Cookie-Banner und gesetzliche Standards für das Consent-Management

In der Frühzeit des Internets galt Schweigen oft als Zustimmung, doch unter der DSGVO und dem deutschen TTDSG (jetzt TDDDG) muss eine Einwilligung eine „eindeutige bestätigende Handlung“ sein. Ein schlichter „OK“-Button impliziert oft, dass der Nutzer keine andere Wahl hat oder lediglich zur Kenntnis nimmt, dass Cookies gesetzt werden. Das Gesetz verlangt jedoch, dass der Nutzer aktiv entscheiden kann, welche Arten der Datenverarbeitung er zulassen möchte und welche nicht. Ein „OK“-Button ohne eine gleichwertige „Ablehnen“-Option suggeriert eine Zwangsläufigkeit, die rechtlich als Unwirksamkeit der Einwilligung gewertet wird, da die Freiwilligkeit fehlt.

Darüber hinaus fordern die Aufsichtsbehörden eine granulare Auswahlmöglichkeit. Wenn ein Banner lediglich eine Pauschalzustimmung erlaubt, wird das Prinzip der Zweckbindung verletzt. Der Nutzer muss theoretisch in der Lage sein, Analyse-Cookies zuzulassen, während er Werbe-Cookies ablehnt. Ein einfacher Button kann diese Komplexität nicht abbilden. In der Rechtspraxis führt dies dazu, dass jede Datenverarbeitung, die auf einer solchen pauschalen Zustimmung basiert, als rechtswidrig eingestuft wird, was bei einer behördlichen Prüfung zu empfindlichen Bußgeldern führen kann, da der Nachweis einer informierten Einwilligung nicht erbracht werden kann.

Dark Patterns sind Design-Elemente in Benutzeroberflächen, die darauf abzielen, Nutzer zu Handlungen zu verleiten, die sie bei objektiver Betrachtung vielleicht nicht wählen würden. Im Kontext von Cookie-Bannern manifestiert sich dies oft durch asymmetrische Schaltflächen. Während der „Alle Akzeptieren“-Button groß, farbig und prominent platziert ist, wird der Ablehnungs-Button oft in einer unauffälligen Farbe gestaltet oder gar erst hinter einem Link wie „Einstellungen“ versteckt. Diese optische Täuschung hebelt die rechtliche Anforderung aus, dass die Ablehnung genauso einfach sein muss wie die Zustimmung. Es handelt sich um eine Form des psychologischen Nudgings, das die Freiwilligkeit untergräbt.

Ein weiteres Beispiel für Dark Patterns ist das Verwirren durch doppelte Verneinungen oder unklare Sprache. Wenn der Nutzer Checkboxen deaktivieren muss, die mit „Ich möchte kein Tracking deaktivieren“ beschriftet sind, wird absichtlich kognitiver Widerstand erzeugt. Auch das permanente erneute Einblenden des Banners bei jedem Seitenaufruf, nachdem der Nutzer bereits abgelehnt hat, zählt dazu. Dies wird als Belästigung gewertet, um den Nutzer mürbe zu machen, bis er schließlich doch zustimmt. Datenschutzbehörden betrachten solche Praktiken als vorsätzliche Missachtung der DSGVO-Prinzipien, was den Strafrahmen bei Verstößen erheblich nach oben treiben kann.

Das sogenannte „Koppelungsverbot“ besagt, dass der Zugang zu einer Dienstleistung nicht davon abhängig gemacht werden darf, dass der Nutzer in eine Datenverarbeitung einwilligt, die für die Erbringung des Dienstes gar nicht erforderlich ist. Wenn Sie also einen reinen Informationsblog betreiben, dürfen Sie den Leser nicht aussperren, nur weil er keine Marketing-Cookies möchte. Eine solche Einwilligung wäre nicht freiwillig erteilt. Der Nutzer muss die Kernfunktionen Ihrer Seite auch dann nutzen können, wenn er sich für ein datenschutzfreundliches Surfen entscheidet. Cookies, die für die Sicherheit oder Grundfunktion nötig sind, dürfen natürlich weiterhin ohne Einwilligung gesetzt werden.

