In der digitalen Welt sind Cookie-Banner mittlerweile fast allgegenwärtig, besonders auf Websites von EU-Institutionen und den Regierungen der Mitgliedstaaten der Europäischen Union. Viele Nutzer empfinden diese Banner als lästig und stellen sich die Frage, warum selbst staatliche Websites, die man als vertrauenswürdig einstuft und auf denen man keine Werbung vermutet, diese einheitlichen und oft störenden Pop-ups zeigen. Um dies zu verstehen, ist ein Blick auf die rechtlichen Grundlagen, technische Aspekte und den ePrivacy-Kontext wichtig. Zunächst einmal müssen wir verstehen, dass Cookie-Banner vor allem eine Folge der Datenschutz-Grundverordnung (DSGVO) und der sogenannten Cookie-Richtlinie bzw. ePrivacy-Richtlinie sind, die innerhalb der EU gelten.
Die DSGVO ist eine umfassende Verordnung, die den Schutz personenbezogener Daten in der EU standardisiert und regelt, wie Daten gesammelt, verarbeitet, gespeichert und geschützt werden müssen. Die zweckgebundene Einwilligung der Nutzer ist dabei ein essenzielles Element. Cookie-Banner dienen in erster Linie der Information und der Einholung Zustimmung für das Speichern von Cookies oder anderen Formen der Datenspeicherung auf dem Endgerät der Nutzer. Cookies sind kleine Textdateien, die beim Besuch einer Website auf dem Computer oder Smartphone gespeichert werden, um diverse Funktionen zu ermöglichen. Das können beispielsweise technische Cookies für die Navigation sein, die Nutzereinstellungen speichern, aber auch Tracking-Cookies, die das Verhalten der Nutzer analysieren oder für Werbezwecke eingesetzt werden.
Eine weit verbreitete Fehlannahme ist, dass Cookie-Banner ausschließlich für Werbung oder Drittanbieter-Tracks benutzt werden. Doch laut der ePrivacy-Richtlinie und der DSGVO wird jede Form von Speicherung oder Zugriff auf Informationen auf dem Nutzergerät geregelt – und das unabhängig davon, ob es sich um „first-party“ oder „third-party“-Cookies handelt, ob die Cookies für Werbezwecke genutzt werden oder lediglich für einfache Analysezwecke, wie beispielsweise Besucherstatistiken. Entscheidend ist, ob der Einsatz der Cookies technisch unbedingt notwendig ist, um die Websitefunktionalität bereitzustellen. Websites von EU-Institutionen und Regierungsseiten nutzen ebenfalls diverse Cookies für unterschiedliche Zwecke. Dabei kommen nicht selten Behördentools für die Webanalyse, wie Standard-Analysetools, zum Einsatz, um zu verstehen, wie Bürger die Website nutzen.
Diese Daten helfen, Inhalte besser anzupassen und den Zugang zu öffentlichen Dienstleistungen zu optimieren. Selbst wenn keine kommerzielle Absicht dahintersteht, fällt der Umgang mit personenbezogenen Daten darunter und erfordert die Einwilligung der Nutzer. Gemäß dem geltenden Recht müssen alle Cookies, die nicht technisch absolut notwendig sind, ausdrücklich von den Nutzern akzeptiert werden. Was genau als „notwendig“ gilt, ist gesetzlich definiert: Cookies, die beispielsweise einzig dazu dienen, einen Warenkorb in einem Online-Shop zu ermöglichen, sind notwendig, da sie eine vom Nutzer ausdrücklich gewünschte Funktion bereitstellen. Sogar Sitzungs-Cookies, die nur temporär Daten speichern, fallen oft nicht unter die strenge Zustimmungspflicht, wenn ihr Zweck klar definiert und technisch unabdingbar ist.
Hinzu kommt, dass viele Websites heute Drittanbieterdienste verwenden, darunter soziale Medien Plugins, Videoeinbettungen wie YouTube, oder externe Kartenanbieter, die ebenfalls Cookies setzen. Auch wenn es sich bei EU-Institutionen und Regierungssites nicht um eine reine Werbeplattform handelt, sind viele dieser Elemente aus Usability-Gründen integriert. Die Folge ist, dass Cookie-Banner angezeigt werden müssen, um diese ebenfalls abzudecken. Besonders die Frage nach der Unterscheidung zwischen „First-Party“-Cookies (die direkt von der Website, die der Nutzer besucht, gesetzt werden) und „Third-Party“-Cookies (Cookies, die von externen Diensten gesetzt werden) ist ausschlaggebend. Auch wenn viele Nutzer und Entwickler den Eindruck haben, dass staatliche oder EU-Websites keine Tracking-Technologien verwenden, ist das nicht zwangsläufig der Fall.
