Alle Blogbeiträge

Cookie-Hinweise vs. Cookie-Zustimmung

Die Allgemeine Datenschutz-Grundverordnung (DSGVO) und die ePrivacy-Richtlinie (ePR) beeinflussen, wie Sie als Website-Besitzer die Zustimmung Ihrer Besucher aus der EU zu Cookies einholen und speichern müssen.

Aktualisiert am 29. Oktober 2020.

Ein Cookie-Hinweis und ein Cookie-Banner sind nicht dasselbe. Der Unterschied liegt darin, dass einer DSGVO-konform ist und der andere nicht. 

Die DSGVO- und EDPB-Richtlinien zur gültigen Einwilligung klären, wie Ihre Website personenbezogene Daten von Benutzern, die Ihre Domain besuchen, verarbeiten darf.

In diesem Blogbeitrag schauen wir uns verschiedene Beispiele für gesetzeskonforme und nichtkonforme Cookie-Hinweise und Cookie-Banner auf Websites an, so dass Sie sicher sein können, die korrekte und gesetzeskonforme Implementierung für die Zustimmung auf Ihrer Website zu haben.

Kurze Zusammenfassung

Ihre Website verwendet Cookies und Tracker, die persönliche Daten von Nutzern verarbeiten, die Ihre Domain besuchen. Dies bedeutet, dass Sie die Allgemeine Datenschutz-Grundverordnung (DSGVO) und die Guidelines des European Data Protection Board (EDPB) zur gültigen Einwilligung einhalten müssen.

Gültige Einwilligung ist –

  • Frei gegeben
  • Spezifisch
  • Informiert
  • Eine eindeutige Angabe der Wünsche eines Nutzers

Die EDPB-Guidelines zur gültigen Einwilligung stellen klar, dass das Scrollen und fortgesetzte Surfen nicht als gültige Einwilligung angesehen wird, ebenso wenig wie Cookie-Banner mit zuvor angekreuzten Kontrollkästchen oder Cookie-Walls (erzwungene Einwilligung abhängig vom Website-Zugang).

Der Consent-Manager Ihrer Website muss den Benutzern eine echte Wahlmöglichkeit der Zustimmung bieten, die den oben genannten DSGVO-Anforderungen entspricht.

Cookiebot CMP by Usercentrics ist eine Consent Management-Plattform (CMP), die Ihnen die harte Arbeit abnimmt, die Privatsphäre Ihrer Benutzer zu schützen, indem sie Ihre Website DSGVO-konform macht.

Unsere unübertroffene Scan-Technologie erkennt alle Cookies und Tracker, die auf Ihrer Domain in Betrieb sind, und blockiert alles, bis der Benutzer seine Zustimmung gegeben hat.

Die Einverständniserklärungen der Benutzer werden durch ein detailliertes Cookie-Banner eingeholt, das den Benutzer über jedes Cookie im Detail informiert und es ihm ermöglicht, seine Zustimmung leicht wieder zurückzuziehen, sollte er dies wünschen.

Cookiebot's Banner zur Cookie-Zustimmung, das Ihre Website vollständig mit den DSGVO- und EDPB-Richtlinien konform macht.
Cookiebot CMP’s Banner zur Cookie-Zustimmung, das Ihre Website vollständig mit den DSGVO- und EDPB-Richtlinien konform macht.

Cookiebot CMP dokumentiert jede erhaltene Einwilligung sicher und erneuert sie in angemessenen Abständen, wie von der DSGVO gefordert und in den EDPB-Richtlinien zur gültigen Einwilligung präzisiert.

Wenn Sie sich nicht sicher sind, ob Ihre Website mit den Cookies und personenbezogenen Daten Ihrer Nutzer auf legale Weise umgeht, probieren Sie den kostenlosen DSGVO-Compliance-Test von Cookiebot CMP aus.

Registrieren Sie sich noch heute kostenlos bei Cookiebot CMP… oder für immer, wenn Sie eine kleine Website haben.

Ein Cookie-Hinweis gehört der Vergangenheit an.

Zumindest sollte er es tun. In Wirklichkeit ist das Internet aber übersät mit veralteten Cookie-Hinweisen, die nicht nur die Nutzer verwirren und ermüden, sondern auch nicht mit dem geltenden Datenschutzgesetz der EU – der Datenschutz-Grundverordnung (DSGVO) – konform sind. 

