7 Fehler bei der Einwilligung zu Cookies, die gegen die DSGVO verstoßen
Von Philipp Kant 6 Min. Lesezeit
Fehler bei der Cookie-Einwilligung sind die Diskrepanzen zwischen dem, was ein Cookie-Banner verspricht, und dem, was der Code der Website tatsächlich tut: Tracker, die bereits vor der Einwilligung geladen werden, eine Ablehnungsschaltfläche, die nichts bewirkt, sowie Tools, die ohne Hinweis ausgeführt werden. Jeder dieser Fehler macht das Banner zu reiner Dekoration und verstößt gegen die DSGVO und das deutsche TDDDG. Dies sind die sieben Fehler, die wir am häufigsten feststellen.
Hier ist die Kurzfassung. Die einzelnen Punkte werden im Folgenden näher erläutert.
| # | Fehler | Warum dies gegen das Gesetz verstößt |
|---|---|---|
| 1 | Tracker werden vor der Einwilligung geladen | Keine vorherige Einwilligung (§ 25 TDDDG, Planet49) |
| 2 | „Ablehnen“ stoppt das Tracking nicht | Verarbeitung ohne Rechtsgrundlage (DSGVO Art. 6) |
| 3 | Keine echte Ablehnungsmöglichkeit | Einwilligung nicht freiwillig erteilt (DSGVO Art. 7) |
| 4 | Analytik ohne jegliches Banner | Keine Einwilligung eingeholt (§ 25 TDDDG) |
| 5 | Tools nicht in der Datenschutzerklärung genannt | Mangelnde Transparenz (DSGVO Art. 13) |
| 6 | Daten verlassen die EU vor Einwilligung | Rechtswidrige Übermittlung (DSGVO Art. 44, Schrems II) |
| 7 | Google Fonts werden von Google geladen | Nicht offengelegte Übermittlung in die USA (LG München I) |
1. Tracker werden geladen, bevor jemand seine Zustimmung erteilt
Der grundlegende Fehler – und der häufigste. Analysetools, Werbepixel oder ein Tag-Manager werden bereits beim Laden der Seite ausgelöst, noch bevor der Besucher irgendetwas zugestimmt hat. § 25 TDDDG verlangt die Einwilligung, bevor nicht-essenzielle Technologien Daten auf dem Gerät lesen oder schreiben dürfen, und der Europäische Gerichtshof hat den Standard im Fall Planet49 festgelegt: Die Einwilligung ist eine vorherige, aktive Entscheidung.
So überprüfen Sie dies: Laden Sie die Seite mit geöffneten Entwicklertools und berühren Sie das Banner nicht. Jede Analyse- oder Anzeigenanfrage im Reiter „Netzwerk“ stellt einen Verstoß dar. Bei unserem letzten Feldscan haben wir dies auf einem Drittel der Websites festgestellt.
2. Die Option „Ablehnen“ verhindert das Tracking nicht wirklich
Eine Website zeigt ein ordnungsgemäßes Banner mit einer Ablehnungsschaltfläche an und erfasst dennoch jeden, der darauf klickt. Das Einwilligungstool protokolliert die Entscheidung, doch nichts im Code blockiert die Skripte. Rechtlich gesehen ist dies gleichbedeutend mit dem Fehlen eines Banners: Personenbezogene Daten werden ohne Rechtsgrundlage verarbeitet (Artikel 6 DSGVO).
So überprüfen Sie dies: Klicken Sie auf „Ablehnen“, laden Sie die Seite neu und beobachten Sie die Registerkarte „Netzwerk“. Wenn dieselben Tracker erneut angezeigt werden, ist Ihre Ablehnung an nichts gebunden.
3. Das Banner verfügt über keine echte Schaltfläche zum Ablehnen
Ein gut sichtbarer „Alle akzeptieren“-Button und keine ebenso einfache Möglichkeit zum Ablehnen. Eine Einwilligung, die nicht freiwillig erteilt wird, ist keine gültige Einwilligung (Artikel 7 DSGVO). Das Verstecken der Ablehnungsoption hinter „Optionen verwalten“ und zwei weiteren Klicks erfüllt diese Anforderung ebenfalls nicht. Die Ablehnung muss genauso einfach sein wie die Zustimmung, und zwar bereits auf dem ersten Bildschirm.
So überprüfen Sie dies: Sehen Sie sich den ersten Banner-Bildschirm an. Wenn Sie mit einem Klick zustimmen, aber nicht mit einem Klick ablehnen können, handelt es sich um ein „Dark Pattern“.
4. Analytics läuft ohne jegliches Banner
Manche Websites verzichten gänzlich auf die Einholung einer Einwilligung. Analysetools, Karten und eingebettete Videos werden geladen, Cookies gesetzt, ohne dass der Besucher jemals dazu aufgefordert wird. Dies ist häufig bei Websites zu beobachten, die auf Vorlagen oder Website-Baukästen basieren, bei denen das Tracking standardmäßig aktiviert ist. Das Fehlen einer Einwilligung bedeutet das Fehlen einer Rechtsgrundlage (§ 25 TDDDG).
So überprüfen Sie dies: Wenn Ihre Berichte Analysedaten enthalten, auf der Website jedoch kein Einwilligungsbanner zu sehen ist, liegt dieses Problem vor.
5. Tools, die in der Datenschutzerklärung nicht genannt werden
Artikel 13 der DSGVO verpflichtet Sie dazu, offenzulegen, welche Dritten Besucherdaten erhalten. Wir stellen diese Lücke sogar auf Websites fest, die die Einwilligung korrekt einholen: Das Banner funktioniert, doch es läuft ein Tool, das in der Datenschutzerklärung überhaupt nicht erwähnt wird. Tag-Manager und Produktanalyse-Tools sind die üblichen Ausnahmen.
