Noch mehr Keksis: Cookie Banner - Kaffee&Kipferl

The good, the bad and the ugly

Jeder kennt sie, die wenigsten mögen sie - die Rede ist natürlich von Cookie Bannern, die entweder von oben nach unten auf eine Landing Page wandern, mehr oder weniger nervtötend am unteren Bildrand festgetackert sind oder überhaupt direkt in der Mitte einer Startseite platziert werden, sodass sie kaum ignoriert werden können. Hinzukommt ein mehr oder weniger aussagekräftiger Begleittext und entweder zu wenige oder zu viele Buttons auf dem ersten Layer des Popups.

Cookie Banner sind jedenfalls immer dann gut sichtbar zu platzieren, wenn Cookies gesetzt werden sollen, die nur nach einer Einwilligung des/der User*in aktiviert werden dürfen (also Cookies, die als "nicht unbedingt technisch notwendig" angesehen werden, wie Marketing-, Performance-, Tracking-, Preference- und ähnliche Cookies, deren Fokus im Wesentlichen auf dem Tracking des User*innenverhaltens liegt).

The good

Hier möchte ich Ihnen gerne Anleitungen und Guidances zur Verfügung stellen, die Ihnen dabei behilflich sein können zu erkennen, was ein "guter" Cookie Banner ist und worauf zu achten ist, um einen solchen "guten" Cookie Banner einzurichten:

Wesentlich ist die grundsätzliche Vorgabe, wie Einwilligungen nach Art 4 Z 11 DSGVO rechtswirksam zustande kommen:

Freiwilligkeit - User*innen sollten ohne äußeren Druck oder ein freundliches "Animieren" selbst Einwilligung erteilen, somit ist alles, was in Richtung "Nudging" geht, in diesem Zusammenhang keine gute Idee. EDSA erklärt dies in seiner Guidance zum Thema "Social Media Dark Patterns" unter dem Titel "Deceptive Sugness" sehr übersichtlich (S. 22 f).

In informierter Weise - die Informationen, die vom Website-Betreiber (der letztlich auch die Cookies verantwortet) gegeben werden, sollten in einer Sprache verfasst sein, sodass auch Nicht-Digital-Marketing-Natives verstehen können, wofür gerade um Einwilligung gebeten wird.

Unmissverständlich abgegebene Willensbekundung - Schweigen ist keine Zustimmung.

Widerruf der Einwilligung - dies muss genauso einfach möglich sein wie die Erklärung der Einwilligung selbst. Widerruf-Buttons oder Ähnliches sollten daher nicht irgendwo auf der Seite versteckt werden, sondern leicht auffindbar sein. Ein "Nein" ist übrigens ein "Nein", "wollen Sie das wirklich" und Ähnliches, das einem Insistieren auf einen Widerruf gleichkommt, ist nicht zulässig.

Übrigens: Wenn Sie auf Ihren Seiten ausschließlich unbedingt technisch notwendige Cookies setzen, ist nach Ansicht der österreichischen Datenschutzbehörde kein Cookie Banner erforderlich (was zum Beispiel der Grund ist, warum Sie auf diesen Seiten keinen sehen werden, ich habe keine einwilligungspflichtigen Cookies aktiviert) - Informationen müssen Sie natürlich auch über technisch notwendige Cookies bereitstellen, diese können Sie zB in eine Website Privacy Notice packen.

Hier finden Sie weiterführende Anleitungen:

EDSA Guidance zu Social Media Dark Patterns - und einer Zusammenfassung von best practices auf den letzten beiden Seiten des Dokuments
Bericht der Cookie Banner Taskforce zu festgestellten schlechten Praktiken
FAQs der österreichischen Datenschutzbehörde zu Cookies
Website der Niederländischen Datenschutzbehörde mit grafischen Beispielen zum besseren Verständnis

The bad - and the ugly

Hier ein kleines "Best Of" von Cookie Bannern, die mir in der jüngeren Vergangenheit untergekommen sind, an denen die Planet 49-Entscheidung des EuGH oder andere relevante Judikatur offenbar spurlos vorbeigegangen sind:

Einwilligungspflichtige Cookies sind bereits aktiv, obwohl noch gar keine Einwilligung gegeben wurde.
Der "Alles annehmen"-Button ist farblich deutlich hervorgehoben, während der "Alles ablehnen"-Button buchstäblich mit dem Hintergrund der Website verschmilzt - im Zweifel ist hier nicht davon auszugehen, dass eine rechtskonforme Einwilligung abgegeben werden kann.
Cookie Banner, die gar nicht erst nach Einwilligung fragen, sondern nur mitteilen, dass weiteres Surfen als Einwilligung gewertet wird. Oder Cookie Banner, die eine Einwilligung forcieren, weil sonst die Website nicht angezeigt wird (entweder weil die Website nicht zugänglich ist oder weil der Banner so lange mittig auf der Seite bleibt, auch wenn man bereits abgelehnt hat, bis man irgendwann doch auf "Annehmen" klickt).
Tickboxen, die bereits vorangetickt sind - am besten sehr viele in einer sehr langen Liste, sodass man sich wirklich mühsam durch jede einzelne Aufzählung durcharbeiten muss. Hier möchte ich auch auf die Praxis hinweisen, dass Marketing-Cookies zusätzlich mit einem berechtigten Interesse nach Art 6 Abs 1 lit f DSGVO gerechtfertigt werden sollen, sodass man nicht nur sicherstellen muss, keine Einwilligung zu erteilen, sondern für jede Verarbeitungstätigkeit zusätzlich Widerspruch zu erheben (und entsprechend viele Regler zu verschieben oder Häkchen zu entfernen). Diese Praxis sieht die Cookie Banner Taskforce übrigens sehr kritisch.
Es gibt gar keinen "Ablehnen"-Button auf der ersten Ebene, sondern nur einen kryptischen "more"- oder "further information"-Button, wo nicht auf den ersten Blick klar ist, dass man über diesen zu einer Ablehn-Funktion kommt.

Übrigens, für den Fall, dass Sie Cookies von Vornherein in Ihrem jeweiligen Browser deaktivieren möchten, finden Sie hier eine Anleitung, die die gängigsten Anbieter abdeckt.