Worum geht's?
Viele Seitenbetreiber konfrontieren ihre Webseitenbesucher mit einem Cookie-Hinweis oder einem Cookie Banner. So einfach ist das Thema "Cookies auf Webseiten" aber leider nicht umzusetzen. Brauchen Seitenbetreiber überhaupt einen Cookie Hinweis und wo liegt der Unterschied zu einer Einwilligung? Ist eine Einwilligung für alle Cookies nötig? Welche Rolle spielt das neue TTDSG dabei? Was ist ein Consent Tool? Brauche ich zusätzlich zum Cookie Banner noch einen Hinweis in der Datenschutzerklärung? Und wie genau sollte der Text für die Cookie Warnung aussehen?
1. Cookies: DSGVO, ePrivacy-VO, EU-Cookie-Richtlinie, Rechtsprechung – und finally: TTDSG
Fast alle Webseiten verwenden Cookies. Diese sind dazu da, dass Unternehmen ihre Nutzer wiedererkennen und ihnen das Surfen auf einer Website erleichtern, etwa dadurch, dass der Nutzer seine Zugangsdaten nicht bei jedem Besuch neu eingeben muss oder erkannt wird, was der Nutzer bereits gekauft hat.
Die EU-Cookie Richtlinie
Den rechtlichen Umgang regelt in der EU die so genannte "Cookie-Richtlinie". Zur Erklärung: EU-Richtlinien sind nicht automatisch "Gesetz", sondern müssen von den EU-Ländern umgesetzt werden.
Die EU-Kommission hatte erklärt, dass die Cookie Richtlinie in Deutschland eigentlich gar nicht umgesetzt werden muss, da die heutigen Regelungen in Deutschland die Vorgaben der Cookie-Richtlinie bereits erfüllen. Das klingt komisch, da die deutschen Regeln gerade keine Einwilligung (also den Klick auf "Ja, ich stimme zu"), sondern nur einen Hinweis auf das Widerspruchsrecht vorsehen.
Der Punkt ist aktuell noch in § 15 Abs.3 Telemediengesetz (TMG) geregelt. Im Zusammenhang mit den aktuellen Urteilen des BGH ist § 15 TMG aber so zu lesen, dass aktuell hier eine Einwilligung bzw. ein Opt In erforderlich ist.
Die DSGVO, ePrivacy-Verordnung und Rechtsprechung
Seit Mai 2018 gilt allerdings die DSGVO. Alle Webseitenbetreiber und Unternehmen, die Cookies nutzen, müssen seit 2018 Ihre Datenschutzerklärung neu formulieren. Die DSGVO verlangt nämlich, dass in der Datenschutzerklärung die Rechtsgrundlagen für das Verwenden von Cookies genannt werden.
Die DSGVO regelt aber die Probleme "Tracking und Cookies" nicht ausdrücklich. Das sollte die ePrivacy-Verordnung tun, die zeitgleich mit der DSGVO in Kraft treten sollte. Nach mehrmaligem Verschieben tritt sie vielleicht Ende 2021 in Kraft. Wenn überhaupt. Webseitenbetreiber orientieren sich aktuell an dem, was die einzelnen Datenschutzbehörden und die Datenschutzkonferenz vorgeben und was der EuGH und in der Folge der BGH im Jahr 2020 dazu entschieden haben: In dem verhandelten Fall hatten Verbraucherzentralen den Anbieter Planet49 abgemahnt, weil er über eine schon vorangekreuzte Checkbox die „echte Einwilligung“ seiner Besucher einholen wollte. Der EuGH und abschließend auch der BGH (I ZR 7/16) haben entschieden: Ein „Surfen Sie ruhig weiter“ Banner ohne direkte Zustimmung (zum Beispiel ein Klick auf OK) oder eine schon ausgewählte Checkbox reichen nicht aus. Der Nutzer muss selbst aktiv zustimmen.
Schluss mit der Unklarheit: das TTDSG
Aufräumen mit Nebeneinander von DSGVO, Cookie-Richtlinie, TMG und TKG – das ist das Ziel des Telekommunikation-Telemedien-Datenschutzgesetzes (TTDSG). Hierzu werden die datenschutzrechtlichen Vorschriften aus TMG und TKG zusammengeführt und an die Vorgaben der Cookie-Richtlinie angepasst. Die entsprechenden Regeln in TMG und TKG entfallen.
