Rechtssichere Cookie-Banner bleiben ein Muss für Onlineshops

Rechtssichere Cookie-Banner bleiben ein Muss für Onlineshops

Derzeit wird wieder intensiv über Cookie-Banner diskutiert. Immerhin unternimmt die Bundesregierung gerade einen Versuch, die rechtliche Grundlage für einen Ausweg aus dem Consent-Banner-Wald zu schaffen. Verbraucherschützer äußern jedoch schwerwiegende Bedenken. Zugleich wird häufig darauf hingewiesen, dass viele der Banner, die auf Websites und Onlineshops im Einsatz sind, den rechtlichen Anforderungen nach wie vor nicht genügen. Wir ordnen die aktuelle Diskussion ein, fassen zusammen, was Shopbetreiber tun müssen, um rechtssicher Einwilligungen einzuholen und werfen einen Blick auf Tools, die das Consent-Management vereinfachen.

Der Plan der Bundesregierung: Die Einwilligungsverwaltungsverordnung (EinwV)

Seitdem das Bundeskabinett Ende August 2024 den Regierungsentwurf für die geplante Einwilligungsverwaltungsverordnung (EinwV) beschlossen hat, wird die Diskussion über die im Internet seit Jahren allgegenwärtigen Cookie-Einwilligungs-Banner wieder sehr intensiv geführt. Die Idee der Bundesregierung: In Zukunft soll es spezialisierte Dienste geben können, die es Menschen ermöglichen, ihre Einwilligung zur Erfassung ihrer Online-Aktivitäten an einem Ort festzulegen und zu verwalten. Wer dann eine Website besuchen oder in einem Shop einkaufen würde, müsste nichts weiter tun, weil die Consent-Einstellungen nicht mehr für jede Website einzeln per Banner abgefragt werden müssen, sondern im Hintergrund von besagtem Dienst abgerufen werden können. Auf diese Weise will die Bundesregierung die Grundlage dafür legen, dass die Zahl der Consent-Banner spürbar reduziert werden kann.

Verbraucherschützer lehnen den Vorstoß ab

In einer Stellungnahme vom 4. September 2024 formuliert der Verbraucherzentrale Bundesverband (vzbv) erhebliche Einwände gegen die Pläne der Bundesregierung für eine Einwilligungsverwaltungsverordnung. Darin argumentieren die Verbraucherschützer, dass der Regierungsentwurf womöglich nicht mit der EU-Datenschutzgrundverordnung (DSGVO) und dem Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) vereinbar ist. Die Debatte, die sich seither entwickelt, dreht sich um juristische Detailfragen und lässt neben einem zähen Verlauf auch langwierige rechtliche Auseinandersetzungen erwarten – wenn das Gesetzesvorhaben nicht doch irgendwann wieder vom Tisch genommen werden sollte. Bis auf Weiteres dürfte es also bei den allgegenwärtigen Cookie-Bannern bleiben.

Wer einen Onlineshop betreibt und eigene oder Cookies von Drittanbietern im Einsatz hat, muss daher weiterhin dafür sorgen, dass ein obligatorisches Cookie-Banner Besucher rechtssicher informiert und dass Einwilligungen rechtlich einwandfrei eingeholt und verwaltet werden.

Wann sind Cookie-Banner und Consent-Management wirklich rechtssicher?

Consent-Banner sind für Onlineshops weiterhin unverzichtbar. Aber viele Shopbetreiber haben Banner im Einsatz, die gegen geltendes Recht verstoßen – und sind sich dessen oftmals gar nicht bewusst. Damit ein Cookie-Banner wirklich rechtssicher ist, müssen zahlreiche Punkte berücksichtigt werden.

1. Im Banner enthaltene Informationen

Ein Consent-Banner muss zu den einzelnen auf der Website gesetzten Cookies mindestens diese Fragen beantworten:

  • Wer erhebt Daten (Identität des Unternehmens)?

  • Welche Dienste von Drittanbietern sind bei der Erhebung und Verarbeitung der Daten im Einsatz?

  • Zu welchen Zwecken werden die Daten erhoben und weiterverarbeitet?

