Zurück zum Blog

Was ist ein Cookie Hinweis? – Die Essentials für Marketer und Website-Betreiber

Datenschutz

Geschrieben von

Veröffentlicht Januar 30, 2024 Aktualisiert Februar 14, 2024

Was ist ein Cookie Hinweis? - Die Essentials für Marketer und Website-Betreiber

Das Konzept von Cookie Hinweis kann einige Fragen aufwerfen. Ist es dasselbe wie ein Cookie Banner? Ist er ein Teil der Cookie Datenschutzerklärung? Muss ich ihn überhaupt auf meiner Website haben? Antworten auf diese und andere Fragen zum Cookie-Hinweis finden Sie in diesem Blogbeitrag.

Ein Cookie Hinweis ist im Wesentlichen eine Information, die auf einer Webseite erscheint und die Nutzer darauf hinweist, dass die Seite Cookies verwendet.

Cookie-Hinweis Beispieltext (generiert mit Piwik PRO)
Cookie-Hinweis Beispieltext (generiert mit Piwik PRO)

Aber was sind überhaupt Cookies? Ganz einfach: Cookies sind kleine Textdateien, die von einer Webseite auf Ihrem Computer oder Mobilgerät gespeichert werden. Sie dienen dazu, Informationen über Ihre Aktivitäten auf der Webseite zu speichern, etwa Ihre bevorzugte Sprache, Standort oder die besuchten Seiten.

Weitere Informationen zu den einzelnen Arten von Cookies finden Sie hier: Was ist ein Cookie?

Cookie Hinweis, Cookie Banner und Cookie Datenschutzerklärung beziehen sich auf ähnliche Probleme, sind aber nicht gleichbedeutend. Im Folgenden erläutern wir die wichtigsten Unterschiede zwischen diesen Begriffen:

  • Der Cookie Hinweis ist ein kurzer Text, der auf einer Website über den Einsatz von Cookies informiert.
  • Das Cookie Banner ist ein Popup-Fenster oder eine Leiste, die auf der Webseite erscheint und Optionen zum Einwilligen oder Ablehnen von Cookies bietet. Es enthält einen Cookie Hinweis und die beiden Begriffe werden häufig synonym verwendet. In der Regel verweist das Cookie Banner auch auf die Datenschutzerklärung.
  • Die Datenschutzerklärung gibt den Nutzern eine Übersicht über die Datenschutzpraktiken der Website. Sie enthält auch den Cookie Hinweis – einen rechtlichen Text, der detaillierte Informationen über den Einsatz von Cookies bereitstellt. Dazu zählen solche Angaben, wie Arten von Cookies, die gesammelten Daten oder die Speicherungsdauer.

In der Regel arbeiten diese Elemente zusammen, um den Nutzern Transparenz und Kontrolle über ihre Daten zu bieten. Das Cookie Banner mit dem Cookie Hinweis dient als die erste Anlaufstelle für Information und Einwilligung. Die Datenschutzerklärung führt die rechtlichen Aspekte detaillierter aus.

Marketer und Webseiten-Betreiber stellen sich oft die Frage: Ist ein Cookie Hinweis überhaupt notwendig? Die Antwort darauf hängt von verschiedenen Datenschutzgesetzen ab. Schauen wir sie uns näher an.

Die Allgemeine Datenschutzverordnung (DSGVO)

Die DSGVO regelt die Verarbeitung von personenbezogenen Daten natürlicher Personen durch andere natürliche Personen, Unternehmen oder Organisationen in der EU. Wenn Sie eine Website betreiben und Ihre Nutzer tracken oder Cookies für Marketingzwecke verwenden, haben Sie gemäß der DSGVO mehrere Verpflichtungen Ihren Besuchern gegenüber. Dieser sollten nicht nur wissen, welche spezifischen Cookies Sie benutzen, sondern auch aktiv das Sammeln und Verwenden ihrer personenbezogenen Daten einwilligen. Als Webseiten-Betreiber  dürfen Sie darauf nur dann verzichten, wenn Sie ausschließlich Cookies verwenden, die für den Betrieb der Website erforderlich sind (technisch notwendige Cookies).

Die ePrivacy-Richtlinie

Die ePrivacy-Richtlinie ergänzt die DSGVO und legt spezifische Regeln für die Verarbeitung personenbezogener Daten in der elektronischen Kommunikation fest. Falls Sie ein Webseiten-Betreiber sind und Cookies für Analyse- und Marketingzwecke verwenden, sind Sie verpflichtet:

  • Ein Consent-Banner mit dem Cookie-Hinweis vorzubereiten, in dem Sie über alle Cookies informieren, die Ihre Webseite sammelt, sowie zu welchem Zweck Sie die Daten via Cookies erheben.
  • Ihren Besuchern dieses Cookie Banner einzublenden und Ihre ausdrückliche Einwilligung zur Datensammlung einzuholen.
  • Ein Verfahren verwenden, mit dem der Besucher seine Einwilligung genauso einfach widerrufen kann, wie er sie erteilt hat.

