Vorwort
Teil 6 unserer Selbsthilfeserie “Wie kriegen wir die Seiten voll?” thematisiert Cookie-Banner.
Ziel der Serie ist es über das bloße Teilen von Informationen hinaus zu unterstützen, indem wir Ihnen auch das Werkzeug für die praktische Umsetzung datenschutzrechtlicher Verpflichtungen zur Verfügung stellen. Wissensbibliotheken zum Datenschutz gibt es wirklich schon genug.
Auch auf unseren Social Media Kanälen wird jede Woche ein neuer Teil gepostet.
Teil 6: Cookie-Banner
Jeder kennt sie, wenige lesen sie. Auch wenn die meisten schon einmal von einem Cookie-Banner genervt waren, ist die Idee grundsätzlich anwenderfreundlich. In diesem Beitrag kläre ich, was Cookies sind und warum eine erstaunlich hohe Anzahl von Websitebetreiber und Appentwickler sie immer noch offen rechtswidrig einsetzt.
Disclaimer: Dieser Beitrag stellt keine Rechtsberatung dar und erhebt keinen Anspruch auf Vollständigkeit. Auslassungen, Verkürzungen und Vereinfachungen sind beabsichtigt. Für konkrete Fragen wenden Sie sich bitte an einen Rechtsanwalt oder Datenschutzbeauftragten.
Zuerst in aller Kürze das technische Hintergrundwissen:
Die meisten haben es in irgendeiner Form sicher schon einmal gehört oder gelesen.
Cookies sind kleine Dateien, die auf den Endgeräten der Nutzer gespeichert werden, also auf deren Smartphone, Laptop, etc., mit dem sie Internetseiten besuchen oder Apps nutzen.
Sie sind grundsätzlich harmlos und enthalten bestimmte Informationen. So kann sich ein Cookie bequem den Inhalt eines Warenkorbs merken, damit beim Einkauf zu einem späteren Zeitpunkt nicht alles erneut hineingelegt werden muss. Ein Cookie, dass die gewählte Spracheinstellung auf einer Website speichert, sorgt dafür, dass der Nutzer auch bei zukünftigen Besuchen den Text in dieser Sprache vorfindet. Auf Seiten, die einen Login erfordern, müsste man sich nach jedem Klick auf eine Unterseite erneut authentifizieren, wenn nicht ein Cookie diese Information speichern würde.
Cookies mit derartigen Funktionen sind für die Nutzung einer Internetseite unbedingt erforderlich. Das ist die erste von 2 Kategorien von Cookies, zwischen denen unterschieden wird.
Denn es gibt auch Cookies, die andere Zwecke als die Bedienbarkeit oder Sicherheit der Website haben und die deshalb der 2. Kategorie angehören. Cookies können nämlich auch verwendet werden, um Besucher zu tracken und sich (oder Dritten) diese Daten zu Werbezwecken zunutze zu machen. Wenn ein Endgerät von Seite zu Seite surft und auf dem Weg Cookies sammelt, die diesen Prozess und damit die Interessen des Nutzers verfolgt, kommt ein Profil zustande, das man dann immer gezielter mit personalisierten Inhalten (insbesondere Werbung) bespielen kann. Auch die Einbettung von YouTube-Videos oder Kartendiensten wie Google Maps erfolgt ebenfalls per Cookie.
Cookies werden für bestimmte Zeiträume gespeichert.
Sogenannte Session Cookies werden nach einer Session, also beim Schließen des Internetbrowsers automatisch gelöscht.
Bei Persistant Cookies ist das anders: Hier ist eine Speicherdauer von Tagen, Wochen oder auch einem Jahr keine Seltenheit. In einem solchen Fall wird eine Datei tatsächlich für ein ganzes Jahr auf dem Endgerät des Nutzers gespeichert – außer natürlich, es findet ein neuer Besuch der Seite statt, denn dann könnte das Cookie erneuert werden, sodass die 365 Tage von vorne beginnen.
Nun zum Rechtlichen:
Hier wird auf 2 Spielfeldern gespielt: Einschlägig ist 1. das Gesetz mit dem schönen Titel „Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz“ (das ist schon die abgekürzte Bezeichnung) kurz TDDDG und 2. die DSGVO. Die Abgrenzung ist wichtig, denn weil beide Gesetze eine Einwilligung als Rechtsgrundlage im Programm haben, geht oft einiges durcheinander.
Das TDDDG schützt die Privatsphäre in Endeinrichtungen. Es ist insbesondere auf Cookies anwendbar. Denn die erstellten Datensätze werden auf dem Gerät des Nutzers gespeichert und von dessen Browser verwaltet.
Soweit es um Erstellen und Speichern geht, ist dieses Gesetz vorrangig anzuwenden.
