Arbeitshilfe "Erstellung oder Vermeidung eines Consent-Banners" – Datenschutz individuell

Erstellung oder Vermeidung eines Consent-Banners für die Webseite

Häufig wird der Begriff "Cookie-Banner" benutzt. Jedoch soll neben der Einwilligung für Cookies auch die Einwilligung für weitere Verarbeitungen (wie zum Beispiel Tracking) eingeholt werden. Der Begriff "Einwilligungs-Banner" oder "Consent-Banner" ist daher zutreffender.

Wofür braucht man Einwilligungen?

Für Cookies, die für die Funktion einer Webseite notwendig sind (wie eine Warenkorb-Funktion), braucht man keine Einwilligung. Eine Anmerkung dazu in den Datenschutz-Hinweisen reicht. Für alle anderen Cookies muss die Einwilligung der Nutzer:innen eingeholt werden, bevor die Cookies gesetzt werden.

Auch für die Verarbeitung personenbezogener Daten der Nutzer:innen gilt: Ist diese notwendig für die Funktion der Webseite (wie die IP-Adresse oder die Adresse bei einer Warenbestellung), so braucht man keine Einwilligung. Hier genügt ebenfalls die Information über die Verarbeitung in den Datenschutz-Hinweisen.

Für Verarbeitungen, für die eine Interessenabwägung zugunsten des Webseitenbetreibers ausgeht, kann die Verarbeitung auf das berechtigte Interesse des Webseitenbetreibers (oder eines Dritten) gestützt werden. Das trifft z.B. für eine Statistik zu, die auf eigenen Servern erzeugt und verwaltet wird. Hierfür braucht man keine Einwilligung. Das berechtigte Interesse muss aber gut begründet sein, um als Rechtsgrundlage dienen zu können.

Für Verarbeitungen, die über die nach Treu und Glauben von den Nutzer:innen zu erwartende Datenverarbeitung hinausgehen (wie Tracking oder (Re-)Targeting durch Dritte) braucht man eine Einwilligung, bevor die Verarbeitung stattfindet.

Dies ist insbesondere auch dann der Fall, wenn personenbezogene Daten an einen Dritten weitergegeben und von diesem zu eigenen Zwecken genutzt werden (also nicht als Auftragsverarbeiter) oder wenn die Übermittlung personenbezogener Daten in ein unsicheres Drittland nicht ausgeschlossen werden kann.

Wie holt man eine Einwilligung ein?

Eine gültige Einwilligung muss bestimmte Voraussetzungen erfüllen.

Je mehr Einwilligungen – für das Setzen von Cookies und/oder die Verarbeitung personenbezogener Daten, inklusive des möglichen Transfers in ein unsicheres Drittland – mithilfe eines einzigen Consent-Banners von den Nutzer:innen eingeholt werden sollen, umso schwieriger wird es für diese, den Überblick zu behalten und eine informierte Entscheidung zu fällen.

Einkaufen oder selber machen?

Viele der gängigen Tools zur Verwaltung von Einwilligungen beziehen sich nur auf das Setzen von Cookies. Eine Verarbeitung personenbezogener Daten, die ohne das Setzen von Cookies auskommt, für die man aber trotzdem eine Einwilligung braucht, wird darin nicht berücksichtigt. Auch lässt der Informationsgehalt oft zu wünschen übrig, da die Verarbeitung der personenbezogenen Daten – wenn überhaupt – nur sehr knapp erwähnt wird. Ist die Eingabe von individuellen Texten nicht möglich, so gibt es außerdem keine Möglichkeit, im Consent-Banner Angaben über die Nutzung der personenbezogenen Daten durch den Webseitenbetreiber selbst bereitzustellen. Eine informierte Entscheidung ist so kaum umsetzbar. Möglichkeiten, diesem Problem zu begegnen:

Versuchen Sie, Ihre Webseiten und die daran anknüpfenden Verarbeitungen so zu gestalten, dass Sie keine Einwilligungen benötigen. Vermeiden Sie zum Beispiel das Nachladen von Inhalten von externen Dienstleistern. Hosten Sie die Daten stattdessen möglichst selbst, z.B. Schriftarten oder Videos. Setzen Sie Links zu den Webseiten externer Dienstleister, statt deren Inhalte auf der eigenen Webseite nachzuladen, z.B. Stadtpläne. In diesem Fall sollte für die Nutzer:innen deutlich erkennbar sein, dass sie mit Anklicken des Links Ihre Webseiten – und somit Ihren Verantwortungsbereich – verlassen.
Holen Sie Einwilligungen möglichst erst dann ein, wenn ein Cookie tatsächlich gesetzt, bzw. eine Verarbeitung tatsächlich durchgeführt werden soll. Das ist z.B. der Fall, wenn ein Video abgespielt oder wenn ein Stadtplan angezeigt werden soll. So kann man die Einwilligungen, die beim Start der Webseite eingeholt werden müssen, reduzieren oder ganz darauf verzichten.
In manchen Fällen ist es einfacher und sinnvoller, ein individuelles Consent-Banner zu erstellen, bzw. vom Webdesigner erstellen zu lassen, um darin die geplanten Verarbeitungen zu beschreiben und zu begründen, warum man die Einwilligung gerne hätte. Hier genügt es meist, den Nutzer:innen die Auswahl zwischen Ja und Nein zu lassen.

