Cookie Richtlinie – Legal-Update

Die aktuelle Rechtslage rund um das Thema Cookie Banner und Consent Management

Sehr gut! Sie wissen Ihre Privatsphäre zu schützen. Um das Kontaktformular zu aktivieren, müssen wir Sie an dieser Stelle um Ihr Einverständnis bitten. Typeform ist ein Anbieter für Formulare mit Sitz in Barcelona, Spanien. So weit so datenschutzkonform; leider nutzen die freundlichen Typeformer ein zusätzliches Tracking-Steuer-Element, das wir ohne Ihre Erlaubnis nicht einsetzen möchten: Segment. Wenn Sie das nicht weiter stört, können Sie mit Klick auf “Zustimmen” zu besagtem Formular gelangen.

Wir liefern Ihnen in diesem Beitrag alle Informationen zum Thema Cookie Banner, Cookie Management und dem Einholen einer rechtskonformen Einwilligung. Da sich die Cookie Richtlinien stetig ändert, informieren wir Sie in einer Update-Timeline über alle Neuigkeiten und relevanten Urteile. So bleiben Sie up to date und können Ihre Website stets rechtskonform gestalten.

 

JUNI 2020: Richtlinien zum Einsatz von Google Analytics laut DSK

Einwilligung und Gestaltung des Cookie Banners für die rechtskonforme Nutzung

Die Datenschutzkonferenz (DSK) hat als unabhängige Datenschutzbehörde des Bundes zum Einsatz von Google Analytics Stellung bezogen. Die Nutzung des Analyse-Tools des US-Dienstleisters Google ist weiterhin theoretisch erlaubt, ABER nur solange die Nutzung auf der aktiven, freiwilligen Einwilligung des Nutzers/Users nach umfassender Beschreibung der Datenverarbeitung durch den Dienstleister basiert. Die korrekte Form der Einwilligung ist Pflicht. Zudem spielt die Gestaltung des Consent-Management-Tools hier eine entscheidende Rolle. Hier erläutern wir die genaue Umsetzung der Cookie Richtlinien nach DSGVO zum Schutz personenbezogener Daten.

Voraussetzungen für die Einwilligung:

  • Es muss konkret deutlich werden, dass die Einwilligung für den Service Google Analytics erteilt wird.
  • Die Informationen zur Datenverarbeitung durch Google müssen klar und deutlich beschrieben werden. Nämlich, welche Daten weitergegeben werden, dass die Daten nicht anonymisiert werden und dass Google diese Daten zu eigenen Zwecken (wie zur Profilbildung) einsetzt. Ein einfacher Hinweis wie "diese Seite verwendet Cookies für Werbemaßnahmen" oder "ein besseres Surferlebnis" ist daher nicht ausreichend. Es klärt in keinster Weise über die Datenverarbeitung auf einer Website auf.
  • Die Informationen über die genaue Datenverarbeitung müssen vor der Einwilligung zugänglich gemacht werden. Vor der aktiven Zustimmung dürfen keine personenbezogenen Daten erhoben werden.
  • Die Einwilligung muss aktiv geschehen. Ein implizites Opt-In, sprich eine voreingestellte Zustimmung, ist nicht erlaubt. Auch eine Opt-Out-Möglichkeit ist an dieser Stelle nicht ausreichend. Der Nutzer muss seine Zustimmung durch ein aktives Klicken erteilen.
  • Eine Einwilligung ist außerdem nur freiwillig, wenn User eine freie Wahl haben. Sollte die Verweigerung einer Einwilligung Nachteile für den Nutzer haben, ist diese nicht freiwillig und somit unwirksam.

Gestaltungsvorgaben für Cookie Banner:

  • Klare Überschriften, die nicht irreführend sind und auf die Konsequenzen der Einwilligung  hinweisen. In der Überschrift "Wir respektieren Ihre Privatsphäre" fehlt jegliche Transparenz und somit auch die rechtliche Grundlage.
  • Links müssen eindeutig benannt werden. Wesentliche Inhalte dürfen nicht hinter Links versteckt werden. Das Impressum und die Datenschutzerklärung müssen über einen eindeutigen Link zugänglich gemacht werden.
  • Die Datenverarbeitung (wer erhält welche Daten, zu welchem Zweck) muss detailliert beschrieben werden. Im Falle von Google Analytics muss klar werden, dass sowohl Google als auch staatliche Behörden Zugriff auf die persönlichen Daten der Nutzer haben.
  • Eine Einwilligung für Drittanbieter wie Google Analytics muss granular möglich sein, sodass die Nutzung einzelner Services erlaubt oder abgelehnt werden.

