschutzkonform waren. Der Hinweis enthielt weder detaillierte Erläuterungen zu den einzelnen Cookies, noch wurde auf deren Verarbeitungszwecke hingewiesen. Und wie allzu oft gab es auch hier für den Nutzer keine Möglichkeit, aktiv in das Setzen der Cookies einzuwilligen. Für die Verstöße erhielt das Unternehmen am Ende ein Bußgeld von 1500 €.

Auch bei einer spanischen Billigtankstelle brachte die Beschwerde eines Betroffenen den Stein ins Rollen. Das Unternehmen erhielt daraufhin ein Bußgeld, weil das Cookie-Banner nicht datenschutzkonform war. Die Website des Unternehmens bot ihren Nutzern keinerlei Möglichkeit, die gesetzten Cookies zu begrenzen oder nur bestimmte Cookies auszuwählen. Die Nutzer konnten alle Cookies akzeptieren. Zwar gab es ein Feld „weitere Informationen“, klickte man dieses jedoch an, öffnete sich ein Informationsfenster, das nur allgemeine Informationen zu verschiedenen Cookies enthielt. Somit wurde weder darauf eingegangen, welche Cookies genau verwendet werden, noch welche Aufgabe die jeweiligen Cookies haben. Auch eine Konfigurationsmöglichkeit, bei dem Nutzer die Auswahl der Cookies selbst bestimmen können, wurde gänzlich weggelassen. Daher verhängte die spanische Datenschutzbehörde ein Bußgeld in Höhe von 3000 €. Das Bußgeld reduzierte sich nach fristgerechter Zahlung und der Einsicht des Unternehmens auf 1800 €.

Ein komplett fehlendes Cookie-Banner kostete ein spanisches Automobilunternehmen 3000 €. Das Unternehmen hatte weder ein Cookie-Banner auf der Website eingebaut, noch wurden dem Nutzer sonstige Hinweise zum Einsatz von Tracking Cookies angezeigt. Zwar war am unteren Ende der Website ein Link zur Cookie-Richtlinie eingebunden, diese enthielt jedoch nur vage allgemeine Informationen und keine spezifischen Details zu den gesetzten Cookies. Daher verhängte die Aufsichtsbehörde auch in diesem Fall aufgrund des Verstoßes gegen Art. 22.2 der LSSI ein Bußgeld über 3000 €.

Drei Fragen aus dem Betriebsalltag:

Nach der DS-GVO muss jede einmal abgegebene Einwilligung mit Wirkung für die Zukunft auch widerrufen werden können. Dies bedeutet konkret: Wer in Cookies einwilligt, muss auch die Möglichkeit bekommen, die Einwilligung zu widerrufen. Daher müssen Websitebetreiber ihren Besuchern auch eine geeignete Möglichkeit bieten, die Einwilligung zur Cookie-Nutzung rückgängig zu machen. Wichtig hierbei ist, dass der Widerruf der Einwilligung so einfach sein muss wie die Erteilung der Einwilligung. Zudem ist der Nutzer bei Abgabe der Einwilligung auch über seine Widerrufsmöglichkeit und natürlich über die Freiwilligkeit der Einwilligung zu informieren. Erfolgt die Einwilligung zur Cookie-Nutzung über eine Checkbox, so bietet es sich an, auch den Widerruf der Einwilligung über eine Checkbox zu gestalten. Für die Platzierung eignet sich sowohl ein Abschnitt in der Datenschutzerklärung als auch ein Platz im Footer der Website. Die Widerrufsmöglichkeit auf einer Website darf nicht versteckt platziert werden.

Nein, rechtlich gesehen benötigt nicht jede Seite ein Cookie-Banner. Laut EuGH Urteil vom 01.10.2019 (Az.: C-673/17) brauchen alle Websites, die technisch nicht notwendige Cookies setzen, hierfür eine Einwilligung. Eine solche Einwilligung wird am einfachsten über ein Cookie-Banner eingeholt. Zwar bedeutet dies, dass Websites ohne technisch nicht notwendige Cookies keine Einwilligung brauchen, jedoch empfiehlt es sich, in der Praxis, auch hier ein Banner mit einem kurzen Hinweis darauf einzubauen, dass nur technisch notwendige Cookies gesetzt sind.

Grundsätzlich sind alle Cookies technisch nicht notwendig, die nicht zwingend für den Betrieb der Website oder die Bereitstellung spezifischer Seitenfunktionen notwendig sind. Also z. B. Cookies von Drittanbieteranwendungen (Google Analytics, Google Web Fonts, Google (Invisible) reCAPTCHA etc.), die nur für Marktforschungs-, Marketings- oder Kooperationszwecke verwendet werden. Als technisch notwendige Cookies, die keiner Einwilligung bedürfen, gelten hingegen die Cookies, die für den Betrieb einer Website und deren Funktionen erforderlich sind.

Damit Einwilligungen auch rechtlich wirksam erteilt werden, müssen diese gewisse Voraussetzungen nach Art. 7 DS-GVO erfüllen. So muss eine Einwilligung

  • informiert abgegeben werden.
  • unmissverständlich erteilt werden.
  • freiwillig erteilt werden.
  • jederzeit widerrufbar sein.

Nutzern muss es quasi möglich gemacht werden, ohne Weiteres verstehen zu können, in was sie einwilligen. Bloße Hinweise, dass eine Seite Cookies verwendet, um etwa das Surferlebnis zu verbessern oder um Werbemaßnahmen durchzuführen, genügen keinesfalls. Solche Hinweise sind nicht nur unzulässig, sondern sorgen zudem für Verwirrung bei den Nutzern, da hier die Verarbeitung der personenbezogenen Daten überhaupt nicht transparent gemacht wird. Eine Einwilligung ist daher nur dann selbstbestimmt und informiert, wenn dem Nutzer in verständlicher und klarer Sprache nahegebracht wird,

  • auf welche Verarbeitungssituationen sich die Einwilligung bezieht.
  • für welche personenbezogenen Daten die Einwilligung gelten soll.
  • welche Empfänger die personenbezogenen Daten erhalten sollen.

Außerdem müssen Nutzer aktiv und freiwillig einwilligen. Freiwillig ist eine Einwilligung nur, wenn der Nutzer die Einwilligung auch verweigern kann, ohne dadurch Nachteile zu erleiden.