Cookie-Banner

Aktuelles zu einem umstrittenen Thema

Wer Cookies verwendet, muss seine Nutzer beim Erstbesuch der Internetseite darauf hinweisen. Das hat sich bei den meisten Websitebetreibern herumgesprochen. Aber auch für den Einsatz von Cookies und Cookiehinweise gelten seit kurzem schärfere Regeln, wenn es nach DSGVO und der Datenschutzkonferenz geht. Hier finden Sie den aktuellen Stand der Thematik.

Schon seit längerem gibt es Uneinigkeit darüber, ob die Datenschutz-Grundverordnung (DSGVO) mit ihren strengen Regelungen das deutsche Telemediengesetz (TMG), speziell die §§ 12 und 15, verdrängt hat oder nicht. Die Datenschutzkonferenz (DSK) hat in einer aktuellen Stellungnahme ihre Ansicht dargelegt, dass nunmehr die strengeren DSGVO-Regeln für Trackinginstrumente, darunter auch Cookies, gelten.

Obwohl darüber im Einzelfall noch Gerichte entscheiden werden, tun Websitebetreiber gut daran, sich mit der Auffassung der DSK auseinanderzusetzen.

Cookies – komfortabel, aber umstritten

Cookies sind kleine Dateien, die während des Websitebesuches auf dem Rechner des Nutzers gespeichert werden, bei späteren Besuchen wieder ausgelesen werden und dazu dienen, Teile des Nutzerverhaltens auf der Website nachzuverfolgen. Hierzu enthalten sie häufig Kennungen, die als personenbezogene Daten betrachtet werden.

Für Unternehmen sind vor allem die Informationen, die über Tracking-Cookies gesammelt werden, sehr wertvoll und gerade im Online-Geschäft von großer Bedeutung. Was dem Nutzer im Einzelfall Komfort bietet, etwa ein Login, die Wiederaufnahme eines unterbrochenen Kaufvorgangs oder eine Spracheinstellung, kann bei der dauerhaften Speicherung und der Zusammenführung zu Nutzerprofilen aus Sicht des Datenschutzes jedoch unerwünscht sein.

Generell gilt: Es besteht ein Unterschied zwischen technisch notwendigen Cookies – die ausschließlich die Website funktionieren lassen, zumeist mit dem Schließen des Browsers gelöscht werden und weiterhin nicht einwilligungsbedürftig sind – und anderen Cookies.

Für alle technisch nicht notwendigen Cookies, die personenbezogene Daten übermitteln bzw. verarbeiten, benötigen Websitebetreiber vor ihrem Einsatz eine ausdrückliche Einwilligung der Nutzer („Opt-In“). Davon betroffen sind vor allem Analyse-, Social-Media- und Werbecookies.

Der Nutzer stimmt also genau genommen nicht der Cookie-Setzung, sondern der dahinterstehenden Datenverarbeitung durch die benannten Stellen zu.

An solche Cookies und ihre Nutzung müssen nach Ansicht der DSK strenge Maßstäbe angelegt werden. Die Grundlagen für diese Ansicht bestehen in der 2009 erlassenen EU-Cookie-Richtlinie 2009/136/EG, die in Deutschland bislang noch nicht umgesetzt wurde, und dem Entwurf der ePrivacy-Verordnung, der derzeit im EU-Parlament diskutiert wird.

Die wirksame Einwilligung in das Setzen von Cookies

Generell ist die Verwendung jeglicher Cookies in der Datenschutzerklärung der jeweiligen Website aufzuführen. Darüber hinaus muss für das Setzen technisch nicht notwendiger Cookies die Einwilligung der Nutzer eingeholt werden.

Diese Einwilligung ist nach Ansicht der DSK nur wirksam, wenn der Nutzer vorab über alle Datenverarbeitungsvorgänge und sämtliche Empfänger seiner Daten ausführlich informiert wurde sowie die Möglichkeit zum Widerspruch gegen alle oder bestimmte Cookies erhält.