Lassen Sie jetzt kostenlos Ihre Website checken

Der kostenlose Quick-Check der COOKIEBOX scannt Ihre Seite und prüft die Consent-Management-Platform nach DSGVO-Vorgaben.

Mai 2020: Europäischer Datenschutzausschuss

Urteil v. 28. Mai 2020 - I ZR 7/16 - Cookie-Einwilligung II - Guidelines on consent, Aktualisierte Vorgaben für die Einwilligung nach Art.6 l 1 lit. a DSGVO (EuGH)

Einwilligung in die Speicherung von Cookies: Am 28. Mai 2020 hat der Zivilsenat des Bundesgerichtshofs (BGH) über die Frage entschieden, welche Anforderungen an die Einwilligung in die Speicherung von Cookies auf dem Endgerät des Nutzers zu stellen sind.

BGH Entscheidung zu Cookies auf Websites

Am 28. Mai 2020 hat der Bundesgerichtshof ein weiteres Cookie-Urteil verkündet. Und das Ergebnis ist im Grunde wenig überraschend: Cookies auf Websites dürfen grundsätzlich nur mit Einwilligung der Nutzer gesetzt werden. Der bloße Hinweis auf ein Widerspruchsrecht (Opt-Out) wird damit eine eindeutige höchstrichterliche Absage erteilt.
Damit sollte nun doch alles geklärt sein, oder? Aber was bedeutet das für die praktischen Umsetzung auf Ihrer Website?

Update

Nachrichtendienst Spiegel integriert "Consent" in URL:

Wenn auf die Startseite von Spiegel.de zugegriffen werden möchte, fallen einem 2 Dinge ins Auge: Eine Wall, die den Inhalt der Webseite verdeckt und, bei genauem Hinsehen; das kleine Wörtchen consent, das die Seiten URL anführt.

Bedeutet konkret: Gratis Inhalte nur noch im Tausch gegen Werbung und Tracking des eigenen Surfverhaltens - sofer der User die Einwilligung hierzu erteilt hat.

Ob weitere Unternehmen der Cookie-Thematik eine vergleichbare Aufmerksamkeit schenken werden, bleibt abzuwarten.

Spiegel_Consent

April 2020: Dänische Datenschutzbehörde

Verbot des Nudging und Pflicht der Kategorisierung im ersten Layer

Dänische Aufsichtsbehörde erlässt Entscheidung zum Einholen einer Einwilligung für das Setzen von Cookies:

Grund hierfür ist eine Beschwerde gegen ein Cookie Banner des Dänischen Meteorologischen Instituts (DMI), welches dem Nutzer die Möglichkeit bietet, der Nutzung von Cookies zuzustimmen oder weitere Informationen einzusehen - Jedoch keine direkte Möglichkeit der Ablehnung. Darüber hinaus wird Bannerwerbung über Google Werbenetzwerke geschaltet, wobei personenbezogene Daten mit Google geteilt werden.

Die DMI vertrat dabei die Auffassung, dass alle Auflagen des Urteils Planet49 eingehalten wurden, da die Nutzer der Setzung von Cookies aktiv zustimmen müssen, bevor diese geschaltet werden. Darüber hinaus wäre eine differenzierte Einwilligung möglich, da der Nutzer bestimmten Cookies zustimmen und andere ablehnen könne.

Entscheidung der Aufsichtsbehörde

Interessant ist hier die Entscheidung der Aufsichtsbehörde: Denn diese spricht sich gegen die Nudging-Lösung aus, die sich nach dem Planet49 Urteil etabliert hat. Nach Auffassung der Aufsichtsbehörde ist die Cookie-Banner Lösung der DMI somit aus folgenden drei Gründen unwirksam:

1. Keine freiwillige Einwilligung

Die Freiwilligkeit der Einwilligung soll Transparenz für die betroffene Person schaffen. So soll die Person die Kontrolle über die personenbezogenen Daten innehaben.

Ein Indiz für die Freiwilligkeit ist das Prinzip der Granularität. Dies beinhaltet, dass für Verarbeitungsvorgänge, die mehreren Zwecken dienen, separate Einwilligungen eingeholt werden müssen.

Ein „OK“ als Zustimmung zu allen Cookies reiche somit nicht aus. Darüber hinaus sei es nicht ausreichend, die Erfassung personenbezogener Daten für verschiedene Zwecke über die Funktion „Details anzeigen“ einzusehen und zu managen. Dies dürfe nicht einen Klick entfernt sein, sondern müsse mit der ersten Interaktion abzulehnen sein.

2. Keine informierte Einwilligung

Für eine informierte Einwilligung sei es erforderlich, dass die Identität des für die Verarbeitung Verantwortlichen einsehbar ist und über den Zweck der Verarbeitung informiert wird.

