Skip to content

Cookie Banner

DSGVO-konforme Einwilligung für Cookies, Pixel, Tracking-Tools etc. nach EuGH-Urteil

Wer Cookies, Retargeting und Tracking-Pixel auf seiner Webseite verwendet, muss seine Nutzer beim Erstbesuch der Internetseite darauf hinweisen.  Das hat sich bei den meisten Websitebetreibern herumgesprochen. Aber auch für den Einsatz von Cookies und Cookie Banner gelten seit kurzem schärfere Regeln, wenn es nach DSGVO und der Datenschutzkonferenz geht.

Früher wurde der Websitebesucher beim Öffnen einer Webseite durch ein kleines Pop-up-Fenster über die Nutzung von Cookies informiert. Mehr Informationen wurden dem Nutzer nicht bereitgestellt. Heute wird der Websitebesucher in einem Cookie-Banner, das beim ersten Öffnen der Webseite erscheint, zwar auch auf die Verwendung von Cookie-Technologien aufmerksam gemacht - jedoch sind die Anforderungen an diese Banner mittlerweile höher. So sollen Cookie Hinweise detaillierter und umfangreicher sein und Aufzählungen der einzelnen Cookies sowie die Möglichkeit der Auswahl, welche Cookies zugelassen werden dürfen und welche nicht, enthalten.

Nach den neuen Datenschutzbestimmungen und Richtlinien muss der Website Besucher der Verwendung dieser Technologien zustimmen, damit Cookies DSGVO-konform verwendet werden können. Vor allem, wenn durch Tracking personenbezogene Daten gesammelt und zu Nutzerprofilen gespeichert werden, muss der Nutzer darüber informiert werden.

Was ist ein Consent Banner eigentlich?

Durch die 2011 in Kraft getretene EU-Datenschutzrichtlinie für elektronische Kommunikation, die kurz als das "Cookie-Gesetz" bekannt ist, sind Cookie-Banner erstmals auf Webseiten erschienen.

Früher wurde der Websitebesucher beim Öffnen einer Webseite durch ein kleines Pop-up-Fenster über die Nutzung von Cookies informiert. Mehr Informationen wurden dem Nutzer nicht bereitgestellt. Heute wird der Websitebesucher in einem Cookie-Banner, das beim ersten Öffnen der Webseite erscheint, auch auf die Verwendung von Cookie-Technologien aufmerksam gemacht - jedoch sind die Anforderungen an diese Banner mittlerweile höher.

So müssen Cookie Banner detaillierter und umfangreicher sein. Darüber hinaus müssen sie Aufzählungen der einzelnen Cookies enthalten und dem Benutzer die Möglichkeit der Auswahl geben, welche Cookies zugelassen werden dürfen und welche nicht.

Nach den neuen Datenschutzbestimmungen und Richtlinien muss der Website Besucher der Verwendung dieser Technologien zustimmen, damit Cookies DSGVO-konform verwendet werden können. Besonders wenn durch Tracking personenbezogene Daten gesammelt und zu Nutzerprofilen gespeichert werden, muss der Webseitenbesucher darüber informiert werden.

Tipp: Um nachweisen zu können, dass Sie sich an die Richtlinien der Datenschutzgrundverordnung und der ePrivacy-Verordnung halten, sollten Sie die passende Cookie-Management-Lösung parat haben. Dokumentieren Sie als Webseitenbetreiber die Einwilligungen der Besucher bezüglich der Cookie-Nutzung und geben Sie dem Website-Benutzer jederzeit die Möglichkeit, seine Einstellungen und Auswahlmöglichkeiten einzusehen und diese gegebenenfalls zu ändern.

1st und 3rd Party: ein Überblick

Cookies sind kleine Dateien, die während des Websitebesuches auf dem Rechner des Nutzers gespeichert werden. Diese Informationen werden bei späteren Besuchen wieder ausgelesen und dienen dazu, Teile des Nutzerverhaltens auf der Website nachzuverfolgen. Hierzu enthalten sie häufig Kennungen, die als personenbezogene Daten betrachtet werden.

