Die Datenschutzgrundverordnung erlaubt den Einsatz von Tracking-Tools wie Google Analytics, bei denen Daten von Nutzern an Dritte übertragen werden nur auf der Grundlage einer Einwilligung. Aber nicht jedes Cookie-Banner erfüllt die rechtlichen Anforderungen. Wir geben einen Überblick, was Sie tun müssen, um wirksame Einwilligungen einzuholen.

Cookies erst setzen, nachdem der Nutzer eingewilligt hat


Es versteht sich eigentlich von selbst: Die Einwilligung ist die Voraussetzung für den Einsatz von Tracking-Cookies. Daher dürfen einwilligungsbedürftige Cookies erst gesetzt werden, wenn die Einwilligung des Nutzers eingeholt wurde.

Dennoch werden auf vielen Webseiten noch Banner eingesetzt, die zwar über den Einsatz von Cookies informieren, aber keine Einwilligung des Nutzers einholen. Dies ist unzulässig und stellt einen Verstoß gegen die DSGVO dar. Daran ändert es auch nichts, wenn der Nutzer auf der Seite weitersurft und das Banner durch einen Button wegklickt.

Echte Auswahlmöglichkeit bieten, statt „Alles oder nichts“


Cookie-Banner dürfen Nutzer nicht dazu zwingen, alle Cookies zuzulassen oder alle abzulehnen. Der Nutzer muss vielmehr selbst einstellen können, zu welchen Zwecken er den Einsatz von Cookies zulassen will.

Nicht-Einwilligung muss einfach möglich und leicht erkennbar sein


Wenn sich der Nutzer erst durch komplizierte Menüs klicken muss, wird ihm die Möglichkeit, in die Verwendung von Cookies nicht einzuwilligen, erschwert. Ist der Aufwand, nicht einzuwilligen größer, als in das Tracking einzuwilligen, wird der Nutzer sich in der Regel nicht ernsthaft mit seinen Auswahlmöglichkeiten beschäftigen und das nervige Banner einfach wegklicken, indem er Cookies akzeptiert.

Die Gestaltung des Banners darf dem Nutzer die Auswahl nicht zu schwer machen. So beanstandete das Landgericht Rostock in einer aktuellen Entscheidung, dass der Button für die Cookie-Auswahl optisch deutlich in den Hintergrund trat und nicht als anklickbare Schaltfläche erkennbar war (LG Rostock, Urteil vom 15.09.2020 – 3 O 762/19).

Ein Link in hellgrauer Schrift auf weißem Hintergrund wird daher den Anforderungen an eine einfache Auswahlmöglichkeit nicht gerecht. Der Nutzer erteilt dann keine wirksame Einwilligung und Tracking-Cookies dürfen nicht gesetzt werden.

Tracking nicht vorauswählen


Der Nutzer muss aktiv in die Verwendung von Tracking-Cookies einwilligen. Die Voreinstellungen des Banners dürfen daher nicht so gesetzt sein, dass standardmäßig Cookies zu Analysezwecken zugelassen werden. Der Bundesgerichtshof hat ausdrücklich klargestellt: Ein voreingestelltes Ankreuzkästchen, das der Nutzer nicht abwählt, stellt keine wirksame Einwilligung dar.

Einfachen Widerruf ermöglichen


Die DSGVO verlangt, dass der Nutzer eine erteilte Einwilligung einfach widerrufen können muss. Dazu ist es erforderlich, an geeigneter Stelle ein „Opt-Out“ zur Verfügung zu stellen, zum Beispiel in der Datenschutzerklärung.

Fazit: Es bleibt kompliziert


Die Rechtsprechung wird die Anforderungen an die Einholung von Einwilligungen weiter konkretisieren. Schon jetzt gibt es aber einige konkrete Vorgaben. Achten Sie darauf, dass die folgenden Punkte erfüllt sind:

  • Der Nutzer muss aktiv einwilligen und die Möglichkeit haben, Cookies insgesamt abzulehnen.
  • Geben Sie dem Nutzer die Möglichkeit, selbst auszuwählen, welche Cookies er zulassen will (Cookie-Management).
  • Die Gestaltung des Banners darf die Nicht-Einwilligung nicht erschweren.
  • Die eingesetzten Dienste müssen Sie in der Datenschutzerklärung transparent erläutern.