Grundsätzlich müssen Nutzer umfassend über jeden Zweck und jede Art der Speicherungen informiert werden und diesen zustimmen. Durch diese Maßnahme soll sichergestellt werden, dass die Nutzer ein Bewusstsein für die Datenerfassung erhalten und sich aktiv damit auseinandersetzen. Das führt zu der sogenannten „Cookie-Müdigkeit“ oder dem Gefühl, von Pop-ups überflutet zu sein. Zwar mögen die Banner auf den ersten Blick störend wirken, doch sie sind Ausdruck eines Rechtsrahmens, der Datenschutz und Persönlichkeitsrechte schützen soll. Es ist wichtig zu verstehen, dass der Dialog mit den Nutzern durch die Cookie-Banner Teil eines verantwortungsvollen Umgangs mit persönlichen Daten symbolisiert.
Darüber hinaus ist die Rechtsprechung im Bereich Datenschutz sehr dynamisch. Die geplante ePrivacy-Verordnung, die das aktuelle ePrivacy-Gesetz ablösen soll, befindet sich bereits seit Jahren in Beratung. Diese soll gewisse Ausnahmen für sogenannte sehr datenschutzfreundliche Analyse-Cookies einführen, bei denen keine aktive Zustimmung nötig ist, da diese weniger schädlich sind. Das würde die Anzahl der Pop-ups in Zukunft möglicherweise reduzieren. Ähnlich dem Effekt von sozialen Gewohnheiten entsteht auch hier ein gewisser Gruppenzwang: Unternehmen, Verwaltungen und Institutionen setzen Cookie-Banner ein, weil viele andere es ebenfalls tun und es rechtlich sowie aus Imagegründen sicherer erscheint, diesen Schritt umzusetzen, um Abmahnungen oder juristische Konsequenzen zu vermeiden.
Das gilt auch für öffentliche Institutionen, die sich streng an die Gesetze halten müssen und bei denen Transparenz und Datenschutz als wichtige Messgrößen gelten. Ein weiterer Grund für die Präsenz der Banner ist die internationale Aufmerksamkeit und der Schutz von Bürgerrechten. Staatliche Websites stehen unter besonderer Beobachtung und sollten sicherstellen, dass sie die Vorschriften bis zur letzten Details erfüllen. So wird Vertrauen geschaffen und eine Vorbildfunktion eingenommen. In der Folge sind viele solcher Institutionen und Mitgliedsstaaten dazu übergegangen, einen möglichst standardisierten und transparenten Umgang mit Cookies zu etablieren, um Rechtssicherheit zu schaffen.
Zusammenfassend lässt sich sagen, dass EU-Institutionen und Mitgliedsstaaten aus mehreren Gründen Cookie-Banner auf ihren Websites einsetzen: Zum einen schreibt das geltende Datenschutzrecht vor, dass Nutzer über das Speichern von Daten auf ihrem Gerät informiert werden und bei nicht notwendiger Speicherung aktiv zustimmen müssen. Zum anderen verwenden auch diese Websites nicht nur technisch unvermeidliche Cookies, sondern setzen oft Analyse- und Drittanbieter-Tools ein, die eine Einwilligung erforderlich machen. Zudem möchten sie mit dem Einsatz der Banner Transparenz und Vertrauen in Sachen Datenschutz schaffen. Trotz der teilweise weitreichenden Kritik an der Umsetzung und der Gestaltung der Cookie-Banner bleibt ihre Funktion unbestritten: Sie sind ein Instrument, mit dem die digitalen Rechte der Nutzer geschützt werden. Auch wenn es momentan noch keine perfekten Lösungen gibt und die Nutzerfreundlichkeit häufig zu wünschen übriglässt, ist es wichtig, den tieferen Sinn dieser Mechanismen zu verstehen.
Denn letztlich steht hinter jedem Pop-up die Absicht, einen fairen, transparenteren und persönlicheren Umgang mit Daten im Internet zu ermöglichen.