  • Welche Art von Daten werden verarbeitet?

  • Welche besonderen Technologien werden gegebenenfalls eingesetzt?

  • Wie lange werden die Cookies gespeichert?

  • Auf welcher Rechtsgrundlage geschieht das? (Einwilligung des Nutzers.)

  • Werden Daten in Drittländer (nicht-EU) übermittelt?

2. Wichtige Hinweise

Hinzu kommen je nach Art und Weise der Datenverarbeitung eine Reihe von rechtlich vorgeschriebenen Hinweisen:

  • Es muss darauf hingewiesen werden, dass erteilte Einwilligungen auch ohne die Angabe von Gründen jederzeit mithilfe des Banners widerrufen werden können.

  • Wenn mithilfe von Cookies auch personenbezogene Daten verarbeitet werden, muss deutlich gemacht werden, dass neben der Einwilligung nach dem TDDDG (Speicherung von Cookies auf dem Gerät) auch eine datenschutzrechtliche Einwilligung nach der DSGVO (Erheben, Speichern und Verarbeiten personenbezogener Daten) eingeholt wird.

  • Falls individuelle Nutzungsprofile erstellt und eventuell zusätzlich mit Daten anderer Websites angereichert werden, muss darauf ebenfalls ausdrücklich hingewiesen werden.

  • Hinweis auf das Impressum (verlinkt).

  • Hinweis auf die Datenschutzerklärung (verlinkt).

3. Einordnung der Cookies

Da die Consent-Verwaltung für Cookies schnell unübersichtlich wird, ist es oftmals sinnvoll, sie nach den damit verbundenen technologischen Zwecken in Gruppen (etwa „Erforderlich“ beziehungsweise „Analyse“ oder „Marketing“) einzuteilen. Mindestens eine Unterscheidung von technisch notwendigen und technisch nicht notwendigen Cookies sollte aus Nutzersicht einfach möglich sein.

4. Einholen der Einwilligung

Beim Einholen der Einwilligung lässt sich in einem Cookie-Banner sehr viel falsch machen. Damit hier alles korrekt vonstatten geht, müssen zahlreiche Punkte beachtet werden:

  • Eine aktive Einwilligungshandlung (Opt-in) des Nutzers ist unbedingt erforderlich, damit Cookies gesetzt werden dürfen. Eine Einwilligung durch Unterlassen einer Ablehnung (Opt-out) ist nicht zulässig.

  • Schaltflächen müssen eindeutig beschriftet sein und die damit verbundene Entscheidung klar erkennen lassen. Zulässig wären etwa zwei Buttons „Ablehnen“ und „Zustimmen“; nicht eindeutig genug wären dagegen Beschriftungen wie „Lieber nicht“ und „OK“.

  • Das Verweigern muss ebenso unkompliziert möglich sein wie das Erteilen der Zustimmung.

  • Die Zustimmung muss freiwillig sein. Das heißt, dass die Ablehnung keine spürbaren Nachteile mit sich bringen darf. Daher muss es auch möglich sein, die Website zu bedienen, ohne irgendeine Auswahl im Cookie-Banner zu treffen – dann aber ohne Cookies und mit erneuter Anzeige des Banners nach jedem Seitenaufruf.

  • Ein Widerruf der Einwilligung muss jederzeit möglich sein – und zwar ebenso einfach wie die Einwilligung. Das heißt: Das Consent-Banner muss ständig erneut aufgerufen werden können, um die eigenen Einstellungen noch einmal zu ändern. Sinnvoll ist daher ein Link zu den Cookie-Einstellungen im Footer der Website, der das Banner bei Bedarf wieder öffnet.