Ein Cookie-Banner oder Cookie-Zustimmungs-Banner hingegen ist ein nachhaltiger und DSGVO/ePR-konformer Ansatz zum Schutz der Privatsphäre der Nutzer Ihrer Website sein – wenn er richtig umgesetzt wird.

Ein Zustimmungs-Banner ist die Technologie, die es Ihren Nutzern ermöglicht, selbst zu entscheiden, welchen Kategorien von Cookies und Tracking sie auf Ihrer Domain zustimmen möchten, und es ist die Technologie, die es Ihnen, dem Eigentümer der Website, ermöglicht vollständig mit der DSGVO konform zu sein.

EDPB-Guidelines zu gültiger Zustimmung

Das European Data Protection Board (EDPB) (dt. Europäsicher Datenschutzausschuss) ist die Hauptaufsichtsbehörde für die Durchsetzung der DSGVO in der EU.

Die Aufgabe des EDPB besteht darin, Richtlinien zu verabschieden und Entscheidungen darüber zu treffen, wie die DSGVO in jedem EU-Mitgliedsland von den nationalen Datenschutzbehörden interpretiert und angewendet werden soll.

Am 4. Mai 2020 verabschiedete das EDPB Richtlinien zur gültigen Zustimmung, die klarstellen, welche Art von Benutzeraktionen auf Websites eine DSGVO-konforme Zustimmung darstellen.

Die EDPB-Guidelines besagen, dass –

  • das Scrollen, Streichen oder fortgesetzte Surfen auf Websites durch Nutzer nicht die DSGVO-Anforderungen für eine klare und bestätigende vorherige Zustimmung erfüllt.
  • Cookie-Banner aus demselben Grund keine vorgekreuzten Kästchen haben dürfen.
  • Cookie Walls – d.h. eine erzwungene Zustimmung als Bedingung für den Zugang zur Website – eine nicht konforme Art der Einholung einer Zustimmung sind, da eine solche nicht als frei gegeben (d.h. gültig) angesehen wird.

Erfahren Sie mehr über die EDPB-Richtlinien zur gültigen Einwilligung.

Die Datenschutz-Grundverordnung ist eine Verordnung (d.h. eine einheitlich verbindliche Gesetzgebung für alle EU-Länder), die den Umgang von Unternehmen, Websites und anderen Stellen mit personenbezogenen Daten regelt.

Die DSGVO regelt, dass ohne vorherige Zustimmung keine Verarbeitung von Benutzerdaten zulässig ist. Dies bedeutet, dass Ihre Website gesetzlich nicht berechtigt ist, automatisch Cookies zu aktivieren, außer solche, die für die Funktion Ihrer Website unbedingt erforderlich sind, bevor der Benutzer zu allen spezifischen Cookies und deren Zweck und Funktion zugestimmt hat.

Vor den EDPB-Guidelines und dem EuGH-Planet49-Urteil waren in der EU verschiedene Arten der Zustimmung gültig. Wenn auf Ihrer Website personenbezogene Daten verarbeitet wurden, bei denen es sich nicht um sensible Daten handelte (wie Gesundheitsdaten oder Daten über die sexuelle oder religiöse Orientierung), dann reichte eine implizite Einwilligung aus. Dies bedeutete, dass, wenn Benutzer auf dieser Website weiter scrollten, dieses Verhalten in den Augen des Gesetzes eine Einwilligung darstellen würde.

Mit den EDPB-Guidelines vom Mai 2020 bedeutet eine gültige Zustimmung nach der DSGVO, dass Cookie-Banner, die besagen, dass die weitere Nutzung einer Website als Zustimmung gilt, ebenso nicht mit der DSGVO vereinbar sind wie Cookie-Banner, die dem Benutzer mit bereits angekreuzten Kontrollkästchen präsentiert werden.

nicht-DSGVO/ePR-konformer Cookie-Hinweis
Cookie-Banner, der die Illusion einer Wahlmöglichkeit vermittelt, den Benutzer aber zu einer nicht konformen Wahl der Zustimmung zwingt.

Gemäß den EDPB-Guidelines ist es Ihrer Website auch nicht gestattet, die Benutzer in eine “Take-it-or-Leave”-Situation zu zwingen, indem ihre vorherige Zustimmung vom Zugang zu Ihrer Domain abhängig gemacht wird. 