Es gibt jedoch eine Ausnahme, die als „Consent or Pay“ bekannt ist. Große Medienhäuser nutzen oft Modelle, bei denen der Nutzer entweder der Datenverarbeitung zustimmt oder ein kostenpflichtiges Abonnement abschließt, um die Inhalte werbefrei und ohne Tracking zu konsumieren. Die Rechtsprechung hierzu ist noch im Fluss, aber der Europäische Datenschutzausschuss (EDSA) hat klargestellt, dass solche Modelle nur zulässig sind, wenn die Gebühr angemessen ist und der Nutzer eine echte, faire Alternative hat. Für den Standard-Webseitenbetreiber ohne ein solches komplexes Bezahlmodell bleibt es dabei: Eine Sperrung der Seite bei Ablehnung von Cookies ist in der Regel rechtswidrig.

Der Begriff der Erforderlichkeit wird von den Aufsichtsbehörden extrem eng ausgelegt. Unbedingt erforderlich sind Cookies nur dann, wenn der vom Nutzer ausdrücklich gewünschte Dienst ohne sie technisch gar nicht funktionieren würde. Ein klassisches Beispiel ist der Warenkorb-Cookie in einem Online-Shop: Würde dieser nicht gesetzt, könnte der Kunde keine Produkte für den Bezahlvorgang speichern. Auch Sicherheits-Cookies, die vor Bot-Angriffen schützen, oder Cookies zur Lastverteilung auf Servern zählen dazu. Ebenfalls essenziell ist der Cookie, der die Entscheidung des Nutzers im Consent-Banner selbst speichert – sonst müsste er bei jedem Klick erneut gefragt werden.

Häufig versuchen Betreiber, Analyse-Tools wie Google Analytics als „erforderlich“ zu deklarieren, mit dem Argument, man müsse die Website optimieren. Dies wird rechtlich jedoch abgelehnt. Die Optimierung der Seite liegt zwar im wirtschaftlichen Interesse des Betreibers, ist aber für den Nutzer beim Aufruf der Seite nicht technisch zwingend nötig. Gleiches gilt für Chat-Plugins oder eingebettete Karten. Wenn diese Dienste nicht zur Kernleistung gehören, sind sie nicht erforderlich. Werden solche Tools ohne Opt-in geladen, liegt ein Verstoß gegen das TDDDG vor. Unternehmen sollten hier im Zweifel immer den Weg über die Einwilligung wählen, um auf der sicheren Seite zu sein.

Die DSGVO nennt keine starre Frist für die Gültigkeit einer Einwilligung, verlangt aber, dass die Datenverarbeitung auf einer aktuellen Entscheidung basiert. Die Praxis und Empfehlungen der Aufsichtsbehörden deuten darauf hin, dass eine Einwilligung nach etwa 6 bis 12 Monaten erneuert werden sollte. Dies gibt dem Nutzer die Möglichkeit, seine Präferenzen zu überdenken. Zudem ändern sich oft die technischen Gegebenheiten einer Website (neue Partner, andere Skripte), was ohnehin eine neue Information und Einwilligung erforderlich macht. Ein “ewiger” Consent ist rechtlich riskant, da sich das Schutzniveau und die Erwartungshaltung der Nutzer über die Zeit verändern.

Wichtig ist jedoch: Wenn sich an der Datenverarbeitung nichts ändert, darf der Nutzer nicht ständig mit dem Banner belästigt werden, in der Hoffnung, dass er irgendwann „mürbe“ wird und doch zustimmt. Ein solches Vorgehen würde wiederum das Kriterium der Freiwilligkeit untergraben. Hat ein Nutzer aktiv abgelehnt, sollte diese Entscheidung für einen angemessenen Zeitraum (mindestens für die Dauer der aktuellen Sitzung und idealerweise für einige Monate) respektiert werden. Ein technischer Mechanismus sollte sicherstellen, dass das Banner nur dann erneut erscheint, wenn es einen triftigen Grund gibt, wie zum Beispiel den Ablauf der internen Gültigkeitsfrist oder eine wesentliche Änderung der Datenschutzerklärung.