Da der Benutzer im Vorhinein nicht weiß, ob die verwendeten Cookies seinem Nutzervorteil dienen oder personenbezogene Daten enthalten oder nicht, muss der Webseitenbetreiber offenlegen, wofür die Cookies eingesetzt werden und was mit den erhobenen Daten passiert.

Dies kann über das Cookie-Banner auf der Webseite erfolgen. Dadurch erlangt der Nutzer die Möglichkeit auszuwählen, welche Cookies zugelassen werden dürfen. Dies geschieht für jeden Datenempfänger einzeln. Die Einstellungen des Nutzers werden über ein Consent-Management verwaltet.

Arten von Cookies

Cookies-Kategorien

Die neue Zulässigkeitsprüfung für 3rd-party-Tools

Entscheidend ist, ob die geplante Datenverarbeitung überhaupt zulässig ist. Die DSK skizziert in ihrem Papier eine Zulässigkeitsprüfung auch für Tracking-Cookies in drei Schritten, die vom Datenschutzbeauftragten im Unternehmen durchgeführt und dokumentiert werden muss:

  • Liegt ein berechtigtes Interesses vor?
  • Welche Daten sind für die beabsichtigte (Reichweiten) Analyse tatsächlich erforderlich?
  • Die Interessen des Websitebetreibers sind gegen die Interessen und Grundrechte und Grundfreiheiten des Nutzers, zu denen etwa Meinungsfreiheit und Datenschutz gehören, abzuwiegen.

Schritt 1: Berechtigtes Interesse prüfen

Als berechtigtes Interesse, also als zulässiges Motiv für die Verarbeitung personenbezogener Daten, listet die DSK unter anderem auf:

  • Bereitstellung einer Warenkorb-Funktion in einem Online-Shop,
  • das Speichern von Log-Dateien zum Schutz der Sicherheit der Website vor Missbrauch und Betrug,
  • statistische Auswertungen und Reichweitenanalyse
  • Personalisierung und Individualisierung der Websiteangebote für den jeweiligen Nutzer etwa für Direktwerbung
  • Wiedererkennung und Merkmalszuordnung von Nutzern bei werbefinanzierten Angeboten.

Schritt 2: Erforderlichkeit der Datennutzung ermitteln

Datenverarbeitung ist laut DSK nur zulässig, wenn das berechtigte Interesse aus Schritt 1 aus technischen Gründen nur mithilfe des gewählten, datenintensiven Verfahrens verfolgt werden kann.

Die Verarbeitung personenbezogener Daten muss also zum einen erforderlich sein und zum anderen darf es keinen milderen Weg (ganz ohne oder mit sparsamerer Datenverarbeitung) geben, dieses Interesse mit gleicher Effektivität zu verfolgen.

Die Datenerhebung und -verarbeitung muss also auf das absolut notwendige Maß beschränkt werden und es muss eine gründliche Prüfung erfolgen, ob das Ziel der Datenverarbeitung nicht auch mit einem geringeren Datenumfang bzw. ohne Nutzung von Drittanbietern erreicht werden kann.

Dies verpflichtet den Datenschutzbeauftragten und die Websiteprogrammierung dazu, regelmäßig zu prüfen, ob es neuere Tools gibt, die das gewünschte Ziel datensparsamer zu erreichen bzw. die Übermittlung an Dritte überflüssig machen. Siehe hierzu auch den Abschnitt Nutzung von Analysetools von Drittanbietern.

Schritt 3: Interessen von Nutzer und Unternehmen gegeneinander abwägen

Dem Interesse des Unternehmens an der Gewinnung möglichst vieler Daten steht der Wunsch des Nutzers nach Datensparsamkeit und Datenschutz entgegen. Hier muss abgewogen und erkennbar werden:

  • Ist die Datenverarbeitung transparent und für den Nutzer erwartbar bzw. vorhersehbar?

