Cookies sind Informationen, die für eine bestimmte Zeit im Browser gespeichert werden und unter anderem das Surfverhalten von Nutzerinnen und Nutzern nachvollziehbar machen. Werden Cookies dazu genutzt, die Seitenaufrufe zu tracken, funktioniert dies vereinfacht gesagt so: Ein Analysetool wie z.B. Google Analytics setzt mehrere Cookies, von dem einer oder mehrere eine Identifiikationsnummer enthalten. Dabei handelt es sich um eine einzigartige Zeichenfolge, über die der Browser und damit eine Nutzerin bzw. ein Nutzer beim Aufruf einer Seite eindeutig identifiziert werden kann. 

Ein Beispiel hierfür ist bei Google Analytics der Cookie mit der Bezeichnung „_ga“. Dieser enthält als Wert zufällig generierte Ziffern, durch die wiederkehrende Nutzerinnen und Nutzer auf dieser Website wiedererkannt werden, wobei Google Analytics die Daten mit denen früherer Besuche zusammenführt.

Es gibt grundsätzlich viele verschiedene Arten, Cookies einzusetzen (zum Speichern des Warenkorbes oder einer vorher ausgewählten Sprache), hier handelt es sich dann um technisch notwendige Cookies, ohne die die entsprechende Seite nicht einwandfrei funktioniert. 

Allerdings kann durch Cookies auch ein umfangreiches Nutzerprofil generiert werden, das vor allem für personalisierte Werbung interessant ist. Nutzerinnen und Nutzern merken dies oft dadurch, dass Ihnen auf anderen Webseiten und Geräten häufiger Werbung von Shops angezeigt wird, die sie besucht haben oder von Artikeln, nach denen sie gesucht haben. 

Ein Cookie-Banner ist nicht erst seit Inkrafttreten der DSGVO notwendig. Nutzerinnen und Nutzer müssen im Einzelnen darüber informiert werden, welche Cookies wozu benutzt werden, welche Daten erhoben werden und es muss Ihnen die Option geboten werden, die Nutzung nicht notwendiger Cookies vollständig zu deaktivieren. Zudem besteht eine Verpflichtung, für die Funktion der Webseite nicht zwingend notwendige Cookies eine Einwilligung einzuholen. Vor allem Cookies, mit denen das Verhalten auf einer Webseite nachvollzogen werden kann, sind nur zulässig, wenn eine entsprechende Einwilligung vorliegt. 

Cookie-Banner sollen diese Anforderungen erfüllen, wobei viele Webseiten noch immer keine Banner nutzen, die eine Zustimmung des Nutzers bzw. der Nutzerin abfragen, bevor sie Cookies setzen. Dies aber ist nicht ausreichend, wie wir schon an anderer Stelle geschrieben haben (https://www.einfach-abmahnsicher.de/blog/anforderungen-an-die-rechtskonforme-gestaltung-von-cookie-bannern). 

Ein weiteres Problem bei Cookie-Bannern: Viele Nutzerinnen und Nutzer bestätigen momentan einfach alle Cookies, da das Ablehnen von Cookies, die für den Betrieb der Webseite nicht notwendig sind, teilweise eine Vielzahl an Klicks erfordert. Manche Unternehmen listen einfach sämtliche Cookies auf, für die die Zustimmung dann jeweils separat verweigert werden muss. Teilweise sind die vom Unternehmen gewünschten Optionen bereits vorausgewählt. 

 Der Cookie-Banner muss beim ersten Webseitenbesuch angezeigt werden und Nutzerinnen und Nutzern genau informieren, welche Cookies genutzt werden. Der EuGH hat in einem Urteil aus 2019 festgelegt, dass eine ausdrückliche Cookie-Einwilligung eingeholt werden muss. Wichtig ist, dass sämtliche Cookies ebenfalls in der Datenschutzerklärung zu finden sein müssen. 

 Vor der Einwilligung von Nutzerinnen und Nutzern dürfen keine Daten erhoben werden. Auch sollte darauf geachtet werden, dass das Cookie-Banner nicht den Link zum Impressum oder zur Datenschutzerklärung verdeckt. 