Diese Art der Erzwingung einer Einwilligung der Benutzer ist als “Cookie-Wall” bekannt, und die EDPB-Richtlinien schließen sie eindeutig als ein gültiges Mittel aus, um die Zustimmung der Benutzer zur Verarbeitung personenbezogener Daten zu erhalten.

Wie stelle ich sicher, dass meine Website DSGVO-konform ist?

Damit Ihre Website mit der DSGVO konform ist, müssen Sie –

  1. eine klare und unmissverständliche Zustimmung der Nutzer einholen (beachten Sie die EDPB-Guidelines für weitere Informationen),
  2. vor der Verarbeitung personenbezogener Daten,
  3. nach Angabe aller Arten von Cookies und anderer Tracking-Technologien, die auf ihren Seiten vorhanden sind und betrieben werden,
  4. mit keinen vorher angekreuzten Kontrollkästchen auf allen Cookie-Kategorien, außer den notwendigen,
  5. auf leicht verständliche Weise, die es den Nutzern ermöglicht, die Einwilligung für jede einzelne Kategorie von Cookies zu erteilen und zu widerrufen,
  6. um dann jede Zustimmung des Benutzers sicher und vertraulich dokumentieren zu können,
  7. die Zustimmung muss jährlich erneuern. Einige nationale Datenschutzrichtlinien empfehlen jedoch eine häufigere Erneuerung, z.B. 6 Monate. Prüfen Sie Ihre lokalen Datenschutzrichtlinien auf Einhaltung.

Die Einhaltung der DSGVO ist wichtig, da dies den Schutz der Privatsphäre der Benutzer Ihrer Website bedeutet.

Die Nichteinhaltung der DSGVO kann auch eine kostspielige Angelegenheit sein, denn die Höchststrafen betragen 20 Millionen Euro oder 4% des globalen Jahresumsatzes eines Unternehmens, je nachdem, welcher Betrag höher ist.

Cookie-Hinweise, die Pop-up-Benachrichtigungen auf Websites, die dem Nutzer keine wirkliche Entscheidung über die Zustimmung überlässt, sind laut DSGVO und EDPB-Guidelines illegal.

veralteter nicht-konformer Cookie-Banner
Veralteter, schlechter und illegaler Cookie-Hinweis, der irgendwo im Web gefunden wurde.

Ein Cookie-Hinweis ist genau das – ein Hinweis und nichts weiter. Er lässt keine wirkliche Wahl der Zustimmung für den Benutzer, da er die platzierten Cookies und Tracker auf der Website sowie deren Zweck und Eigenschaften nicht aufdeckt, und ebenso wenig eine Wahl gibt zu manchen Cookies im Gegensatz zu anderen zuzustimmen.

Nutzer, die diesem Cookie-Hinweis auf einer Website begegnen, haben keine andere Wahl, als auf die Schaltfläche zur vorherigen Seite zu klicken oder blind auf die Website zu wechseln.

Benutzer könnten auch bereits bemerkt haben, dass dieser Cookie-Hinweis keine Garantie dafür gibt, dass nicht-wesentliche Cookies, wie z.B. Marketing-Cookies von Drittanbietern, nicht bereits bei der Ankunft auf der Zielseite gesetzt und aktiviert wurden. 

Höchstwahrscheinlich ist das auf einer Website mit einem solchen Cookie-Hinweis der Fall.

Ein Cookie-Hinweis ohne vorherige und informierte Zustimmung ist kein Cookie-Hinweis, der die Privatsphäre Ihrer Benutzer wirklich schützt und entspricht nicht den Anforderungen der DSGVO.

Die folgenden Cookie-Hinweise sind nicht konform, weil diese sich auf die mittlerweile rechtswidrige implizite Zustimmung oder das Soft Opt-in stützen, wie von den EDPB-Guidelines für unrechtmäßig erklärt.

veralteter nicht mehr konformer Cookie-Banner
Ein nicht-konformer Cookie-Hinweis, der sich der implizierten Zustimmung bedient.

Dieser Cookie-Hinweis entsprach früher der DSGVO, ist aber nach den EDPB-Guidelines zu gültiger Zustimmung, die besagen, dass die Zustimmung detailliert, spezifisch, frei gegeben und leicht widerrufbar sein muss, ungesetzlich.

Der Cookie-Hinweis beruht auf der stillschweigenden Zustimmung des Benutzers durch sein weiteres Scrollen und Browsen auf der Website. Die EDPB-Guidelines besagen jedoch eindeutig, dass dies nicht den Anforderungen für eine gültige Zustimmung entspricht.