Bei mehreren Beteiligten ohne definierte rechtliche Beziehungen ist nicht von einer Transparenz auszugehen, ebenso wenig bei der Einbindung von Drittanbietern. Auch die Erfassung von Tastatur-, Maus- oder Wischeingaben oder der Einsatz für den Nutzer nicht erkennbarer Zählpixel gelten nicht als erwartbar.

  • Besteht eine Möglichkeit für den Nutzer, die Datenverarbeitung zu verringern bzw. zu untersagen?

Kann eine solche Opt-Out-Option bedingungslos und jederzeit ausgeführt werden, erhöhen sich die Chancen einer für den Websitebetreiber positiven Interessenabwägung. Werden hingegen Inhalte durch Opt-Outs blockiert oder Cookies externer Anbieter durch eigene Cookies ersetzt, sobald der Nutzer das Opt-Out wahrnimmt, handelt es sich um unzulässige Vorgänge, die sich negativ auf die Abwägung auswirken.

  • Werden die erhobenen Daten miteinander verkettet?

Risikoerhöhend und damit negativ sind geräteübergreifende Verkettungen von Nutzerdaten, besonders kritisch sind Verknüpfungen und Profilerstellungen durch die Dienste Dritter zu sehen.

  • Wie viele und welche Akteure sind an der Datenverarbeitung beteiligt, und wo haben sie ihren Sitz?

Je mehr Akteure beteiligt sind, desto schwieriger wird die Transparenz für den Nutzer. Besonders negativ wirken sich Beteiligte in mehreren Ländern aus, deren Rechtssysteme und gesetzlichen Grundlagen der Nutzer nicht kennen kann.

  • Wie lange wird der Nutzer auf der Website beobachtet?

Je länger die „Lebensdauer“ der Cookies, desto nachteiliger fällt die Abwägung aus.

  • Welche und wie viele Daten werden erhoben?

Es ist zu ermitteln, welche Daten wie intensiv erhoben werden. Pseudonymisierte Daten, aus denen der Nutzer nicht identifiziert werden kann, sind hier tendenziell positiver, Profiling, Bewegungsprofile und vergleichbar tiefe Eingriffe in die Privatsphäre der Nutzer sind negativ zu bewerten.

  • Welchen Umfang hat die Datenerfassung und -verarbeitung? Sind darunter besonders schutzwürdige Daten?

Gesundheitsdaten, politische, religiöse oder sexuelle Ausrichtungen und vergleichbar sensible Informationen erfordern eine separate Einwilligung, bevor sie verarbeitet werden dürfen.

  • Sind unter den potenziellen Websitenutzern besonders schutzbedürftige Personen, etwa Kinder unter 14 Jahren, oder besteht ein Machtungleichgewicht zwischen Nutzer und Betreiber?
  • Berührt die Datenverarbeitung die Grundrechte und -freiheiten wie die Vertraulichkeit der Kommunikation, die freie Meinungsäußerung, die freie Informationsgewinnung oder das Recht, keine finanziellen Nachteile zu erleiden?

Hier ist vor allem die Einbindung von Tools Werbetreibender zu nennen, die sensible Informationen beispielsweise aus Gesundheits- oder Datingportalen für eigene Zwecke verarbeiten.

  • Wird durch das Ablegen des Cookies die Integrität des Nutzergerätes berührt?

Es ist danach zu unterscheiden, ob die Cookies nach Ende der Browsersitzung sofort gelöscht oder dauerhaft auf dem Nutzergerät gespeichert werden.
Erst wenn diese Gesamtabwägung positiv für das datenverarbeitende Unternehmen ausfällt, könnten Tracking-Cookies und andere Trackingtools überhaupt eingesetzt werden.

