Cookie Banner: Alles, was du über DSGVO-Konformität auf deiner Website wissen musst

Wenn du eine Website erstellen willst oder bereits eine besitzt, ist mittlerweile gängige Praxis für, personenbezogene Daten durch Cookies zu erheben. Bei Websites mit Datenverkehr in Europa schreiben jedoch sowohl die Datenschutz-Grundverordnung (DSGVO) als auch das Telemediengesetz (TTDSG) die Einwilligung der Nutzer:innen in die Verwendung von Cookies vor, in der Regel durch die Implementierung von Cookie Bannern. 

In diesem Artikel befassen wir uns mit der Frage, was Cookie Banner sind, ihrem rechtlichen Hintergrund und den Anforderungen an eine DSGVO-konforme Nutzereinwilligung.

Falls du noch keine Website besitzt, findest du hier eine Anleitung zur Homepage-Erstellung. 

Was ist ein Cookie Banner?

Ein Cookie Banner ist ein Hinweis, der auf einer Website zur Information der Besucher:innen bezüglich der Verwendung von Tracking-Technologien eingeblendet wird. Auf diese Weise wird die Einwilligung der Besucher:innen in die Erhebung ihrer personenbezogenen Daten eingeholt. 

Aus rechtlicher Sicht sind Cookie Banner, auch bekannt als Consent-Banner, für die Einhaltung von Datenschutzgesetzen wie der Datenschutz-Grundverordnung (DSGVO) und dem Telemediengesetz (TMG) in Deutschland unerlässlich.

Die gesetzlichen Grundlagen für Consent-Banner ergeben sich aus der in der DSGVO enthaltenen Bestimmung, dass vor der Verarbeitung personenbezogener Daten die ausdrückliche Einwilligung der Nutzer:innen eingeholt werden muss. Dies umfasst auch Technologien zum Tracking und zur Datenerhebung. 

Das Telemediengesetz in Deutschland verpflichtet außerdem zur Bereitstellung klarer und umfassender Informationen für Nutzer:innen über die Verwendung von Trackern und über das Recht, eine Einwilligung zu erteilen oder zu verweigern.

Consent-Banner leisten einen wichtigen Beitrag zur Transparenz und zur Kontrolle der Nutzer:innen über ihre personenbezogenen Daten und stehen im Einklang mit den Grundsätzen des Datenschutzes, wie sie in der DSGVO und anderen einschlägigen Datenschutzgesetzen dargelegt sind.

Anforderungen an Cookie Banner in Europa

Als Rechtsgrundlage für Consent-Banner dient in erster Linie die DSGVO, die am 25. Mai 2018 in Kraft getreten ist. Nach Maßgabe der DSGVO müssen Websites die ausdrückliche Einwilligung der Nutzer:innen einholen, bevor deren personenbezogene Daten, einschließlich der mittels Tracking-Technologien erhobenen Daten, erfasst oder verarbeitet werden.

Ergänzend zur DSGVO wird der Einsatz von Tracking-Technologien auch durch die ePrivacy-Richtlinie umfassend geregelt. Nach deren Maßgabe sind die Nutzer:innen über die Verwendung von Online-Trackern zu informieren und müssen ihre Einwilligung erteilen, bevor diese auf ihren Geräten platziert werden.

Einwilligungsanforderungen gemäß der DSGVO

Gemäß der DSGVO müssen folgende Anforderungen an eine Einwilligung erfüllt sein:

• Freiwillig erteilt werden: Die Nutzer:innen müssen eine echte Wahlmöglichkeit haben, die Datenverarbeitung zu akzeptieren oder abzulehnen.

• Zweckgebunden erteilt werden: Die Einwilligung muss für einen bestimmten Zweck erteilt werden, wobei die Nutzer:innen darüber informiert werden müssen, worin sie einwilligen.

• Informiert erteilt werden: Die Nutzer:innen müssen klare und umfassende Informationen über die erhobenen Daten und deren Zweck erhalten.

• Eindeutig sein: Die Einwilligung erfolgt durch eine eindeutige bestätigende Handlung, z. B. durch Anklicken eines Buttons „Akzeptieren“ auf dem Consent-Banner.

Weitere Informationen findest du hier: Das musst du bei der Erstellung einer DSGVO-konformen Datenschutzerklärung für deine Website beachten

Anforderungen des TTDSG an Cookie-Consent-Banner und die Einholung von Einwilligungen 

Das Telekommunikations- und Telemediendatenschutzgesetz (TTDSG) ist ein am 1. Dezember 2021 in Kraft getretenes deutsches Gesetz. Darin werden die datenschutzrechtlichen Anforderungen an Telekommunikations- und Telemediendienste zusammengefasst und auf dem aktuellen Stand gehalten. Im Vordergrund steht dabei der Schutz der Privatsphäre bei der Nutzung von Endgeräten, unabhängig davon, ob ein Personenbezug besteht oder nicht. Werden keine personenbezogenen Daten verarbeitet, findet nur das TTDSG Anwendung, nicht die DSGVO.

