Cookie-Richtlinien

LEGAL-UPDATE

Die aktuelle Rechtslage rund um das Thema Cookie Banner und Consent Management

header-monitoring

Wir liefern Ihnen in diesem Beitrag alle Informationen zum Thema Cookie Banner, Cookie Management und dem Einholen einer rechtskonformen Einwilligung. Da sich die Cookie Richtlinien stetig ändert, informieren wir Sie in einer Update-Timeline über alle Neuigkeiten und relevanten Urteile. So bleiben Sie up to date und können Ihre Website stets rechtskonform gestalten.

SEITENINHALT

FEBRUAR 2021: NEUE COOKIE REGELUNGEN DURCH TTDSG

Das Bundeskabinett hat am 10.02.2021 den „Entwurf eines Gesetzes über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien sowie zur Änderung des Telemediengesetzes“ (Telekommunikation-Telemedien-Datenschutzgesetz – TTDSG) beschlossen. Der Gesetzesentwurf beinhaltet neue Bestimmungen zum Einsatz von Cookies und vergleichbaren Technologien. Ziel des neuen Gesetzesentwurfes ist das Beseitigen von Rechtsunsicherheiten, die sich aus der Datenschutzgrundverordnung (DSGVO), des Telekommunikationsgesetzes (TKG) und des Telemedien-Gesetzes (TMG) ergibt. Die Bestimmungen aus den verschiedenen Gesetzen werden in diesem Entwurf zusammengeführt und orientieren sich dabei nah am Wortlaut der E-Privacy Richtlinie.

§ 24 TTDSG

In § 24 TTDSG geht es um die Neuregelung zum Einsatz von Cookies und vergleichbaren Technologien, genauer gesagt um das Speichern und Abrufen von Informationen auf Endeinrichtungen der Endnutzer. Das Gesetz soll den Schutz personenbezogener Daten bzw. die für das Speichern dieser Daten erforderliche Einwilligung erleichtern.

Damit reagiert dieser Absatz auf jüngere gerichtliche Entscheidungen wie das Planet49 Urteil und das Cookie-II-Urteil und setzt das europarechtliche Einwilligungserfordernis und damit auch den Einwilligungsvorbehalt für deutsche Unternehmen in geltendes Recht. Die Einwilligung muss also den Ansprüchen der DSGVO gerecht werden und zwar auf informierter, freiwilliger Basis erfolgen und jederzeit widerruflich sein. Dies betrifft die „Endeinrichtung“, die in § 2 Abs. 2 Nr. 6 TTDSG als jedes Gerät mit einer Internetverbindung definiert wird.

 

Schutz der Privatsshäre bei Endeinrichtungen

(1) Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 zu erfolgen.

(2) Die Einwilligung nach Absatz 1 ist nicht erforderlich,

  1. wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder
  2. wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.

Download Gesetzesentwurf TTDSG

DEZEMBER 2020: FRAGEBOGEN ZUR PRÜFUNG AUF COOKIES UND DRITTANBIETERSERVICES

Mit diesem Fragebogen hat die niedersächsische Aufsichtsbehörde einige Unternehmen aus unterschiedlichen Branchen zu dem Umgang mit Cookies und den Cookie Richtlinien auf Ihren Websites befragt. Die betroffenen Unternehmen sollen Auskunft über ihre Internetseiten und ein dort ggf. befindliches Tracking oder den Einsatz von Cookies geben.

Download Fragebogen

NOVEMBER 2020: DAS SETZEN VON COOKIES OHNE EXPLIZITE NUTZER-EINWILLIGUNG GILT ALS WETTBEWERBSVERSTOS

So lautet der Beschluss vom LG Köln vom 29.10.2020 (Az.: 31 O 194/20)

Eine einstweilige Verfügung erreichte die Antragstellerin, da ein Konkurrent auf seiner Website Cookies setze, ohne vorher eine explizite und informierte Einwilligung seiner WebsitebesucherInnen einzuholen.

Die Rechtsgrundlage für dieses Urteil sei §§12 Abs. 1, 15 Abs.3 Telemediengesetz (TMG), welche nicht mit der DSGVO konkurrieren:

"Die DSGVO beansprucht gem. Art. 95 gegenüber der RL 2002/58/EG keinen Vorrang und ermöglicht deswegen eine fortdauernde Anwendung auch der §§ 12 Abs.115 Abs.3 TMG (...)."

Auch die Voraussetzungen für einen Ausnahmefall lägen nicht vor:

(...) Der Verweis auf die Nutzung von Cookies erfolgt dort nicht (...) im Zusammenhang mit der Übertragung einer Nachricht. Ebenso wenig steht er im Zusammenhang mit einem durch den Nutzer ausdrücklichen angefragten Dienst, was beispielsweise bei einer angeforderten Wiedergabe von Video- oder Audioinhalten oder dem Aufruf einer Warenkorbfunktion der Fall wäre."

Wenn wir von Cookies und Consent Management sprechen, geht es also nicht mehr nur um den Schutz personenbezogener Daten, sondern auch um einen fairen Wettbewerb im Online Business.

JUNI 2020: RICHTLINIEN ZUM EINSATZ VON GOOGLE ANALYTICS LAUT DSK

Einwilligung und Gestaltung des Cookie Banners für die rechtskonforme Nutzung

Die Datenschutzkonferenz (DSK) hat als unabhängige Datenschutzbehörde des Bundes zum Einsatz von Google Analytics Stellung bezogen. Die Nutzung des Analyse-Tools des US-Dienstleisters Google ist weiterhin theoretisch erlaubt, ABER nur solange die Nutzung auf der aktiven, freiwilligen Einwilligung des Nutzers/Users nach umfassender Beschreibung der Datenverarbeitung durch den Dienstleister basiert. Die korrekte Form der Einwilligung ist Pflicht. Zudem spielt die Gestaltung des Consent-Management-Tools hier eine entscheidende Rolle. Hier erläutern wir die genaue Umsetzung der Cookie Richtlinien nach DSGVO zum Schutz personenbezogener Daten.