In dem Banner des DMI habe die Transparenz nicht ausreichend gewahrt, da nicht Google sondern die Werbenetzwerke von Google (DoubleClick und AdSense) genannt wurden. Diese seien für den Nutzer intransparent, da Sie auf den ersten Blick nicht mit Google in Verbindung gebracht werden können.

3. Verstoß gegen Grundsatz der Transparenz

Es muss ebenso leicht sein, die Einwilligung zur Verarbeitung personenbezogener Daten abzugeben, wie sie zu verweigern.

Durch den „One-Click-Away“-Ansatz kann dies nicht gewährleistet werden, da die Transparenz nicht erfüllt ist.

Darüber hinaus habe die Möglichkeit, keine Einwilligung in die Verarbeitung personenbezogener Daten zu erteilen, nicht den gleichen Kommunikationseffekt. Mit anderen Worten: diese Möglichkeit wird nicht so klar kommuniziert wie die Möglichkeit eine Einwilligung zu erteilen.

Auswirkungen auf Deutschland:

Zunächst ist nicht mit unmittelbaren Auswirkungen zu rechnen. Die Entscheidung kann als erstes Anzeichen gesehen werden, in welche Richtung sich die E-Privacy-Verordnung zum Einholen einer Einwilligung entwickeln wird.

Dabei sollte besonderes Augenmerk auf die unterschiedliche Auslegung oder Schwerpunktsetzung bei der Durchsetzung der Datenschutzgrundverordnung gelegt werden. Auch interessant: die Auswirkung auf den Wettbewerb im europäischen Binnenmarkt.

Besuchen Sie www.datenschutzbeauftragter-info.de, um weitere Informationen bezüglich der Entscheidung der dänischen Datenschutzaufsichtsbehörde zu erhalten.

Ihr Ansprechpartner: Jörg ter Beek

Privatsphäre aus Prinzip

Als TÜV zertifizierter externer Datenschutzbeauftragter steht er Ihnen bei allen Fragen der DSGVO zur Seite und unterstützt Sie u.a. bei diesen Themen:

Weitere Informationen zu Jörg ter Beek finden Sie auf seinem XING-Profil oder LinkedIn-Profil.

Update - 04. März 2020

Das Oberlandesgericht Hamburg erklärte in einem aktuellen Beschluss (OLG Hamburg, Beschl. v. 10.12.2019 - Az.: 15 U 90/19), dass das Telemediengesetz (TMG) keine Anwendbarkeit neben der DSGVO findet.

Inhalt der Entscheidung war die Frage, ob die Regelungen des §13 Abs. 1 TMG anwendbar sind, oder in Folge einer Normenhierarchie hinter die Anwendbarkeit der DSGVO zurückfallen.

Die Richter entschieden die vorrangige Anwendung der DSGVO. Diese sei abschließend formuliert und nationale Gesetzgeber dürften nicht von dieser abweichen.

Die Auswirkungen dieser Entscheidung: ein wettbewerbsrechtlicher Unterlassungsanspruch könne nicht mehr auf die Verletzung von §13 Abs. 1 TMG gestützt werden.

§13 Abs. 1 TMG benennt die Pflichten des Dienstanbieters, den Nutzer zu Beginn des Nutzungsvorganges über die Art, den Umfang und den Zweck der Erhebung und Verwendung von personenbezogenen Daten aufzuklären.

Update - 24. Februar 2020

Untersagungsverfügungen und Einleitung gerichtlicher Verfahren wegen Nutzung von Google Analytics

Der Landesbeauftrage für den Datenschutz und die Informationssicherheit Rheinland-Pfalz Prof-Kugelmann teilte in einem Newsletter mit, er habe Untersagungsverfügungen gegen Webseiten-Betreiber erlassen, die Google-Analytics und vergleichbare Analyse-Tools eingesetzt haben.

Die Nachricht bezieht sich dabei auf eine Anweisung an Webseitenbetreiber, die aufgrund einer Reihe von Verfahren von der LfDI erlassen wurde. Diese fordert, dass Webseitenbetreiber ihre Webseite insofern ändern, dass die Übermittlung von Nutzerdaten an Dritte ausschließlich auf informierter und audrücklicher Einwilligung der Webseitennutzer basieren darf. Im Fokus steht dabei die Nutzung von Diensten wie Google Analytics oder Google Remarketing.

