von RA Phil Salewski

Cookie-Consent-Tools für Shopsysteme im Test: welche Tools genügen den rechtlichen Anforderungen?

News vom 04.12.2019, 10:18 Uhr | 2 Kommentare 

Seit dem Urteil des EuGH vom 01.10.2019 besteht eine generelle Einwilligungspflicht für alle Cookies, die für den Betrieb oder die Bereitstellung spezifischer Funktionen von Webseiten nicht zwingend erforderlich sind. Umsetzbar wird diese Einwilligungspflicht primär über den Einbau eines „Cookie Consent Tools“, das allerdings spezifischen Anforderungen genügen muss. Vor allem in den Stores von Shopsystemen kursiert eine Vielzahl vermeintlich rechtskonformer Consent-Lösungen. Der nachfolgende Beitrag unterzieht einzelne Tools einer rechtlichen Bewertung und spricht Empfehlung für oder gegen die Verwendbarkeit aus.

I. Rechtlich notwendige technische Ausgestaltung von Cookie-Consent-Tools

Für das Einholen der notwendigen Einwilligungen für cookie-basierte Verarbeitungen haben sich vor allem „Cookie-Consent-Tools“ durchgesetzt. Damit hiermit wirksame Einwilligungen eingeholt werden können, sind aber technische und gestalterische Maßnahmen zu beachten:

1.) Informationen und Auswahlmöglichkeiten für alle eingesetzten Cookies

Wird ein Banner oder Tool beim erstmaligen Aufruf einer Website angezeigt, muss in diesem Banner für jedes eingesetzte Cookie eine sprachlich einfach gefasste Information darüber ergehen,

  • welche Verarbeitungsvorgänge mit dem Cookie vorgenommen werden,
  • welche Akteure an den Verarbeitungsvorgängen des Cookies beteiligt sind und
  • welche Funktionen diese Akteure erfüllen

Es ist zulässig, für die Bereitstellungen dieser Informationen auf die Datenschutzerklärung zu verweisen. Voraussetzung ist freilich, dass in dieser dann die Funktionsweise jedes einwilligungspflichtigen Cookies auch abschließend beschrieben wird.

Jedes Banner oder Tool muss über ein Auswahlmenü verfügen, bei dem jedes eingesetzte Cookie einen eigenen aktivierbaren Menüpunkt darstellt. Keine Auswahlmöglichkeit darf voraktiviert bzw. „angetickt“ sein.

Nicht ausreichend sind die häufig beobachteten Cookie-Banner, die sich über einen „OK“-Button wegklicken lassen. In diesen Fällen fehlt es an der Freiwilligkeit, weil Betroffene keine Möglichkeit haben, das Setzen von Cookies abzulehnen.

2.) Kein Cookie-Einsatz vor Einwilligung

Beim erstmaligen Aufruf einer Website dürfen keinerlei Cookies voraktiviert sein und im Hintergrund laufen. Alle eingesetzten Cookie-Skripte müssen solange blockiert werden, bis der Betroffene über das Banner oder Tool in deren Einsatz eingewilligt hat. Werden nur für einzelne Cookies Einwilligungen erteilt, muss der Einsatz der anderen unterbunden werden.

Erst, wenn der Nutzer seine Einwilligung durch die Auswahl von Cookies erteilt hat, dürfen die hiermit verbundenen Datenverarbeitungen aktiviert werden.

3.) Protokollierung und Speicherung von Einwilligungen

Weil für die Erfüllung der einwilligungsbezogenen Nachweispflichten eine sog. „indirekte Nutzeridentifizierung“ genügt, sollte die Entscheidung eines Betroffenen für oder gegen alle individuellen Cookie-Einwilligungen auf dessen Endgerät gespeichert werden. Die Verwendung einer User-ID oder einer sonstigen eindeutigen Identifizierung ist hierfür nicht erforderlich.