Voraussetzungen für die Einwilligung

  • Es muss konkret deutlich werden, dass die Einwilligung für den Service Google Analytics erteilt wird.
  • Die Informationen zur Datenverarbeitung durch Google müssen klar und deutlich beschrieben werden. Nämlich, welche Daten weitergegeben werden, dass die Daten nicht anonymisiert werden und dass Google diese Daten zu eigenen Zwecken (wie zur Profilbildung) einsetzt. Ein einfacher Hinweis wie "diese Seite verwendet Cookies für Werbemaßnahmen" oder "ein besseres Surferlebnis" ist daher nicht ausreichend. Es klärt in keinster Weise über die Datenverarbeitung auf einer Website auf.
  • Die Informationen über die genaue Datenverarbeitung müssen vor der Einwilligung zugänglich gemacht werden. Vor der aktiven Zustimmung dürfen keine personenbezogenen Daten erhoben werden.
  • Die Einwilligung muss aktiv geschehen. Ein implizites Opt-In, sprich eine voreingestellte Zustimmung, ist nicht erlaubt. Auch eine Opt-Out-Möglichkeit ist an dieser Stelle nicht ausreichend. Der Nutzer muss seine Zustimmung durch ein aktives Klicken erteilen.
  • Eine Einwilligung ist außerdem nur freiwillig, wenn User eine freie Wahl haben. Sollte die Verweigerung einer Einwilligung Nachteile für den Nutzer haben, ist diese nicht freiwillig und somit unwirksam.

Gestaltungsvorgaben für Cookie Banner:

  • Klare Überschriften, die nicht irreführend sind und auf die Konsequenzen der Einwilligung  hinweisen. In der Überschrift "Wir respektieren Ihre Privatsphäre" fehlt jegliche Transparenz und somit auch die rechtliche Grundlage.
  • Links müssen eindeutig benannt werden. Wesentliche Inhalte dürfen nicht hinter Links versteckt werden. Das Impressum und die Datenschutzerklärung müssen über einen eindeutigen Link zugänglich gemacht werden.
  • Die Datenverarbeitung (wer erhält welche Daten, zu welchem Zweck) muss detailliert beschrieben werden. Im Falle von Google Analytics muss klar werden, dass sowohl Google als auch staatliche Behörden Zugriff auf die persönlichen Daten der Nutzer haben.

Eine Einwilligung für Drittanbieter wie Google Analytics muss granular möglich sein, sodass die Nutzung einzelner Services erlaubt oder abgelehnt werden.

MAI 2020: EUROPÄISCHER DATENSCHUTZAUSSCHUSS

Urteil v. 28. Mai 2020 - I ZR 7/16 - Cookie-Einwilligung II - Guidelines on consent, Aktualisierte Vorgaben für die Einwilligung nach Art.6 l 1 lit. a DSGVO (EuGH)

Einwilligung in die Speicherung von Cookies: Am 28. Mai 2020 hat der Zivilsenat des Bundesgerichtshofs (BGH) über die Frage entschieden, welche Anforderungen an die Einwilligung in die Speicherung von Cookies auf dem Endgerät des Nutzers zu stellen sind.

BHG Entscheidung zu Cookies auf Websites 

Am 28. Mai 2020 hat der Bundesgerichtshof ein weiteres Cookie-Urteil verkündet. Und das Ergebnis ist im Grunde wenig überraschend: Cookies auf Websites dürfen grundsätzlich nur mit Einwilligung der Nutzer gesetzt werden. Der bloße Hinweis auf ein Widerspruchsrecht (Opt-Out) wird damit eine eindeutige höchstrichterliche Absage erteilt.
Damit sollte nun doch alles geklärt sein, oder? Aber was bedeutet das für die praktischen Umsetzung auf Ihrer Website?

Update

Nachrichtendienst SPIEGEL integriert "CONSENT" in URL:

Wenn auf die Startseite von Spiegel.de zugegriffen werden möchte, fallen einem 2 Dinge ins Auge: Eine Wall, die den Inhalt der Webseite verdeckt und, bei genauem Hinsehen; das kleine Wörtchen consent, das die Seiten URL anführt.

Bedeutet konkret: Gratis Inhalte nur noch im Tausch gegen Werbung und Tracking des eigenen Surfverhaltens - sofer der User die Einwilligung hierzu erteilt hat.

Ob weitere Unternehmen der Cookie-Thematik eine vergleichbare Aufmerksamkeit schenken werden, bleibt abzuwarten.

APRIL 2020: DÄNISCHE DATENSCHUTZBEHÖRDE

Verbot des Nudging und Pflicht der Kategorisierung im ersten Layer

Dänische Aufsichtsbehörde erlässt Entscheidung zum Einholen einer Einwilligung für das Setzen von Cookies:

Grund hierfür ist eine Beschwerde gegen ein Cookie Banner des Dänischen Meteorologischen Instituts (DMI), welches dem Nutzer die Möglichkeit bietet, der Nutzung von Cookies zuzustimmen oder weitere Informationen einzusehen - Jedoch keine direkte Möglichkeit der Ablehnung. Darüber hinaus wird Bannerwerbung über Google Werbenetzwerke geschaltet, wobei personenbezogene Daten mit Google geteilt werden.

Die DMI vertrat dabei die Auffassung, dass alle Auflagen des Urteils Planet49 eingehalten wurden, da die Nutzer der Setzung von Cookies aktiv zustimmen müssen, bevor diese geschaltet werden. Darüber hinaus wäre eine differenzierte Einwilligung möglich, da der Nutzer bestimmten Cookies zustimmen und andere ablehnen könne.

Entscheidung der Aufsichtsbehörde

Interessant ist hier die Entscheidung der Aufsichtsbehörde: Denn diese spricht sich gegen die Nudging-Lösung aus, die sich nach dem Planet49 Urteil etabliert hat. Nach Auffassung der Aufsichtsbehörde ist die Cookie-Banner Lösung der DMI somit aus folgenden drei Gründen unwirksam:

1. Keine freiwillige Einwilligung

Die Freiwilligkeit der Einwilligung soll Transparenz für die betroffene Person schaffen. So soll die Person die Kontrolle über die personenbezogenen Daten innehaben.

