Cookie-Banner sind Pflicht nach DSGVO

Cookie Hinweis nach der DSGVO

Haben Sie auch an Ihren Cookies zu knabbern? Im Februar berichteten wir bereits über die zunehmenden Kontrollen und die Ergebnisse des Bayerischen Landesamt für Datenschutz (BayLDA). Das Thema Cookies wirft für viele Unternehmen weiterhin einige Fragen auf. Die Aufsichtsbehörde von Baden-Württemberg hat aktuell eine Orientierungshilfe für Anbieter von Telemedien (z.B Betreiber von Websites) veröffentlicht, in dem die häufigsten Fragen zum Thema Cookies und Tracking beantwortet werden. Wir haben die wichtigsten Punkte zusammengefasst und verraten Ihnen, ob Sie Ihre Cookie Banner DSGVO-konform einsetzen.

Beitrag Februar 2019:

Was sind Cookies?

Anhand von Cookies ist es möglich, einen Internetuser zu verfolgen und zuzuordnen. Für Unternehmen sind die Informationen, die über Tracking-Cookies gesammelt werden sehr wertvoll und gerade im Online-Geschäft von großer Bedeutung. Denn die Cookies werden auf dem Computer des Nutzers gespeichert, um die Computeraktivitäten zu verfolgen und Informationen zu sammeln.

Zunehmende Kontrollen und ein erschreckendes Ergebnis

Der Einsatz von Cookies wird zunehmend überprüft. Das Bayerische Landesamt für Datenschutz (BayLDA) hatte im Februar mit sehr großer Reichweite die bayerischen Unternehmens-Websites auf eine DSGVO-konforme Einholung und Dokumentation der User-Einwilligung überprüft. Das erschreckende Ergebnis: Auf keiner einzigen der untersuchten 40 Websites werden Tracking-Tools datenschutzkonform eingesetzt. Als Konsequenz kündigte die Behörde Bußgeldverfahren an.

Konkret überprüft wurden drei Aspekte, über die der User gemäß DSGVO informiert werden muss bzw. für die der Website-Betreiber ggf. den Nachweis zu erbringen hat.

  1. Die Einwilligung muss vorab abgefragt werden: Daten sollten erst erhoben werden, wenn eine Einwilligung vorliegt. Webseiten-Betreiber müssen deshalb sicherstellen, dass Cookie-Banner und Analyse Tools ( z. B. Google Analytics) miteinander korrespondieren.
  2. Der User sollte über die Datenverarbeitung informiert sein bzw. über alle Aspekte im Kontext mit der Datenverarbeitung in Kenntnis gesetzt worden sein.
  3. Die Einwilligung muss freiwillig abgeben werden. Anders formuliert: Wer JA sagen kann, muss auch NEIN sagen dürfen. Ein ABLEHNEN-Button auf dem Cookie-Banner ist deshalb erforderlich.

Bewertung des Ergebnisses durch das BayLDA:

“Keine der eingeholten Einwilligungen ist wirksam. Das beutet im Ergebnis, dass die Datenverarbeitung durch einwilligungsbedürftige Tracking-Tools rechtswidrig ist”, so der Präsident des BayLDA, Thomas Kranig.Alle begutachteten Websites begehen Datenschutzverstöße beim Einsatz der Tracking-Werkzeuge. Für die verantwortlichen Unternehmen wird unsere Prüfung ein Nachspiel haben. Wir haben uns entschlossen, diese Missstände abzustellen sowie die Einleitung von Bußgeldverfahren zu prüfen”.

Website Quick Check
Sie sind sich nicht sicher, ob Sie Ihren Cookie Banner DSGVO-konform nutzen? Melden Sie sich jetzt für eine kostenlose Cookie-Analyse an!

Update Mai 2019:

Welche Cookies darf ich ohne Einwilligung nutzen?

Die Funktionalität der Tracker-Cookies löst einige Diskussionen aus. Diskutiert wird das Thema Cookies vor allem hinsichtlich ihrer Verwendung zum Nutzertracking. Denn diese werden meist ohne Wissen des Nutzers auf seinem Computer gespeichert. Datenschützer sehen hierbei die Privatsphäre der Nutzer bedroht. Es ist weiterhin umstritten, ob und wann eine Einwilligung von den Usern für das Tracking erforderlich ist. Den Entscheidenden Maßstab bildet nach Auffassung der Aufsichtsbehörden der Zweck des Verarbeitungsprozesses.

Technische Cookies
Um als User alle Funktionen und Dienste einer Website nutzen zu können und einen uneingeschränkten Ablauf der Website zu gewährleisten, sind teilweise Cookies notwendig. Wenn Cookies für die Funktionalität einer Website notwendig sind, dürfen diese zukünftig auch ohne Einwilligung des Nutzers eingesetzt werden, wenn sie auf ein berechtigtes Interesse des Verantwortlichen gestützt werden können.

Analytische Cookies
Wenn Daten zum Zweck der statistischen Analyse einer Website dienen und bestimmte Bedingungen bei der Verarbeitung erfüllt sind, dürfen auch diese Cookies ohne ein Einverständnis der Nutzer gespeichert werden. Folgende Bedingungen müssen erfüllt sein:

  • Nutzungsdaten werden nicht mit weiteren Daten über den Nutzer zusammengeführt
  • Die Daten werden nur zum Zweck der statistischen Analyse verarbeitet
  • Nutzungsdaten, die durch ein Analysetool eines Drittanbieters erhoben wurden, werden nicht für eigene Zwecke verwendet
  • Einzelnen Nutzern werden keine Merkmale oder Interessen in Rahmen einer Profilbildung zugeordnet
  • Der Nutzer hat eine Widerspruchsmöglichkeit in Form eines Opt-Out-Verfahrens

Für welche Cookies und Tracking-Tools benötige ich eine Einwilligung der Nutzer?