Im November 2023 hat der Europäische Datenschutzausschuss (EDSA) Leitlinien formuliert, die den neuen technischen Anwendungsbereich von Art. 5 (3) der ePrivacy-Richtlinie umreißen.

Diesem Artikel zufolge sind Unternehmen verpflichtet, eine vorherige Einwilligung einzuholen, bevor sie Informationen auf dem elektronischen Gerät eines Nutzers speichern oder darauf zugreifen. Die einzige Ausnahme besteht, wenn dies erforderlich ist, um die angeforderte Dienstleistung zu erbringen. Bislang galt dieser Grundsatz hauptsächlich für Internet-Cookies. 

In den jüngsten Leitlinien wird die Liste der unter Art. 5 (3) fallenden Technologien erheblich erweitert. Sie umfasst nun auch neue Tracking-Methoden und technische Verfahren. 

Der EDSA konzentriert sich auf fünf kritische Elemente der Cookie-Regel und interpretiert sie alle umfassend:

  • Informationen beinhalten sowohl nicht-personenbezogene als auch personenbezogene Daten, unabhängig davon, wie und von wem sie gespeichert werden.
  • Endgeräte sind Geräte, die an das öffentliche Telekommunikationsnetz angeschlossen sind, z. B. Smartphones, Laptops, vernetzte Autos, vernetzte Fernsehgeräte oder intelligente Brillen.
  • Ein elektronisches Kommunikationsnetz ist ein System, das die Übertragung von elektronischen Signalen ermöglicht. Die Leitlinie betrifft öffentliche Kommunikationsdienste, die über solche Netze erbracht werden. Die Kommunikation über ein Netz, das einer begrenzten Anzahl von Personen (z. B. Abonnenten) zur Verfügung steht, gilt jedoch auch als öffentlich.
  • Zugriff – der EDSA wendet eine sehr weit gefasste Abgrenzung des Zugriffs an. Ein Zugriff vorliegt, wenn eine Stelle aktiv Schritte unternimmt, um Zugang zu den auf einem Endgerät gespeicherten Informationen zu erhalten.
  • Die Speicherung bezieht sich auf Informationen jeglicher Art, in jeglicher Menge und über einen beliebigen Zeitraum (auch so kurz wie die Speicherung im RAM oder CPU-Cache).

Vor diesem Hintergrund würde der Art. 5 (3) der ePrivacy-Richtlinie auch für folgende Technologien gelten:

  • URL- und Pixel-Tracking (einschließlich „Identifikatoren“)
  • Lokale Verarbeitung
  • Tracking nur anhand der IP-Adresse
  • JavaScript-Code
  • Internet of Things (IoT)-Reporting
  • andere Geräte-Fingerprinting-Techniken

Die Vorschläge des EDSA sind umstritten, da sie sich negativ auf den Markt auswirken könnten. Dies spiegelte sich auch in den Stellungnahmen der Branchenverbände zu den neuen Leitlinien im Rahmen der öffentlichen Konsultation wider. 

Um die Federation of European Data and Marketing zu zitieren: 
Die weite Auslegung des Begriffs „Zugriff erhalten“ durch den EDSA würde (…) bedeuten, dass jede Kommunikation über das Internet in einer Weise einen „Zugriff“ auf Informationen im Sinne von Art. 5(3) der ePrivacy-Richtlinie darstellt (…). Dabei erfasst die Auslegung des Richtlinienentwurfs auch Technologien und grundlegende technische Vorgänge, die nicht unbedingt mit Marketing- oder Werbezwecken verbunden sind (…). Es ist daher unklar, wie eine Einwilligungspflicht für nicht-invasive technische Vorgänge, die nicht unbedingt die Verarbeitung personenbezogener Daten beinhalten, dem Nutzer einen besseren Schutz der Privatsphäre bringen soll. Dies scheint sich auch nachteilig auf das Online-Erlebnis des Nutzers auszuwirken, da er aufgefordert wird, sich mit zusätzlichen Einwilligungsanfragen zu befassen, was wahrscheinlich die sogenannte „Einwilligungsmüdigkeit“ verschärft.