Ein Indiz für die Freiwilligkeit ist das Prinzip der Granularität. Dies beinhaltet, dass für Verarbeitungsvorgänge, die mehreren Zwecken dienen, separate Einwilligungen eingeholt werden müssen.

Ein „OK“ als Zustimmung zu allen Cookies reiche somit nicht aus. Darüber hinaus sei es nicht ausreichend, die Erfassung personenbezogener Daten für verschiedene Zwecke über die Funktion „Details anzeigen“ einzusehen und zu managen. Dies dürfe nicht einen Klick entfernt sein, sondern müsse mit der ersten Interaktion abzulehnen sein.

2. Keine informierte Einwilligung

Für eine informierte Einwilligung sei es erforderlich, dass die Identität des für die Verarbeitung Verantwortlichen einsehbar ist und über den Zweck der Verarbeitung informiert wird.

In dem Banner des DMI habe die Transparenz nicht ausreichend gewahrt, da nicht Google sondern die Werbenetzwerke von Google (DoubleClick und AdSense) genannt wurden. Diese seien für den Nutzer intransparent, da Sie auf den ersten Blick nicht mit Google in Verbindung gebracht werden können.

3. Verstoß gegen den Grundsatz der Transparenz

Es muss ebenso leicht sein, die Einwilligung zur Verarbeitung personenbezogener Daten abzugeben, wie sie zu verweigern.

Durch den „One-Click-Away“-Ansatz kann dies nicht gewährleistet werden, da die Transparenz nicht erfüllt ist.

Darüber hinaus habe die Möglichkeit, keine Einwilligung in die Verarbeitung personenbezogener Daten zu erteilen, nicht den gleichen Kommunikationseffekt. Mit anderen Worten: diese Möglichkeit wird nicht so klar kommuniziert wie die Möglichkeit eine Einwilligung zu erteilen.

Auswirkungen auf Deutschland:

Zunächst ist nicht mit unmittelbaren Auswirkungen zu rechnen. Die Entscheidung kann als erstes Anzeichen gesehen werden, in welche Richtung sich die E-Privacy-Verordnung zum Einholen einer Einwilligung entwickeln wird.

Dabei sollte besonderes Augenmerk auf die unterschiedliche Auslegung oder Schwerpunktsetzung bei der Durchsetzung der Datenschutzgrundverordnung gelegt werden. Auch interessant: die Auswirkung auf den Wettbewerb im europäischen Binnenmarkt.

Besuchen Sie www.datenschutzbeauftragter-info.de, um weitere Informationen bezüglich der Entscheidung der dänischen Datenschutzaufsichtsbehörde zu erhalten.

Update

04. MÄRZ 2020

Das Oberlandesgericht Hamburg erklärte in einem aktuellen Beschluss (OLG Hamburg, Beschl. v. 10.12.2019 - Az.: 15 U 90/19), dass das Telemediengesetz (TMG) keine Anwendbarkeit neben der DSGVO findet.

Inhalt der Entscheidung war die Frage, ob die Regelungen des §13 Abs. 1 TMG anwendbar sind, oder in Folge einer Normenhierarchie hinter die Anwendbarkeit der DSGVO zurückfallen.

Die Richter entschieden die vorrangige Anwendung der DSGVO. Diese sei abschließend formuliert und nationale Gesetzgeber dürften nicht von dieser abweichen.

Die Auswirkungen dieser Entscheidung: ein wettbewerbsrechtlicher Unterlassungsanspruch könne nicht mehr auf die Verletzung von §13 Abs. 1 TMG gestützt werden.

§13 Abs. 1 TMG benennt die Pflichten des Dienstanbieters, den Nutzer zu Beginn des Nutzungsvorganges über die Art, den Umfang und den Zweck der Erhebung und Verwendung von personenbezogenen Daten aufzuklären.

Update

24. FEBRUAR 2020

UNTERSAGUNGSVERFÜGUNGEN UND EINLEITUNG GERICHTLICHER VERFAHREN WEGEN NUTZUNG VON GOOGLE ANALYTICS

Der Landesbeauftrage für den Datenschutz und die Informationssicherheit Rheinland-Pfalz Prof-Kugelmann teilte in einem Newsletter mit, er habe Untersagungsverfügungen gegen Webseiten-Betreiber erlassen, die Google-Analytics und vergleichbare Analyse-Tools eingesetzt haben.

Die Nachricht bezieht sich dabei auf eine Anweisung an Webseitenbetreiber, die aufgrund einer Reihe von Verfahren von der LfDI erlassen wurde. Diese fordert, dass Webseitenbetreiber ihre Webseite insofern ändern, dass die Übermittlung von Nutzerdaten an Dritte ausschließlich auf informierter und audrücklicher Einwilligung der Webseitennutzer basieren darf. Im Fokus steht dabei die Nutzung von Diensten wie Google Analytics oder Google Remarketing.

Reaktion der WebsitebetreiberInnen

Mehrere Webseitenbetreiber haben sich daraufhin gegen die Entscheidung ausgesprochen, weshalb mehrere gerichtliche Verfahren eingeleitet wurden;

Einer dieser Fälle wurde nun vom Verwaltungsgericht Mainz verabschiedet:

Laut Verwaltungsgericht wurde die Anwendbarkeit des Art. 6 DSGVO auf diese Fallkonstellation bestätigt und die Ausführungen zum überwiegenden Interesse der Nutzer als grundsätzlich überzeugend gewürdigt.

Laut Rechtsanwalt Dr. Bahr haben die Behörden mit diesem Urteil nun eine klare Regelung geschaffen, die verstärkt gegen Webseitenbetreiber vorgeht, die Google Analytics oder andere Remarketing Tools einsetzen.

Dabei bleibe jedoch abzuwarten, wie die ersten gerichtlichen Entscheidungen zu diesem Thema ausfallen werden.

