Cookies, Cookie-Banner und das Thema Datenschutz. Rund um das Thema Cookies und Cookie-Banner grassieren immer wieder Gerüchte. Ich habe mich dazu bei Rechtsanwalt Björn Alexander Schneider von der WILDE BEUGER SOLMECKE Rechtsanwälte Partnerschaft mbB aus Köln genauer informiert.
Zuerst möchte ich kurz erklären was Cookies eigentlich sind:
Ein Cookie ist praktisch eine kleine Text Mitteilung, die Ihr Internet-Browser (Chrome, Microsoft Edge, Firefox, Safari, Internet-Exporer,…) auf Ihrem Computer beim Besuch einer Website speichern kann.
Diese Cookies haben unterschiedliche Aufgaben, wie zum Beispiel die Identifizierung des Website-Besuchers (Session ID), das Abspeichern von Login-Daten oder das Sichern eines Warenkorbs in einem Onlineshop.
Sehr oft wird das Cookie auch für das sogenannte „Webtracking“ von Nutzern verwendet. Also um die Besucheranzahl und das Besucherverhalten auf der Website zu analysieren. Im Datenschutz wird der Ausdruck „Cookie“ auch als Begriff für Datenverwertung, Datennutzung, Datenspeicherung oder auch für Datenmissbrauch verwendet.
Schauen wir uns nun an, was es mit dem Thema Cookies und Datenschutz genau auf sich hat:
Es folgt ein Gastbeitrag zum Thema Cookies und Datenschutz von Rechtsanwalt Björn Alexander Schneider von der WILDE BEUGER SOLMECKE Rechtsanwälte Partnerschaft mbB aus Köln.
Bei der Nutzung von Cookies ist im Einzelfall zu prüfen, was für Cookies gesetzt werden und für welchen Zweck diese verwendet werden.
In ihrer Orientierungshilfe vom 29.03.2019 für Anbieter von Telemedien (= Webseitenbetreiber; abrufbar unter: https://www.datenschutzkonferenz-online.de) hat die DSK ihre Ansicht nochmals wiederholt und ausgeführt, dass Tracking-Dienste (und entsprechende Cookies) nur mit vorheriger, ausdrücklicher Einwilligung des Betroffenen genutzt werden können (so zuletzt: https://www.datenschutzkonferenz-online.de)
Weiter muss bei den Verarbeitungsprozessen, bei denen die Verarbeitung auf die Rechtsgrundlage des Art. 6 Abs. 1 lit. f) DSGVO gestützt wird (berechtigtes Interesse) der Verantwortliche eine Interessenabwägung vornehmen und diese dokumentieren.
Die Information über die Verwendung von Cookies muss dann im Rahmen der Datenschutzerklärung erfolgen. Ein Cookie-Banner ist nicht immer erforderlich. Die DSK führt hierzu aus:
„Hinweis: „Cookie-Banner“ & „Consent-Tools“
Durch eine vorgeschaltete Abfrage beim ersten Aufruf einer Website oder einer Web-App kann u. a. eine wirksame Einwilligung für einwilligungsbedürftige (Fn.: Die Nutzung von Cookies ist nicht per se einwilligungsbedürftig. Entsprechende Banner sollen daher nur eingesetzt werden, wenn tatsächlich eine Einwilligung notwendig ist.) Datenverarbeitungen eingeholt werden. Dabei sind jedoch folgende Anforderungen zu beachten:
(…)“
Sofern man die Verarbeitung bei Cookies, die grundsätzlich eine Einwilligung erfordern, auf ein berechtigtes Interesse stützt, kann die Gefahr von Bußgeldern durch die Aufsichtsbehörden und die Abmahnung durch Betroffene und Mitbewerber nicht ausgeschlossen werden.
Sofern man Tracking-Dienste als Verantwortlicher nicht auf Grundlage eines berechtigten Interesses verwendet bzw. verwenden kann, ist eine vorherige, vollinformierte Einwilligung beim Betroffenen einzuholen (Art. 6 Abs. 1 lit. a) DSGVO).
Bei den Anforderungen einer Einwilligung ist das Folgende zu beachten:
- Beim erstmaligen Öffnen einer Website erscheint ein Cookie-Banner beispielsweise als eigenes HTML-Element. In der Regel besteht dieses HTML-Element aus einer Übersicht aller einwilligungsbedürftigen Verarbeitungsvorgänge, die unter Nennung der beteiligten Akteure und deren Funktion ausreichend erklärt wird und über ein Auswahlmenü aktiviert werden können.Der Gegenstand der Einwilligung muss deutlich gemacht werden – Klare Beantwortung der folgenden Fragen: Welche personenbezogenen Daten sind betroffen? Was passiert mit ihnen? Wer erhält Zugriff auf die Daten? Werden die personenbezogenen Daten mit weiteren Daten verknüpft? Welchen Zwecken dient das?