Reaktion der Webseitenbetreiber

Mehrere Webseitenbetreiber haben sich daraufhin gegen die Entscheidung ausgesprochen, weshalb mehrere gerichtliche Verfahren eingeleitet wurden;

Einer dieser Fälle wurde nun vom Verwaltungsgericht Mainz verabschiedet:

Laut Verwaltungsgericht wurde die Anwendbarkeit des Art. 6 DSGVO auf diese Fallkonstellation bestätigt und die Ausführungen zum überwiegenden Interesse der Nutzer als grundsätzlich überzeugend gewürdigt.

Laut Rechtsanwalt Dr. Bahr haben die Behörden mit diesem Urteil nun eine klare Regelung geschaffen, die verstärkt gegen Webseitenbetreiber vorgeht, die Google Analytics oder andere Remarketing Tools einsetzen.

Dabei bleibe jedoch abzuwarten, wie die ersten gerichtlichen Entscheidungen zu diesem Thema ausfallen werden.

Update - November 2019

Thema Cookies und Einwilligungen: Auf Grundlage der Entscheidung des EuGH haben sich die deutschen Datenschutzbehörden (Datenschutz ist Ländersache) in einer konzertierten Aktion zu einer Pressemeldnung zum Thema verabredet. Die Meldung aus NRW finden Sie hier bzw. auf der Webseite der Landesdatenschutzbehörde NRW.

Die Stellungnahme des Bundesdatenschutzbeauftragten, Ulrich Kelber, hier.

Kernaussage: Website-Betreiber sollten ihre Website auf Dritt-Inhalte und Tracking-Mechanismen überprüfen. Wer Funktionen nutzt, die eine Einwilligung erfordern, muss entweder die Einwilligung einholen oder die Funktion entfernen.

Cookie Banner - Einwilligungen rechtskonform einholen

Einwilligen, verwalten, dokumentieren – wie ist mit Cookies, Facebook-Pixeln etc. nach den jüngsten EuGH-Urteilen umzugehen? Opt-in- oder Opt-out-Verfahren? Das klären wir in diesem Beitrag.

Die Einholung rechtskonformer Cookie-Einwilligungen und der Begriff Cookie Consent sind seit dem neuen EuGH Urteil in aller Munde. Es geht um die Cookie Einwilligung von Website-Besuchern. Denn das Urteil lautet: Ohne Einwilligung des Users dürfen keine Cookies gefeuert werden. Damit sind Einwilligungs-Tools (statt Ok-Button) nun endgültig Pflicht.

Rechtliche Grundlagen eines Cookie Banners

Sobald eine Website geöffnet wird, die Cookies enthält, muss der Webseitenbetreiber seine Informationspflicht erfüllen und den Nutzer über die verwendeten Cookies und Technologien aufklären und seine Einwilligung einholen. Denn nur so kann eine Webseite DSGVO-konform gestaltet werden.

Um dem Nutzer das Recht auf Information zu gewährleisten und den Richtlinien der DSGVO Folge zu leisten, muss der Webseitenbetreiber offenlegen, welche Cookies und Technologien verwendet werden. Dies geschieht am besten in Form eines Einwilligungs-Banners. Solche Cookie-Banner erscheinen beim Öffnen der Webseite, um den User über die Nutzung von Cookies zu informieren. Auch holen Sie dessen Zustimmung für die Verwendung von Cookies ein oder stellen Auswahlmöglichkeiten für die Verwaltung bereit.

Bedeutung für den Webseitenbetreiber: es dürfen keine Cookies eingesetzt werden, ohne ein ausdrückliches Einverständnis des Nutzers eingeholt zu haben.

Was es dabei zu beachten gibt und wie Sie ein rechtskonformes Cookie-Banner erstellen, erfahren Sie in diesem Artikel.

Oktober 2019: Planet 49 - Opt-in Pflicht

Urteil v.01.10.19 EuGH: C-673/17

Das jüngste EuGH-Urteil vom 01.Oktober 2019 des Europäischen Gerichtshofes (EuGH) zu Cookies beendet eine deutsche Sonderregelung. Cookies dürfen ab sofort nur noch nach ausdrücklicher Zustimmung des Nutzers gespeichert werden.

EuGH-Urteil: Ausdrückliche Einwilligung für Cookies erforderlich

Der EuGH hat in seiner Entscheidung festgestellt, dass eine einfache Information über den Einsatz von Cookies nicht ausreicht. Die Nutzer müssen der Verwendung von Cookies auf ihrem Rechner ausdrücklich und aktiv zustimmen – der Anbieter muss hierfür über die Cookielaufzeit und die Wege der weiteren Datenverarbeitung informieren. Wenn Cookies an andere Anbieter weitergegeben werden, müssen Nutzer darüber ausdrücklich informiert werden und auch widersprechen können.