Am 1.12.2021 tritt das Gesetz in Kraft. Dann ist endlich gesetzlich festgeschrieben:
Wenn Sie Cookies (oder vergleichbare Informationen) setzen möchten, brauchen Sie eine echte und informierte Einwilligung.
Ausnahmen:
- technisch zwingend notwendige Cookies
- Cookies, die ausschließlich der Übertragung von Nachrichten über ein öffentliches Telekommunikationsnetz dienen.
Damit steht nun auch endgültig fest: Ein Cookie Banner bzw. Cookie Hinweis ist Pflicht.
2. Ist ein Cookie Hinweis Pflicht, was können Webseitenbetreiber konkret tun?
Die rechtlich sicherste Antwort: Cookie Einwilligung per Consent Tool
Seitenbetreiber müssen die Einwilligung der Nutzer ihrer Website einholen. An dieser Cookie Hinweis Pflicht kommen Sie nicht vorbei. Der Einwilligungstext bei einem Cookie-Hinweis sollte beim ersten Aufruf der Seite (Cookie Warnung) eingeblendet werden. Der Text für die Cookie-Nutzung sollte so konkret wie möglich sagen, um welche Daten es geht, wozu diese genutzt werden und an wen diese Daten und Informationen gegebenenfalls weiter gegeben werden.
Der Nutzer muss detailliert über die Dienste informiert werden, die Cookies setzen und Daten übertragen. Er muss ausdrücklich bestätigen, dass er zustimmt.
Und ganz wichtig: Vor der Zustimmung des Nutzers dürfen noch keine Daten übertragen werden.
Risiko: Keins
Cookie Consent mit Usercentrics
Das Consent Tool von Usercentrics ist eine individuelle Profi-Lösung, die im Normalfall oft mehrere hunderte Euro im Monat kosten kann. Das Cookie Consent Tool funktioniert für die meisten Webseiten-Typen unabhängig vom verwendeten CMS.
Die Lösung von Usercentrics ist ohne Zusatzkosten in eRecht24 Premium enthalten. Inklusive sind 20.000 Sessions pro Website im Monat. Die Lösung deckt aktuell mehr als 370 der wichtigsten Tools wie Google Analytics, Facebook Pixel, Google Maps, YouTube, Xing, Twitter und Google Tag Manager ab.
Durch diese Lösung sparen eRecht24 Premium Nutzer viel Geld:
https://www.e-recht24.de/mitglieder/
Praxis-Tipp:
Agenturen und Webdesigner können nur bei eRecht24 Premium das Consent Tool von Usercentrics ohne Zusatzkosten auch für die Webseiten Ihrer Kunden nutzen.
Da das Tool unabhängig von einem CMS auf möglichst vielen Webseiten funktioniert, benötigen Sie für die korrekte Einbindung allerdings etwas Programmierer-Know-How. Wir haben für die Einbindung des Usercentrics Tools deswegen bei eRecht24 Premium einen eigenen Generator entwickelt.
Cookie Consent mit Borlabs Cookie: Plugin für WordPress
Wenn Sie mit WordPress arbeiten und ein Plugin nutzen wollen, empfehlen wir Borlabs Cookie. Wir haben mit Benjamin Bornschein, dem CEO und Entwickler von Borlabs Cookies, einen Rabatt von bis zu 45% für eRecht24 Premium Nutzer vereinbart:
https://www.e-recht24.de/mitglieder/
Als Agentur-Mitglied können Sie das Rabatt-Angebot auch für die Webseiten Ihrer Kunden nutzen.
Consent Management Provider (CMP)
Auch das Tool „Consent Management Provider“ funktioniert unabhängig von einem bestimmten CMS, ist also z.B. nicht auf WordPress beschränkt.
Es gibt eine kostenlose Variante mit einigen Einschränkungen und bis zu 10.000 Page Views/ Monat. Für die kostenpflichtige Variante erhalten eRecht24 Premium Nutzer 25% Rabatt.
Was mache ich, wenn mir keine dieser Lösungen zusagt?
