Das “Cookie”-Banner Missverständnis. Warum keine Cookies nicht automatisch keine Einwilligung bedeutet und das Banner mehr als ein “Cookie”-Banner ist
Neulich kam eine Anfrage eines Kunden rein. Das Anliegen: Die Umstellung aller Google-Dienste auf Cookieless Tracking. Der Kunde meine, dann die Einwilligung nicht mehr blocken zu müssen und damit immer Tracken zu können; quasi Tracking by Default. Die Argumentation des Kunden: Es würden keine Cookies gesetzt, keine direkt identifizierbaren Daten verarbeitet und alles rein zu statistischen Zwecken verwendet werden. Dadurch würde sich das Ganze auf das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO stützen.
Das ganze ist zwar technisch möglich, aber ohne entsprechende Umsetzung zu pauschal gedacht. Hier liegen einige Irrtümer vor. Warum man ohne Cookies trotzdem eine Einwilligung brauchst und das Cookie-Banner eigentlich kein Cookie-Banner ist, kannst du in diesem Blog-Beitrag nachlesen.
Einen ähnlichen Irrtum gibt es auch zu der NoCookie-Url von YouTube. Warum das auch nicht einfach ohne Einwilligung funktioniert, kannst du in unserem Beitrag zu YouTube NoCookie nachlesen.
Warum das Cookie-Banner mehr als nur ein Cookie-Banner ist
Das Problem beginnt eigentlich schon beim gängigen Begriff: Cookie-Banner. Der Name legt nahe, dass es darin ausschließlich darum geht, zu verwalten, welche Cookies gesetzt und welche blockiert werden sollen – nicht mehr und nicht weniger. Genau hier liegt jedoch die Crux. Tatsächlich handelt es sich nicht um ein Cookie-, sondern um ein Consent-Banner, also ein Einwilligungsbanner. Der Begriff „Cookie-Banner“ wäre streng genommen nur für reine Hinweise geeignet, die lediglich über die Nutzung von Cookies informieren. Etwa für einen schlichten Text wie: „Wir verwenden Cookies“.
Nach der DSGVO benötigt jede Form der Datenverarbeitung eine Rechtsgrundlage. Diese Rechtsgrundlage ist jedoch nicht immer zwingend eine Einwilligung. Technisch notwendige Verarbeitungen, die für den Betrieb oder die grundlegende Funktion einer Website erforderlich sind, können beispielsweise auf andere Rechtsgrundlagen gestützt werden. Sobald eine Verarbeitung jedoch über die rein funktionale Darstellung der Website hinausgeht – etwa zu Analyse-, Tracking- oder Marketingzwecken –, ist in der Regel eine Einwilligung der betroffenen Person erforderlich. Genau diese Einwilligung wird über entsprechende Banner eingeholt.
An dieser Stelle kommt oft der Gedanke auf, dass es deutlich mehr Tracking-Methoden gibt als nur Cookies: Local Storage, Fingerprinting, Profiling und viele weitere. Wenn es sich bei dem Banner tatsächlich nur um ein Cookie-Banner handeln würde, wie sollte man dann darüber entscheiden können, ob auch andere Tracking-Methoden eingesetzt werden dürfen? Auch für diese Formen der Nutzerverfolgung ist nach der DSGVO – sofern keine andere tragfähige Rechtsgrundlage greift – eine Einwilligung erforderlich.
Genau aus diesem Grund gibt es Consent-Banner. Über sie sollten im Normalfall sämtliche einwilligungspflichtigen Tracking-Methoden und externen Dienste gesteuert werden können – oder eben nicht. Es geht also nicht nur um Cookies. Passend dazu heißen die eingesetzten Werkzeuge auch Consent-Management-Tools (kurz: CMT). Im Kern geht es um die Verwaltung von Einwilligungen für externe Dienste, die personenbezogene Daten zu nicht notwendigen Zwecken verarbeiten, und nicht um Cookies im Speziellen.
Warum sich der Begriff „Cookie-Banner“ dennoch so stark etabliert und eingebürgert hat, lässt sich schwer sagen. Möglicherweise liegt es daran, dass häufig ausschließlich auf Cookies hingewiesen wird und andere Dienste unerwähnt bleiben. Vielleicht gibt es auch andere Gründe. Sicher ist jedoch: Die Verbreitung dieses irreführenden Begriffs hängt eng damit zusammen, dass das Verständnis für die Notwendigkeit einer Einwilligung verloren gegangen ist – sofern dieses Verständnis überhaupt jemals wirklich vorhanden war.
Daraus lässt sich letztlich eine einfache Schlussfolgerung ziehen: Keine Cookies zu verwenden bedeutet nicht automatisch, dass keine Einwilligung erforderlich ist. Wer Nutzerverhalten erfassen und nachverfolgen möchte, kommt auch ohne Cookies nicht um eine geeignete Rechtsgrundlage herum – und in den meisten Fällen eben nicht ohne eine Einwilligung.
Wer sich jetzt fragt, ob man Google Dienste mit Cookieless Tracking auch ohne Einwilligung nutzen kann: technisch geht das wahrscheinlich am besten über einen Proxy. Mehr zu der Umsetzung könnt ihr auf Dr. DSGVO nachlesen.