Voreinstellungen mit angekreuztem Feld „Ich stimme zu“ sind keine wirksame Einwilligung und daher nicht mehr zulässig, auch wenn die Nutzer die Häkchen entfernen können – sie müssen die Erlaubnis aktiv erteilen. Dies gilt laut EuGH für alle Daten, die auf dem Gerät des Nutzers gespeichert bzw. von diesem abgerufen werden, selbst wenn sie nicht personenbezogen sind – und auch Tracking-Cookies.

Vorausgefüllte Cookiebanner sind passé

Das Urteil aus Luxemburg beendet einen mehr als sechs Jahre währenden Rechtsstreit. Im konkreten Fall hatte ein Gewinnspielanbieter in seinem Cookiehinweis die Erlaubnisfelder für Datenverarbeitung und Werbeanrufe sowie weitere Werbung auch durch Drittanbieter vorangekreuzt. Dies war laut deutschem Telemediengesetz zwar erlaubt, entspricht aber nicht dem geltenden europäischen Recht. Die Verbraucherzentrale hatte hiergegen auf Unterlassung geklagt (Rechtssache C-637/17).

Der EuGH urteilte, dass auch pseudonymisierte, nicht personenbezogene Daten wie in diesem konkreten Fall nur nach Erlaubnis durch den Nutzer verarbeitet werden dürfen. Damit solle verhindert werden, dass die Privatsphäre durch sogenannte Hidden Identifiers ausspioniert werden könnten, begründete das Gericht seine Entscheidung.

Auf dem Weg zur ePrivacy-Verordnung

Damit wird Deutschland verpflichtet, die Cookie-Richtlinie aus dem Jahr 2009 nunmehr vollständig umzusetzen. Dies war bislang nur in Teilen geschehen, solange die deutsche Regelung nicht beanstandet worden war. Nun aber müssen alle Webseitenbetreiber ausführliche Cookie-Informationen bereitstellen und auch die Möglichkeit der Ablehnung von Cookies anbieten. Gleichzeitig dürfen Nutzer, die Cookies ablehnen, nicht benachteiligt werden. Damit hat der EuGH einen wichtigen Teil der lange angekündigten ePrivacy-Verordnung bereits vorweggenommen.

Was Webseitenbetreiber jetzt tun sollten

Das EuGH-Urteil ist bindend. Alle deutschen Gerichte werden im Sinne dieser Entscheidung Urteile fällen. Daher sind Webseitenbetreiber, die bislang auf ihrer Webseite nur über den Einsatz von Cookies informiert haben, jetzt in der Pflicht. Sie müssen zum einen detailliertere Cookie-Banner einsetzen und zum anderen unterbinden, dass Cookies gesetzt, Informationen aus dem Endgerät des Nutzers abgerufen oder überhaupt Daten verarbeitet werden, bevor der Nutzer zugestimmt hat („Opt-In-Modell“). Formulierungen wie „Wenn Sie diese Internetseite weiterhin nutzen, stimmen Sie der Verwendung von Cookies zu“, vielleicht ergänzt um einen „Okay-Button“, sind nicht mehr zulässig. Nur technisch unbedingt erforderliche Cookies dürfen noch gesetzt werden. Was damit konkret gemeint ist, werden die Gerichte noch klären müssen. Bitte wenden Sie sich für weitere Informationen an Ihren Datenschutzbeauftragten.

Kategorien der verwendeten Cookies

Welche Arten von Cookies gibt es eigentlich? Und über welche Cookies muss mein Cookie Banner informieren?

Cookies

Generell gilt: Es besteht ein Unterschied zwischen technisch notwendigen Cookies – die ausschließlich für die Funktionstüchtigkeit der Webseite genutzt werden und meist mit dem Schließen des Browsers gelöscht werden und weiterhin nicht einwilligungsbedürftig sind – und anderen Cookies.

Für alle technisch nicht notwendigen Cookies, die personenbezogene Daten übermitteln bzw. verarbeiten, benötigen Webseitenbetreiber vor ihrem Einsatz eine ausdrückliche Einwilligung der Nutzer („Opt-in“). Davon betroffen sind vor allem Analyse-, Social-Media- und Werbe-Cookies - Wenn eine Einwilligung zu diesen nicht notwendigen Cookies fehlt, wird dies als Datenschutzverstoß gewertet.

Haben Sie Ihre Cookies nun in diese Kategorien unterteilt und detektiert, welche Cookies einwilligungsbedürftig sind, ist nun zu klären, welche Anforderungen an eine wirksame und rechtskonforme Einwilligung gestellt sind.

