Zum Inhalt springen

Entspricht Ihr Cookie-Banner tatsächlich den Anforderungen der DSGVO?

Von Philipp Kant 6 Min. Lesezeit

Ein DSGVO-konformes Cookie-Banner lädt keine Tracking-Elemente, bis der Besucher aktiv zustimmt, und macht das Ablehnen genauso einfach wie das Akzeptieren. Gemäß der DSGVO und dem deutschen Telekommunikations- und Digitaldienst-Datenschutzgesetz (TDDDG) muss die Einwilligung für nicht unbedingt erforderliche Cookies vorab, in voller Kenntnis der Sachlage, spezifisch und freiwillig erfolgen. Die meisten Banner scheitern bereits am ersten Wort: „vorher“.

Die Einwilligung muss vor dem Setzen des Cookies erfolgen, nicht danach

§ 25 TDDDG ist die maßgebliche Vorschrift in Deutschland: Das Speichern oder Auslesen von Informationen auf dem Gerät eines Besuchers bedarf der vorherigen Einwilligung, es sei denn, dies ist für die Erbringung der vom Besucher angeforderten Dienstleistung unbedingt erforderlich. Analysetools, Werbe-Pixel, Karten, Schriftarten von Drittanbietern und eingebettete Videos sind nicht unbedingt erforderlich. Für deren Ausführung ist eine Einwilligung erforderlich.

„Vorher“ ist das entscheidende Wort. Der Europäische Gerichtshof hat dies in der Rechtssache Planet49 (C-673/17) klargestellt: Die Einwilligung muss eine eindeutige, positive Handlung sein, die vor dem Einsatz der Technologie erteilt wird. Ein vorab angekreuztes Kästchen gilt nicht als Einwilligung. Ein Banner, das Analyse-Cookies setzt, während Sie es noch lesen, stellt ebenfalls keine Einwilligung dar. Der Bundesgerichtshof bestätigte denselben Maßstab für das deutsche Recht.

Der Test ist also rein mechanischer Natur. Wird irgendetwas Unwesentliches geladen oder geschrieben, bevor der Besucher klickt? Wenn ja, ist das Banner reine Dekoration.

Was gilt gemäß der DSGVO als gültige Einwilligung?

Artikel 7 der DSGVO legt vier Voraussetzungen fest. Ein konformes Banner erfüllt alle diese Voraussetzungen, nicht nur drei.

BedingungBedeutungWas führt zum Verstoß?
VorherDie Einwilligung erfolgt, bevor Cookies oder Skripte ausgeführt werdenAuslösen von Trackern beim Laden der Seite
InformiertDer Besucher weiß, welche Tools ausgeführt werden und warumEin vager Hinweis „Wir verwenden Cookies“ ohne Nennung der Namen
SpezifischEine separate Auswahlmöglichkeit pro Zweck, kein GesamtpaketEin einziges „Akzeptieren“ für Analysen, Werbung und Videos
Freiwillig erteiltDie Ablehnung ist genauso einfach wie die Zustimmung, ohne Nachteile„Alle akzeptieren“ im Vordergrund, Ablehnung erst nach zwei Klicks

Artikel 7 Absatz 3 fügt noch einen Punkt hinzu: Der Widerruf der Einwilligung muss genauso einfach sein wie die Erteilung der Einwilligung. Wenn das Banner zwar eine Schaltfläche „Alle akzeptieren“ enthält, das Deaktivieren des Trackings jedoch das Durchsuchen einer Einstellungsseite erfordert, entspricht das Banner nicht den Vorschriften.

Eine Ablehnung, die keine Auswirkungen hat, ist dasselbe wie gar keine Ablehnung

Dies ist der Fehler, der die Menschen überrascht. Eine Website installiert ein Einwilligungstool, zeigt einen ordnungsgemäßen Banner mit einer Ablehnungsoption an und verfolgt dennoch jeden, der auf „Ablehnen“ klickt. Der Banner erfasst die Entscheidung; nichts im Code reagiert darauf.

Nach der DSGVO besteht kein Unterschied zwischen einem Banner, das die „Ablehnen“-Option ignoriert, und einer Website, auf der gar kein Banner vorhanden ist. In beiden Fällen werden personenbezogene Daten ohne Rechtsgrundlage verarbeitet (Artikel 6). Die Schaltfläche „Ablehnen“ muss die Skripte tatsächlich blockieren und darf nicht lediglich das Dialogfeld schließen.

Die Datenschutzerklärung ist Teil der Compliance und keine separate Aufgabe

Gemäß Artikel 13 der DSGVO sind Sie verpflichtet, den Besuchern mitzuteilen, welche Dritten ihre Daten erhalten. In der Praxis bedeutet dies, dass jedes Tracking-Tool auf der Website in der Datenschutzerklärung namentlich genannt wird: der Analyseanbieter, der Tag-Manager, das Werbepixel, das Heatmap-Tool und der Anbieter des eingebetteten Videos.

Dies ist die Lücke, die wir selbst auf Websites finden, die die Einwilligung korrekt einholen. Das Banner funktioniert, die Ablehnung funktioniert, und dann wird ein Tool ausgeführt, das in der Datenschutzerklärung überhaupt nicht erwähnt wird. Tools zu benennen ist einfach. Ein Tool auszulassen ist ein Problem im Sinne von Artikel 13, egal wie gut das Banner auch sein mag.