5. Gestaltung des Banners

Auch in der Gestaltung von Cookie-Bannern gibt es eine Vielzahl möglicher Fallstricke. Shopbetreiber müssen hier sehr genau hinschauen, ob sie auch wirklich alles richtig machen:

  • Dark-Patterns sind grundsätzlich unzulässig. Das heißt: Buttons in unterschiedlichen Farben oder Größen, die ein bestimmtes Verhalten nahelegen, sind nicht erlaubt. Das Design sollte neutral gehalten sein und darf nicht irreführend sein oder Entscheidungen durch Nudging beeinflussen. So ist etwa ein besonders hervorgehobener Button „Alles akzeptieren“ nicht zulässig, da er eilige (vom Cookie-Banner genervte) Nutzer dazu verleiten könnte, unbedacht und gegen ihren eigentlichen Willen allen Cookies zuzustimmen.

  • Wird ein mehrschichtiges Consent-Banner mit einer Funktion zum Blättern oder zum Wechseln über Reiter verwendet, muss auf derselben Ebene, auf der die Möglichkeit zur Einwilligung erreichbar ist, auch eine Alternative zum Ablehnen angeboten werden.

  • Wenn auf der ersten Ebene eines mehrschichtigen Cookie-Banners bereits die Einwilligung erteilt werden kann, müssen auf dieser Ebene auch bereits folgende Informationen enthalten sein:

    • Konkrete Beschreibung der einzelnen Zwecke

    • Bestehende Wahlmöglichkeiten

    • Widerrufsrecht

    Zugleich muss aber sichergestellt werden, dass auf dieser Ebene nicht allzu viele Informationen untergebracht sind, weil eine solche Überfrachtung für Besucher wiederum potenziell verwirrend wirken und ihre bewusste Entscheidung beeinflussen könnte.

Der Weg zu einem rechtssicheren Consent-Banner ist also wirklich kein leichter – und er steckt voller Tücken, die sich zumeist in Details verbergen. Je mehr Cookies im Einsatz sind, desto unübersichtlicher wird das Ganze potenziell für Shopbetreiber und ihre Kunden.

Was tun, wenn keine Cookies auch keine Lösung sind?

Eine naheliegende Reaktion auf den Banner-Wahnsinn ist es, Cookies nicht nur als Nutzer, sondern auch als Shopbetreiber abzulehnen – und zwar ganz grundsätzlich. Aber der Betrieb eines Onlineshops ohne Cookies ist – je nach eingesetztem Shopsystem – gar nicht ohne Weiteres möglich. Und so gut wie niemand im E-Commerce verzichtet darauf, Daten – auch im weiteren Sinn personenbezogene – für Analyse (zumeist mit Google Analytics) und Marketing (nicht zuletzt über Google Ads, Meta Werbeanzeigen, Microsoft Advertising und so weiter) zu erfassen.

Wenn keine Cookies auch keine Lösung sind, müssen Händler also wohl oder übel ein rechtssicheres Consent-Banner in ihren Shop integrieren, um einerseits sicherzugehen, dass der Rechtsfrieden gewahrt bleibt und um andererseits nicht gänzlich auf die praktischen Funktionalitäten verzichten zu müssen, die nun einmal mit dem Einsatz von Cookies verbunden sind. Mögliche Lösungen dafür sind beispielsweise Cookiebot von Usercentrics, OneTrust oder Tealium. Es gibt aber auch einen Anbieter, der rechtssicheres Tracking und Consent-Management aus einer Hand anbietet: etracker.

Unsere Empfehlung für Shopbetreiber: Tracking ohne Cookies mit etracker

Für Shopbetreiber sind Informationen über die Wirksamkeit von Werbemaßnahmen und das Nutzerverhalten in ihren Onlineshops essenziell. Und dabei sind eigentlich immer Cookies im Spiel. Gerade auf effektives Tracking und wichtige Erkenntnisse aus Web-Analytics wollen die meisten Händler aus sehr guten, nämlich aus „betriebsnotwendigen“ Gründen nicht verzichten. Mit unserem Hinweis auf eine datenschutzrechtlich unbedenkliche Lösung für Tracking und Analytics, die bei Bedarf auch ganz ohne Cookies auskommt, sorgen wir in Beratungsgesprächen immer wieder für ungläubiges Staunen, das im weiteren Verlauf wachsendem Interesse weicht. Immer mehr unserer Kunden setzen die Web-Analytics-Lösung unseres langjährigen Partners etracker ein – und sind begeistert.