Der Zentralverband der deutschen Werbewirtschaft ZAW e.V. wies auf die Notwendigkeit eines risikobasierten Ansatzes in den neuen Leitlinien hin. Das IAB sprach unter anderem die Vernachlässigung der technischen Aspekte an. 

Dennoch ist zu bedenken, dass die Leitlinien die Rechtsauffassung der EU-Datenschutzbehörden widerspiegeln. Sie sind nicht unmittelbar verbindlich. Ob es der EDSA gelingen wird, die neuen Leitlinien erfolgreich und vollständig durchzusetzen, ist bisher nicht sicher.

Das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG)

Das TTDSG setzt die ePrivacy-Richtlinie in Deutschland um, weicht daher nicht von ihren Regeln ab. Ein Webseiten-Betreiber darf nur die technisch notwendigen Cookies ohne Einwilligung der Besucher benutzen. Für alle anderen Arten von Cookies muss er ein Cookie Banner in deutscher Sprache anzeigen, das die Besucher auf eine einfache Weise ablehnen, akzeptieren oder ignorieren können. Das Banner sollte die Besucher auch auf die Datenschutzerklärung verweisen, in der der Cookie-Hinweis platziert ist.

Das TTDSG sieht in Artikel 26 ein alternatives System zum Cookie Banner vor. Es empfiehlt, anerkannte Dienste zur Einwilligungsverwaltung in den Prozess einzubinden. Mehr dazu in unserem Blogpost – Einwilligungsverwaltungs-Verordnung: PIMS als Alternative zur Cookie- Banner-Flut

Das Telekommunikationsgesetz in Österreich

Österreich setzt die EU-Richtlinie im Telekommunikationsgesetz § 96 Abs. 3 (TKG) um. Das Gesetz unterscheidet sich daher nicht von ihren Grundannahmen. Es erfordert, dass der Nutzer seine Einwilligung aktiv und einzeln für jede Art von Cookie abgibt (das Opt-in-Verfahren).

revDSG in der Schweiz

Das neue Datenschutzgesetz in der Schweiz, das seit September 2023 in Kraft ist, ist weniger restriktiv als die DSGVO und ePrivacy-Richtlinie. Es sieht vor, dass Sie Ihre Website-Besucher über den Einsatz von Cookies informieren. Ein einfacher Cookie-Hinweis mit einer Opt-Out-Option reicht also aus. Eine explizite Einwilligung benötigen Sie nur, wenn Sie besonders schützenswerte Personendaten sammeln und bearbeiten oder Profiling mit hohem Risiko durchführen.

Falls Sie jedoch Ihre Produkte und Dienstleistungen EU-Bürgern anbieten, die Ihre Website besuchen, müssen Sie ein DSGVO-konformes Cookie Banner setzen.

Die Elemente und Informationen, die ein Cookie-Hinweis enthalten sollte, um DSGVO-konform zu bleiben:

  • Klarer und verständlicher Text: Vermeiden Sie Fachbegriffe und Juristendeutsch, um sicherzustellen, dass Besucher leicht nachvollziehen, welche Arten von Cookies Sie verwenden und worum Sie sie bieten.
  • Zweck der Cookies: Geben Sie deutlich an, warum Sie Cookies auf der Webseite verwenden.
  • Arten von Cookies: Listen Sie alle Arten von Cookies auf, die Sie verwenden – z. B. Präferenz-, Statistik- und Marketing-Cookies. Falls Sie Cookies von Dritten einsetzen, geben Sie auch an, welcher Drittanbieter sie verwaltet. Verlinken Sie auch seine Datenschutzerklärung.
  • Daten, die gesammelt werden: Informieren Sie darüber, welche Arten von Daten durch Cookies gesammelt werden. Dies umfasst unter anderem IP-Adressen, besuchte Seiten oder Präferenzen.
  • Einwilligung: Erklären Sie, dass die Zustimmung  der Nutzer erforderlich ist. Bieten Sie klare Optionen zum Zustimmen und Ablehnen sowie die Option der granularen Einwilligung. Dies muss noch vor der Platzierung der Cookies geschehen.
  • Link zur Datenschutzerklärung: Fügen Sie einen Link zu den Datenschutzrichtlinien Ihrer Webseite ein, wo Nutzer detaillierte Informationen über die Cookie-Nutzung und den Datenschutz finden.