Es gibt natürlich noch zahlreiche andere Anbieter, die alle bestimmte Vor- und Nachteile haben. Egal ob aus technischen, wirtschaftlichen oder rechtlichen Überlegungen:
Wenn Sie keine Lösung auf dem Markt finden, die ihren Ansprüchen gerecht wird, bleibt nur, eine Lösung für Ihre Webseiten und Dienste selbst entwickeln zu lassen.
Der Mittelweg: Info per Cookie Banner
Sie informieren den Nutzer Ihrer Website beim ersten Seitenaufruf über das Verwenden von Cookies und sein Widerspruchsrecht (Cookie Banner), verzichten aber auf eine vorherige Zustimmung, also auf eine Einwilligung. Der Nutzer muss hier also nicht klicken und bestätigen.
Risiko: Sehr hoch, denn Sie verstoßen damit gegen die Rechtsprechung des EuGH, BGH und das TTDSG, das ab dem 1.12.2021 gilt.
Der risikoreiche Weg: Info nur in der Datenschutzerklärung
Als Seitenbetreiber informieren Sie die Nutzer lediglich in der Datenschutzerklärung Ihrer Website. Damit verstoßen Sie aber gegen die aktuellen Aussagen des EuGH, gegen die Vorgaben der Datenschutzbehörden und ab dem 1.12.2021 gegen das TTDG. Und auch immer mehr Unternehmen wie Google verlangen, dass für bestimmte Dienste eine Einwilligung der Nutzer eingeholt wird.
Risiko: Sehr hoch
Wichtig: Sie müssem IMMER einen entsprechenden Passus zu Cookies und dem verwendeten Consent Tool in Ihre Datenschutzerklärung aufnehmen.
Sie können dazu unseren kostenlosen Datenschutz-Generator verwenden.
Praxis-Tipp: Einen DSGVO-konformen Datenschutz-Generator finden Sie bei eRecht24 Premium.
3. Benötigen alle Cookies eine Einwilligung?
Nein, Sie benötigen nicht für sämtliche Cookies eine Zustimmung in Form der Einwilligung der Nutzer Ihrer Website. Das TTDSG sagt:
Die Einwilligung brauchen Sie nicht, wenn Sie dem Nutzer Ihren Dienst sonst nicht zur Verfügung stellen kann. Sprich: Sie brauchen keine Einwilligung für technisch notwendige Cookies.
Die entspricht dem, was der EuGH dazu entscheiden hat und was die einzelnen Datenschutzbehörden und die Datenschutzkonferenz (DSK) vorgeben. Deren Auffassung ist aktuell:
- Nicht für alle Cookies benötigt man eine Einwilligung.
Session-Cookies, Cookies für Logins oder Warenkörbe, die keine Daten weitergeben, können vom berechtigten Interesse des Webseitenbetreibers abgedeckt sein. - Tracking und Werbe-Cookies von Drittanbietern benötigen eine Einwilligung.
Das sind also vor allem Cookies, die für die eigentlichen Funktionen der Webseite nicht zwingend notwendig sind und die Daten dann gegebenenfalls mit anderen Daten und Diensten verknüpfen oder teilen.
4. Cookies und Google Ads/ Google Analytics
Google Ads
Google hatte schon seit 2015 für AdSense verlangt, den Nutzern einen Hinweis auf die Google-Cookies anzuzeigen. Dazu hat Google "Richtlinie zur Einwilligung der Nutzer in der EU“ online gestellt.
https://www.google.com/about/company/user-consent-policy/
Dort heißt es, Seitenbetreiber müssen
- "wirtschaftlich vertretbare Maßnahmen ergreifen" um den Nutzer über das Speichern und Weitergeben der Daten zu informieren und
- müssen eine entsprechende Einwilligung der Nutzer einholen.
Damit ging Google sogar weiter, als viele EU-Datenschutzbehörden es forderten. Allerdings schreibt Google die Einwilligung nur für AdSense und Double Klick vor, nicht hingegen für andere Dienste wie Google Analytics.
Mit der DSGVO und der Bündelung der Dienste als Google Ads hat Google dann seit 2017 geregelt, dass Werbetreibende eine Einwilligung der Nutzer einholen müssen:
https://support.google.com/google-ads/answer/9028179?hl=de
Seitenbetreiber, die Google Ads nutzen, sollten den Vorgaben von Google folgen und eine Einwilligung der Nutzer einholen.