Für Unternehmen sind vor allem die Informationen, die über Tracking-Cookies gesammelt werden, sehr wertvoll und gerade im Online-Geschäft von großer Bedeutung. Was dem Nutzer im Einzelfall Komfort bietet, etwa ein Login, die Wiederaufnahme eines unterbrochenen Kaufvorgangs oder eine Spracheinstellung, kann bei der dauerhaften Speicherung und der Zusammenführung zu Nutzerprofilen, die personenbezogene Daten enthalten, aus Sicht des Datenschutzes jedoch unerwünscht sein.

Generell gilt: Es besteht ein Unterschied zwischen technisch notwendigen Cookies – die ausschließlich die Website funktionieren lassen, zumeist mit dem Schließen des Browsers gelöscht werden und weiterhin nicht einwilligungsbedürftig sind – und anderen Cookies.

Für alle technisch nicht notwendigen Cookies, die personenbezogene Daten übermitteln bzw. verarbeiten, benötigen Websitebetreiber vor ihrem Einsatz eine ausdrückliche Einwilligung der Nutzer („Opt-In“), um DSGVO-konform zu sein. Davon betroffen sind vor allem Analyse-, Social-Media- und Werbecookies. Diese werden auf dem Endgerät des Nutzers gespeichert und dienen zur Analyse des Verhaltens des Webseitenbesuchers.

Der Nutzer stimmt also genau genommen nicht der Cookie-Setzung, sondern der dahinterstehenden Datenverarbeitung durch die benannten Stellen zu.

Wann brauche ich ein Cookie Banner für meine Webseite?

Webseitenbetreiber sollten beim ersten Öffnen der Website eine Einwilligung des Nutzers bezüglich der Cookie-Nutzung einholen. Dabei sollte so detailliert wie möglich aufgelistet werden, um welche Daten es sich handelt, wozu diese genutzt werden oder auch an wen diese Daten weitergegeben werden.

Also: immer, wenn Daten durch Marketing-, Third Party- oder Tracking-Cookies erhoben werden und diese verarbeitet und ausgewertet werden, besteht Cookie Banner Pflicht.

Laut Rechtsanwälten und Experten ist die Nutzung von technischen und Funktionalen-Cookies jedoch auch ohne Einwilligung möglich. Da keine Daten erhoben werden und keine Einwilligung erforderlich ist, ist somit rechtlich gesehen auch kein Cookie Banner nötig.

Rechtslage nach EuGH und DSGVO

Viele Webseitenbetreiber nutzen mittlerweile Cookie-Banner. Doch sind diese auch sicher DSGVO-konform und wird die rechtliche Lage beachtet? So wurden erst auch vorausgefüllte Zustimmungskästchen (opt-outs) in Cookie-Bannern als gültig anerkannt. Dabei wurden jedoch auch Daten von Besuchern getrackt, die davon noch keine Kenntnis genommen hatten.

Nach einem Urteil des Europäischen Gerichtshof (EuGH) wurde erklärt, dass Webseitenbesucher aktiv in die Sammlung und Erhebung Ihrer personenbezogenen Daten einwilligen müssen (opt-in). Die im Vorhinein gesetzten Einwilligungen wurden als unwirksam eingestuft. Dieses Urteil wurde vor allem mit dem Schutz der Privatsphäre des Nutzers begründet.

In Deutschland wurde der Bereich der Datensicherung in § 15 Abs.3 Telemediengesetz geregelt. Die Anforderungen dieser Norm umfassen jedoch lediglich Informationen darüber, wie Cookies angelegt werden müssen und dass ein Widerspruchsrecht auf Seiten des Webseitennutzers vorhanden ist. Aufgrund dieser Norm ist keine explizite Einwilligung zur Cookie-Speicherung notwendig.

Auch die DSGVO (Datenschutzgrundverordnung) enthält keine explizite Cookie-Richtlinie. Jedoch werden hier die Speicherung und die Verarbeitung von personenbezogenen Daten verboten.