Erfahren Sie hier mehr zu den EDPB-Guidelines zu gültiger Zustimmung.

Cookie-Banner unterscheiden sich von Cookie-Hinweisen, da sie so gestaltet sind, dass sie die verschiedenen DSGVO-Anforderungen erfüllen, die zusammen eine gültige Einwilligung darstellen.

Cookie-Banner können jedoch auch fehlerhaft implementiert sein, so dass die Benutzer tatsächlich nicht durch eine vorherige Einwilligung geschützt sind und Ihre Website nicht wirklich DSGVO-konform ist.

Die folgenden Beispiele sind nicht konforme Cookie-Banner-Implementierungen:

nicht korrekt implementierter Cookie-Banner von Cookiebot
Einer von Cookiebot CMP‘s Cookie-Bannern in nicht-konformer Weise implementiert.

Der oben abgebildete Cookie-Banner ist ein Cookiebot CMP-Banner, aber er wurde so implementiert, dass der Benutzer nicht die Möglichkeit hat, die bereits vorgemerkten Cookie-Kategorien abzuwählen, was gegen den DSGVO-Grundsatz der freien und spezifischen Zustimmung verstößt, der durch die EDPB-Richtlinien 05/2020 bekräftigt wurde.

Eine solche Implementierung verstößt auch gegen das Prinzip der vorherigen Zustimmung, denn wenn die Cookie-Kategorien vorgemerkt werden, sind die Cookies bereits in Betrieb, wenn der Benutzer auf der Website landet, und verarbeiten daher bereits personenbezogene Daten, obwohl der Benutzer noch nicht eingewilligt hat.

Nach der DSGVO und den EDPB-Guidelines müssen Websites Präferenz-Cookies, Statistik-Cookies und Marketing-Cookies standardmäßig deaktiviert haben, damit die Nutzer selbst wählen können. Es dürfen nur die notwendigen Cookies vorab angekreuzt sein.

Im folgenden Cookie-Banner, ebenfalls ein Banner von Cookiebot CMP, sind alle drei Cookie-Kategorien von Cookies vorgemerkt, wenn der Benutzer auf der Website landet, was bedeutet, dass Marketing-Cookies bereits ihre persönlichen Daten verarbeiten, auch wenn sie noch nicht auf die Schaltfläche “OK” geklickt haben.

nicht korrekt implementierter Cookie-Banner von Cookiebot
Ein weiterer Cookie-Banner von Cookiebot CMP, mit nicht-konform vorgekreuzten Auswahlkästchen.

Cookiebot CMP’s Consent Management-Plattform bietet unseren Kunden ein hohes Maß an Individualisierung und Autonomie, wenn es um das Layout und die Gestaltung der Cookie-Banner geht. Er ist so konzipiert, dass er in vielen verschiedenen Kontexten eingesetzt werden kann und den unterschiedlichen nationalen Datenschutzgesetzen und -vorschriften gerecht wird.

Um sicherzustellen, dass Sie Cookiebot CMP in voller DSGVO-Konformität verwenden, müssen Sie alle Cookie-Kategorien standardmäßig deaktiviert lassen (mit Ausnahme der notwendigen Cookies), so dass die Benutzer eine klare und bestätigende vorherige Zustimmung erteilen können.

Wir hier bei Usercentrics, dem Unternehmen hinter Cookiebot CMP, kümmern uns offensichtlich sehr darum, dass die Dinge auf die richtige Weise gemacht werden. So auch, wenn es um unsere Cookiebot CMP geht.

Jeden Tag kämpfen wir für den Schutz der Privatsphäre, und deshalb ist uns die korrekte und konforme Implementierung unserer Technologie wichtig.

Ein Cookiebot-Zustimmungs-Banner, der mit DSGVO/ePR und dem EuGH-Urteil konform ist.
Ein Cookiebot CMP-Zustimmungs-Banner, der mit DSGVO/ePR und dem EuGH-Urteil konform ist.

Dieses Cookie-Banner ist konform implementiert, weil –

  • standardmäßig alle Cookie-Kategorien abgewählt sind
  • er detaillierte Zustimmungsoptionen mit drei verschiedenen Schaltflächen hat
  • ein klares “No-nudging”-Layout hat, das es ermöglicht, die Zustimmung frei zu erteilen
  • die Möglichkeit für eine detaillierte Übersicht über Typ, Anbieter, Zweck und Dauer jedes Cookies besteht
  • er einen leicht verständlichen Text beinhaltet, der die Benutzer über die Vorgänge bei der Verarbeitung personenbezogener Daten informiert

Das Gute an der Einhaltung des europäischen Datenschutzrechts ist, dass es bedeutet, dass Sie die Privatsphäre Ihrer Nutzer nachhaltig schützen.