Update

NOVEMBER 2019

Thema Cookies und Einwilligungen: Auf Grundlage der Entscheidung des EuGH haben sich die deutschen Datenschutzbehörden (Datenschutz ist Ländersache) in einer konzertierten Aktion zu einer Pressemeldnung zum Thema verabredet. Die Meldung aus NRW finden Sie hier bzw. auf der Webseite der Landesdatenschutzbehörde NRW.

Die Stellungnahme des Bundesdatenschutzbeauftragten, Ulrich Kelber, hier.

Kernaussage: Website-Betreiber sollten ihre Website auf Dritt-Inhalte und Tracking-Mechanismen überprüfen. Wer Funktionen nutzt, die eine Einwilligung erfordern, muss entweder die Einwilligung einholen oder die Funktion entfernen.

COOKIE BANNER - EINWILLIGUNGEN RECHTSKONFORM EINHOLEN

Einwilligen, verwalten, dokumentieren – wie ist mit Cookies, Facebook-Pixeln etc. nach den jüngsten EuGH-Urteilen umzugehen? Opt-in- oder Opt-out-Verfahren? Das klären wir in diesem Beitrag.

Die Einholung rechtskonformer Cookie-Einwilligungen und der Begriff Cookie Consent sind seit dem neuen EuGH Urteil in aller Munde. Es geht um die Cookie Einwilligung von Website-Besuchern. Denn das Urteil lautet: Ohne Einwilligung des Users dürfen keine Cookies gefeuert werden. Damit sind Einwilligungs-Tools (statt Ok-Button) nun endgültig Pflicht.

Rechtliche Grundlagen eines Cookie Banners 

Sobald eine Website geöffnet wird, die Cookies enthält, muss der Webseitenbetreiber seine Informationspflicht erfüllen und den Nutzer über die verwendeten Cookies und Technologien aufklären und seine Einwilligung einholen. Denn nur so kann eine Webseite DSGVO-konform gestaltet werden.

Um dem Nutzer das Recht auf Information zu gewährleisten und den Richtlinien der DSGVO Folge zu leisten, muss der Webseitenbetreiber offenlegen, welche Cookies und Technologien verwendet werden. Dies geschieht am besten in Form eines Einwilligungs-Banners. Solche Cookie-Banner erscheinen beim Öffnen der Webseite, um den User über die Nutzung von Cookies zu informieren. Auch holen Sie dessen Zustimmung für die Verwendung von Cookies ein oder stellen Auswahlmöglichkeiten für die Verwaltung bereit.

Bedeutung für den Webseitenbetreiber: es dürfen keine Cookies eingesetzt werden, ohne ein ausdrückliches Einverständnis des Nutzers eingeholt zu haben.

Was es dabei zu beachten gibt und wie Sie ein rechtskonformes Cookie-Banner erstellen, erfahren Sie in diesem Artikel.

OKTOBER 2019: PLANET 49 - OPT-IN PFLICHT

Urteil v.01.10.19 EuGH: C-673/17

Das jüngste EuGH-Urteil vom 01.Oktober 2019 des Europäischen Gerichtshofes (EuGH) zu Cookies beendet eine deutsche Sonderregelung. Cookies dürfen ab sofort nur noch nach ausdrücklicher Zustimmung des Nutzers gespeichert werden.

EUGH-Urteil: ausdrückliche Einwilligung für Cookies erforderlich

Der EuGH hat in seiner Entscheidung festgestellt, dass eine einfache Information über den Einsatz von Cookies nicht ausreicht. Die Nutzer müssen der Verwendung von Cookies auf ihrem Rechner ausdrücklich und aktiv zustimmen – der Anbieter muss hierfür über die Cookielaufzeit und die Wege der weiteren Datenverarbeitung informieren. Wenn Cookies an andere Anbieter weitergegeben werden, müssen Nutzer darüber ausdrücklich informiert werden und auch widersprechen können.

Voreinstellungen mit angekreuztem Feld „Ich stimme zu“ sind keine wirksame Einwilligung und daher nicht mehr zulässig, auch wenn die Nutzer die Häkchen entfernen können – sie müssen die Erlaubnis aktiv erteilen. Dies gilt laut EuGH für alle Daten, die auf dem Gerät des Nutzers gespeichert bzw. von diesem abgerufen werden, selbst wenn sie nicht personenbezogen sind – und auch Tracking-Cookies.

vorausgefüllte Cookie Banner sind passé

Das Urteil aus Luxemburg beendet einen mehr als sechs Jahre währenden Rechtsstreit. Im konkreten Fall hatte ein Gewinnspielanbieter in seinem Cookiehinweis die Erlaubnisfelder für Datenverarbeitung und Werbeanrufe sowie weitere Werbung auch durch Drittanbieter vorangekreuzt. Dies war laut deutschem Telemediengesetz zwar erlaubt, entspricht aber nicht dem geltenden europäischen Recht. Die Verbraucherzentrale hatte hiergegen auf Unterlassung geklagt (Rechtssache C-637/17).

Der EuGH urteilte, dass auch pseudonymisierte, nicht personenbezogene Daten wie in diesem konkreten Fall nur nach Erlaubnis durch den Nutzer verarbeitet werden dürfen. Damit solle verhindert werden, dass die Privatsphäre durch sogenannte Hidden Identifiers ausspioniert werden könnten, begründete das Gericht seine Entscheidung.

auf dem Weg zur e-privacy Verordnung 

Damit wird Deutschland verpflichtet, die Cookie-Richtlinie aus dem Jahr 2009 nunmehr vollständig umzusetzen. Dies war bislang nur in Teilen geschehen, solange die deutsche Regelung nicht beanstandet worden war. Nun aber müssen alle Webseitenbetreiber ausführliche Cookie-Informationen bereitstellen und auch die Möglichkeit der Ablehnung von Cookies anbieten. Gleichzeitig dürfen Nutzer, die Cookies ablehnen, nicht benachteiligt werden. Damit hat der EuGH einen wichtigen Teil der lange angekündigten ePrivacy-Verordnung bereits vorweggenommen.