Ein Widerruf der Einwilligung wirkt nur für die Zukunft. Das bedeutet, dass die Datenverarbeitung bis zum Zeitpunkt des Widerrufs rechtmäßig war. Dennoch müssen die auf Basis dieser Einwilligung gespeicherten Daten (z.B. Tracking-Profile) nach dem Widerruf gelöscht werden. Bei Backups stellt dies eine technische Herausforderung dar, da ein punktuelles Löschen in archivierten Datensätzen oft unmöglich oder unverhältnismäßig aufwendig ist. Die gängige Meinung der Datenschutzbehörden ist hier pragmatisch: Eine sofortige Löschung im Backup ist nicht zwingend nötig, sofern die Daten im operativen System entfernt wurden und sichergestellt ist, dass sie bei einer eventuellen Wiederherstellung des Backups sofort erneut gelöscht werden.

Das Unternehmen muss diesen Prozess jedoch dokumentieren. Es muss klar definiert sein, wie bei einem System-Restore verfahren wird, um zu verhindern, dass bereits widerrufene Einwilligungen plötzlich wieder als „aktiv“ im System erscheinen. In der Praxis bedeutet dies meist den Abgleich mit einer „Blacklist“ oder einem aktuellen Consent-Log direkt nach dem Einspielen eines Backups. Die Daten im Backup bleiben so lange unangetastet, bis sie durch den regulären Rotationszyklus überschrieben werden. Dieser Ansatz balanciert die technische Machbarkeit mit den Rechten des Nutzers, erfordert jedoch eine saubere Prozessbeschreibung im Verzeichnis der Verarbeitungstätigkeiten.

Das TCF wurde vom Branchenverband IAB Europe entwickelt, um einen standardisierten Weg zu schaffen, wie Webseiten, Werbenetzwerke und Tech-Anbieter Informationen über Nutzerwünsche austauschen. Es ermöglicht die Übertragung eines sogenannten „Consent Strings“, der an jedes Werbemittel angehängt wird, damit alle Beteiligten wissen, ob der Nutzer zugestimmt hat. Trotz seiner weiten Verbreitung steht das TCF seit Jahren im Zentrum juristischer Auseinandersetzungen. Die belgische Datenschutzbehörde und der EuGH haben kritisiert, dass das System in seiner bisherigen Form die Anforderungen an die Transparenz und Sicherheit nicht voll erfüllt, da der Nutzer kaum kontrollieren kann, was hunderte von gelisteten Partnern tatsächlich mit seinen Daten machen.

Für Webseitenbetreiber bedeutet dies: Die Nutzung eines TCF-konformen Banners bietet zwar eine hohe Kompatibilität mit der Werbewirtschaft, stellt aber keinen „Freifahrtschein“ für Compliance dar. Man ist weiterhin dafür verantwortlich, dass die Anbieterliste nicht uferlos ist und dass die Rechtsgrundlagen korrekt gewählt wurden. In der Praxis empfiehlt es sich, die Liste der Partner (Vendoren) manuell auf das absolut Notwendige zu reduzieren. Ein Standard-Banner mit über 500 vorinstallierten Partnern wird von Behörden oft als Intransparent eingestuft. Das TCF ist ein technisches Werkzeug, dessen rechtliche Belastbarkeit stark von der individuellen Konfiguration und der aktuellen Rechtsprechung abhängt.

Die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO kehrt die Beweislast um: Nicht die Behörde muss Ihnen einen Fehler nachweisen, sondern Sie müssen beweisen, dass Sie rechtskonform arbeiten. Im Falle eines Audits müssen Sie zunächst das Audit-Log Ihres Consent-Management-Systems vorlegen können. Dieses Log sollte dokumentieren, wann welche Einwilligung von welcher IP-Adresse (meist anonymisiert oder verkürzt) oder Consent-ID für welche Zwecke gegeben wurde. Zudem müssen Sie nachweisen können, welcher Text und welches Design dem Nutzer zum Zeitpunkt seiner Entscheidung angezeigt wurden – hierfür sind versionierte Screenshots oder ein Konfigurationsarchiv der CMP unerlässlich.