Nicht konforme Cookie-Texts
Cookie Hinweise, die vage oder unklare Ausdrücke enthalten oder die Opt-Out-Option ignorieren, sind nicht rechtskonform. Wichtig ist auch, wie das Cookie Banner gestaltet ist.  Umfassende Informationen dazu finden Sie in unserem Blogbeitrag: Cookie Consent Banner: So schmecken Ihre Cookies auch Datenschützern

Bei der Gestaltung Ihres Cookie-Hinweises und Cookie Banners sollten Sie auch auf sogenannte „Dark Patterns“ achten. Weitere Details dazu finden Sie hier: Wenn Design fehlschlägt – Wie Dark Patterns mit der DSGVO in Konflikt stehen

  • Testen Sie Ihren Cookie-Hinweis auf verschiedenen Browsern und Geräten, besonders, ob er auf mobilen Geräten einwandfrei funktioniert und leicht zu schließen ist.
  • Falls Sie eine Website in mehreren Sprachen betreiben, denken Sie daran, für jede Seite einen Cookie Hinweis und eine Datenschutzerklärung in der jeweiligen Sprache zu erstellen.
  • Implementieren Sie eine Funktion, mit der die Nutzer jedes Jahr erneut um ihre Einwilligung gebeten werden. Je nach den Richtlinien Ihrer nationalen Datenschutzbehörde kann es auch erforderlich sein, die Nutzer alle 6 Monate um eine erneute Einwilligung zu bitten.
  • Aktualisieren Sie Ihren Cookie Hinweis jedes Mal, wenn Sie die Art der Cookies, den Zweck, für den sie gesammelt werden, oder die Art der gesammelten Daten ändern.

Das bloße Definieren des Cookie-Hinweises und sogar das Anzeigen des entsprechenden Cookie Banners sind nicht das Ende Ihrer Datenschutzarbeit. Sie sollten auch Einwilligungen verwalten, Datenschutzanfragen beantworten und Ihren Besuchern ihre Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch und Übertragbarkeit ihrer Daten gewährleisten.

Wenn Sie nicht über die richtigen Werkzeuge verfügen, kann dies eine komplizierte Aufgabe sein. Ein gut geplantes Analytics-System liefert Ihnen nicht nur Informationen über Ihre Nutzer, sondern automatisiert auch den Datenschutz, während Sie sich auf die Kernaufgaben konzentrieren. 

In der Piwik PRO Analytics Suite zum Beispiel arbeiten alle Module: Analytics, Consent Manager, Tag Manager und Customer Data Plattform nahtlos zusammen. Der Consent Manager kommuniziert immer mit dem Tag Manager, um sicherzustellen, dass die entsprechenden Tags ausgelöst werden, je nachdem, ob der Nutzer der Weitergabe seiner Daten zugestimmt hat oder nicht. Im folgenden Diagramm sehen Sie, wie dieses System funktioniert:

Einwilligungsmanagement-System in Piwik PRO
Einwilligungsmanagement-System in Piwik PRO

Dank dieser Lösung vermeiden Sie rechtliche Konsequenzen und gewährleisten Sie gleichzeitig Transparenz und Sicherheit in Bezug auf den Umgang mit personenbezogenen Daten.

Wenn Sie mehr über Consent-Management-Systeme erfahren möchten, empfehlen wir Ihnen den folgenden Artikel: Was ist ein Consent Manager und warum Sie einen brauchen

In einem digitalen Zeitalter, in dem der Schutz der Privatsphäre immer bedeutsamer ist, spielt ein gut integriertes Consent Management System die Rolle eines Eckpfeilers für einen verantwortungsvollen Umgang mit Daten. Es garantiert, dass Website-Betreiber sich in dem dynamischen Rechtsumfeld sicher bewegen. Sie demonstrieren auch damit ihr Engagement für die Privatsphäre der Nutzer und mindern gleichzeitig das Risiko rechtlicher Konsequenzen. Der Cookie-Hinweis und das Cookie Banner sind nur Teile des Puzzles – für eine rechtssichere Online-Präsenz ist ein ganzheitlicher Ansatz erforderlich.

Autor

Beata Moryl

Content Marketer

Beata Moryl ist ein Profi mit 20 Jahren freiberuflicher Erfahrung im Übersetzen und Verfassen von Inhalten. Sie verfügt außerdem über einen soliden betriebswirtschaftlichen Hintergrund und Erfahrung als Managerin in den Bereichen Kundenservice, Produktmanagement und Geschäftsentwicklung. Beata übersetzte fast 20 wirtschaftsbezogene Bücher (zu den Themen Marketing, Soft Skills, Coaching, HR und Kundenservice) für etablierte Verlage wie den Verlag C.H. Beck. Bei Piwik PRO spezialisiert sie sich auf die rechtlichen Aspekte der Webanalyse, den Datenschutz und die Optimierung von Geschäftsergebnissen mithilfe moderner IT-Tools. LinkedIn Profil.

Mehr von diesem Autor lesen