Die DSGVO ist einschlägig, wenn es um Daten mit Personenbezug geht. Es ist wohl nicht vollständig geklärt, ob Cookies personenbezogene Daten darstellen. Jedenfalls wenn sie eindeutige Kennungen enthalten, die einem bestimmten Nutzer zugeordnet werden können, ist das der Fall.
Soweit es um das Verarbeiten von Daten mit Personenbezug geht – also NACHDEM das Cookie erstellt und gespeichert worden ist, ist die DSGVO anzuwenden.
Informationen dürfen auf Endeinrichtungen nur gespeichert werden, wenn der Nutzer auf Grundlage klarer und umfassender Informationen in die Speicherung eingewilligt hat. Die Anforderungen an die Information und die Einwilligung selbst ergeben sich aus der DSGVO.
Es sind also dieselben Informationen vorzuhalten und dieselben Voraussetzungen zu erfüllen, wie bei einem Werbemail-Abonnement!
Name und Kontaktdaten Zwecke und Rechtsgrundlage, Speicherdauer, Freiwilligkeit, Koppelungsverbot, Möglichkeit des jederzeitigen Widerrufs usw. Um die Einwilligung abzufragen, haben sich Cookie-Banner durchgesetzt. Hier kann man die erforderlichen Informationen bereithalten, einen Link zur Datenschutzerklärung und durch einen Klick auf „Einwilligung erteilen“ kann der Nutzer dann seine Einwilligung erteilen. Vor diesem Zeitpunkt darf kein einwilligungspflichtiges Cookie gesetzt werden.
Eine Ausnahme gibt es für Cookies, die für die Bereitstellung des vom Nutzer gewünschten Dienstes unbedingt erforderlich sind: Hier ist eine Einwilligung nicht erforderlich. Das bereits erwähnte Warenkorb-Cookie kann daher stets ohne Einwilligung gesetzt werden.
Aber die Probleme lauern natürlich dort, wo die Funktionalität über das Erforderliche hinausgeht. Denn der wirtschaftlich orientierte Seitenbetreiber möchte nicht darauf angewiesen sein, dass die Nutzer in seine Cookies für Marketing und Tracking freiwillig ihre Einwilligung erklären. Hierbei geht man allerdings ein Abmahnrisiko ein.
Probleme:
- Die Einwilligung muss die Anforderungen erfüllen, die die DSGVO an Einwilligungen stellt. Eine davon ist die Freiwilligkeit. Diese steht im Konflikt mit dem wirtschaftlichen Interesse der Seitenbetreiber, die möglichst viele Cookies setzen möchten, um möglichst hohe werbliche Reichweite zu schaffen. Viele Banner heben daher den Einwilligung-Button farblich hervor, sodass der Ablehnen-Button weniger auffällt, um die Nutzer dazu zu bewegen, auf „Einwilligung“ zu klicken, statt auf „Ablehnen“. Andere Banner sehen gar keinen Ablehnen-Button auf der Ebene des Einwilligung-Button vor, sondern bieten die Möglichkeit erst durch einen Klick auf „Weitere Optionen“ oder ähnlich bezeichnete Buttons. Die Rechtsprechung verneint in diesen Fällen die Wirksamkeit der Einwilligung. Die meisten wollen schließlich einfach nur die Website nutzen und wählen den schnellsten Weg dorthin. Das darf nicht mit manipulativer Gestaltung des Banners ausgenutzt werden.
- Es gibt Banner, die behaupten, wenn man auf dieser Seite unterwegs sei, erkläre man automatisch seine Einwilligung zur Speicherung von (einwilligungspflichtigen) Cookies. Die DSGVO sieht vor, dass eine Einwilligung eindeutig erklärt werden muss, sodass es einer bestimmten zustimmenden Willensbekundung bedarf. Hieran fehlt es in diesem Fall.
- Was, wenn man keine Einwilligung bekommt, aber trotzdem Cookies setzen möchte, die nicht für die Bereitstellung des Diensts erforderlich sind? Genau, man sucht sich eine andere Rechtsgrundlage. Unternehmen nutzen gern das berechtigte Interesse am Setzen von Cookies für Marketingzwecke. Behauptet wird oft auch ein berechtigtes Interesse von hunderten Werbepartnern. Das ist gleich aus mehreren Gesichtspunkten falsch.
- Das Setzen von Cookies geht nur mit §25 TDDDG und dort ist nur die Einwilligung als Rechtsgrundlage dafür vorgesehen. Ein berechtigtes Interesse ist irrelevant. Das kann erst bei der Verarbeitung von personenbezogenen Daten im Zusammenhang mit bereits gespeicherten Cookies eine Rolle spielen.