Benötigt Google Analytics eine Einwilligung?
Die Vorgeschichte: Ursprünglich hatte sich Google für Analytics ja auf eine datenschutzkonforme Lösung verständigt - IP-Anonymisierung, AV-Vertrag, Austragelink für die Nutzer, alte Daten löschen, Darstellung von Analytics in der Datenschutzerklärung. Mehr Infos dazu finden Sie als eRecht24 Premium-Mitglied hier:
https://www.e-recht24.de/mitglieder/tools/google-analytics/
Zur Erinnerung: Die DSGVO regelt Fragen zu Cookies und Tracking nicht direkt. Fragen zu Cookies und Tracking sollte die ePrivacy-VO regeln. Diese ist leider immer noch nicht in Kraft. Wann diese kommt, weiß leider auch niemand. Aber mit der BGH-Rechtsprechung, die durch das Inkrafttreten des TTDSG am 1.12. gesetzlich festgezurrt wird, wird das Einholen einer Einwilligung für Tracking ausdrücklich vorgeschrieben.
Klar ist: Das gilt auch, wenn Sie Google Analytics nutzen. Denn Google Analytics ist besonders heikel, weil Google die Daten eben nicht nur dem einen Seitenbetreiber für das Tracking seiner Seitenbesucher zur Verfügung stellt. Vielmehr werden verschiedene Daten auf nicht mehr nachvollziehbare Weise verknüpft und diese Informationen und Daten stehen dann quasi weltweit und für andere Dienste aus dem Google Ads Universum zur Verfügung. Dies hatten die Datenschutzbehörden bereits mit einem Positionspapier in 2019 festgestellt.
https://www.datenschutzkonferenz-online.de/media/oh/20190405_oh_tmg.pdf
Ergebnis: Google Analytics dürfen Sie nur mit echter Einwilligung nutzen.
Und was gilt, wenn ich Google Analytics 4 nutze?
Mittlerweile ist Google Analytics 4 als Beta-Version verfügbar. Hierbei handelt es sich um die Weiterentwicklung und den Nachfolger von Google Universal Analytics. Die wichtigsten Unterschiede zum Vorgänger:
- Die IP-Adressen werden standardmäßig anonymisiert. Dies kann der Nutzer auch nicht ausschalten.
- Cookiesloses Tracking: Daten können gesammelt werden, ohne das Cookies oder andere „Identifier“ gesetzt werden.
- Geräterübergreifendes Tracking: Nutzer können auch dann getrackt werden, wenn sie verschiedene Geräte verwenden
- Datenkontrolle: Nutzer können Daten besser administrieren, also besser einstellen, ob und wie lange sie einzelne Daten löschen, teilen, aufbewahren wollen.
- Die Optionen der Fristen für die Datenaufbewahrung sind kürzer als zuvor (2 oder 14 Monate).
Doch was bedeuten diese Anpassungen für den Datenschutz?
Nicht viel. Zwar scheinen einige Funktionen datenschutzrechtlich sicherer: Insbesondere haben die Nutzer einen datenschutzrechtlichen Vorteil, wenn sie die 2-monatige Aufbewahrungsfrist nutzen. Doch insgesamt ändert sich trotzdem kaum etwas. Denn selbst wenn Nutzer cookielos tracken und IP-Adressen anonymisieren: Es ist möglich, dass die Nutzer trotzdem identifiziert werden können. Grund: Google kann sämtliche Informationen verknüpfen, die über Google Analytics 4 zu einem bestimmten Pseudonym gesammelt werden. Dadurch kann Google eventuell Rückschlüsse auf die Identität der einzelnen Website-/App-Nutzer und deren Verhalten auf derselben Website bzw. App ziehen. Damit könnten auch einzelne Website-/App-Nutzer auch auf anderen Websites und in anderen Apps wiedererkannt werden.
Wichtig: Universal Analytics wird zum 01.06.2023 vollständig eingestellt! Das bedeutet, sollten Sie bis dato Universal Analytics nutzen, empfehlen wir Ihnen jetzt bereits die Umstellung auf Google Analytics 4.