DSGVO und Cookies: 7 Punkte Checkliste

Webcompliance: Cookie Banner Checkliste

Voreingestellte Einwilligung

Zur Erinnerung: Nach dem EuGH Urteil Planet49 sind Einwilligungen im Sinne der maßgeblichen Richtlinien der EU nicht mehr rechtskräftig, wenn das Cookie Banner voreingestellte Ankreuzfelder beinhaltet, welche der Nutzer zur Verweigerung seiner Einwilligung abwählen muss. Der Nutzer muss also aktiv der Schaltung von Cookies zustimmen.
Auch müssen nun Angaben zur Funktionsdauer der Cookies gemacht werden, und die Informationen gestellt werden, ob Dritte Zugriff auf die Cookies haben.

Warum ist eine konkrete Einwilligung so wichtig?

Das Fehlen einer Einwilligung zählt nach allen Urteilen und Verordnungen als Datenschutzverstoß.
Wenn nicht alle Voraussetzungen für das Einholen einer Einwilligung erfüllt sind, kann diese auch nicht als Rechtsgrundlage verwendet werden.

Folge: wenn eine Datenverarbeitung nicht auf eine Rechtsgrundlage gestützt werden kann, liegt ein Datenschutzverstoß vor. Darüber hinaus wurde der Bußgeldrahmen durch die DSGVO erheblich erweitert.

Auf einen Blick: Was muss beim Cookie Hinweis beachtet werden?

  • Die Einwilligung der Nutzer darf nicht voreingestellt sein.
  • Der Nutzer muss die Möglichkeit haben die Einwilligung zu verweigern.
  • Es wird ein Opt-in benötigt.
  • Es dürfen keine Daten weitergegen werden, wenn noch keine Einwilligung vorliegt.
  • Der Zugriff auf die Datenschutzerklärung und auf das Impressum darf nicht verhindert oder eingeschränkt sein.
  • Der Widerruf einer Einwilligung muss so einfach sein wie die Einwilligungserklärung selbst.

Worauf sollten sich Website-Betreiber einstellen?

Einfache Cookie-Banner erfüllen nicht (mehr) die Anforderungen an eine wirksame Einwilligung. Generell ist die Verwendung jeglicher Cookies in der Datenschutzerklärung der jeweiligen Website aufzuführen.

Darüber hinaus muss für das Setzen technisch nicht notwendiger Cookies die Einwilligung der Nutzer eingeholt werden.

Diese Einwilligung ist nach Ansicht des EuGH nur wirksam, wenn der Nutzer vorab über alle Datenverarbeitungsvorgänge und sämtliche Empfänger seiner Daten ausführlich informiert wurde sowie die Möglichkeit zum Widerspruch gegen alle oder bestimmte Cookies erhält.

Damit sind viele der derzeit kursierenden Cookie-Banner, die nur einen einfachen „Okay-Button“ oder die Möglichkeit des Zuklickens enthalten, nicht ausreichend, weil der Nutzer dem Setzen solcher Cookies nicht widersprechen kann.

Die Anforderungen für die Verwaltung von Cookie-Einwilligungen wird deshalb komplexer. Die Lösung hierfür lautet: CMP (consent management platform).

Ein wirksames Consent-Management-Tool muss demnach dem Nutzer eine Einwilligungsmöglichkeit bieten und darf erst dann Daten übertragen, wenn der Nutzer eingewilligt hat.

Juli 2019: Facebook Like Button

Urteil v. 29.07.2019 EugH: C-40/17

Der Europäische Gerichtshof (EuGH) hat am 29. Juli 2019 eine Entscheidung bezüglich der Nutzung des Facebook „Gefällt mir“-Buttons getroffen; gleichzeitig hat sich der EuGH zum Einsatz von Cookies geäußert – und unterstrichen, dass das Ausspielen von Cookies die Einwilligung des User erfordert.

Die drei zentralen Aspekte zusammengefasst und aufs Wesentliche reduziert:

EuGH I

Die ungefragte Übertragung von User-Daten mittels Facebook-Like-Button verstößt gegen Datenschutzrecht.

EuGH II

Der Betreiber einer Website ist – zusammen mit Facebook – verantwortlich für die Datenerverarbeitung; das gilt auch für Datenschutzverstöße bzw. den daraus resultierenden Konsequenzen.

EuGH III

Für Cookies, die zu Tracking- oder Werbezwecken gesetzt werden, ist eine echte Einwilligung der Besucher nötig; ein Cookie-Hinweis-Banner reicht nicht aus.

Das Problem mit dem Facebook-Like Button und Cookie Einwilligungen: Opt-in- oder Opt-out-Verfahren?