Zusätzlich verlangen Behörden oft den Nachweis der technischen Wirksamkeit. Sie müssen belegen können, dass Skripte tatsächlich erst nach dem Opt-in abgefeuert wurden. Ein reines „Papier-Konzept“ reicht nicht aus, wenn ein technischer Scan zeigt, dass Tracking-Pixel bereits beim Laden des Banners aktiv sind. Schließlich müssen Sie Ihre Interessenabwägungen für Cookies auf Basis von „berechtigtem Interesse“ schriftlich vorhalten. Eine gute Vorbereitung umfasst auch ein Verzeichnis der Verarbeitungstätigkeiten, das explizit auf die Consent-Mechanismen Bezug nimmt. Wer diese Dokumente nicht innerhalb kurzer Frist vorlegen kann, riskiert, dass die gesamte Datenverarbeitung als unrechtmäßig eingestuft wird.

Die Pflicht zur Einholung einer Einwilligung hängt primär vom Schutz der Privatsphäre und dem Zugriff auf das Endgerät des Nutzers ab, wie im TDDDG geregelt. Auch in einem Intranet ist der Computer des Mitarbeiters ein geschütztes Endgerät. Grundsätzlich gilt: Wenn im Intranet Tracking-Tools oder Cookies eingesetzt werden, die für die Bereitstellung des Intranets nicht zwingend erforderlich sind, ist auch hier eine Rechtsgrundlage nötig. Da das Arbeitsverhältnis jedoch durch ein Machtgefälle geprägt ist, wird eine „freiwillige Einwilligung“ nach DSGVO-Maßstäben oft kritisch gesehen. Mitarbeiter könnten sich unter Druck gesetzt fühlen, zuzustimmen.

Statt eines Cookie-Banners wird im Intranet-Kontext meist über Betriebsvereinbarungen gearbeitet. Wenn die Datenverarbeitung zur Gestaltung des Arbeitsplatzes oder zur IT-Sicherheit nötig ist, kann dies oft über eine Vereinbarung mit dem Betriebsrat legitimiert werden, die die Einwilligung ersetzt. Dennoch müssen die Informationspflichten gewahrt bleiben. Ein klassisches Cookie-Banner mit „Marketing-Cookies“ hat in einem produktiven Intranet ohnehin nichts zu suchen. Werden jedoch rein statistische Daten zur Nutzung interner Tools erhoben, sollte dies transparent kommuniziert und idealerweise auf anonymisierter Basis ohne einwilligungspflichtige Cookies erfolgen, um den bürokratischen Aufwand und rechtliche Risiken zu minimieren.

Das Einbetten von Inhalten externer Anbieter ist eine der häufigsten Ursachen für Datenschutzverstöße. Sobald ein Video oder eine Karte direkt geladen wird, findet ein Datenaustausch mit den Servern des Anbieters (z.B. in den USA) statt – oft werden dabei auch Cookies gesetzt, bevor der Nutzer überhaupt auf „Play“ geklickt hat. Die Lösung hierfür ist die sogenannte Zwei-Klick-Lösung oder ein „Content Blocker“. Hierbei wird anstelle des Inhalts zunächst ein Platzhalterbild angezeigt, das den Nutzer informiert: „Wenn Sie dieses Video sehen möchten, werden Daten an YouTube übertragen.“ Erst nach einem aktiven Klick auf diesen Hinweis wird die Verbindung aufgebaut.

Moderne Consent-Management-Systeme automatisieren diesen Prozess. Sie erkennen eingebettete iFrames und blockieren diese, bis der Nutzer im zentralen Banner oder direkt am Objekt zugestimmt hat. Wichtig ist, dass diese Zustimmung in der Datenschutzerklärung reflektiert wird. Sie müssen explizit aufführen, welche Daten an wen fließen. Ein bloßer Hinweis in den allgemeinen Cookie-Einstellungen reicht oft nicht aus, wenn der Nutzer direkt auf der Seite mit dem Inhalt konfrontiert wird. Eine konsistente Strategie für Drittinhalte schützt nicht nur vor Abmahnungen wegen unzulässiger Datentransfers in Drittstaaten, sondern verbessert auch die Ladezeit der Seite, da schwere Skripte erst bei echtem Bedarf geladen werden.