Ergebnis: Sie können auch Google Analytics 4 nicht rechtssicher nutzen. Wenn Sie aber auf Google Analytics nicht verzichten wollen, sind Sie in jedem Fall rechtlich am sichersten, wenn Sie eine Einwilligung Ihrer Nutzer einholen. Das gilt auch, wenn Sie sich für „cookieloses Tracking“ entscheiden.
5. Diese Seite verwendet Cookies: Der Text für einen Cookie Hinweis
Für die Formulierung des Textes in einem Cookie Banner gibt es keine gesetzlichen Vorgaben. Auf den meisten Webseiten und Datenschutzerklärungen lautet der Text auf dem Cookie Banner wie folgt:
Verwendung von Cookies
Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu.
Weitere Informationen zu Cookies erhalten Sie in unserer Datenschutzerklärung
Wichtig für Tracking und Retargeting:
Wichtig: Nach aktueller Rechtsprechung und dem TTDSG reicht so ein bloßer Hinweis zumindest für viele Tracking-Cookies aber eben nicht aus. Hier sollten Seitenbetreiber eine echte Einwilligung der Seitenbesucher (vorherige Zustimmung) einholen.
6. Consent Tools für Cookie-Einwilligungen auf Ihrer Website
Auf der sicheren Seite sind Sie, wenn Sie für Cookies und Tracking Tools auf Ihrer Webseite eine echte Einwilligung einholen. Dafür gibt es die sogenannten Cookie Consent bzw. Consent Management Tools.
Übrigens: Das TTDSG sieht vor, dass Nutzer künftig über sog. PIMS (Personal Information Management Service) ihre Einwilligung zentral für alle besuchten Webseiten erteilen können. Für diese PIMS soll es ein Anerkennungsverfahren geben. Wie sich das auf Cookie Consent Tools auswirken wird, ist noch unklar. Bis PIMS an den Start gehen können, sind allerdings noch viele Schritte erforderlich: Denn die Zulassungsverfahren selbst sind noch gar nicht geregelt. Das Thema PIMS ist also weit entfernte Zukunftsmusik.
Was ist ein Consent Tool?
Mit einem Consent Tool können Webseitenbetreiber mit einem Klick die Einwilligung der Nutzer zur Verwendung ihrer persönlichen Daten einholen. Mit einem Consent Tool legen Sie fest, welche Nutzerdaten gespeichert und verarbeitet werden und gibt den Nutzern die Möglichkeit, die erteilten Einwilligungen zu verwalten und zu widerrufen.
Aber Achtung: Um hier auf der sicheren Seite zu sein, müssen Sie Ihr Cookie Consent Tool selbst konfigurieren. Sonst laufen Sie Gefahr, dass ein einwilligungspflichtiges Tool eventuell vom Cookie Consent Anbieter unter "nicht einwilligungsbedürftig" eingestuft wird. Ob eine Einwilligung erforderlich ist, richtet sich danach, ob es sich um essenzielle oder nicht-essenzielle Cookies handelt. Details sowie eine Liste, auf denen wir die einzelnen Tools für Sie in die jeweilige Kategorie einsortiert haben, finden Sie in unserem Artikel "Einwilligung und Cookie Banner: Was sind essenzielle Cookies?".
Es gibt unzählige Anbieter von Cookie Consent Tools, um eine Einwilligung der Nutzer auf Webseiten einholen. Am wir wollen Ihnen hier eine Auswahl der am Markt erhältlichen Tools präsentieren:
Usercentrics
Usercentrics ist die größte und wahrscheinlich bekannteste Consent Lösung auf dem Markt. Das Tool funktioniert unabhängig vom verwendeten CMS, läuft also auf allen Webseiten. Das Tool kann hunderte Dienste, Cookies und PlugIns verwalten.
eRecht24 Premium Nutzer können die Consent-Lösung von Usercentrics kostenlos nutzen. Die Lösung ist unter “Cookie Einwilligung” bereits im eRecht24-Projekt-Manager integriert und kann dort direkt genutzt werden.
Usercentrics jetzt für Ihre Webseiten nutzen!
Borlabs Cookie
Mit Borlabs Cookie bietet ein leicht zu bedienendes Cookie Consent Tool für WordPress, das Ihnen erlaubt Cookies und Dienste mit DSGVO-konformer Nutzereinwilligung zu integrieren. Dazu ist keine Programmierung notwendig. Erst wenn Ihre Besucher ihre Zustimmung geben, werden die Dienste aktiviert und der Cookie gesetzt.
eRecht24 Premium Nutzer erhalten Borlabs Cookies mit 45% Rabatt.