Facebook stellt den Betreibern von Fanpages einen Code-Snippet zur Verfügung. Dieser Code kann auf der Website eingebunden werden. Der Like-Button erscheint für den User dann direkt im Frontend bzw. an jeder beliebigen Stelle der Website. So wird dem Website-Besucher die Möglichkeit geboten, die Facebookseite direkt zu liken – ohne Umweg bzw. Weiterleitung.

Was an dieser Stelle erwähnt werden muss: Der implementierte Code sammelt bereits Daten, bevor der User auf “Like” geklickt hat.

Damit werden User-Daten nicht nur unwissentlich, sondern ggf. auch ungewünscht an Dritte weitergegeben. Es kommt hinzu, dass die Verarbeitung der Daten unabhängig davon erfolgt, ob der Besucher ein Facebook-Account hat oder nicht.

Der User hat praktisch keine Möglichkeit, der Datenweitergabe zu widersprechen respektive sie zu unterbinden.

Das Problem mit dem Cookie Banner und der Einwilligung des Users

Oder besser gesagt: Das Problem mit der Einwilligung des Users. Einwilligungen können nämlich grundsätzlich über zwei Wege eingeholt werden: Opt-in oder Opt-out.

Beim Opt-in ist die Checkbox zunächst leer; der Website-Besucher muss seine Einwilligung aktiv durch das Anklicken eines Buttons bzw. das Setzen eines Häkchens erteilen. Beim Opt-out ist das Häkchen in der Box bereits gesetzt bzw. vorausgefüllt – und damit ist die Einwilligung bereits erteilt. Der User einer Website muss aktiv das Häkchen entfernen.

Sehr häufig verwenden die Betreiber von Webshops, eCommerce-Plattformen und Websites diese Opt-out-Verfahren. Davon ausgehend, dass die meisten User möglichst schnell das Online-Angebot nutzen wollen und den OK-Button des Cookie-Banners anklicken würden – ohne den Text gelesen zu haben oder darüber nachzudenken, was sie da gerade tatsächlich ankreuzen.

Zwischenfazit

Für das Ausspielen von Cookies ist eine Einwilligung des Users erforderlich; die bisherige Praxis, Google Analytics, Ads etc. mit dem sogenannten berechtigten Interesse (Art. 6 Abs. 1 lit. f DSGVO) zu legitimieren, ist damit vorbei – und die Zeit der „Cookie-Feigenblätter“ und impliziten Einwilligungen ebenfalls. Aber der Reihe nach bzw. zunächst ein kurzer Cookie-Überblick.

Wie können Sie weiterhin Daten sammeln?

Viele Websitenbetreiber sind auf Tracking- und Marketingcookies angewiesen. Sie verwenden Dienste wie Google Analytics um Informationen über ihre Zielgruppe zu sammeln, ihre Dienste zu verbessern oder weiter mit den Daten zu arbeiten.

Die Betreiber möchten daher ein System benutzen, welches ihnen neben Rechtskonformität auch weiterhin Daten von einer Vielzahl von Nutzern garantiert. Wichtig ist daher, den Cookie-Banner so zu gestalten, dass er nicht nur alle rechtlichen Vorgaben erfüllt, sondern möglichst viele Nutzer zum Klick auf "Akzeptieren" überzeugt.

Außerdem wirken sich große und klobige Einwilligungs-Banner schlecht auf das Design der Seite aus. Ein guter Banner sollte sich also grafisch in die Seite einfügen und nicht das Seitenbild zerstören.

Die Antwort: Permission Marketing

Nach der DSGVO wird eine Rechtsgrundlage benötigt, wenn (personenbezogene) Daten erhoben werden. Eine solche Rechtsgrundlage kann eine Einwilligung des Webseitenbesuchers darstellen.

Also: Liegt eine Einwilligung des Webseitenbesuchers vor, darf der Webseitenbetreiber Marketing und Tracking verwenden. Der Name dafür: Permission Marketing.

Haben Sie die richtige Permission Marketing Strategie gewählt, haben Sie die Möglichkeit,

  • Ihr Haftungsrisiko zu minimieren (Schutz vor Abmahnungen)
  • die Reputation Ihres Unternehmens durch aktive Kommunikation zu stärken (Schutz der Datenhoheit der Nutzer)
  • Ihre Revenue Streams zu sichern, die auf Daten basieren (Schutz Ihrer Werbeperformance)
  • in eine nachhaltige Datengrundlage zu investieren (erfolgreiche Datenaktivierung und -nutzung)

Somit hat der Webseitenbetreiber trotz rechtlicher Einschränkungen die Möglichkeit, Daten zu erheben und Marketing zu betreiben.