Die Speicherung der Einwilligungseinstellungen auf dem jeweiligen Endgerät genügt als Nachweis für vorliegende Einwilligungen und hat zudem den Vorteil, dass dem Betroffenen bei einem erneuten Seitenaufruf das Banner oder Tool nicht erneut angezeigt wird.

asd

4.) Widerruflichkeit

Weil jede Einwilligung widerruflich sein und der Widerruf so einfach wie die Einwilligungserteilung sein muss, muss zwingend eine „One-Klick“-Widerrufsmöglichkeit für jedes Cookie im Consent Tool implementiert sein.

Die getroffenen Cookie-Einstellungen müssen also jederzeit wieder aufrufbar sein, damit die Einwilligungsauswahl vom Nutzer geändert oder rückgängig gemacht werden kann (etwa über das Entfernen eines für die Einwilligung gesetzten Häkchens).

II. Bewertung einzelner Cookie-Consent-Tools

Im Folgenden sollen verschiedene Cookie-Consent-Lösungen vorgestellt werden, die vor allem in den Plugin-Stores verschiedener Shophosting-Systeme angeboten und dort von den Anbietern als „rechtskonform“ angepriesen werden.

Wichtiger Hinweis vorweg: die nachstehende Vorstellung einzelner Consent-Tools ist nicht abschließend und erhebt keinen Anspruch auf Vollständigkeit. Sollten Sie Informationen zu einem bestimmten Tool vermissen, nehmen Sie gerne Kontakt mit uns auf. Wir werden Ihre Anfrage daraufhin überprüfen und diesen Beitrag gegebenenfalls erweitern.

1.) Shopify

a) „EU Cookie Bar“ von Booster Apps

Speziell für Shopify hat der Anbieter „Booster Apps“ ein kostenloses und nach eigener Angabe datenschutzrechtskonformes „Cookie Bar“-Addon entwickelt, welches Shopify-Händler problemlos auf ihren Seiten sollen implementieren können. Nach Aussage des Anbieters lassen sich über das Tool rechtskonforme Cookie-Einwilligungen einholen.

Die Realität sieht allerdings anders aus.

Insofern entbehrt das Tool einer Einwilligungsoption gänzlich. Weder können für alle verwendeten Cookies einzeln Einwilligungen eingeholt werden, noch werden Cookies ohne Interaktion mit dem Tool generell blockiert.

Booster 2

Bei näherer Betrachtung handelt es sich bei der „Cookie Bar“ von Booster Apps um einen bloßen Cookie-Banner, der allgemein über den Einsatz von Cookies belehrt und sich über eine zentrale Schaltfläche („Got it“) einfach wegklicken lässt.

Derartige Cookie-Banner genügen den Voraussetzungen für wirksame Cookie-Einwilligungen aber nicht.

Ein rechtskonformes Einwilligungsmanagement für betroffene Cookies kann mit der „Cookie Bar“ von Booster Apps auf Shopify daher nicht implementiert werden.

b) “GDPR Cookie Consent Banner” von Pandectes

Auch der Anbieter “Pandectes” bietet im Shopify App-Store eine vermeintlich rechtskonforme Consent-Lösung an.

Allerdings handelt es sich hierbei ebenfalls nur um ein reines Cookie-Banner, das nur allgemein über den Einsatz von Cookies informiert, ohne die Möglichkeit der Erteilung spezifischer Cookie-Einwilligungen bereitzustellen.

CCT1

Die Einholung wirksamer Einwilligungen ist mit dem “GDPR Cookie Consent Banner” von Pandectes daher nicht möglich.

c) „Responsive Cookie Consent“ von Appify Commerce

Ein weiteres Angebot für den Cookie-Consent auf Shopify kommt von „Appify Commerce“, wobei nach Angaben des Anbieters eine Konformität mit der EU-Rechtslage gewährleistet wird.

Tatsächlich handelt es sich bei der vermeintlichen „Consent Lösung“ aber wiederum nur um ein Cookie-Banner, das keine cookie-spezifischen Einwilligungseinstellungen ermöglicht und daher unzureichend ist.

CCT2

Im Vergleich zu den beiden zuvor benannten Anbietern unterscheidet sich vorliegend nur die Bezeichnung der Bestätigungsschaltfläche, die durch das englische Wort „Accept“ die wirksame Einwilligungserteilung nahelegt. Das Einholen einer Generaleinwilligung für alle Cookies einer Seite über ein differenzierungsloses Banner ist aber nicht zulässig.