Was WebsitebetreiberInnen jetzt tun sollten

Das EuGH-Urteil ist bindend. Alle deutschen Gerichte werden im Sinne dieser Entscheidung Urteile fällen. Daher sind Webseitenbetreiber, die bislang auf ihrer Webseite nur über den Einsatz von Cookies informiert haben, jetzt in der Pflicht. Sie müssen zum einen detailliertere Cookie-Banner einsetzen und zum anderen unterbinden, dass Cookies gesetzt, Informationen aus dem Endgerät des Nutzers abgerufen oder überhaupt Daten verarbeitet werden, bevor der Nutzer zugestimmt hat („Opt-In-Modell“). Formulierungen wie „Wenn Sie diese Internetseite weiterhin nutzen, stimmen Sie der Verwendung von Cookies zu“, vielleicht ergänzt um einen „Okay-Button“, sind nicht mehr zulässig. Nur technisch unbedingt erforderliche Cookies dürfen noch gesetzt werden. Was damit konkret gemeint ist, werden die Gerichte noch klären müssen. Bitte wenden Sie sich für weitere Informationen an Ihren Datenschutzbeauftragten.

Welche Cookies setzt meine Website?

KATEGORIEN DER VERWENDETEN COOKIES

Welche Arten von Cookies gibt es eigentlich? Und über welche Cookies muss mein Cookie Banner informieren?

Generell gilt: Es besteht ein Unterschied zwischen technisch notwendigen Cookies – die ausschließlich für die Funktionstüchtigkeit der Webseite genutzt werden und meist mit dem Schließen des Browsers gelöscht werden und weiterhin nicht einwilligungsbedürftig sind – und anderen Cookies.

Für alle technisch nicht notwendigen Cookies, die personenbezogene Daten übermitteln bzw. verarbeiten, benötigen Webseitenbetreiber vor ihrem Einsatz eine ausdrückliche Einwilligung der Nutzer („Opt-in“). Davon betroffen sind vor allem Analyse-, Social-Media- und Werbe-Cookies - Wenn eine Einwilligung zu diesen nicht notwendigen Cookies fehlt, wird dies als Datenschutzverstoß gewertet.

Haben Sie Ihre Cookies nun in diese Kategorien unterteilt und detektiert, welche Cookies einwilligungsbedürftig sind, ist nun zu klären, welche Anforderungen an eine wirksame und rechtskonforme Einwilligung gestellt sind.

Vom Service (DPS) zum Consent Management

Essentielle Services

Der Einsatz unbedingt erforderlicher Cookies und Webservices bedarf keiner Einwilligung der Nutzers. Das sind Services, die keine oder Daten gemäß vorliegender Rechtsgrundlage verarbeiten: Nur informationspflichtig (DSE), zum Beispiel: • Warenkorb-Cookies im eCommerce • der Login-Status im Forum • Sprachauswahl auf internationalen Website

Funktionale Services

Services, die zur Bereitstellung komfortabler Website-Funktionen Nutzerdaten erheben: Einwilligung des Nutzers erforderlich (CMP)

Analyse Services

Services, die zur Auswertung des Website-Angebots aggregierte Nutzerdaten erheben: Einwilligung des Nutzers erforderlich (CMP)

Marketing Services

Services, die das Nutzerverhalten analysieren und mit den gesammelten Daten ein Online-Profil anlegen: Einwilligung des Nutzers erforderlich (CMP)

VOREINGESTELLTE EINWILLIGUNG

Zur Erinnerung: Nach dem EuGH Urteil Planet49 sind Einwilligungen im Sinne der maßgeblichen Richtlinien der EU nicht mehr rechtskräftig, wenn das Cookie Banner voreingestellte Ankreuzfelder beinhaltet, welche der Nutzer zur Verweigerung seiner Einwilligung abwählen muss. Der Nutzer muss also aktiv der Schaltung von Cookies zustimmen.
Auch müssen nun Angaben zur Funktionsdauer der Cookies gemacht werden, und die Informationen gestellt werden, ob Dritte Zugriff auf die Cookies haben.

Was ist eine konkrete Einwilligung so wichtig? 

Das Fehlen einer Einwilligung zählt nach allen Urteilen und Verordnungen als Datenschutzverstoß.
Wenn nicht alle Voraussetzungen für das Einholen einer Einwilligung erfüllt sind, kann diese auch nicht als Rechtsgrundlage verwendet werden.

Folge: wenn eine Datenverarbeitung nicht auf eine Rechtsgrundlage gestützt werden kann, liegt ein Datenschutzverstoß vor. Darüber hinaus wurde der Bußgeldrahmen durch die DSGVO erheblich erweitert.

Auf einen Blick: Was muss beim Cookie Hinweis beachtet werden? 

  • Die Einwilligung der Nutzer darf nicht voreingestellt sein.
  • Der Nutzer muss die Möglichkeit haben die Einwilligung zu verweigern.
  • Es wird ein Opt-in benötigt.
  • Es dürfen keine Daten weitergegen werden, wenn noch keine Einwilligung vorliegt.
  • Der Zugriff auf die Datenschutzerklärung und auf das Impressum darf nicht verhindert oder eingeschränkt sein.
  • Der Widerruf einer Einwilligung muss so einfach sein wie die Einwilligungserklärung selbst.

Worauf sollten sich Website-BetreiberInnen einstellen? 

Einfache Cookie-Banner erfüllen nicht (mehr) die Anforderungen an eine wirksame Einwilligung. Generell ist die Verwendung jeglicher Cookies in der Datenschutzerklärung der jeweiligen Website aufzuführen.

Darüber hinaus muss für das Setzen technisch nicht notwendiger Cookies die Einwilligung der Nutzer eingeholt werden.

Diese Einwilligung ist nach Ansicht des EuGH nur wirksam, wenn der Nutzer vorab über alle Datenverarbeitungsvorgänge und sämtliche Empfänger seiner Daten ausführlich informiert wurde sowie die Möglichkeit zum Widerspruch gegen alle oder bestimmte Cookies erhält.