Damit sind viele der derzeit kursierenden Cookie-Banner, die nur einen einfachen „Okay-Button“ oder die Möglichkeit des Zuklickens enthalten, nicht ausreichend, weil der Nutzer dem Setzen solcher Cookies nicht widersprechen kann. Außerdem können nur jene Websitebetreiber sämtliche Empfänger der Daten offenlegen, die die Nutzerdaten ausschließlich auf ihrer eigenen Website verarbeiten.

Sobald ein Analysetool genutzt wird, das die Daten extern auswertet, ist es dem Websitebetreiber nicht mehr möglich, nachzuvollziehen und zu dokumentieren, wohin die Daten seiner Besucher übermittelt werden (siehe Nutzung von Analysetools von Drittanbietern).

Die neue Zulässigkeitsprüfung für Tracking-Cookies

Entscheidend ist, ob die geplante Datenverarbeitung überhaupt zulässig ist. Die DSK skizziert in ihrem Papier eine Zulässigkeitsprüfung auch für Tracking-Cookies in drei Schritten, die vom Datenschutzbeauftragten im Unternehmen durchgeführt und dokumentiert werden muss:

  • Liegt ein berechtigtes Interesses vor?
  • Welche Daten sind für die beabsichtigte (Reichweiten) Analyse tatsächlich erforderlich sind?
  • Die Interessen des Websitebetreibers sind gegen die Interessen und Grundrechte des Nutzers, zu denen etwa Meinungsfreiheit und Datenschutz gehören, abzuwiegen.

Schritt 1: Berechtigtes Interesse prüfen

Als berechtigtes Interesse, also als zulässiges Motiv für die Verarbeitung personenbezogener Daten, listet die DSK unter anderem auf:

  • Bereitstellung einer Warenkorb-Funktion in einem Online-Shop,
  • das Speichern von Log-Dateien zum Schutz der Sicherheit der Website vor Missbrauch und Betrug,
  • statistische Auswertungen und Reichweitenanalyse
  • Personalisierung und Individualisierung der Websiteangebote für den jeweiligen Nutzer etwa für Direktwerbung
  • Wiedererkennung und Merkmalszuordnung von Nutzern bei werbefinanzierten Angeboten.

Schritt 2: Erforderlichkeit der Datennutzung ermitteln

Datenverarbeitung ist laut DSK nur zulässig, wenn das berechtigte Interesse aus Schritt 1 aus technischen Gründen nur mithilfe des gewählten, datenintensiven Verfahrens verfolgt werden kann.

Die Verarbeitung personenbezogener Daten muss also zum einen erforderlich sein und zum anderen darf es keinen milderen Weg (ganz ohne oder mit sparsamerer Datenverarbeitung) geben, dieses Interesse mit gleicher Effektivität zu verfolgen.

Die Datenerhebung und -verarbeitung muss also auf das absolut notwendige Maß beschränkt werden und es muss eine gründliche Prüfung erfolgen, ob das Ziel der Datenverarbeitung nicht auch mit einem geringeren Datenumfang bzw. ohne Nutzung von Drittanbietern erreicht werden kann.

Dies verpflichtet den Datenschutzbeauftragten und die Websiteprogrammierung dazu, regelmäßig zu prüfen, ob es neuere Tools gibt, die das gewünschte Ziel datensparsamer zu erreichen bzw. die Übermittlung an Dritte überflüssig machen. Siehe hierzu auch den Abschnitt Nutzung von Analysetools von Drittanbietern.

Schritt 3: Interessen von Nutzer und Unternehmen gegeneinander abwägen

Dem Interesse des Unternehmens an der Gewinnung möglichst vieler Daten steht der Wunsch des Nutzers nach Datensparsamkeit und Datenschutz entgegen. Hier muss abgewogen und erkennbar werden:

  • Ist die Datenverarbeitung transparent und für den Nutzer erwartbar bzw. vorhersehbar?

Bei mehreren Beteiligten ohne definierte rechtliche Beziehungen ist nicht von einer Transparenz auszugehen, ebenso wenig bei der Einbindung von Drittanbietern. Auch die Erfassung von Tastatur-, Maus- oder Wischeingaben oder der Einsatz für den Nutzer nicht erkennbarer Zählpixel gelten nicht als erwartbar.