2.) Shopware

a) „EU Cookie Richtlinie Pro + automatischer Cookie Erkennung“ ACRIS E-Commerce GmbH

Eine über ein bloßes Consent-Banner hinausgehende, deutlich ausgereiftere Einwilligungslösung kann auf Shopware mit dem Tool „EU Cookie Richtlinie Pro + automatischer Cookie Erkennung“ vom Anbieter ACRIS E-Commerce GmbH bezogen werden.

Mit dem Tool lassen sich Cookie-Einwilligungen einholen, protokollieren und widerrufen.

Problematisch war ursprünglich allerdings, dass Einwilligungen nur generell für bestimmte Cookie-Kategorien (Marketing, Tracking etc.) und mithin für alle diesen Kategorien zugeordneten Cookies eingeholt werden können. Eine gesonderte Einwilligung für jedes Cookie innerhalb einer Kategorie ließ sich aber nicht abfragen. Dies ist nach dem bisherigen rechtlichen Stand aber erforderlich.

Nach Anklicken der „Roll-Out-Option“ in jeder Kategorie wurden ursprünglich zwar die einzelnen Cookies aufgelistet, aber nicht mit einer individuellen Einwilligungsoption versehen.

CCT3

Nach Veröffentlichung dieses Beitrags wurde die IT-Recht Kanzlei vom Anbieter ACRIS allerdings kontaktiert und auf eine am 04.12.2019 veröffentlichte, neue Version (2.0.0) des Tools hingewiesen, in der sich nun die in einzelnen Kategorien klassifizierten Cookies einzeln aktivieren und (im Sinne eines Widerrufs) auch wieder deaktivieren lassen.

CCT10

Mit der neuen Version erfüllt das Tool "EU Cookie Richtlinie Pro + automatischer Cookie Erkennung“ von ACRIS damit alle rechtlichen Vorgaben und gewährleistet seither ein rechtskonformes Cookie-Einwilligungsmanagement.

b) „Cookie Hinweis mit Opt-In/Opt-Out“ von MND Next

Ein vollständig rechtskonformes, aber funktional eingeschränktes Consent-Tool wird für Shopware mit der Lösung „Cookie Hinweis mit Opt-In/Opt-Out“ von MND Next angeboten.

Mit dem Tool lassen sich wirksame Cookie-Einwilligungen einholen, protokollieren und widerrufen.

In den Voreinstellungen ist das Tool zwar auf den Consent für Google Analytics und Facebook Pixel begrenzt.

CCT4

Allerdings lassen sich Cookies von anderen Anbietern manuell definieren, in das Tool einbinden und so zuverlässig von der Einwilligungserteilung abhängig machen.

Dank dieser Konfigurationsmöglichkeit gelingt mit dem Tool " Cookie Hinweis mit Opt-In/Opt-Out“ von MND für Shopware ein rechtskonformes Einwilligungsmanagement unabhängig von der Urheberschaft der jeweiligen Drittanwendung.

3.) JTL

a) „EU-Cookie-Plugin“ von CMO

Speziell für JTL-Shops bietet CMO ein scheinbar rechtskonformes Cookie-Consent-Plugin an.

Allerdings handelt es sich bei diesem nicht um ein Consent Tool im eigentlichen Sinne, sondern um ein bloßes Cookie-Banner, das sich über eine Schaltlfäche wegklicken lässt und welches das Einholen cookie-spezifischer Einwilligungen gerade nicht ermöglicht.

CCT5

Mit dem „EU-Cookie-Plugin“ von CMO ist ein rechtskonformes Cookie-Einwilligungsmanagement daher aktuell nicht möglich.

b) „CiN Cookie Manager“ von CiN GmbH com-ins-netz.de

Eine vollständig rechtskonforme ConsentLösung für Cookies wird mit dem „CiN Cookie Manager“ von der CiN GmbH angeboten.

Mit dem Plugin für JTL-Shops lassen sich individuelle Einwilligungen für alle Cookies auf Basis einer Kategorisierung einholen, protokollieren und über Rückgriff auf die Einstellungen auch jederzeit widerrufen.