So überprüfen Sie dies: Listen Sie alle Tools auf, die nach Ihrer Zustimmung geladen werden, und suchen Sie dann in Ihrer Datenschutzerklärung nach jedem einzelnen. Jedes Tool, das nicht namentlich genannt wird, stellt eine Lücke im Sinne von Artikel 13 dar.
6. Personenbezogene Daten verlassen die EU vor Erteilung der Einwilligung
IP-Adressen und Gerätedaten, die an US-Dienste übermittelt werden, gelten als grenzüberschreitende Übermittlung im Sinne von Artikel 44 der DSGVO, und nach dem Urteil „Schrems II“ erfordert diese Übermittlung eigene Schutzmaßnahmen. Wenn ein US-Tool vor der Einwilligung geladen wird, erfolgt die Übermittlung, bevor der Besucher ihr zustimmen kann. reCAPTCHA und in den USA gehostete Analysedienste sind häufige Verursacher.
So überprüfen Sie dies: Suchen Sie auf der Registerkarte „Netzwerk“ nach Anfragen an Dienste in den USA, die vor der Einwilligung gesendet werden. Reine Code-CDNs stellen ein geringeres Risiko dar; Analysedienste, Werbung und Captchas hingegen nicht.
7. Google Fonts und Maps werden direkt von Google geladen
Das direkte Einbinden von Google Fonts, Google Maps oder reCAPTCHA von Google übermittelt beim Laden der Seite die IP-Adresse des Besuchers an Google. Ein deutsches Gericht (LG München I) hat aus genau diesem Grund Schadenersatz wegen dynamisch eingebundener Google Fonts verurteilt. Hosten Sie Schriftarten selbst und laden Sie Karten oder reCAPTCHA erst nach Einwilligung.
So überprüfen Sie dies: Achten Sie vor der Einwilligung auf Anfragen an fonts.googleapis.com oder maps.googleapis.com. Sind solche vorhanden, besteht die Lösung darin, die Inhalte selbst zu hosten oder die Einwilligung zur Nutzung zu erfordern.
So finden Sie alle sieben auf Ihrer eigenen Website
Jede der oben genannten Prüfungen ist eine manuelle Version, die Sie in den Entwicklertools Ihres Browsers ausführen können. Um dies in einem Durchgang zu erledigen, führt unser kostenloser Cookie Scanner führt einen Headless-Browser durch alle drei Phasen (vor der Einwilligung, nach der Ablehnung, nach der Annahme), benennt jeden Tracker und jedes Cookie, überprüft jedes Tool anhand Ihrer Datenschutzrichtlinie und markiert Datenübermittlungen in die USA. Das Ergebnis ist ein Bericht, keine Punktzahl, die Sie selbst interpretieren müssen.
Was ein konformes Cookie-Banner tatsächlich erfordert, erfahren Sie unter Ist Ihr Cookie-Banner tatsächlich DSGVO-konform?, und um die Tools zu vergleichen, die diese Lücken aufdecken, die besten kostenlosen Cookie-Scanner im Ranking. Wenn diese Lücken Teil einer umfassenderen Bereinigung der Struktur Ihrer Website und Ihrer Systeme sind, ist das genau das, was wir tun, oft für deutsche KMUs, bei denen dies am häufigsten vorkommt.
Häufig gestellte Fragen
Was ist der häufigste Fehler bei der Einholung der Cookie-Zustimmung? Tracking vor der Einholung der Zustimmung. Bei den deutschen Unternehmenswebsites, die wir zuletzt überprüft haben, lud ein Drittel Google Analytics oder den Tag Manager bereits beim Laden der Seite, noch bevor das Banner angeklickt wurde.
Werden durch das Klicken auf „Ablehnen“ alle Cookies blockiert? Das sollte eigentlich der Fall sein, ist es aber oft nicht. Viele Einwilligungstools werden installiert, ohne dass die Option „Ablehnen“ so konfiguriert ist, dass die Skripte tatsächlich blockiert werden. Testen Sie dies immer: Klicken Sie auf „Ablehnen“, laden Sie die Seite neu und beobachten Sie, was angezeigt wird.
Können diese Fehler tatsächlich mit einer Geldstrafe geahndet werden? Ja. Die Aufsichtsbehörden können dagegen vorgehen, und in Deutschland haben nicht offengelegte Tools und eingebettete Google Fonts bereits zu Verwarnungen und Schadensersatzforderungen geführt. Das Risiko besteht nicht nur in der Geldstrafe, sondern auch in den Kosten, die entstehen, wenn man dies unter Druck statt rechtzeitig behebt.
Wie überprüfe ich meine eigene Website? Führen Sie die einzelnen Prüfungen aus diesem Beitrag in den Entwicklertools Ihres Browsers durch oder nutzen Sie den Cookie-Scanner, um alle auf einmal durchzuführen.
Handelt es sich hierbei um eine Rechtsberatung? Nein. Wir sind ein technischer Partner, keine Anwaltskanzlei. Wir liefern Ihnen die technischen Beweise; ein Anwalt erklärt Ihnen, was dies für Ihre Situation bedeutet.
Finden Sie heraus, welche der sieben auf Ihrer Website vorhanden sind, bevor es ein Mitbewerber oder ein Datenschutzanwalt tut. Führen Sie den Cookie-Scanner durch, oder teilen Sie uns mit, um welches Problem es sich handelt.