Geänderte Vorgaben für Cookie-Banner
Wir zeigen dir, was du beim Einbinden von Cookies beachten musst und wie du einen Cookie-Banner bzw. ein Consent-Management-Tool nach den neuesten Vorgaben der DSGVO in deiner Website oder deinem Webshop einbindest.
Über Cookies kann ein Benutzer über mehrere Seiten und Sitzungen einer Website hinweg identifiziert werden. In einem Webshop ist es so z.B. möglich den Inhalt des Warenkorbs eines Benutzers zu speichern. Immer häufiger werden Cookies aber zu Marketing-Zwecken eingesetzt um z.B. dem Benutzer einer Website später passende Werbung in seinem favorisierten Social Network anzuzeigen. Der Gesetzgeber möchte dieses ungefragte und unkontrollierte Setzen von Cookies und die damit verbundene Weitergabe von Benutzerdaten an Dritte eindämmen.
Das sagt die Rechtsprechung zum Thema Cookies
Am 1. Oktober 2019 hat der Europäische Gerichtshof (EuGH) im Verfahren „Planet49“ einige Fragen des Bundesgerichtshofs (BGH) zu den seit Jahren hoch umstrittenen Cookies beantwortet. In dem zugrundeliegenden Verfahren hat der BGH jetzt mit Urteil vom 28.05.2020 entsprechend den Vorgaben des EuGH u. a. entschieden:
- Wenn eine Einwilligung in Cookies erforderlich ist, muss der Nutzer diese aktiv erteilen. Das Opt-out durch Abwahl eines voreingestellten Ankreuzkästchens reicht nicht aus.
- Zu den zwingenden Informationen, die der Seitenbetreiber dem Nutzer erteilen muss, gehören Angaben zur Funktion und Dauer der Cookies und dazu, ob Dritte Zugriff auf die durch Cookies gesammelten Daten erhalten können.
Was bedeuten die neuen Cookie-Vorgaben für Betreiber von Websites und Webshops?
Natürlich dürfen wir an dieser Stelle keine verbindliche Rechtsberatung leisten. Aufgrund der oben genannten Urteile empfehlen wir jedoch dringend eine Überarbeitung der Einbindung von Cookies und des Cookie-Banners. Dabei sollten mindestens folgende Punkte berücksichtigt werden:
- Beim Aufruf deiner Website oder deines Webshops dürfen keine Cookies gesetzt werden, außer solche die essentiell für die Funktionen der Seite sind (z.B. zur Bereitstellung der Warenkorb-Funktionalität)
- Weitere Cookies zum Besuchertracking (z.B. Google Analytics) oder zu Marketing-Zwecken (z.B. Facebook Pixel) dürfen erst nach expliziter Einwilligung des Benutzers gesetzt werden
- Das Cookie-Banner muss eine Übersicht aller verwendeten Cookies mit Infos zur Funktion, Laufzeit und Zugriff von Dritten bieten. Dort hat der Kunde die Möglichkeit die Cookies pro Gruppe oder einzeln zu aktiveren (Opt-In)
- Die vom Benutzer gewählten Einstellungen müssen protokolliert werden und später durch den Benutzer geändert werden können, z.B. über einen Link "Cookie-Einstellungen" im Footer oder auf der Datenschutz-Seite
In der Praxis wird das Cookie-Banner meistens so eingerichtet, dass ein prominenter "Alle akzeptieren"-Button alle Cookies freischaltet. Ein Button "Mehr Informationen" leitet auf die Übersicht mit allen Cookies und der Möglichkeit diese einzeln zu konfigurieren. Dies erfüllt nach der bisherigen Rechtsprechung die Vorgaben, trotzdem wird ein Großteil der Benutzer direkt alle Cookies akzeptieren. Über Details wie die Größe des "Mehr Informationen"-Buttons oder die Notwendigkeit eines "Ablehnen"-Buttons streiten sich die Rechtsexperten. Hier muss also der Betreiber entscheiden ob er den sicheren Weg wählt oder den Cookie-Banner auf eine hohe Akzeptanzquote aller Cookies hin optimiert.
Für die neueste Version der Webshop-Software dynamic commerce und des CMS dynamic content gibt es ein Cookie-Banner welches diese Vorgaben erfüllt. Dieses kann auch in Projekte mit einer älteren Software-Version integriert werden. Alternativ besteht die Möglichkeit externe Consent-Management-Lösungen einzubinden welche oft sogar einen Rechtsschutz gegen Abmahnungen enthalten. Beide Optionen stellen wir im Folgenden vor.
Der erweiterte Cookie-Banner von dynamic commerce
Für unsere Webshop-Software und unser CMS haben wir eine aktualisierte Version des Cookie-Banners entwickelt, der die gesetzlichen Vorgaben erfüllt (explizite Einwilligung, Protokollierung, etc.). Gerne integrieren wir diese Lösung in dein Projekt und passen die Einbindung von Cookies, das Layout des Banners und die Rechtstexte nach deinen Vorgaben an. Für Integration und Tests entsteht ein einmaliger Aufwand zwischen zwei Stunden (Webseite mit Nutzung von Google Analytics) und sechs Stunden (Webshop mit Google Tag Manager und vielen individuellen Cookies). Es fallen keine zusätzlichen monatlichen Gebühren an. In dieser Lösung ist keine laufende Aktualisierung von Rechtstexten oder eine Garantie gegen Abmahnungen enthalten.
- Beispiel Integration: www.dc.ag
Einbindung externer Consent-Tools z.B. Usercentrics
Usercentrics ist eine externe Consent-Management-Lösung, welche die oben gesetzlichen Vorgaben rechtssicher erfüllt. Usercentrics liefert zusätzlich die passenden Rechtstexte und übernimmt sogar eine Garantie gegen Abmahnungen. Usercentrics wird als Plugin in deiner Website integriert. Für die technische Integration entsteht ein einmaliger Aufwand zwischen einer und drei Stunden (je nachdem wie viele Cookies du im Einsatz hast). Zusätzlich fallen monatliche Gebühren ab 8,- € an (Je nach Traffic). Vertrag und Abrechnung laufen direkt über Usercentrics.
- Beispiel Integration: www.lebkuchen-schmidt.com
Du hast Fragen?
Wenn du technische Fragen hast oder eine der oben beschriebenen Lösungen einführen möchtest wende dich an:
- Jörg Söllner, Managing Director Technology, +49 9221 9652-100, js@dc.ag
Wenn du rechtliche Fragen hast empfehlen wir dir unseren Partner RESMEDIA:
- Sabine Heukrodt-Bauer, Fachanwältin für IT-Recht, +49 6131 144560, shb@res-media.net