  • Besteht eine Möglichkeit für den Nutzer, die Datenverarbeitung zu verringern bzw. zu untersagen?

Kann eine solche Opt-Out-Option bedingungslos und jederzeit ausgeführt werden, erhöhen sich die Chancen einer für den Websitebetreiber positiven Interessenabwägung. Werden hingegen Inhalte durch Opt-Outs blockiert oder Cookies externer Anbieter durch eigene Cookies ersetzt, sobald der Nutzer das Opt-Out wahrnimmt, handelt es sich um unzulässige Vorgänge, die sich negativ auf die Abwägung auswirken.

  • Werden die erhobenen Daten miteinander verkettet?

Risikoerhöhend und damit negativ sind geräteübergreifende Verkettungen von Nutzerdaten, besonders kritisch sind Verknüpfungen und Profilerstellungen durch die Dienste Dritter zu sehen.

  • Wie viele und welche Akteure sind an der Datenverarbeitung beteiligt, und wo haben sie ihren Sitz?

Je mehr Akteure beteiligt sind, desto schwieriger wird die Transparenz für den Nutzer. Besonders negativ wirken sich Beteiligte in mehreren Ländern aus, deren Rechtssysteme und gesetzlichen Grundlagen der Nutzer nicht kennen kann.

  • Wie lange wird der Nutzer auf der Website beobachtet?

Je länger die „Lebensdauer“ der Cookies, desto nachteiliger fällt die Abwägung aus.

  • Welche und wie viele Daten werden erhoben?

Es ist zu ermitteln, welche Daten wie intensiv erhoben werden. Pseudonymisierte Daten, aus denen der Nutzer nicht identifiziert werden kann, sind hier tendenziell positiver, Profiling, Bewegungsprofile und vergleichbar tiefe Eingriffe in die Privatsphäre der Nutzer sind negativ zu bewerten.

  • Welchen Umfang hat die Datenerfassung und -verarbeitung? Sind darunter besonders schutzwürdige Daten?

Gesundheitsdaten, politische, religiöse oder sexuelle Ausrichtungen und vergleichbar sensible Informationen erfordern eine separate Einwilligung, bevor sie verarbeitet werden dürfen.

  • Sind unter den potenziellen Websitenutzern besonders schutzbedürftige Personen, etwa Kinder unter 14 Jahren, oder besteht ein Machtungleichgewicht zwischen Nutzer und Betreiber?
  • Berührt die Datenverarbeitung die Grundrechte und -freiheiten wie die Vertraulichkeit der Kommunikation, die freie Meinungsäußerung, die freie Informationsgewinnung oder das Recht, keine finanziellen Nachteile zu erleiden?

Hier ist vor allem die Einbindung von Tools Werbetreibender zu nennen, die sensible Informationen beispielsweise aus Gesundheits- oder Datingportalen für eigene Zwecke verarbeiten.

  • Wird durch das Ablegen des Cookies die Integrität des Nutzergerätes berührt?

Es ist danach zu unterscheiden, ob die Cookies nach Ende der Browsersitzung sofort gelöscht oder dauerhaft auf dem Nutzergerät gespeichert werden.
Erst wenn diese Gesamtabwägung positiv für das datenverarbeitende Unternehmen ausfällt, könnten Tracking-Cookies und andere Trackingtools überhaupt eingesetzt werden.

Hinweis

Die reine Verwendung von Pseudonymen wird von der DSK nicht als ausreichende Pseudonymisierungsmaßnahme nach der DSGVO anerkannt. Streng genommen sind nur anonymisierte Cookies nicht einwilligungsbedürftig.

Nutzung von Auswertungstools von Drittanbietern

Besonders kritisch müssen Websitebetreiber künftig externe Analysetools und statistische Hilfsmittel von Dritten betrachten. Bei diesen Verfahren werden die Auswertungen nicht lokal auf dem Server des Betreibers durchgeführt, sondern die etwa durch Cookies erhobenen Daten gehen ohne Einflussmöglichkeiten des Betreibers zur Auswertung an Server des Toolanbieters, oft auch im Ausland.