Noyb fordert, dass Anwenderinnen und Anwender eine klare Wahlmöglichkeit zwischen „Ja“ und „Nein“ haben müssen, da dies auch von der Datenschutz-Grundverordnung (DSGVO) so vorgesehen sei. Die dafür von Noyb entwickelte Software kann automatisch die Cookie-Banner untersuchen und Beschwerden generieren. Noyb hat bereits Facebook, Google und Twitter ins Visier genommen und will nun die 10.000 meistbesuchten Webseiten in Europa prüfen. Dabei handelt Noyb nach eigenen Angaben ohne Gewinnerzielungsabsicht, sodass mit der Aufforderung an sich für die Unternehmen auch keinerlei Kosten entstehen. Es handelt sich hierbei daher auch nicht um eine „echte“ Abmahnung. 

Dabei bezieht sich Noyb auf eine Vielzahl von gängigen Cookie-Banner Gestaltungsmethoden, die nicht den Erfordernissen der DSGVO entsprechen sollen. So zum Beispiel: 

 In der DSGVO ist keine ausdrückliche Regelung zum Thema Cookies enthalten. Der EuGH geht aber, wie oben bereits erwähnt, von einer Notwendigkeit der ausdrücklichen Einwilligung von Nutzerinnen und Nutzern aus, sofern die Verwendung von Cookies für das Angebot nicht unbedingt erforderlich ist.
 
 Die DSGVO regelt allerdings, dass Daten auch zu Werbezwecken verarbeitet werden können, wenn ein „berechtigtes Interesse“ vorliegt (Artikel 6 Abs. 1 Buchst. f) DSGVO). Das Interesse von Unternehmen, auf ihrer Webseite Daten zum Zwecke zielgerichteter Werbung zu verarbeiten, muss daher im Rahmen einer Interessenabwägung berücksichtigt werden, allerdings ebenso wie der Grundsatz der Datensparsamkeit und die Erwartungen der Nutzerinnen und Nutzer in Bezug auf den Schutz Ihrer personenbezogenen Daten.
 
 In Arikel 5 Abs. 3 der ePrivacy-Richtlinie ist festgelegt, dass Nutzerinnen und Nutzer „klare und umfassende Informationen insbesondere über den Zweck der Verarbeitung“ erhalten und über Ihr Recht zur Verweigerung der Datenverarbeitung hingewiesen werden.

Eine endgültige gesetzliche Regelung auch in Bezug auf Cookie-Banner verspricht die E-Privacy Verordnung, sie muss anders als die entsprechende Richtlinie nach Inkrafttreten nicht mehr in nationales Recht umgesetzt werden, sondern gilt sofort in allen Mitgliedsstaaten. Diese können sich allerdings seit Jahren nicht auf einen gemeinsamen Kurs einigen, weswegen das Bundesministerium für Wirtschaft und Energie einen Gesetzesentwurf für ein „Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien“ (TTDSG) vorgelegt hat. Dieses wurde am 20.05.2021 vom Bundestag beschlossen.
 
Der Gesetzesentwurf sieht aktuell vor, dass Cookie-Banner künftig deutlich einfacher gestaltet sein müssen. Sie sollen unter anderem „nutzerfreundliche und wettbewerbskonforme Verfahren und technische Anwendungen zur Einholung und Verwaltung der Einwilligung haben“ (§ 26 Abs. 1 Nr. 1 TTDSG-E). Künftig sollen Dienste, die diesen Anforderungen entsprechen, von einer unabhängigen Stelle anerkannt werden können. Welche Verfahren „nutzerfreundlich und wettbewerbskonform“ sind, soll die Bundesregierung dazu in einer Rechtsverordnung regeln können.
 

 
Wenn es sich um eine „Abmahnung“ von Noyb handelt, dann haben Sie einen Monat lang Zeit, um Ihre Cookie-Banner entsprechend anzupassen, bevor Noyb bei den zuständigen Datenschutzbehörden eine offizielle Beschwerde einreicht. Für die Änderung der Cookie-Banner bietet Noby auch einen entsprechenden Guide für das Tool „OneTrust“ auf Englisch an. Wenn Sie sich unsicher sind, wie Sie Ihre Cookie-Banner rechtskonform gestalten, sollten Sie eine Anwältin oder einen Anwalt für Datenschutz zurate ziehen.

Auch ohne bereits erfolgte Abmahnung ist eine Überprüfung Ihrer Cookie-Banner ratsam, da bei fehlerhaften Cookie-Bannern jederzeit eine Beschwerde an die zuständige Datenschutzbehörde erfolgen kann und Sie so ein Bußgeld riskieren. Darüber hinaus können Sie Besucherinnen und Besuchern Ihrer Webseite, die von dem Problem schon einmal gehört haben, das gute Gefühl geben, dass Sie sich um den Schutz ihrer Daten kümmern.