Website

Cookie-Consent DSGVO-konform umsetzen

Bereits im Herbst letzten Jahres (EuGH, 1.10.2019) hat der Europäische Gerichtshof entschieden, dass vor dem Setzen eines Cookies die Zustimmung des Website-Besuchers eingeholt werden muss. Dies gilt explizit AUCH für Google Analytics. Anfangs wurde die DSGVO ja noch so interpretiert, dass die Nutzung von Google Analytics (mit anonymize_ip) auch ohne User-Consent als zulässig galt.

Ich schätze, dass aktuell 99% aller Websites Cookies nicht rechtskonform nutzen.

Cookie-Banner wie diesen, der natürlich nicht die notwendigen Vorgaben erfüllt, findet man noch häufig. Eine korrekte Umsetzung der Consent-Pflicht ist aktuell offensichtlich noch die Ausnahme.

Was ist (nicht) zu tun?


Von meinen Recherchen und Gesprächen mit Datenschutzexperten leite ich, ohne Gewähr, folgende Regeln ab:

  1. Cookies dürfen erst dann gesetzt werden, sobald der Besucher zugstimmt hat. Das heißt, bei einem Erstbesuch auf einer Website dürfen zunächst keine Cookeis gesetzt werden.
  2. Wenn der Besucher der Verwendung von Cookies nicht zustimmt, darf er nicht am Besuch der Website gehindert werden.
  3. Bei einem Auswahlformular mit Cookie-Kategorien, dürfen keine Kontrollkästchen vorangehakt sein.
  4. Die Auswahl darf nicht irreführend sein. Keine Tricksereien! Ein großer grüner Button mit "Alle zustimmen" und daneben irgedwo ein winziger Text mit "Ablehnen" ist nicht erlaubt.
  5. Der Banner muss einen Hinweis und Link auf die Datenschutzerklärung enthalten.
  6. Die Datenschutzerklärung muss über die Verwendung von Cookies aufklären und über Möglichkeiten diese zu löschen, bzw. zu blockieren, informieren.
  7. Ein Widerruf der Zustimmung bzw. eine Änderung der Cookie-Einstellungen muss dem Besucher jederzeit möglich sein.

Konforme Cookie-Consent Banner


Folgendes Beispiel zeigt den Cookie-Banner des EuGH:

Dieser ist von der Funktionalität schlicht gehalten. Es gibt nur zwei Möglichkeiten: "Cookies akzeptieren" und "Cookies ablehnen". Hierbei wird nicht getrickst, beide Schaltflächen sind gleichwertig.

Allerdings: Der angegebene Link informiert zwar ausführlich über die verwendeten Cookies. Es werden auch Wege angegeben, wie man Cookies verwaltet, z. B. über Browsereinstellungen. Eine einfache und schnelle Möglichkeit die Cookie-Einstellungen anzupassen, habe ich aber nicht gefunden. Das ist eindeutig verbesserungswürdig.


Widerruf und nachträgliche Änderungen der Einstellungen


The Times setzt das Thema Widerruf und nachträgliche Anpassung der Cookie-Einstellungen deutlich besser um:

Über einen (zugegeben etwas dezent gehaltenen) Link im Footer-Bereich wird das Cookie-Popup wieder geöffnet und der Besucher kann somit jederzeit seine Cookie-Einstellungen anpassen.