- Ein berechtigtes Interesse an sich ist wertlos. Es müssen außerdem die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. Tatsächlich muss eine Abwägungsentscheidung getroffen werden, die dann auch zu dokumentieren ist. Hier darf man es sich nicht zu leicht machen. Und berechtigte Interessen von Geschäftspartnern sind natürlich irrelevant.
- Um die Chance zu erhöhen, dass Nutzer entnervt auf „Alle akzeptieren klicken, wird die Liste der Werbepartner-Cookies gern auch so gestaltet, dass alle einzeln abgewählt werden müssen, wenn man nicht einwilligen möchte. Für 263 Werbepartner nimmt das natürlich niemand auf sich. Eine Option, mit der eine globale Einwilligung erteilt wird, ist meistens vorhanden. In diesem Fall ist aber auch die Bereitstellung einer Option Pflicht, mit der die Einwilligung in alle einwilligungspflichtigen Cookies global verweigert werden kann.
Was muss dem Nutzer also im Banner mitgeteilt werden, damit eine wirksame Einwilligung möglich ist?
1. Allgemeine Informationen zum Einsatz von Cookies auf der Website
- Art der eingesetzten Cookies,
- Rechtsgrundlagen für Speicherung und spätere Verarbeitung,
- Link zur Datenschutzerklärung, die weitere Informationen zu Cookies enthalten sollte.
Empfehlenswert außerdem: Gruppierung nach Zweck (z.B. „Marketing“, „Statistik“, „Für den Betrieb der Seite unbedingt erforderlich“)
2. Individuell je Cookie
- Name des Cookies
- Art der verarbeiteten Daten
- Zweck der Verarbeitung
- Speicherdauer
Falls Cookie von Werbepartner/Dienstleister: dessen Name, Link zu dessen Datenschutzerklärung
Falls der Partner seinen Sitz im EU-Ausland hat, sind die üblichen Voraussetzungen zu erfüllen: Ein angemessenes Datenschutzniveau muss gewährleistet sei. Das geht entweder aufgrund eines Angemessenheitsbeschlusses der Kommission oder aufgrund des Data Privacy Frameworks bei Transfers in die USA oder mittels Standardvertragsklauseln der EU-Kommission.
3. Außerdem wichtig
All diese Informationen sollten bereits auf der ersten Seite des Banners vorgehalten werden. Dasselbe gilt für eine Möglichkeit, die Einwilligung zu verweigern („Alle ablehnen“).
Wenn Minderjährige die Zielgruppe der Seite sind, sollte man ohne einwilligungspflichtige Cookies auskommen, da diese erst ab Vollendung des 16. Lebensjahres eine wirksame Einwilligung abgeben können.
Ein späterer Widerruf einer Einwilligung muss einfach möglich sein. Die Einstellungen dazu sind im Footer am besten aufgehoben, weil man so jederzeit darauf zugreifen kann.
Werden nur erforderliche Cookies eingesetzt, ist kein Banner notwendig.
Helfen können auch die Informationen in diesem Leitfaden auf der Internetseite des Bundesumweltministeriums:
https://www.bundesumweltministerium.de/fileadmin/Daten_BMU/Download_PDF/Verbraucherschutz/cookie_guidelines_bf.pdf
Fazit
Eigentlich ist es ganz einfach: Beim Besuch einer Website soll jeder selbst darüber entscheiden, ob die kleinen „Cookie“ genannten Dateien auf dem Endgerät des Nutzers gespeichert werden dürfen oder nicht. Wenn Website, Cookie-Banner und Datenschutzerklärung so gestaltet sind, dass ein Klick auf den Button „Einwilligung erteilen“ eine wirksame Einwilligung darstellt, steht dem Setzen von Cookies auch für Marketingzwecke nichts im Wege.
Tipp: Die Informationen aus Teil 1 und Teil 5 dieser Serie, die die Informationspflichten bzw. die Voraussetzungen der Einwilligung behandeln, können gemeinsam als Praxisratgeber zur Einrichtung eines rechtssicheren Cookie-Banners herangezogen werden.
Alle Beiträge der Reihe:
Teil 1 Datenschutzerklärung
Teil 2 Verzeichnis der Verarbeitungstätigkeiten (VVT)
Teil 3 Videoüberwachung
Sonderbeitrag 1: KI-generierte Datenschutzunterlagen
Teil 4 Vorgehen bei Datenpannen
Teil 5 Einwilligung bietet keine ultimative Sicherheit
Teil 6 Cookie-Banner
Teil 7 Auftragsverarbeitungsvertrag (AVV)
Teil 8 Vorgehen bei Betroffenenanfragen
Teil 9 Datenschutzbeauftragter (DSB)