Kurz: Sobald ein Webseitenbenutzer als unique-User identifiziert werden kann, greift die DSGVO und eine Einwilligung muss durch ein Cookie-Banner eingeholt werden.
Wenn dies nicht der Fall ist und lediglich technisch notwendige Cookies verwendet werden, greift lediglich § 15 Abs.3 TMG.

Die Folgen: Die Verwendung von Cookies ist und bleibt erlaubt. Es wurde lediglich ein Rahmen für die Nutzung von Cookies und den Umgang mit personenbezogenen Daten geschaffen. Dies bleibt jedoch schwammig formuliert. Deshalb raten wir Ihnen: nutzen Sie die Opt-in-Lösung und listen Sie alle verwendeten Cookies auf, um mögliche Bußgelder zu vermeiden und sicher DSGVO-konform zu sein.

Um die Privatsphäre der Nutzer in höherem Maße zu schützen, arbeiten die EU-Staaten an einer ePrivacy-Verordnung, die für standardisierte Datenschutzrichtlinien in der ganzen EU sorgen soll.

Cookie Banner - was ist zu tun?

Nach Ansicht der DSK müssen Cookies datensparsam eingesetzt werden, also technisch oder zur Webseitenoptimierung notwendig sein. Die Nutzung von Cookies erfordert jedoch nicht per se eine Einwilligung – Cookies, die keine Einwilligung erfordern, müssen nur in der Datenschutzerklärung aufgeführt werden.

Die Einwilligungspflicht bei Cookies bezieht sich auf die Erhebung persönlicher Daten, vor allem die Weitergabe von Daten an Dritte oder die Möglichkeit Dritter, selbst Daten über diese Website zu erheben.

Solange das Banner angezeigt wird, also die Erklärung nicht abgeschlossen ist, müssen alle Skripte, die Nutzerdaten erfassen könnten, blockiert bleiben. Erst nach der Cookie-Auswahl und deren Bestätigung dürfen die gewählten Cookies dynamisch nachgeladen werden und zum Einsatz kommen. Vorteile des externen Datenschutzbeauftragten: Er kann im Unternehmen sicherstellen, dass diese Vorgaben auch technisch eingehalten werden.

Er muss auch dokumentieren, auf Basis welcher Erlaubnis die Datenverarbeitung stattfindet. Außerdem muss er dafür sorgen, dass möglichst wenige Daten erhoben werden und der Nutzer jederzeit Einsicht in die gewährte Erlaubnis hat bzw. diese Erlaubnis teils oder ganz widerrufen kann. Der Widerruf muss ebenso leicht möglich sein wie die Zustimmung zur Datenverarbeitung.

Cookie Banner rechtssicher implementieren

Um ein Cookie Banner sicher und rechtskonform auf einer Webseite zu implementieren, muss der Webseitenbetreiber dieses Cookie Banner auch in seiner Datenschutzerklärung aufführen.

Die Datenschutzerklärung dient dann dazu, dem Nutzer detailliert aufzuzeigen, was nach der Speicherung mit den Daten passieren wird. Auch muss dem Webseitenbesucher hier aufgezeigt werden, wer auf die erhobenen Daten Zugriff hat und für welche Zwecke die Daten verwendet werden.

Daraus folgt: ein alleinstehendes Cookie Banner ohne dazugehörige Datenschutzerklärung hat keinen rechtlichen Wert. Somit ist es nicht DSGVO-konform.

Oft sind Cookie Banner am oberen oder unteren Bildschirmrand angelegt. So sollen sie die Performance der Landingpage nicht beeinträchtigen. Bei der Platzierung eines Cookie Banners sollte der Webseitenbesucher jedoch zu jedem Zeitpunkt die Möglichkeit haben, auf das Impressum und die Datenschutzerklärung zuzugreifen.

Hinweis: Dies gilt auch dann, wenn der Webseitenbesucher der Verwendung von Cookies zugestimmt hat.