Gemäß den von der deutschen Datenschutzkonferenz veröffentlichten Leitlinien zur Anwendung des TTDSG muss für die Speicherung von Informationen auf dem Gerät der Nutzer:innen und/oder den Zugriff auf gespeicherte Informationen die Einwilligung der Nutzer:innen eingeholt werden.

Eine Einwilligung im Sinne des TTDSG und der DSGVO kann durch eine einzelne Handlung eingeholt werden. Dies setzt allerdings voraus, dass der Nutzer oder die Nutzerin umfassend über alle Zwecke informiert wird, zu denen die Daten verarbeitet werden, wobei klar erkennbar sein muss, dass diese einzige Handlung zwei Einwilligungen beinhaltet.

Braucht jede Website ein Cookie Banner?

Nicht jede Website benötigt ein Consent-Banner. Dies hängt von den spezifischen Datenschutzgesetzen und -vorschriften ab, die in den betreffenden Regionen, in denen sich die Besucher:innen der Website befinden, zur Anwendung kommen. Wenn es aber um die Art der Website geht, egal ob Blog oder Portfolio, musst du mit den Vorschriften konform sein. Im Folgenden findest du einige wichtige Punkte, die du beachten solltest:

Europäische Union (EU)

Bei Websites, die von Personen aus der EU besucht werden, müssen die Datenschutz-Grundverordnung (DSGVO) und die ePrivacy-Richtlinie eingehalten werden. Diese Verordnungen schreiben vor, dass Websites die ausdrückliche Einwilligung der Nutzer:innen einholen müssen, bevor sie Tracking-Technologien auf deren Geräten platzieren. Daher ist ein Consent-Banner für Websites, die von Personen aus der EU besucht werden, erforderlich.

Ohne Consent-Banner besteht die Gefahr, dass die Vorschriften nicht eingehalten werden, was zu erheblichen Geldstrafen und einer Imageschädigung der Website führen kann. Verstöße gegen die DSGVO können zu Geldstrafen von bis zu 4 % des weltweiten Jahresumsatzes des Unternehmens oder 20 Millionen Euro führen, je nachdem, welcher Betrag höher ist.

Kalifornien

Der California Consumer Privacy Act (CCPA) verpflichtet Betreiber:innen von Websites, ihre Nutzer:innen über die Praktiken der Datenerhebung zu informieren und ihnen die Möglichkeit zu geben, dem Verkauf personenbezogener Daten zu widersprechen. Obgleich die Verwendung eines Consent-Banners nicht ausdrücklich vorgeschrieben ist, gehört es zur allgemeinen Vorgehensweise, ein solches zu platzieren, um den CCPA zu erfüllen.

Andere Regionen

Viele andere Länder und Regionen wenden eigene Datenschutzgesetze an, die möglicherweise eine Einwilligung zum Online-Tracking vorschreiben. Das General Data Protection Law (LGPD) in Brasilien und der Personal Information Protection and Electronic Documents Act (PIPEDA) in Kanada enthalten zum Beispiel ähnliche Vorschriften.

Globale Best Practices

Selbst wenn die Besucher:innen deiner Website nicht aus Regionen mit strengen Datenschutzgesetzen kommen, kann die Implementierung eines Consent-Banners hilfreich sein, um die Transparenz und das Vertrauen der Nutzer:innen zu stärken.

Notwendige und nicht notwendige Online-Tracker

Wenn es um die Einwilligung der Besucher:innen geht, ist eine Unterscheidung zwischen notwendigen und nicht notwendigen Online-Trackern wichtig. 

Notwendige Online-Tracker:

• Definition: Meistens handelt es sich um Technologien deiner eigenen Website („Erstanbieter“), die für deren grundlegende Funktion unerlässlich sind. Dabei handelt es sich zumeist um Session-Tracker, die nur für die Dauer des Besuchs auf deiner Seite erforderlich sind und für Kernfunktionen wie Sicherheit, Netzwerkmanagement und Zugänglichkeit verantwortlich sind. Ohne sie würde die Website nicht richtig funktionieren.

• Beispiele: Session-Tracker, Authentifizierungs-Tracker und Tracker, die sich die Artikel im Warenkorb merken.