Durch den Transfer kann der Websitebetreiber nicht mehr einsehen und offenlegen, wer Einsicht in die Daten hat und inwiefern sie Websiteübergreifend zu Nutzerprofilen zusammengeführt werden, und auch der Nutzer erhält keine Möglichkeit, der Weitergabe zu widersprechen. Die Nutzung solcher Tools wie beispielsweise Google Adsense, Google Ad Manager, Google Analytics, DoubleClick oder Facebook Custom Audience dürfte also unzulässig sein, weil es mildere Mittel gibt.

Websitebetreiber sind aufgefordert, datensparsam arbeitende lokal arbeitende Analysetools auf dem eigenen Server zu installieren und Logfiles zu analysieren, um den Datenschutz zu gewährleisten bzw. die unkontrollierbare Datenweitergabe in Länder außerhalb der EU zu unterlassen.

Cookie-Banner - was ist zu tun?

Nach Ansicht der DSK müssen Cookies datensparsam eingesetzt werden, also technisch oder zur Webseitenoptimierung notwendig sein. Die Nutzung von Cookies erfordert jedoch nicht per se eine Einwilligung – Cookies, die keine Einwilligung erfordern, müssen nur in der Datenschutzerklärung aufgeführt werden.

Die Einwilligungspflicht bei Cookies bezieht sich auf die Erhebung persönlicher Daten, vor allem die Weitergabe von Daten an Dritte oder die Möglichkeit Dritter, selbst Daten über diese Website zu erheben.

Die optimale Form der Einwilligung

Die für den Nutzer angenehmste Form der Cookie-Einwilligung ist ein Cookie-Banner, das unten oder mittig über der Website eingeblendet wird. Pop-Up-Lösungen könnten durch entsprechende Blocker nicht angezeigt werden, so dass die Website insgesamt nicht richtig dargestellt wird. Eine vorgeschaltete vollflächige Seite irritiert die Nutzer und kann dazu führen, dass sie den Besuch der Seite vorzeitig beenden.

Wenn eine Einwilligung des Nutzers erforderlich ist, muss er bei seinem ersten Webseitenbesuch über ein informatives Cookie-Banner darüber in Kenntnis gesetzt werden, dass die Website durch Cookies personenbezogene Daten erheben will, wozu sie dienen und wohin die Daten übermittelt werden, bevor diese Cookies zum Einsatz kommen.

Er muss der Cookie-Nutzung ausdrücklich und ohne Zwang bzw. Funktionseinschränkungen zustimmen können, und zwar durch eine nicht vorausgefüllte Einwilligungs- bzw. Widerspruchserklärung im Cookie-Banner. Hierfür müssen im Cookie-Banner alle einwilligungsbedürftigen Verarbeitungsvorgänge, deren Funktion bzw. Zweck und alle daran beteiligten Akteure aufgelistet und erklärt werden.

Für jeden Verarbeitungsvorgang personenbezogener Daten und jeden eingebundenen Akteur muss eine gesonderte Einwilligung erteilt werden können.

Cookie-Banner, die nur eine Zustimmung zulassen, die weitere Nutzung der Seite als Zustimmung werten oder vorausgefüllt sind, sind nicht rechtskonform. Auch eine Widerspruchslösung, die erst nach dem Setzen der Cookies greift, entspricht nicht den Vorgaben.

Solange das Banner angezeigt wird, also die Erklärung nicht abgeschlossen ist, müssen alle Skripte, die Nutzerdaten erfassen könnten, blockiert bleiben. Erst nach der Cookie-Auswahl und deren Bestätigung dürfen die gewählten Cookies dynamisch nachgeladen werden und zum Einsatz kommen. Der Datenschutzbeauftragten des Unternehmens hat sicherzustellen, dass diese Vorgabe technisch auch eingehalten wird.

Er muss auch dokumentieren, auf Basis welcher Erlaubnis die Datenverarbeitung stattfindet. Außerdem muss er dafür sorgen, dass möglichst wenige Daten erhoben werden und der Nutzer jederzeit Einsicht in die gewährte Erlaubnis hat bzw. diese Erlaubnis teils oder ganz widerrufen kann. Der Widerruf muss ebenso leicht möglich sein wie die Zustimmung zur Datenverarbeitung.