Wird das Nutzerverhalten insbesondere über Website- oder Geräte-Grenzen (z.B. über verschiedene Domains verschiedener Anbieter) hinweg zusammengefasst, wird vorher eine ausdrückliche Einwilligung der Betroffenen benötigt. Dies betrifft vor allem die Einbindung von Plugins bei Social-Media-Anbieter, Online-Plattform-Betreibern und Werbenetzwerken.

Tracking
In dieser Kategorie geht es um die Auswertung des Besucherverhaltens auf einer Website. Einzuordnen sind Verfahren, die das Verhalten eines Nutzers über einen längeren Zeitraum analysieren und die Identifikation des Nutzers ermöglichen. Um den Nutzer wiederzuerkennen werden Nutzerprofile erstellt (Profiling), indem den einzelnen Nutzern persönliche Merkmale und Interessen zugeordnet werden. Mit Hilfe von Marketing-Cookies und Third-Party-Cookies können dem Nutzer dann gezielt Werbemaßnahmen möglichst personalisiert angezeigt werden. Da in diesem Falle nach Ansicht der Aufsichtsbehörden das Interesse des Nutzers überwiegt, wird eine Einwilligung des Nutzers benötigt.

Cookies und Datenschutzerklärung

Wird keine Einwilligung der Nutzer bei der Verwendung von Cookies benötigt, ist es ausreichend, die Datenverarbeitung in der Datenschutzerklärung zu beschreiben. Werden die Daten an Dritte weitergegeben oder liegt ein anderer Grund für eine Einwilligung ein, ist ein Hinweis auf die Cookies in der Datenschutzerklärung nicht mehr ausreichend. Dann wird ein Cookie Hinweis für die Einwilligung der Nutzer benötigt. Unabhängig davon ob Sie einen Cookie Hinweis auf Ihrer Seite einbauen, sollte jede Datenschutzerklärung einen Abschnitt zu Cookies enthalten und erklären, welche Cookies eingesetzt werden und was diese tun.

Was muss im Cookie Hinweistext stehen?

Sie benötigen einen Cookie Banner um die Einwilligung der Website-Nutzer zu bekommen. Wichtig ist, dass in dem Cookie Hinweistext der Gegenstand der Einwilligung klar und verständlich formuliert wird. Es muss deutlich werden, dass die Einwilligung freiwilligt erfolgt und die Zustimmung jederzeit widerrufen werden kann.

Zu beantworten sind folgende Fragen:

  • Welche personenbezogenen Daten werden verarbeitet?
  • Was passiert mit den Daten?
  • Wer hat Zugriff auf diese Daten?
  • Welchem Zweck dient die Verarbeitung dieser Daten?
  • Werden die personenbezogenen Daten mit anderen Daten verknüpft?

Zudem müssen Links eindeutig beschrieben sein und wesentliche Inhalte dürfen nicht durch Links verschleiert werden.

Was muss beim Cookie Banner beachtet werden?

  • Die Einwilligung der Nutzer darf nicht voreingestellt sein.
  • Der Nutzer muss die Möglichkeit haben die Einwilligung zu verweigern.
  • Es wird ein Opt-in benötigt.
  • Es dürfen keine Daten weitergegen werden, wenn noch keine Einwilligung vorliegt.
  • Der Zugriff auf die Datenschutzerklärung und auf das Impressum darf nicht verhindert oder eingeschränkt sein.
  • Der Widerruf einer Einwilligung muss so einfach sein wie die Einwilligungserklärung selbst.

Fazit und Ausblick

Die Zulässigkeit der Analyse und Reichweitenmessung der eigenen Website ist unter der DSGVO weiterhin umstritten. Besonders die Frage, wann und ob eine Einwilligung für das Website-Tracking erforderlich ist, wird unter Datenschutzexperten kontrovers diskutiert. Was die Einschätzung der Aufsichtsbehörden zu Tracking, Retargeting und Profiling betrifft, zeichnet sich zunehmend eine klarere Position ab: Der Einsatz sogenannter 3rd-Party-Cookies bedarf einer sauberen Einwilligung.

Alle der von den Aufsichtsbehörden begutachteten Websites begehen Datenschutzverstöße beim Einsatz der Tracking-Werkzeuge, da keine der eingeholten Einwilligungen wirksam ist. Um nun sicherzustellen, dass Sie Ihr Tracking datenschutzkonform einsetzten und weiterhin personalisierte Werbung ausspielen können, können Sie ein Content Laser bzw. eine Consent Management Platform (CMP) nutzen. Damit haben Sie die Möglichkeit, die Einwilligungen Ihrer Websitebesucher mit Hilfe eines Programms einzuholen, zu verwalten und zu dokumentieren. Gerne prüfen wir Ihren Cookie Banner auch auf die Datenschutzkonformität.

Eine ausführliche Orientierungshilfe hat die Aufsichtsbehörden Baden-Württemberg veröffentlicht. Hier geht's zum PDF-Download.

Quellen: www.lda.bayern.de

NEWSLETTER

Kennen Sie schon die aktuellen Datenschutz-News? Erhalten Sie regelmäßig unsere neusten Blogartikel und Neuigkeiten rund um den Datenschutz!

Schreiben Sie uns:
0251 29794740 Schreiben Sie uns Remote-Desktop download