Cookie-Banner: Wann sind sie DSGVO-konform?

Webseiten, die Cookies verwenden, müssen die Zustimmung von Nutzerinnen und Nutzern über sogenannte Cookie-Banner einholen. Doch manchmal sind diese irreführend und manipulativ.

Cookie-Banner: Ausschnitt rechte Hand auf Notebook-Tastatur neben Kaffeetasse
Cookie-Banner im Fokus. Foto: Adobe Stock

Cookie-Banner, auch Cookie-Layer genannt, sind Pop-ups (auf der Webseite vorgeschaltete Elemente), mit denen die Betreiber Ihre Einwilligung einholen, um persönliche Daten zu speichern beziehungsweise weiterzugeben. Der Einsatz solcher Banner, die über die verwendeten Cookies informieren und Ihnen die Möglichkeit geben, Cookies auch zu blockieren, ist durch die europäische Datenschutz-Grundverordnung (DSGVO) gesetzlich vorgeschrieben.

Darüber hinaus muss ein Cookie-Banner bestimmte Kriterien erfüllen, um DSGVO-konform zu sein. Andernfalls drohen den Verantwortlichen eine Abmahnung sowie Strafzahlungen von bis zu 20 Millionen Euro. Der Einsatz mangelhafter Banner kann für die Betreiber also sehr teuer werden.

Doch auch für Nutzerinnen und Nutzer ist es nützlich zu wissen, wie seriöse Cookie-Banner gestaltet sein müssen. So können Sie Dark Patterns, also gezielte Täuschungsversuche, erkennen und besser verhindern, dass Ihre Daten an Dritte weitergegeben werden.

In diesem Beitrag erfahren Sie anhand konkreter Beispiele, wie DSGVO-konforme Cookie-Banner auszusehen haben und woran sich Dark Patterns erkennen lassen. Dafür ist es zunächst einmal notwendig zu wissen, welche Arten von Cookies es gibt und wozu diese dienen.

Was sind Cookies?

Cookies sind Daten über Ihr Surfverhalten, die von Webbrowsern und Internetseiten gespeichert werden. Manche von ihnen werden eingesetzt, um die Nutzung einer Seite möglichst angenehm zu gestalten, man spricht daher auch von technisch notwendigen Cookies. Andere wiederum werden auch für Werbezwecke genutzt (Tracking-Cookies). In jedem Fall enthalten Cookies personenbezogene Informationen, wie Angaben zu Ihren Seiteneinstellungen oder Ihre IP-Adresse.

  • Technisch notwendige Cookies

    Durch solche Cookies ist es etwa möglich, dass Sie sich beim Besuch einer passwortgeschützten Seite – beispielsweise eines Streamingdienstes – nicht jedes Mal von Neuem anmelden müssen. Auch grundlegende Seiteneinstellungen bleiben Ihnen erhalten.
  • Technisch nicht notwendige Cookies

    Bestimmte Cookies werden genutzt, um Informationen über Ihr Surfverhalten an Dritte weiterzugeben, damit Ihnen personalisierte Werbung angezeigt werden kann. Um solche Tracking-Cookies zu setzen, müssen die Betreiber einer Seite zuerst Ihre ausdrückliche Zustimmung einholen. Dies erfolgt mittels Cookie-Banner.

Hinweis

Warum sind die Betreiber einer Webseite überhaupt daran interessiert, dass Sie in möglichst viele Cookies einwilligen? Und wo können sich Userinnen und User im Fall von Verstößen beschweren? Diese und weitere Fragen beantwortet die E-Privacy-Expertin Nina-Maria Hafner-Thomic im Interview.

Wie muss ein DSGVO-konformer Cookie-Banner aussehen?

Erst die Einwilligung, dann die Cookies: Das Banner muss aufpoppen, sobald eine Nutzerin oder ein Nutzer auf die Webseite gelangt – also noch bevor irgendwelche technisch nicht notwendigen Cookies gesetzt werden.

Weniger klar sind die Bestimmungen, wie ein Cookie-Banner im Detail auszusehen hat. Gewisse Kriterien müssen aber jedenfalls erfüllt sein, um den Vorgaben der DSGVO zu entsprechen:

  • Bewusste Einwilligung: Cookie-Banner müssen zwei Schaltflächen (Buttons) enthalten: eine zum Akzeptieren und eine zum Ablehnen von Cookies. Beide Buttons müssen gut erkennbar sein.
  • Gleichwertige Optionen: Der Button für die Einwilligung darf nicht prominenter oder attraktiver gestaltet sein als jener für die Ablehnung von Cookies.
  • Privacy by default: Keine der Optionen darf begünstigt werden. Das heißt, dass Nutzerinnen und Nutzer sich proaktiv für die Einwilligung entscheiden müssen. Voreingestellte Häkchen oder Kreuzchen sind deshalb verboten.
  • Freiwillige Zustimmung: Es ist unzulässig, einer Person den Zugriff auf eine Webseite zu verweigern, wenn dem Einsatz bestimmter Cookies nicht zugestimmt wurde. Erlaubt sind aber sogenannte „Pay or Okay“-Konzepte beziehungsweise eine „Cookie-Wall“: Entweder man bezahlt für die Nutzung (beispielsweise eines Online-Mediums) oder man stimmt dem Einsatz von Tracking-Cookies zu.
  • Widerrufsmöglichkeit: Im Cookie-Banner muss deutlich erkennbar sein, wo und wie eine Einwilligung widerrufen werden kann.

Hinweis

Wie ist Datenschutz in Österreich geregelt? Unser Beitrag „Datenschutz-Grundverordnung im Überblick“ erklärt, welche gesetzlichen Bestimmungen von Relevanz sind.

Dark Patterns und Beispiele für unzulässige Cookie-Banner

Leider verwenden zahlreiche Webseitenbetreiber Cookie-Hinweise, die unzureichend oder sogar manipulativ gestaltet sind. Wenn Nutzerinnen und Nutzer zu einer Zustimmung verleitet werden, die sie womöglich gar nicht erteilen wollten, spricht man von sogenannten Dark Patterns. Laut einer Recherche von Netzpolitik.org verwenden 77 Prozent der reichweitenstärksten Webseiten in Deutschland solche irreführenden Cookie-Banner.

Im Folgenden stellen wir Ihnen drei typische Beispiele vor, die man im Netz häufig antrifft.

Cookie-Banner
Beispielbild 1. Foto: CAA

Ein klassisches Dark Pattern besteht darin, den Button für das Akzeptieren sämtlicher Cookies farblich attraktiver und sichtbarer zu gestalten. Die Option der Einwilligung und jene der Nichteinwilligung werden in diesem Beispiel nicht gleichwertig präsentiert. Auf der Webseite der österreichischen Datenschutzbehörde heißt es dazu: „Wenn die Farbauswahl dazu führt, dass der Button zur Nichtabgabe einer Einwilligung weniger gut sichtbar ist als der Button zur Abgabe einer Einwilligung, könnte dies zur Ungültigkeit der Einwilligungserklärung führen.“

Beispiel für Cookie-Banner
Beispielbild 2. Foto: CAA

Nur wenige Webseiten bieten ihren Nutzerinnen und Nutzern die Möglichkeit, schon im ersten Dialogfeld – also mit nur einem Klick – alle nicht notwendigen Cookies abzulehnen. Häufig wird dem Button für die Einwilligung stattdessen eine Schaltfläche für Optionen oder Einstellungen gegenübergestellt. Klickt man diese an, öffnet sich meist ein Fenster mit einer beschrifteten Checkbox beziehungsweise einem Regler, wo man als Nutzerin oder Nutzer eine detaillierte Cookie-Auswahl treffen kann. Auf diese Weise sind mindestens zwei Klicks notwendig, um die Seite ohne Cookies zu nutzen, was den DSGVO-Vorgaben widerspricht. Die österreichische Datenschutzbehörde schreibt dazu: „Von der betroffenen Person kann nicht verlangt werden, dass sie auf einer Schaltfläche erst auf einer zweiten oder dritten Ebene die Entscheidung treffen kann, keine Einwilligung abzugeben."

Beispiel für Cookie-Banner
Beispielbild 3. Foto: CAA

Besonders dreiste Webseitenbetreiber stellen die Checkbox so ein, dass die Häkchen bei den einzelnen Einwilligungen bereits gesetzt sind. Oft fehlt auch noch die Möglichkeit, alle Cookie-Optionen durch einen einzigen Klick abzuwählen. Wer der Datenverarbeitung nicht zustimmen will, muss also jede Cookie-Option einzeln ablehnen, was etliche Klicks erfordern kann. Daher sind vorausgewählte Checkboxen gemäß DSGVO untersagt.

Hinweis

Der europäische Gesetzgeber arbeitet zurzeit daran, die Vorgaben für Cookie-Banner weiter zu vereinheitlichen. So soll etwa die Möglichkeit, alle technisch nicht notwendigen Cookies abzulehnen, in Zukunft bereits im ersten Dialogfeld eines Cookie-Banners vorhanden sein, um den Datenschutz zu verbessern.

Letzte Aktualisierung: 10. November 2023

Für den Inhalt verantwortlich: A-SIT Zentrum für sichere Informationstechnologie – Austria