Damit sind viele der derzeit kursierenden Cookie-Banner, die nur einen einfachen „Okay-Button“ oder die Möglichkeit des Zuklickens enthalten, nicht ausreichend, weil der Nutzer dem Setzen solcher Cookies nicht widersprechen kann.

Die Anforderungen für die Verwaltung von Cookie-Einwilligungen wird deshalb komplexer. Die Lösung hierfür lautet: CMP (consent management platform).

Ein wirksames Consent-Management-Tool muss demnach dem Nutzer eine Einwilligungsmöglichkeit bieten und darf erst dann Daten übertragen, wenn der Nutzer eingewilligt hat.

JULI 2019: FACEBOOK LIKE BUTTON

Urteil v. 29.07.2019 EugH: C-40/17

Der Europäische Gerichtshof (EuGH) hat am 29. Juli 2019 eine Entscheidung bezüglich der Nutzung des Facebook „Gefällt mir“-Buttons getroffen; gleichzeitig hat sich der EuGH zum Einsatz von Cookies geäußert – und unterstrichen, dass das Ausspielen von Cookies die Einwilligung des User erfordert.

Die drei zentralen Aspekte zusammengefasst und aufs Wesentliche reduziert:

EUGH I

Die ungefragte Übertragung von User-Daten mittels Facebook-Like-Button verstößt gegen Datenschutzrecht.

EUGH II

Der Betreiber einer Website ist – zusammen mit Facebook – verantwortlich für die Datenerverarbeitung; das gilt auch für Datenschutzverstöße bzw. den daraus resultierenden Konsequenzen.

EUGH III

Für Cookies, die zu Tracking- oder Werbezwecken gesetzt werden, ist eine echte Einwilligung der Besucher nötig; ein Cookie-Hinweis-Banner reicht nicht aus.

Das Problem mit dem Facebook-Button und Cookie Einwilligungen: Opt-In- oder Opt-Out-Verfahren 

Facebook stellt den Betreibern von Fanpages einen Code-Snippet zur Verfügung. Dieser Code kann auf der Website eingebunden werden. Der Like-Button erscheint für den User dann direkt im Frontend bzw. an jeder beliebigen Stelle der Website. So wird dem Website-Besucher die Möglichkeit geboten, die Facebookseite direkt zu liken – ohne Umweg bzw. Weiterleitung.

Was an dieser Stelle erwähnt werden muss: Der implementierte Code sammelt bereits Daten, bevor der User auf “Like” geklickt hat.

Damit werden User-Daten nicht nur unwissentlich, sondern ggf. auch ungewünscht an Dritte weitergegeben. Es kommt hinzu, dass die Verarbeitung der Daten unabhängig davon erfolgt, ob der Besucher ein Facebook-Account hat oder nicht.

Der User hat praktisch keine Möglichkeit, der Datenweitergabe zu widersprechen respektive sie zu unterbinden.

Das Problem mit dem Cookie Banner und der Einwilligung des Users/der Userin 

Oder besser gesagt: Das Problem mit der Einwilligung des Users. Einwilligungen können nämlich grundsätzlich über zwei Wege eingeholt werden: Opt-in oder Opt-out.

Beim Opt-in ist die Checkbox zunächst leer; der Website-Besucher muss seine Einwilligung aktiv durch das Anklicken eines Buttons bzw. das Setzen eines Häkchens erteilen. Beim Opt-out ist das Häkchen in der Box bereits gesetzt bzw. vorausgefüllt – und damit ist die Einwilligung bereits erteilt. Der User einer Website muss aktiv das Häkchen entfernen.

Sehr häufig verwenden die Betreiber von Webshops, eCommerce-Plattformen und Websites diese Opt-out-Verfahren. Davon ausgehend, dass die meisten User möglichst schnell das Online-Angebot nutzen wollen und den OK-Button des Cookie-Banners anklicken würden – ohne den Text gelesen zu haben oder darüber nachzudenken, was sie da gerade tatsächlich ankreuzen.

Zwischenfazit

Für das Ausspielen von Cookies ist eine Einwilligung des Users erforderlich; die bisherige Praxis, Google Analytics, Ads etc. mit dem sogenannten berechtigten Interesse (Art. 6 Abs. 1 lit. f DSGVO) zu legitimieren, ist damit vorbei – und die Zeit der „Cookie-Feigenblätter“ und impliziten Einwilligungen ebenfalls. Aber der Reihe nach bzw. zunächst ein kurzer Cookie-Überblick.

Wie können Sie weiterhin Daten sammeln?

Viele Websitenbetreiber sind auf Tracking- und Marketingcookies angewiesen. Sie verwenden Dienste wie Google Analytics um Informationen über ihre Zielgruppe zu sammeln, ihre Dienste zu verbessern oder weiter mit den Daten zu arbeiten.

Die Betreiber möchten daher ein System benutzen, welches ihnen neben Rechtskonformität auch weiterhin Daten von einer Vielzahl von Nutzern garantiert. Wichtig ist daher, den Cookie-Banner so zu gestalten, dass er nicht nur alle rechtlichen Vorgaben erfüllt, sondern möglichst viele Nutzer zum Klick auf "Akzeptieren" überzeugt.

Außerdem wirken sich große und klobige Einwilligungs-Banner schlecht auf das Design der Seite aus. Ein guter Banner sollte sich also grafisch in die Seite einfügen und nicht das Seitenbild zerstören.

Die Antwort: Permission Marketing

Nach der DSGVO wird eine Rechtsgrundlage benötigt, wenn (personenbezogene) Daten erhoben werden. Eine solche Rechtsgrundlage kann eine Einwilligung des Webseitenbesuchers darstellen.

Also: Liegt eine Einwilligung des Webseitenbesuchers vor, darf der Webseitenbetreiber Marketing und Tracking verwenden. Der Name dafür: Permission Marketing.