• Gesetzliche Verpflichtungen zur Einwilligung: Nur unbedingt notwendige Tracking-Technologien können in eine sogenannte Whitelist aufgenommen werden, um von den Einwilligungspflichten nach DSGVO und TTDSG ausgenommen zu werden. Die Nutzer:innen müssen jedoch durch eine Datenschutzrichtlinie über deren Verwendung und Zweck informiert werden.

Nicht notwendige Online-Tracker:

• Definition: Tracker, die für das Funktionieren der Website nicht unbedingt erforderlich sind, dienen lediglich der Verbesserung des Nutzererlebnisses, der Erhebung von Analytics-Daten oder der Schaltung personalisierter Werbung.

• Beispiele: Analytics-Tracker, Werbe-Tracker und Social-Media-Tracker oder Pixel.

• Gesetzliche Verpflichtungen zur Einwilligung: Gemäß der DSGVO und dem TTDSG erfordern nicht notwendige Online-Tracker die ausdrückliche Einwilligung der Besucher:innen, bevor sie auf dessen Gerät platziert werden können. Diese Einwilligung muss informiert erfolgen, freiwillig erteilt werden sowie zweckgebunden und eindeutig sein. Zusätzlich muss den Nutzer:innen die Möglichkeit gegeben werden, ihre Einwilligung jederzeit zu widerrufen, ohne negative Konsequenzen befürchten zu müssen.

Warum ist ein Cookie Banner allein nicht ausreichend?

Ein Consent-Banner allein genügt nicht zur Einhaltung der DSGVO, da es die Nutzer:innen lediglich über die Tracker-Nutzung informiert, ohne die Komplexität der Einholung, Speicherung und Dokumentation wirksamer Einwilligungen zu berücksichtigen. An dieser Stelle kommen sogenannte Consent Management Platforms (CMPs) ins Spiel. 

Was sind Consent Management Platforms (CMPs)?

Es handelt sich dabei um Tools, mit denen Websites die Einhaltung von Datenschutzvorschriften wie der DSGVO und der ePrivacy-Richtlinie gewährleisten können. CMPs spielen hierbei eine entscheidende Rolle:

1. Automatisierte Erhebung der Einwilligung: CMPs zeigen ein Consent-Banner an, das an verschiedene Datenschutzgesetze und Geräte angepasst werden kann, z. B. Websites, Apps, Mobile Games oder sogar vernetzte TV-Apps, und das die ausdrückliche Einwilligung des Nutzers oder der Nutzerin durch bestätigende Aktionen wie das Anklicken eines Buttons „Ich stimme zu“ erhebt.

2. Ermöglichung der Einhaltung von Datenschutzvorschriften: CMPs scannen Ihre Website automatisch, um Online-Tracker zu erkennen, und stellen sicher, dass diese bis zur Einwilligung der Nutzer:innen blockiert werden.

3. Speicherung und Dokumentation der Einwilligung: CMPs bewahren den Einwilligungsnachweis sicher auf, sodass sie für Audits zur Verfügung stehen und die Besucher:innen ihre Einwilligung problemlos aktualisieren oder widerrufen können.

4. Schaffung von Transparenz: CMPs informieren detailliert über Tracking-Technologien und stärken so das Vertrauen der Nutzer:innen und die Transparenz.

Wie kannst du deine Wix-Website DSGVO-konform gestalten?

Damit deine Wix-Website DSGVO-konform ist, müssen bestimmte Kriterien und Best Practices des Consent Managements eingehalten werden. Wie bereits erwähnt, muss die Einwilligung freiwillig, zweckgebunden, informiert und eindeutig erteilt werden. Die Nutzer:innen sollten also ganz genau wissen, worin sie einwilligen. Und sie müssen ihre Einwilligung durch eine eindeutige, bestätigende Aktion erteilen.

Zudem muss den Besucher:innen die Möglichkeit gegeben werden, ihre Einwilligung jederzeit zu widerrufen, ohne negative Konsequenzen befürchten zu müssen.

Wenn deine Wix-Website personenbezogene Daten von Besucher:innen verarbeitet, was bei den meisten der Fall ist, dann musst du diese Einwilligung datenschutzkonform verwalten. Da jede Seite ein Unikat ist, liegt es an jedem Website-Besitzer oder jeder Website-Besitzerin, sicherzustellen, dass seine Seite die Vorschriften der DSGVO erfüllt.

Die Einhaltung der DSGVO auf Ihrer Wix-Website wird mit der Cookiebot™ for Wix by Usercentrics App wesentlich einfacher. Die App kann ganz einfach über den Wix Marketplace installiert und an das Erscheinungsbild deiner Seite und die Anforderungen der Datenschutzvorschriften angepasst werden. Das automatische Scan-Feature der App unterstützt dich dabei, die Einhaltung der Datenschutzvorschriften auf dem aktuellen Stand zu halten, und bietet sogar Hilfestellung bei deinen Datenschutz- und Cookie-Richtlinien.