Was wir bei der Durchsicht von neun deutschen Unternehmenswebsites festgestellt haben

Wir haben unseren Cookie-Scanner auf neun aktive deutsche Unternehmenswebsites aus den Bereichen Arztpraxen, Fertigung und B2B-Beratung angewendet und anschließend jedes Ergebnis manuell mit einem separaten Skript abgeglichen. Das Muster war durchgängig:

  • Drei der neun Besucher wurden bereits vor der Einwilligung erfasst. Google Analytics und Tag Manager wurden beim Laden der Seite ausgelöst, noch bevor das Banner angeklickt wurde.
  • Eine Website verfügte über ein Einwilligungstool, das jedoch keine Funktion hatte. Analytics lief weiter, nachdem der Besucher auf „Ablehnen“ geklickt hatte.
  • Eine Website hatte überhaupt kein Banner, während Analytics und acht Tracking-Cookies bereits aktiv waren.
  • Eine Website zeigte ein Banner, das reine Dekoration war. Die Schaltfläche „Akzeptieren“ funktionierte, aber die Tracker waren bereits geladen, bevor eine Auswahl getroffen werden konnte.
  • Selbst auf einer Website, die die Einwilligung perfekt abfragte, deckte der Scan zwei Dienste auf, die in der Datenschutzerklärung nicht erwähnt wurden.

Fünf der neun Fälle waren korrekt abgewickelt oder es gab gar keinen Anlass für eine solche Abwicklung. Die übrigen vier verarbeiteten personenbezogene Daten ohne gültige Rechtsgrundlage, und in jedem Einzelnen davon ging der Betreiber mit ziemlicher Sicherheit davon aus, dass die Einwilligungserklärung dies abdeckte.

So überprüfen Sie Ihr eigenes Banner

Sie können eine grobe Version dieser Überprüfung manuell durchführen:

  1. Öffnen Sie Ihre Website in einem inkognito-Browserfenster mit geöffneten Entwicklertools auf den Registerkarten „Netzwerk“ und „Anwendung“.
  2. Laden Sie die Seite und berühren Sie das Banner nicht. Suchen Sie nach Anfragen an Analytics-, Werbe- oder Schriftart-Domains sowie nach Cookies, die nicht unbedingt erforderlich sind. Alles, was dort vor der Einwilligung geladen wird.
  3. Klicken Sie auf Ablehnen und laden Sie die Seite anschließend neu. Wenn dieselben Tracker erneut erscheinen, ist Ihre Ablehnung an nichts gebunden.
  4. Öffnen Sie Ihre Datenschutzerklärung und vergewissern Sie sich, dass jedes der von Ihnen gesehenen Tools darin aufgeführt ist.

Für die Vollversion führt unser kostenloser Cookie Scanner führt einen echten Headless-Browser durch alle drei Phasen (vor der Einwilligung, nach der Ablehnung, nach der Annahme), benennt die Tracker und Cookies in jeder Phase, überprüft die Datenschutzerklärung für jedes Tool und erstellt einen Bericht, den Sie dem Verantwortlichen für die Website übergeben können.

Informationen zu den konkreten Fehlern, auf die Sie achten sollten, finden Sie unter 7 Fehler bei der Cookie-Einwilligung, die gegen die DSGVO verstoßen, und einen Vergleich der kostenlosen Tools finden Sie unter Die besten kostenlosen Cookie-Scanner im Ranking. Sollte sich die Cookie-Compliance als ein Symptom für eine umfassendere Lücke in der Konfiguration Ihrer digitalen Systeme erweisen, ist dies genau die Art von Aufgabe, die wir übernehmen, und dies kommt häufig bei den deutschen KMUs, mit denen wir zusammenarbeiten.

Häufig gestellte Fragen

Benötige ich eine Einwilligung für Google Analytics? Ja. Analytics ist für die Bereitstellung Ihrer Website nicht unbedingt erforderlich, daher erfordert § 25 TDDDG eine vorherige Einwilligung, bevor es ausgeführt wird. Dasselbe gilt für den Tag Manager, wann immer dieser Tracking-Tags lädt.

Ist ein Cookie-Banner gesetzlich vorgeschrieben? Für nicht unbedingt notwendige Cookies und Tracker ist eine Einwilligung erforderlich. Das Banner dient lediglich dazu, diese Einwilligung einzuholen. Ein Banner, das das Tracking nicht tatsächlich blockiert, bis der Besucher zustimmt, sorgt nicht dafür, dass Sie die Vorschriften einhalten. Es sieht lediglich so aus, als ob dies der Fall wäre.

Fallen Analyse-Cookies unter den Begriff „berechtigtes Interesse“? Nein. Das Speichern oder Auslesen von Informationen auf einem Gerät unterliegt § 25 TDDDG, der unabhängig von einer Berufung auf ein berechtigtes Interesse gemäß Artikel 6 DSGVO eine Einwilligung vorschreibt. Ein berechtigtes Interesse ersetzt nicht die Einwilligung zur Verwendung von Cookies.

Handelt es sich hierbei um eine Rechtsberatung? Nein. Wir sind ein technischer Partner, keine Anwaltskanzlei. Ein Scan liefert Ihnen technische Erkenntnisse: welche Daten wann und wohin übertragen werden. Ein Anwalt interpretiert, was dies für Ihre konkrete Situation bedeutet.

Wenn Sie wissen möchten, wie es um Ihre Website tatsächlich steht, bevor Sie jemand anderes darauf hinweist, führen Sie den Cookie-Scanner aus oder sprechen Sie uns an.

Sie haben etwas vor?

Schreiben Sie uns kurz, worum es geht und wie Erfolg für Sie aussieht. Wir lesen jede Nachricht und antworten innerhalb weniger Tage.