Die etracker GmbH wurde im Jahr 2000 in Hamburg gegründet und hat seither mehrere Innovationspreise gewonnen. Die etracker Services zur Analyse von für Websites und Onlineshops wichtigen KPIs wie Traffic-Quellen, Besucher, Verweildauer, UX, Merklisten, Warenkörbe, Bestellungen und vieles mehr sind in drei unterschiedlichen Editionen erhältlich. Die Lösung etracker kann dabei alle datenschutzrechtlichen Bedenken ausräumen: Sie kommt bei Bedarf ohne Cookies aus, setzt keine Einverständniserklärung (Consent) voraus und funktioniert dank Serverstandort in Deutschland vollständig ohne Datentransfer in Nicht-EU-Länder wie die USA.

Zudem wird bei etracker sehr genau darauf geachtet, dass das in Deutschland und der Europäischen Union gültige Datenschutzrecht vollständig eingehalten wird. Damit lässt sich etracker ohne Bedenken und im Einklang mit allen rechtlichen Vorgaben einsetzen, während auch Daten von Nutzern, die nicht notwendige Cookies abgelehnt haben, erfasst werden. Die Einhaltung der Regelungen der DSGVO und des TDDDG durch etracker wurde in einem unabhängigen audit geprüft, zertifiziert und mit dem Datenschutz-Gütesiegel ePrivacyseal ausgezeichnet. Zudem wurde bescheinigt, dass „im Cookie-less Modus (Standardmodus) ein Einsatz von etracker analytics gemäß DSGVO und TDDDG ohne jedwede Einwilligungspflicht rechtmäßig ist“.

Der etracker consent manager: Rechtssicheres Consent-Banner inklusive

etracker bietet nicht nur Tracking ohne Cookies, sondern mit dem etracker consent manager auch ein simpel konfigurierbares Consent-Banner und mit dem etracker tag manager zudem die integrierte Möglichkeit, Drittanbieter-Tags in die Consent-Verwaltung einzubinden. Und da das alles schon ab dem kleinsten Paket „Basic“ inklusive ist, ist das Ganze eine sehr interessante Lösung für Onlineshops aller Größenordnungen.

Im consent manager von etracker enthalten sind eine Vorlage für ein Consent-Banner, die sich in Styling, Branding und Texten im WYSIWYG-Editor anpassen lässt, Einwilligungsprotokolle zum Herunterladen, Mehrsprachigkeit und die Möglichkeit, bei Bedarf statt eines einfachen Links einen schwebenden Cookie-Button als Trigger auf der Website zu platzieren. Die Konfiguration des Consent-Managers ist vollständig ohne direkte Arbeit am Quelltext möglich und in der etracker Dokumentation anschaulich und detailliert beschrieben.

In Verbindung mit dem etracker tag manager kann der consent manager auch für Dienste und Cookies von Drittanbietern verwendet werden. Auf diese Weise muss nur ein einziger Code in den Shop integriert werden, um bei Bedarf auch Tags von Google, Microsoft oder LinkedIn beziehungsweise den Meta Pixel, den TikTok Pixel oder andere zustimmungspflichtige Code-Bestandteil von Drittanbietern zu integrieren. Wie das unkompliziert funktioniert, ist in einem Hilfe-Artikel zum Einbinden von Drittanbieter-Tags in der etracker Dokumentation beschrieben. Und schon seit Februar 2024 unterstützt der tag manager von etracker auch den Google Consent Mode v2.

Brauchen Sie Hilfe beim rechtssicheren Consent-Management?

Wenn Sie Beratung oder Hilfe für die Auswahl, Integration oder Konfiguration eines datenschutzrechtlich einwandfreien Cookie-Banners benötigen , sprechen Sie uns einfach an. Wir unterstützen Sie gern.

Jetzt beraten lassen!

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Newsletter abonnieren

Melden Sie sich für unseren Newsletter an und lassen Sie sich monatlich über unsere neuesten Beiträge informieren!

    Kontakt

    Genug über uns – lassen Sie uns darüber sprechen, wie wir Ihnen helfen können.