Wenn verschiedene Einwilligungen beim Aufruf der Webseite eingeholt werden müssen, kommen die vorgenannten Möglichkeiten meist nicht in Betracht. Dann kann es sinnvoll sein, ein gängiges Consent-Tool zu verwenden. Hierbei ist folgendes zu beachten:

In Ihrem Tool sollten auch Verarbeitungen berücksichtigt werden können, für die kein Cookie erforderlich ist.
Erklär-Texte müssen individuell gestalten werden können.
Sie müssen konkret erklären, wofür Sie bestimmte Daten verarbeiten (lassen). Wenn Sie z.B. facebook Pixel einbinden, reicht es nicht zu schreiben, dass „ggf. soziale Medien“ oder „Drittanbieter zu Marketing-Zwecken“ eingebunden werden.
Sie müssen alle Verarbeitungen beschreiben – auch die, die ein Tool nicht automatisch erkennt bzw. erkennen kann.

Datenschutzfreundliches Layout

Um die Freiwilligkeit einer Einwilligung zu unterstützen, sollten Zustimmung und Ablehnung gleichwertig dargestellt werden. Eine unterschiedliche Darstellung (z.B. großer, grüner Knopf mit fetter Schrift für die Zustimmung und kleinerer, grauer Knopf mit blasser Schrift für die Ablehnung) stellen die Freiwilligkeit infrage.

Darüber hinaus sollte das Ablehnen genauso einfach möglich sein, wie das Zustimmen. Muss man im Consent-Banner erst eine Ebene tiefer gehen (Link anklicken, Tab wechseln, o.ä.), um alle einwilligungspflichtigen Cookies und Verarbeitungen abzulehnen, oder muss man alle Punkte einzeln ablehnen, während die pauschale Zustimmung auf der obersten Ebene mit einem einzigen Klick möglich ist, könnte das die Webseiten-Nutzer:innen dazu verleiten, die pauschale Zustimmung zu geben, statt die Mühe der Ablehnung auf sich zu nehmen.

Um den einfachen Widerruf gegebener Einwilligungen zu gewährleisten, sollte man das Consent-Banner, z.B. über einen Link im Footer o.ä., erneut aufrufbar machen oder eine separate Einwilligungsseite öffnen.

Wurde eine Einwilligung nicht über ein Consent-Banner eingeholt, sondern z.B. als 2-Klick-Lösung (s.u.) direkt bei einem einzubindenden Objekt (z.B. Video, Karte), so ist es sinnvoll, den Widerruf auf ähnliche Weise geltend machen zu können. Mögliche Lösungen sind der Mouseover-Effekts, der einen Knopf zur Bearbeitung erscheinen lässt, sobald man sich mit der Mouse auf dem Objekt bewegt (Hover-Effekt), oder ein Link unterhalb des Objekts, der zu den Datenschutz-Hinweisen oder einer separaten Einwilligungsseite führt.

Nach dem Widerruf muss die Webseite in den Zustand versetzt werden, in dem sie gewesen wäre, wenn die betreffende Einwilligung gar nicht erteilt worden wäre. Der Widerruf betrifft die zukünftige Verarbeitung, bereits stattgefundene Verarbeitungen müssen (und können meist auch) nicht rückgängig gemacht werden.

Typische Fehler

Oft sehen wir Webseiten, die Dinge nachladen, bevor die Einwilligung dafür eingeholt wurde. Vermeiden Sie diesen typischen Fehler: Ihre Webseite darf beim ersten Aufruf keine Inhalte nachladen/einbinden, für die eine Einwilligung eingeholt werden muss.
Banner die eine Einwilligung erfordern, jedoch nur ein "OK" anbieten, erfüllen die Voraussetzungen für eine gültige Einwilligung nicht, da sie keine Wahlmöglichkeit anbieten.
Soll ein Banner nur über das Setzen von Cookies, bzw. Verarbeitungen personenbezogener Daten, für die keine Einwilligung eingeholt werden muss, informieren (das ist möglich, aber nicht erforderlich), so braucht man dafür keine Bestätigung. In diesem Falls ist es sinnvoller, ein „Verstanden“ oder überhaupt keinen Bestätigungsknopf anzubieten.
Die Kenntnisnahme der Datenschutz-Hinweise muss in keinem Fall bestätigt werden. Um Missverständnissen vorzubeugen, sollte man auf ein solches Banner am besten ganz verzichten.

Sollte eine Datenschutzerklärung bestätigt werden?

Für das aktive Absenden einer Nachricht durch die Nutzer:innen – wie in einem Kontakt- oder Bewerbungsformular – braucht man keine „Häkchen“, mit denen eine Einwilligung zur Verarbeitung erteilt oder gar die „Datenschutzerklärung bestätigt“ wird. Der Wille zur Kontaktaufnahme und der damit verbundenen Verarbeitung der selbst eingegebenen personenbezogenen Daten wird durch das Absenden der Nachricht bekundet.
Es sollte jedoch eine kurze Erklärung unterhalb des Formulars stehen, wie und wofür die eingegebenen Daten (ausschließlich) verwendet werden, ergänzt durch einen Link zur ausführlicheren Erläuterungen, i.d.R. den Datenschutzhinweisen.
Nur wenn eine Verarbeitung der personenbezogenen Daten geplant ist, die über das Erwartbare hinausgeht (s.o.), muss auch in diesem Fall eine Einwilligung für diese Verarbeitung eingeholt werden (z.B. die Nutzung der eingegebenen E-Mail-Adresse zum Versenden von Werbung).

zurück zur Übersichtseite

Lizenz: CC BY-SA 4.0 DE = darf kommerziell verwendet werden, wenn Sie auf diese Seite verlinken.
Stand: 30.08.2023. Wir freuen uns aber über fachliche Anmerkungen und Verbesserungsvorschläge.