Wie gehe ich bei Cookies auf Nummer sicher?

Aufgrund der ungeklärten rechtlichen Lage, die sich erst in den kommenden Jahren durch Gerichtsurteile und die neuen gesetzlichen Vorgaben konkretisieren wird, empfiehlt es sich, in jedem Fall sowohl auf Websites wie auch in Apps ein detailliertes Cookie-Banner einzublenden. Denn wird durch ein Gericht ein Verstoß gegen die DSGVO festgestellt, liegen die Strafen bei bis zu 500.000 Euro bzw. vier Prozent des Jahresumsatzes, je nachdem, was höher ist.

Wie formuliere ich ein Cookie-Banner?

  • Wählen Sie eine klare Überschrift, etwa „Weitergabe Ihrer Nutzerdaten an Dritte“.
  • Erfragen Sie, ob der Nutzer überhaupt in die Nutzung von technisch nicht erforderlichen Cookies einwilligt.
  • Beantworten Sie für alle einwilligungsbedürftigen Cookies die folgenden Fragen

1. Welche Daten werden weitergegeben?
2. Weshalb ist die Erhebung notwendig?
3. Wohin und an wen konkret werden die Daten übermittelt?
4. Zu welchem Zweck werden sie übermittelt?
5. Wer hat Zugriff auf die Daten?
6. Wie lange werden die Daten gespeichert?
7. Werden die Daten mit weiteren Daten verknüpft?

Sie können die Antworten diese Fragen in aufklappbaren Textbausteinen übersichtlich gestalten, Links zu bedienen ist dem Nutzer an dieser Stelle aber nicht zuzumuten.

  • Bieten Sie dem Nutzer für jedes einwilligungsbedürftige Cookie ein unausgefülltes Feld an, damit er eine freie Entscheidung treffen kann.
  • Stellen Sie technisch sicher, dass keinerlei Daten übermittelt werden, bevor der Nutzer seine Wahl getroffen hat.
  • Stellen Sie die Freiwilligkeit der Einwilligung klar und weisen Sie auf das Recht zum jederzeitigen Widerruf hin. Stellen Sie auch klar, wie dieser Widerruf erfolgen kann.
  • Impressum und Datenschutzerklärung müssen schon während dieses Auswahlprozesses erreichbar sein, optimalerweise direkt auf dem Banner.
  • Eröffnen Sie eine Widerrufsmöglichkeit, die ebenso einfach zu finden und zu bedienen ist wie die Einwilligung – etwa über die dauerhafte Einblendung eines „Fingerprints“, in dem jedes einzelne Cookie jederzeit an- und abgewählt werden kann.

Fazit

Das Thema Cookies und Cookie-Banner wird den Gesetzgeber und die Gerichte auch in den kommenden Jahren beschäftigten. Es ist damit zu rechnen, dass hier noch viele Veränderungen, Konkretisierungen und Klarstellungen erfolgen. Webseitenbetreibende Unternehmen und ihre Datenschutzbeauftragten müssen sich auch weiterhin regelmäßig über die aktuelle rechtliche Lage und die korrekte Umsetzung informieren.

Unsere Services und Leistungen zum Datenschutz

Bitte geben Sie Ihren Namen ein.
Bitte geben Sie eine Nachricht ein.

Service range

Sie benötigen einen Cookie Banner oder sind sich nicht sicher ob Sie Ihren Cookie Banner datenschutzkonform einsetzen?
Profitieren Sie von unserem Know-How durch langjährige Praxiserfahrung!
Gern beraten wir Sie!

Ihr Ansprechpartner

Externer Datenschutzbeauftragter Osnabrück - Jörg Ter Beek

Jörg ter Beek
+49 251 2979474-1
jtb@cortina-consult.de

Download

Laden Sie hier Ihre Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien herunter.

Lensenswertes zum Thema Cookie-Tracking

Orientierungshilfe: Wie Webseiten Nutzer tracken dürfen - und wie nicht.

Schreiben Sie uns:
0251 29794740 Schreiben Sie uns Remote-Desktop download