Cookie Banner Generator

Um einen Cookie Banner zu erstellen, können Cookie Hinweis Generatoren hilfreich sein. Im Internet gibt es zahlreiche Angebote. Jedoch entsprechen nicht alle den Anforderungen der aktuellen Bestimmungen. Es ist also wichtig, darauf zu achten, dass der Datenschutzgenerator 2019 auch die Vorgaben der DSGVO berücksichtigt, ansonsten ist der Cookie Banner wertlos.

Einen DSGVO konformen Cookie Banner Generator bietet Cookiebox.

7 Kriterien einer DSGVO-konformen Cookie-Einwilligung

Einwilligung des Webseiten-Besuchers

Die Erstellung eines Cookie-Banners ist ein Schritt in die Richtung DSGVO-Konformität. Der Website-Benutzer muss jedoch daraufhin der Nutzung von Cookies zustimmen, damit diese rechtskonform vom Website-Betreiber verwendet werden dürfen. Doch wie kann man eine Zustimmung zu Tracking, Retargeting oder Profiling-Cookies  Zustimmung am besten einholen?

Wie kann man eine freie, konkrete und ausdrückliche Zustimmung ermitteln und dokumentieren?

Einerseits können Sie dies intern lösen. Hier gilt jedoch Vorsicht, da eine stetige Überwachung der Rechtsverordnungen nötig ist. Um hier auf Nummer sicher zu gehen und Haftungsrisiken zu vermeiden, ist es sinnvoll, das Consent-Management an einen spezialisierten Anbieter auszulagern.

Dafür eignet sich am besten eine Consent-management-Plattform (CMP), die es einem Websitebetreiber ermöglicht, die Zustimmung für die Nutzung von Cookies abzufragen, zu dokumentieren oder zu verwalten.

Die optimale Form der Einwilligung

Die für den Nutzer angenehmste Form der Cookie-Einwilligung ist ein Cookie-Banner, das unten oder mittig über der Website eingeblendet wird. Pop-Up-Lösungen könnten durch entsprechende Blocker nicht angezeigt werden, so dass die Website insgesamt nicht richtig dargestellt wird. Eine vorgeschaltete vollflächige Seite irritiert die Nutzer und kann dazu führen, dass sie den Besuch der Seite vorzeitig beenden.

Wenn eine Einwilligung des Nutzers erforderlich ist, muss er bei seinem ersten Webseitenbesuch über ein informatives Cookie-Banner darüber in Kenntnis gesetzt werden, dass die Website durch Cookies personenbezogene Daten erheben will, wozu sie dienen und wohin die Daten übermittelt werden, bevor diese Cookies zum Einsatz kommen.

Er muss der Cookie-Nutzung ausdrücklich und ohne Zwang bzw. Funktionseinschränkungen zustimmen können, und zwar durch eine nicht vorausgefüllte Einwilligungs- bzw. Widerspruchserklärung im Cookie-Banner. Hierfür müssen im Cookie-Banner alle einwilligungsbedürftigen Verarbeitungsvorgänge, deren Funktion bzw. Zweck und alle daran beteiligten Akteure aufgelistet und erklärt werden.

Für jeden Verarbeitungsvorgang personenbezogener Daten und jeden eingebundenen Akteur muss eine gesonderte Einwilligung erteilt werden können.

Cookie-Banner, die nur eine Zustimmung zulassen, die weitere Nutzung der Seite als Zustimmung werten oder vorausgefüllt sind, sind nicht rechtskonform. Auch eine Widerspruchslösung, die erst nach dem Setzen der Cookies greift, entspricht nicht den Vorgaben.

Einwilligungen, bevor Drittanbieter-Tracking-Skripte geladen werden

Generell ist die Verwendung jeglicher Cookies in der Datenschutzerklärung der jeweiligen Website aufzuführen. Darüber hinaus muss für das Setzen technisch nicht notwendiger Cookies die Einwilligung der Nutzer eingeholt werden. Schalten Sie einen Cookie-Hinweis und geben Sie dem Website-Benutzer mithilfe eines Cookie-Banners die Möglichkeit, den verwendeten Cookies zuzustimmen oder diese abzulehnen.