Jetzt Webseiten mit eRecht24 Premium absichern
Consent Management Provider
Das Tool Consent Management Provider funktioniert ebenfalls unabhängig von einem bestimmten CMS, ist DSGVO-konform und dank Cookie Crawler leicht integrierbar. Zudem können Sie das Design selbst gestalten und an die CI Ihres Unternehmens anpassen oder per Optimizer automatisch auf maximale Einwilligung optimieren lassen.
eRecht24 Premium Nutzer erhalten das Tool Consent Management Provider mit 20% Rabatt!
Jetzt Webseiten mit eRecht24 Premium absichern
Weitere Anbieter
WordPress:
https://de.wordpress.org/plugins/cookie-notice/WIX:
https://support.wix.com/en/article/adding-and-setting-up-a-cookie-alert-popup
Cookie Consent Kit von Silktide:
https://www.osano.com/cookieconsent?utm_source=referral&utm_medium=cmp-os&utm_term=cookieconsent&utm_content=plugin&utm_campaign=eucookielaw
Cookie Control:
http://www.civicuk.com/cookie-control/index
7. Cookie Hinweis, Cookie Banner, Cookie Warnung: Wo ist da der Unterschied?
Es existieren sehr viele verschiedene Bezeichnungen zur Problematik "Cookie Hinweis", gesetzliche Grundlagen und Darstellung in der Datenschutzerklärung. Zeit für eine kurze Klarstellung der Rechtslage und Begrifflichkeiten:
Cookie Hinweis:
Alternative Bezeichnungen: Cookie Banner, Cookie Warnung, Cookie Pop Up, Cookie Meldung
Damit ist der Text gemeint, den Nutzer beim erstmaligen Aufruf einer Seite entweder oben oder unten auf der Seite angezeigt können. Also genau der Text, den 99% aller Internetnutzer sofort „bestätigen“ bzw. besser wegklicken.
Datenschutzerklärung (mit Cookie Hinweis):
Alternative Bezeichnungen: Cookie Policy, Cookie Datenschutzerklärung, Cookie Hinweistext, Cookie Hinweis für Webseiten
Damit ist die eigentliche Datenschutzerklärung einer Webseite gemeint. Unabhängig davon, ob Sie auf Ihrer Seite einen Cookie Hinweis einbinden oder nicht, sollte jede Datenschutzerklärung einen Passus zu Cookies enthalten: Dieser erklärt, welche Cookies Sie einsetzen und was diese tun.
Sie benötigen also für viele Cookies eine echte Einwilligung/ ein Consent Tool. Zusätzlich müssen Sie über die Verwendung von Cookies in Ihrer Datenschutzerklärung informieren.
Praxis-Tipp: Nutzen Sie für den DSGVO-konformen Cookies-Text unseren neuen Datenschutz-Generator bei eRecht24 Premium.
8. Praxis-Tipps zu Cookie Hinweisen
Auf Nummer sicher gehenWenn Sie auf Nummer sicher gehen wollen, binden Sie ein Consent Tool mit Einwilligung auf Ihrer Webseite ein.
Neue gesetzliche RegelungenHolen Sie für Cookies von Drittanbietern, die zu Werbe- und Trackingzwecken eingesetzt werden, eine Einwilligung ein.
Datenschutzerklärung nicht vergessenFügen Sie auf jeden Fall immer einen aktuellen DSGVO-konformen Passus zu Cookies in Ihrer Datenschutzerklärung ein.
Die korrekte UmsetzungNutzen Sie für die rechtssichere Umsetzung einfach die ohne zusätzliche Kosten in eRecht24 Premium enthaltene Lösung von Usercentrics. Bei eRecht24 Premium beantwortet das Team der Kanzlei Siebert Ihre Fragen und Sie können alle Profi-Datenschutzgeneratoren nutzen.
9. FAQ zu Cookies, ePrivacy-Verordnung & Co.
Umfassende Informationen zum Thema "Website rechtssicher gestalten" finden Sie in unserem Artikel "So erstellen Sie 2022 abmahnsichere Webseiten".
- sehr gut
- sehr gut
- danke