CCT6

Mit dem „CiN Cookie Manager“ ist daher ein rechtskonformes Einwilligungsmanagement für Cookies möglich.

4.) Jimdo

a) „Cookie-Richtlinie“ von Jimdo

Der Shophoster Jimdo möchte Händlern einen Mehrwert bieten und hat ein vermeintlich rechtskonformes Cookie-Consent-Tool mit einer korrelirenden „Cookie-Richtlinie“ in gehostete Shops automatisch integriert.

Zwar gehen die Funktionalitäten des Jimdo-Tools über diejenigen eines bloßen Cookie-Banners hinaus. Insbesondere lassen sich in der Tat Cookie-Einwilligungen einholen, protokollieren und widerrufen.

Problematisch ist allerdings, dass Einwilligungen nur generell für bestimmte Cookie-Kategorien (Marketing, Tracking etc.) und mithin für alle diesen Kategorien zugeordneten Cookies eingeholt werden können. Eine gesonderte Einwilligung für jedes Cookie innerhalb einer Kategorie lässt sich aber nicht abfragen. Dies wäre nach dem bisherigen rechtlichen Stand aber erforderlich.

Nach einem Klick auf „Cookie-Einstellungen“ im Tool werden insofern zwar Einwilligungen für verschiedene Cookie-Kategorien, nicht aber für jedes Cookie innerhalb der jeweiligen Kategorie abgefragt.

CCT7

Mithin ist mit dem Tool „Cookie Richtlinie“ von Jimdo ein vollständig rechtskonformes Cookie-Einwilligungsmanagement bis auf Weiteres nicht möglich.

5.) WIX

a) “Wix Cookie Consent App”

WIX bietet Kunden mit der Wix Cookie Consent App ein Widget zur Einholung vermeintlich rechtskonformer Cookie-Einwilligungen an.

Allerdings handelt es sich hierbei ebenfalls nur um ein reines Cookie-Banner, das nur allgemein über den Einsatz von Cookies informiert, ohne die Möglichkeit der Erteilung spezifischer Cookie-Einwilligungen bereitzustellen.

CCT8

Die Einholung wirksamer Einwilligungen ist mit der “ Wix Cookie Consent App” daher nicht möglich.

6.) Wordpress

a) "DSGVO Pixelmate" von lawlikes

Mit der Lösung „DSGVO Pixelmate“ wird von lawlikes ein vollständig rechtskonformes, aber funktional eingeschränktes Consent-Tool wird für Wordpress angeboten.

Mit dem Tool lassen sich wirksame Cookie-Einwilligungen einholen, protokollieren und widerrufen. Insbesondere ist der Consent für einzelne Dienste möglich.

CCT9

Allerdings ist das Tool in seinem Funktionsumfang auf den Consent für Google Analytics, Facebook Pixel, YouTube, Vimeo, Twitter und Google Maps begrenzt.

Ein rechtskonformes Einwilligungsmanagement für andere (technisch nicht notwendige) Cookies ist mit dem Dienst nicht möglich, sodass er dort versagt, wo neben Cookies der abgedeckten Anwendungen weitere Cookies von Drittanbietern gesetzt werden.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.

Autor:
Phil Salewski
Rechtsanwalt

Besucherkommentare

Junior Performance Marketing Manager

06.12.2019, 14:10 Uhr

Kommentar von Anna Schade

Hallo Herr Salewski, vielen Dank für den hilreichen Beitrag. Die Optik und die freie Gestaltung des Consent Banners spielt offensichtlich auch eine wichtige Rolle im Ecommerce. Hätten sie dafür...

Einwilligung für jedes einzelne Cookie?

05.12.2019, 07:52 Uhr

Kommentar von Alexander Schuster

Woraus ergibt sich, dass der Nutzer die Möglichkeit haben muss, eine Einwilligung für jedes einzelne Cookie erteilen zu können? Diese Anforderungen konnte ich bisher noch in keinem Artikel...

© 2005-2019 ·IT-Recht Kanzlei Keller-Stoltenhoff, Keller
IT-Recht Kanzlei München 311
4.9 5