FAQ

Was ist ein Cookie-Banner?

Ein Cookie-Banner ist eine Zustimmungsschnittstelle auf einer Website, auf der Endbenutzer entscheiden können, welche Cookies und Tracker sie während ihres Besuchs aktivieren lassen. Cookie-Banner werden von mehreren wichtigen Datenschutzgesetzen in der Welt gefordert, einschließlich der Datenschutzgrundverordnung (DSGVO) der EU.

Erfahren Sie mehr über die EU-DSGVO und die Cookie-Einwilligung

Was sind die Regeln für Cookie-Banner?

Die DSGVO- und EDPB-Richtlinien über gültige Einwilligungen legen fest, dass vor der Aktivierung von Cookies oder Trackern (mit Ausnahme der für die Grundfunktion Ihrer Website unbedingt erforderlichen), die personenbezogene Daten verarbeiten, die Einwilligung des Benutzers eingeholt werden muss. Cookie-Banner müssen einen leicht verständlichen Text haben, der die Benutzer detailliert über jedes in Betrieb befindliche Cookie informiert. Cookie-Banner dürfen keine vorher angekreuzten Kontrollkästchen haben oder die Benutzer dazu drängen, eher eine Wahl zu treffen als eine andere. Cookie-Banner müssen detailliert sein, d.h. die Benutzer müssen in der Lage sein, einige Cookies auszuwählen, anstatt andere, und die Zustimmung muss so leicht zurückgezogen werden können, wie sie gegeben wurde.

Erfahren Sie mehr über DSGVO und Cookie-Zustimmung.

Was sind personenbezogene Daten?

Personenbezogene Daten oder persönliche Informationen sind Informationen, die zur Identifizierung einer lebenden Person verwendet werden können. Verschiedene Datenschutzgesetze, wie die DSGVO und der CCPA, definieren personenbezogene Daten unterschiedlich, aber im Grossen und Ganzen stimmen sie alle darin überein, dass Daten personenbezogene Daten sind, wenn sie – direkt oder indirekt durch Schlussfolgerung – zur Identifizierung eines Menschen verwendet werden können.

Erfahren Sie hier mehr über die DSGVO-Software.

Was sind Cookies?

Cookies sind kleine Textdateien, die von Websites verwendet werden, um Nutzer zu identifizieren und zu speichern, gezielte Werbung zu schalten, Analysen und Statistiken zur Leistung zu erstellen und vieles mehr. Cookies gibt es in vielen verschiedenen Arten, einige sind für die Grundfunktionen einer Website erforderlich, andere sind Marketing-Cookies, die häufig von Dritten wie Social-Media-Plattformen oder großen Technologieunternehmen auf Websites platziert werden.

Erfahren Sie mehr über DSGVO und Cookie-Zustimmung.

Ressourcen

Allgemeine Datenschutz-Grundverordnung (DSGVO)

EuGH-Urteil zur gültigen Zustimmung in der EU

Die aktualisierten Richtlinien von ICO (in Englisch)

Die Homepage von ICO (in Englisch)

Die aktualisierten Leitlinien der CNIL (in Englisch)

Die Homepage der CNIL (in Englisch)

DSGVO (offizieller Gesetzestext)

Datenschutzrichtlinie ePrivacy 2009 (offizieller Gesetzestext)

    Bleiben Sie auf dem Laufenden

    Werden Sie jetzt Teil unserer wachsenden Community von Datenschutz-Befürwortern. Abonnieren Sie den Cookiebot™-Newsletter und erhalten Sie die neuesten Updates und spannende Informationen direkt in Ihren Posteingang.

    Mit einem Klick auf „Abonnieren“ bestätige ich, dass ich den Cookiebot™-Newsletter abonnieren möchte. Ich kann das Abonnement des Cookiebot™-Newsletters und die Einwilligung in die Verwendung meiner Daten ganz einfach widerrufen, indem ich auf den Abmeldelink klicke. Oder ich kann mich schriftlich an [email protected] wenden, um eine Anfrage zu stellen. Datenschutz­richtlinie.