Tipps für ein effektives und benutzerfreundliches Cookie Banner

Bei der Entwicklung eines effektiven und benutzerfreundlichen Banners könnten die folgenden Tipps hilfreich sein:

• Kommuniziere den Zweck des Banners und die Verwendung von Online-Trackern klar und deutlich.

• Erkläre den Prozess der Einwilligung in einfacher und verständlicher Sprache.

• Biete den Nutzer:innen die Möglichkeit, bestimmte Tracker-Kategorien zu akzeptieren oder abzulehnen.

• Das Banner sollte für Nutzer:innen, die ihre Einwilligung nicht erteilen wollen, leicht abwählbar sein.

Einrichtung von Cookiebot™ for Wix by Usercentrics 

Die Erstellung eines DSGVO-konformen Consent-Banners auf deiner Wix-Website ist mit der Cookiebot™ for Wix by Usercentrics App ganz einfach. Hier findest du eine schrittweise Anleitung, die dir dabei hilft, die Vorschriften einzuhalten:

1. Installiere die Cookiebot™ for Wix by Usercentrics App aus dem Wix Marketplace und klicke auf den blauen Button Hinzufügen. 

2. Lies dir sich die Nutzungsbedingungen durch und klicke dann auf den Button Zustimmen und hinzufügen.

3. Du benötigst ein aktives Premium Cookiebot™-Paket. Klicke also auf den blauen Button App auf Premium upgraden und dann auf den blauen Button Wählen, um das Premium-Paket auszuwählen.

4. Klicke auf das von dir gewünschte Paket – monatlich oder jährlich – und dann auf den blauen Button Weiter zur Kasse.

5. Füge die Konto- und Zahlungsinformationen für deine gewünschte Zahlungsmethode hinzu und klicke dann auf den Button Weiter mit ....

6. Der erste Scanvorgang auf deiner Wix-Website startet automatisch, um die von dir genutzten Komponenten, Tracking-Technologien und Drittanbieter-Apps zu ermitteln.

7. Der Scanvorgang dauert nicht lange. Nach einigen Augenblicken kannst du auf den Button Scanbericht anzeigen, klicken und dir die Ergebnisse anzeigen lassen.

8. Im Scan-Bericht sind alle Komponenten, Tracker und Apps aufgeführt, die personenbezogene Daten erfassen, sowie deren Compliance-Status, z. B. ob sie gesperrt sind, bis die Nutzer:innen ihre Einwilligungen erteilen. Das ist vielleicht noch nicht der Fall, aber darum kümmern wir uns als Nächstes.

9. Nun erfolgt die Einrichtung deines Consent-Banners, das den Besucher:innen auf deiner Wix-Website angezeigt wird. Unter dem Tab Consent Banner kannst du das Layout, das Thema, die Farben und weitere Elemente anpassen, um ein Banner zu erstellen, das zu dem Erscheinungsbild deiner Website passt. Du kannst auch die Anzeigesprachen und andere Features anpassen, um ein optimales Nutzererlebnis zu gewährleisten.

10. Denke auch an die Konfiguration hinter den Kulissen, um einzustellen, wie die CMP die Aktivierung der Komponenten, Tracker und Drittanbieter-Apps verwaltet, um Datenschutzkonformität zu erreichen.

11. Wenn du mit deinen Einstellungen zufrieden bist, klicke auf den Button Speichern.

12. Aktiviere das Consent-Banner, indem du den Slider Banner aktivieren, nach rechts schieben und dieser blau erscheint. Fertig! Mit deinem Banner können Besucher:innen ihrer Wix-Website nun rechtsgültig Einwilligungen in Bezug auf den Zugriff auf ihre personenbezogenen Daten erteilen. Damit erreichst du auf deiner Website sowohl DSGVO- als auch ePrivacy-Konformität.

Hier geht es zum Anleitungsvideo (Englisch)

Fazit zu Cookie Banners

Um die Einhaltung der Datenschutzvorschriften zu gewährleisten, ist die Implementierung eines DSGVO-konformen Consent-Banners unerlässlich. 

Ein Verständnis der gesetzlichen Bestimmungen und die Nutzung von Consent Management-Lösungen wie der Cookiebot™ for Wix by Usercentrics App erleichtern die Einhaltung der DSGVO auf deiner Wix-Website.

Diese Artikel könnten dich auch interessieren: 

• Trusted Shops Rechtstexter: Erstelle abmahnsichere Rechtstexte für deine Wix Website

• Impressum Website – Was muss im Impressum stehen?

Felipe Iregui

Global Director of Platform Partnerships bei Usercentrics