Haben Sie die richtige Permission Marketing Strategie gewählt, haben Sie die Möglichkeit,

  • Ihr Haftungsrisiko zu minimieren (Schutz vor Abmahnungen)
  • die Reputation Ihres Unternehmens durch aktive Kommunikation zu stärken (Schutz der Datenhoheit der Nutzer)
  • Ihre Revenue Streams zu sichern, die auf Daten basieren (Schutz Ihrer Werbeperformance)
  • in eine nachhaltige Datengrundlage zu investieren (erfolgreiche Datenaktivierung und -nutzung)

Somit hat der Webseitenbetreiber trotz rechtlicher Einschränkungen die Möglichkeit, Daten zu erheben und Marketing zu betreiben.

Ausblick:

Es ist davon auszugehen, dass die nationalen Gerichte und die Aufsichtbehörden der Länder sich dem EuGH-Urteil anschließen werden.

Die Entscheidung dürfte einen massiven Effekt auf die Auslegungen zur datenschutzrechtlichen Verantwortlichkeit, die Erlaubnistatbestände und die Informationspflichten haben.

Für die Verarbeitung und Weitergabe von personenbezogenen Daten ohne Rechtsgrundlage (bzw. Einwilligung) sieht die DSGVO ein Bußgeld von maximal 4% des Jahresumsatzes vor.

Website-Betreiber, die auf Nummer sicher gehen wollen, sollten sich deshalb mit der Verwendung des Facebook-Like-Buttons sowie den auf der Seite genutzten Tracking-/ Analyse-Technolgien beschäftigen.

Die 99 Artikel der DSGVO sind an vielen Stellen – was die praktische Anwendung betrifft – eine Frage der Auslegung (z. B. Art. 6, 1f DSGVO; Wahrung der berechtigten Interessen).

Für den Betreiber einer Website bedeutet das: Der Einsatz von Cookies ist mein berechtigtes Interesse – unabhängig von der konkreten Funktion des jeweiligen Cookies.

"Diese Website verwendet Cookies, um Ihnen die bestmögliche Funktionalität bieten zu können..." So oder so ähnlich wurde der Einsatz von Cookies dann als Service für den User umschrieben.

Diese Zeiten sind vorbei; der unterkomplexe "Ok-Button" dürfte bald der Vergangenheit angehören.

Einwilligung (Englisch consent) wird das neue Zauberwort. Und damit gilt zukünftig: consent is king.

Wir empfehlen nachdrücklich, sich diesem Trend anzuschließen. Sie benötigen Unterstützung dabei? Wir beraten Sie gerne zum Thema Cookie Banner und übernehmen alles Wichtige für Sie.

Die Lösung: Ein grafisch frei gestaltbares Banner – Usercentrics 

Der ideale Banner sollte also:

  • Frei gestaltbar sein und nicht an feste Vorgaben gebunden
  • Detaillierte Ergebnisse liefern, wieviel Prozent der Nutzer den Cookies zustimmen/ablehnen/zum Teil zustimmen
  • Funktionen wie A/B - Testing anbieten um die Opt-In Rate zu steigern

Update

MAI 2019

Welche Cookies darf ich ohne Einwilligung nutzen?

Die Funktionalität der Tracker-Cookies löst einige Diskussionen aus. Diskutiert wird das Thema Cookies vor allem hinsichtlich ihrer Verwendung zum Nutzertracking. Denn diese werden meist ohne Wissen des Nutzers auf seinem Computer gespeichert. Datenschützer sehen hierbei die Privatsphäre der Nutzer bedroht. Es ist weiterhin umstritten, ob und wann eine Einwilligung von den Usern für das Tracking erforderlich ist. Den Entscheidenden Maßstab bildet nach Auffassung der Aufsichtsbehörden der Zweck des Verarbeitungsprozesses.

Technische Cookies
Um als User alle Funktionen und Dienste einer Website nutzen zu können und einen uneingeschränkten Ablauf der Website zu gewährleisten, sind teilweise Cookies notwendig. Wenn Cookies für die Funktionalität einer Website notwendig sind, dürfen diese zukünftig auch ohne Einwilligung des Nutzers eingesetzt werden, wenn sie auf ein berechtigtes Interesse des Verantwortlichen gestützt werden können.

Analytische Cookies
Wenn Daten zum Zweck der statistischen Analyse einer Website dienen und bestimmte Bedingungen bei der Verarbeitung erfüllt sind, dürfen auch diese Cookies ohne ein Einverständnis der Nutzer gespeichert werden. Folgende Bedingungen müssen erfüllt sein:

  • Nutzungsdaten werden nicht mit weiteren Daten über den Nutzer zusammengeführt
  • Die Daten werden nur zum Zweck der statistischen Analyse verarbeitet
  • Nutzungsdaten, die durch ein Analysetool eines Drittanbieters erhoben wurden, werden nicht für eigene Zwecke verwendet
  • Einzelnen Nutzern werden keine Merkmale oder Interessen in Rahmen einer Profilbildung zugeordnet
  • Der Nutzer hat eine Widerspruchsmöglichkeit in Form eines Opt-Out-Verfahrens

Einwilligung für Tracking Tools?

Wird das Nutzerverhalten insbesondere über Website- oder Geräte-Grenzen (z.B. über verschiedene Domains verschiedener Anbieter) hinweg zusammengefasst, wird vorher eine ausdrückliche Einwilligung der Betroffenen benötigt. Dies betrifft vor allem die Einbindung von Plugins bei Social-Media-Anbieter, Online-Plattform-Betreibern und Werbenetzwerken.

Tracking
In dieser Kategorie geht es um die Auswertung des Besucherverhaltens auf einer Website. Einzuordnen sind Verfahren, die das Verhalten eines Nutzers über einen längeren Zeitraum analysieren und die Identifikation des Nutzers ermöglichen. Um den Nutzer wiederzuerkennen werden Nutzerprofile erstellt (Profiling), indem den einzelnen Nutzern persönliche Merkmale und Interessen zugeordnet werden. Mit Hilfe von Marketing-Cookies und Third-Party-Cookies können dem Nutzer dann gezielt Werbemaßnahmen möglichst personalisiert angezeigt werden. Da in diesem Falle nach Ansicht der Aufsichtsbehörden das Interesse des Nutzers überwiegt, wird eine Einwilligung des Nutzers benötigt.