- Aktivieren bedeutet in diesem Zusammenhang, dass die Auswahlmöglichkeiten nicht „aktiviert“ voreingestellt sein dürfen.
- Während das Banner angezeigt wird, werden zunächst alle weitergehenden Skripte einer Website oder einer Web-App, die potenziell Nutzerdaten erfassen, blockiert. Der Zugriff auf Impressum und Datenschutzerklärung darf durch „Cookie-Banner“ nicht verhindert werden.
- Erst wenn der Nutzer seine Einwilligung(en) durch eine aktive Handlung, wie zum Beispiel das Setzen von Häkchen im Banner oder den Klick auf eine Schaltfläche abgegeben hat, darf die einwilligungsbedürftige Datenverarbeitung tatsächlich (durch technische Maßnahmen sichergestellt) stattfinden.
- Zur Erfüllung der Nachweispflichten des Art. 7 Abs. 1 DSGVO ist es gem. Art. 11 Abs. 1 DSGVO nicht erforderlich, dass die Nutzer dazu direkt identifiziert werden. Eine indirekte Identifizierung (vgl. Erwägungsgrund 26) ist ausreichend. Damit die Entscheidung des Nutzers für oder gegen eine Einwilligung bei einem weiteren Aufruf der Website berücksichtigt wird und das Banner nicht erneut erscheint, kann deren Ergebnis auf dem Endgerät des Nutzers ohne Verwendung einer User-ID o. ä. vom Verantwortlichen gespeichert werden. Durch ein solches Verfahren kann der Nachweis einer vorliegenden Einwilligung erbracht werden. – Da eine Einwilligung widerruflich ist, muss eine entsprechende Möglichkeit zum Widerruf implementiert werden. Der Widerruf muss so einfach möglich sein wie die Erteilung der Einwilligung, Art. 7 Abs. 3 S. 4 DSGVO.
- Verantwortliche müssen sicherstellen, dass die Einwilligung nicht nur das Setzen von einwilligungsbedürftigen Cookies umfasst, sondern alle einwilligungsbedürftigen Verarbeitungstätigkeiten, wie z.B. Verfahren zur Verfolgung der Nutzer durch Zählpixel oder div. Fingerprinting-Methoden, wenn diese nicht aufgrund einer anderen Rechtsgrundlage zulässig sind.
Für das Einholen von Einwilligung können sog. Consent-Management-Plattformen genutzt werden. Ob hierbei die eine Lösung gewählt wird, die als Pop-Up erscheint oder im Footer der Webseite, ist irrelevant. Allerdings dürfen andere Links (insbesondere Impressum und die Datenschutzerklärung) nicht überdeckt werden.
Für Word-Press gibt es das Plugin „Borlabs“. Wir selbst verwenden auf unserer Webseite das Tool des Anbieters „Usercentrics“. Hier können wir bei Bedarf gerne einen Kontakt herstellen. Bei der Verwendung solcher Tools ist darauf zu achten, dass die Anforderungen der Aufsichtsbehörden und die Anforderungen der DSGVO, insbesondere solche für eine wirksame Einwilligung beachtet werden.
Vielen Dank für den Gastbeitrag an Rechtsanwalt Björn Alexander Schneider.
Bei weiteren Fragen dürfen Sie sich gerne an folgende Kanzlei wenden:
WILDE BEUGER SOLMECKE Rechtsanwälte Partnerschaft mbB
Kaiser-Wilhelm-Ring 27-29
50672 Köln
Tel: +49 221 95 15 63 22
Fax: +49 221 95 15 63 3
E-Mail: schneider@wbs-law.de
Internet: www.wbs-law.de
Mein persönliches Fazit:
In der Praxis erlebe ich immer wieder, dass das Thema Cookies und Cookie-Banner nicht ganz so „heiß gegessen wie gekocht wird“. Sehr viele, auch teilweise größere Unternehmen (Mitarbeiter >50) sind nach wie vor ohne SSL Zertifikat, Datenschutzerklärung oder Cookie Hinweis mit ihrer Website im Internet unterwegs. Da es nun mal Gesetze und Regeln gibt, würde ich dies zwar niemandem empfehlen – ich persönlich kenne auf der anderen Seite keinen Fall wo es speziell im EPU (Einzelpersonen Unternehmen) oder KMU (Klein- & Mittelunternehmen) Bereich zu einer gröberen juristischen Auseinandersetzung gekommen ist. Schlussendlich muss jeder Website-Betreiber selbst entscheiden, in welchem Rahmen er sich bewegen möchte. Sollte Sie das Thema weiter interessieren, können Sie mich jederzeit gerne kontaktieren.