Diese Einwilligung ist nach Ansicht der Datenschutzkonferenz (DSK), die sich auf die Informationspflichten gemäß Art.13 DSGVO bezieht, nur wirksam, wenn der Nutzer vorab über alle Datenverarbeitungsvorgänge und sämtliche Empfänger seiner Daten ausführlich informiert wurde sowie die Möglichkeit zum Widerspruch gegen alle oder bestimmte Cookies erhält.

Damit sind viele der derzeit kursierenden Cookie-Banner, die nur einen einfachen „Okay-Button“ oder die Möglichkeit des Zuklickens enthalten, nicht ausreichend, weil der Nutzer dem Setzen solcher Cookies nicht widersprechen kann. Außerdem können nur jene Websitebetreiber sämtliche Empfänger der Daten offenlegen, die die Nutzerdaten ausschließlich auf ihrer eigenen Website verarbeiten.

Sobald ein Analysetool genutzt wird, das die Daten extern auswertet, ist es dem Websitebetreiber nicht mehr möglich, nachzuvollziehen und zu dokumentieren, wohin die Daten seiner Besucher übermittelt werden (siehe Nutzung von Analysetools von Drittanbietern).

Hinweis

Die reine Verwendung von Pseudonymen wird von der DSK nicht als ausreichende Pseudonymisierungsmaßnahme nach der DSGVO anerkannt. Streng genommen sind nur anonymisierte Cookies nicht einwilligungsbedürftig.

Nutzung von Auswertungstools von Drittanbietern

Besonders kritisch müssen Websitebetreiber künftig externe Analysetools und statistische Hilfsmittel von Dritten betrachten. Bei diesen Verfahren werden die Auswertungen nicht lokal auf dem Server des Betreibers durchgeführt, sondern die etwa durch Cookies erhobenen Daten gehen ohne Einflussmöglichkeiten des Betreibers zur Auswertung an Server des Toolanbieters, oft auch im Ausland.

Durch den Transfer kann der Websitebetreiber nicht mehr einsehen und offenlegen, wer Einsicht in die Daten hat und inwiefern sie Websiteübergreifend zu Nutzerprofilen zusammengeführt werden, und auch der Nutzer erhält keine Möglichkeit, der Weitergabe zu widersprechen. Die Nutzung solcher Tools wie beispielsweise Google Adsense, Google Ad Manager, Google Analytics, DoubleClick oder Facebook Custom Audience dürfte also unzulässig sein, weil es mildere Mittel gibt.

Websitebetreiber sind aufgefordert, datensparsam arbeitende lokal arbeitende Analysetools auf dem eigenen Server zu installieren und Logfiles zu analysieren, um den Datenschutz zu gewährleisten bzw. die unkontrollierbare Datenweitergabe in Länder außerhalb der EU zu unterlassen.

Kriterien für die Auswahl einer Consent Management Platform (CMP)

Da es sich bei den CMPs auf dem Gebiet der Website-Technologien um eine Neuentwicklung handelt, haben wir objektive Kriterien zusammengestellt, die sich aus rechtlichen und technischen Aspekten zusammensetzen und bei der Auswahl eines CMP berücksichtigt werden sollten.

Rechtslage

Unternehmen mit Sitz in der EU / EEA müssen DSGVO-konform sein und die oben beschriebenen Regeln für die Verwendung von Cookies und ähnlichen Technologien einhalten.

Allerdings müssen nach Art. 3 (2b) DSGVO im Allgemeinen alle Websites weltweit die DSGVO einhalten, wenn Tracking oder Profiling Technologien auf EU-Nutzer angewendet werden. Alle Unternehmen weltweit, die solche Technologien einsetzen, benötigen eine Lösung für das Einwilligungsmanagement - entweder um die DSGVO-Richtlinien einzuhalten oder um EU/EWR-Nutzer zu blockieren und sich von der DSGVO fernzuhalten.