Cookies & Datenschutzerklärung

Wird keine Einwilligung der Nutzer bei der Verwendung von Cookies benötigt, ist es ausreichend, die Datenverarbeitung in der Datenschutzerklärung zu beschreiben. Werden die Daten an Dritte weitergegeben oder liegt ein anderer Grund für eine Einwilligung ein, ist ein Hinweis auf die Cookies in der Datenschutzerklärung nicht mehr ausreichend. Dann wird ein Cookie Hinweis für die Einwilligung der Nutzer benötigt. Unabhängig davon ob Sie einen Cookie Hinweis auf Ihrer Seite einbauen, sollte jede Datenschutzerklärung einen Abschnitt zu Cookies enthalten und erklären, welche Cookies eingesetzt werden und was diese tun.

Was muss im Hinweistext für die Einwilligung stehen? 

Sie benötigen einen Cookie Banner um die Einwilligung der Website-Nutzer zu bekommen. Wichtig ist, dass in dem Cookie Hinweistext der Gegenstand der Einwilligung klar und verständlich formuliert wird. Es muss deutlich werden, dass die Einwilligung freiwillig erfolgt und die Zustimmung jederzeit widerrufen werden kann.

Zu beantworten sind folgende Fragen:

  • Welche personenbezogenen Daten werden verarbeitet?
  • Was passiert mit den Daten?
  • Wer hat Zugriff auf diese Daten?
  • Welchem Zweck dient die Verarbeitung dieser Daten?
  • Werden die personenbezogenen Daten mit anderen Daten verknüpft?

Zudem müssen Links eindeutig beschrieben sein und wesentliche Inhalte dürfen nicht durch Links verschleiert werden.

MÄRZ 2019: ORIENTIERUNGSHILFE DER DSK - FÜR ANBIETER VON TELEMEDIEN

Laden Sie hier Ihre Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien herunter.

Update

FEBRUAR 2019

Einwilligungen: zunehmende Kontrollen und ein erschreckendes Ergebnis

Der Einsatz von Cookies bzw. Cookie Hinweisen wird zunehmend überprüft. Das Bayerische Landesamt für Datenschutz (BayLDA) hatte im Februar mit sehr großer Reichweite die bayerischen Unternehmens-Websites auf eine DSGVO-konforme Einholung und Dokumentation der User-Einwilligung überprüft. Das erschreckende Kontrollergebnis: Auf keiner einzigen der untersuchten 40 Websites werden Tracking-Tools datenschutzkonform eingesetzt und die Einwilligungen rechtskonform eingeholt. Als Konsequenz kündigte die Behörde Bußgeldverfahren an.

Konkret überprüft wurden drei Aspekte, über die der User gemäß DSGVO informiert werden muss bzw. für die der Website-Betreiber ggf. den Nachweis zu erbringen hat.

  1. Die Cookie Einwilligung muss vorab abgefragt werden: Daten sollten erst erhoben werden, wenn eine Cookie Einwilligung vorliegt. Webseiten-Betreiber müssen deshalb sicherstellen, dass Cookie-Banner und Analyse Tools ( z. B. Google Analytics) miteinander korrespondieren.
  2. Der User sollte über die Datenverarbeitung informiert sein bzw. über alle Aspekte im Kontext mit der Datenverarbeitung in Kenntnis gesetzt worden sein.
  3. Die Cookie-Einwilligung muss freiwillig abgeben werden. Anders formuliert: Wer JA sagen kann, muss auch NEIN sagen dürfen. Ein ABLEHNEN-Button auf dem Cookie-Banner ist deshalb erforderlich.

Bewertung des Ergebnisses durch das BayLDA:

“Keine der eingeholten Einwilligungen ist wirksam. Das beutet im Ergebnis, dass die Datenverarbeitung durch einwilligungsbedürftige Tracking-Tools rechtswidrig ist”, so der Präsident des BayLDA, Thomas Kranig.“Alle begutachteten Websites begehen Datenschutzverstöße beim Einsatz der Tracking-Werkzeuge. Für die verantwortlichen Unternehmen wird unsere Prüfung ein Nachspiel haben. Wir haben uns entschlossen, diese Missstände abzustellen sowie die Einleitung von Bußgeldverfahren zu prüfen”.

Fordern Sie ein Angebot an

Sie benötigen Unterstützung für die DSGVO konforme Konfiguration Ihres Cookie-Banners? Beantworten Sie uns kurz die folgenden 5 Fragen. Wir melden uns so schnell wie möglich bei Ihnen.

An dieser Stelle haben wir eigentlich ein sehr komfortables Typeform-Element für Sie platziert; Typeform ist ein Anbieter für Formulare mit Sitz in Barcelona, Spanien. So weit so datenschutzkonform; leider nutzen die freundlichen Typeformer ein zusätzliches Tracking-Steuer-Element, das wir ohne Ihre Erlaubnis nicht einsetzen möchten: Segment. Wenn Sie das nicht weiter stört, können Sie mit Klick auf “Zustimmen” zu besagtem Formular gelangen. Andernfalls können Sie sich natürlich auch gerne über unsere Kontaktseite mit uns in Verbindung setzen.

Fordern Sie ein Angebot an

Quellen

Belgien (2020)

Cookie Richtlinien

Dänemark (2020 / 2019)

Guidelinies 2020

Executive Order 2019

EDPB (2020)

EDPB Guidelinies

Frankreich (2020)

Cookie Richtlinien

Cookie Empfehlungen 

 

Griechenland (2020)

Richtlinien

Presse

Italien (2014)

Cookie Consent information

Legislation on Cookies

Irland (2020)

Datenschutzrichtlinien für Cookies

Survey

Spanien (2020)

Cookie Guide

Großbritannien (2019)

Cookie Richtlinien