Die Überprüfung möglicher CMP-Anbieter und die Umsetzung einer solchen Lösung wird auch im Hinblick auf die ePrivacy-Verordnung der richtige Schritt sein.

Achten Sie bei der Verwendung von Cookie-Management-Lösungen durch Content-Management-Systeme (CMS) wie WordPress, Joomla, Drupal oder TYPO3 darauf, dass Sie Ihr Cookie-Banner wirklich konform zu den Datenschutzverordnungen und Gesetzen implementieren. Dies erfordert ständige Auditierung, da die Rechtslage komplex ist und sich ständig verändert.

Für CMP gibt es den europäischen IAB Europe Standard, der künftig für alle CMP in Europa gelten wird. Auch die Server des jeweiligen Systems sollten unbedingt in Europa stehen, damit sie den Bestimmungen der DSGVO genügen.

Fazit

Das Thema Cookies und Cookie-Banner wird den Gesetzgeber und die Gerichte auch in den kommenden Jahren beschäftigten. Es ist damit zu rechnen, dass hier noch viele Veränderungen, Konkretisierungen und Klarstellungen erfolgen. Webseitenbetreibende Unternehmen und ihre Datenschutzbeauftragten müssen sich auch weiterhin regelmäßig über die aktuelle rechtliche Lage und die korrekte Umsetzung informieren, um die Sicherheit der personenbezogenen Daten sicherzustellen.

Kurz: DSGVO-konforme Cookie-Banner sind für eine erfolgreiche Website unausweichlich.

Tipp: Um nachweisen zu können, dass Sie sich an die Richtlinien der Datenschutzgrundverordnung und der ePrivacy-Verordnung halten, sollten Sie die passende Cookie-Management-Lösung parat haben. Dokumentieren Sie als Webseitenbetreiber die Einwilligungen der Besucher bezüglich der Cookie-Nutzung und geben Sie dem Website-Benutzer jederzeit die Möglichkeit, seine Einstellungen und Auswahlmöglichkeiten einzusehen und diese gegebenenfalls zu ändern.

Unsere Services und Leistungen zum Datenschutz

  • Erstgespräch zur Orientierung
  • Beratung zu allen Themen des Datenschutzes
  • Review des vorhandenen Datenschutzkonzepts
  • Auditierung Ihrer Dienstleister (Stichwort: Auftragsdatenverarbeitung)
  • Aufbau und Pflege eines Datenschutzmanagementsystems (DSMS)
  • Unterstützung des internen Datenschutzbeauftragten
  • Stellung des externen Datenschutzbeauftragten
  • DSGVO: Audit, Vorbereitung, Projekt, laufende Beratung
  • Mitarbeiterschulung zu den relevanten Neuerungen der Datenschutz-Grundverordnung
  • Übernahme der Position des externen Datenschutzbeauftragten bundesweit (externer DSB Münster, externer DSB Düsseldorf, externer DSB Köln etc.)
  • Usercentrics Consent Management Platform 
Bitte geben Sie Ihren Namen ein.
Bitte geben Sie eine Nachricht ein.

CORTINA CONSULT DURCHSUCHEN

Generic selectors
Exact matches only
Search in title
Search in content
Search in posts
Search in pages

Ihr Ansprechpartner

Externer Datenschutzbeauftragter Osnabrück - Jörg Ter Beek

Jörg ter Beek
+49 251 2979474-1
jtb@cortina-consult.de

Download

Laden Sie hier Ihre Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien herunter.

Lensenswertes zum Thema Cookie-Tracking

Orientierungshilfe: Wie Webseiten Nutzer tracken dürfen - und wie nicht.

Schreiben Sie uns:
0251 29794740 Schreiben Sie uns Remote-Desktop download