Fazit und Ausblick:

Es ist davon auszugehen, dass die nationalen Gerichte und die Aufsichtbehörden der Länder sich dem EuGH-Urteil anschließen werden.

Die Entscheidung dürfte einen massiven Effekt auf die Auslegungen zur datenschutzrechtlichen Verantwortlichkeit, die Erlaubnistatbestände und die Informationspflichten haben.

Für die Verarbeitung und Weitergabe von personenbezogenen Daten ohne Rechtsgrundlage (bzw. Einwilligung) sieht die DSGVO ein Bußgeld von maximal 4% des Jahresumsatzes vor.

Website-Betreiber, die auf Nummer sicher gehen wollen, sollten sich deshalb mit der Verwendung des Facebook-Like-Buttons sowie den auf der Seite genutzten Tracking-/ Analyse-Technolgien beschäftigen.

Die 99 Artikel der DSGVO sind an vielen Stellen – was die praktische Anwendung betrifft – eine Frage der Auslegung (z. B. Art. 6, 1f DSGVO; Wahrung der berechtigten Interessen).

Für den Betreiber einer Website bedeutet das: Der Einsatz von Cookies ist mein berechtigtes Interesse – unabhängig von der konkreten Funktion des jeweiligen Cookies.

"Diese Website verwendet Cookies, um Ihnen die bestmögliche Funktionalität bieten zu können..." So oder so ähnlich wurde der Einsatz von Cookies dann als Service für den User umschrieben.

Diese Zeiten sind vorbei; der unterkomplexe "Ok-Button" dürfte bald der Vergangenheit angehören.

Einwilligung (Englisch consent) wird das neue Zauberwort. Und damit gilt zukünftig: consent is king.

Wir empfehlen nachdrücklich, sich diesem Trend anzuschließen. Sie benötigen Unterstützung dabei? Wir beraten Sie gerne zum Thema Cookie Banner und übernehmen alles Wichtige für Sie.

Die Lösung: Ein grafisch frei gestaltbares Banner - Usercentrics

Der ideale Banner sollte also:

  • Frei gestaltbar sein und nicht an feste Vorgaben gebunden
  • Detaillierte Ergebnisse liefern, wieviel Prozent der Nutzer den Cookies zustimmen/ablehnen/zum Teil zustimmen
  • Funktionen wie A/B - Testing anbieten um die Opt-In Rate zu steigern

Update - Mai 2019

Welche Cookies darf ich ohne Einwilligung nutzen?

Die Funktionalität der Tracker-Cookies löst einige Diskussionen aus. Diskutiert wird das Thema Cookies vor allem hinsichtlich ihrer Verwendung zum Nutzertracking. Denn diese werden meist ohne Wissen des Nutzers auf seinem Computer gespeichert. Datenschützer sehen hierbei die Privatsphäre der Nutzer bedroht. Es ist weiterhin umstritten, ob und wann eine Einwilligung von den Usern für das Tracking erforderlich ist. Den Entscheidenden Maßstab bildet nach Auffassung der Aufsichtsbehörden der Zweck des Verarbeitungsprozesses.

Technische Cookies
Um als User alle Funktionen und Dienste einer Website nutzen zu können und einen uneingeschränkten Ablauf der Website zu gewährleisten, sind teilweise Cookies notwendig. Wenn Cookies für die Funktionalität einer Website notwendig sind, dürfen diese zukünftig auch ohne Einwilligung des Nutzers eingesetzt werden, wenn sie auf ein berechtigtes Interesse des Verantwortlichen gestützt werden können.

Analytische Cookies
Wenn Daten zum Zweck der statistischen Analyse einer Website dienen und bestimmte Bedingungen bei der Verarbeitung erfüllt sind, dürfen auch diese Cookies ohne ein Einverständnis der Nutzer gespeichert werden. Folgende Bedingungen müssen erfüllt sein:

  • Nutzungsdaten werden nicht mit weiteren Daten über den Nutzer zusammengeführt
  • Die Daten werden nur zum Zweck der statistischen Analyse verarbeitet
  • Nutzungsdaten, die durch ein Analysetool eines Drittanbieters erhoben wurden, werden nicht für eigene Zwecke verwendet
  • Einzelnen Nutzern werden keine Merkmale oder Interessen in Rahmen einer Profilbildung zugeordnet
  • Der Nutzer hat eine Widerspruchsmöglichkeit in Form eines Opt-Out-Verfahrens

Einwilligung für Tracking-Tools?

Wird das Nutzerverhalten insbesondere über Website- oder Geräte-Grenzen (z.B. über verschiedene Domains verschiedener Anbieter) hinweg zusammengefasst, wird vorher eine ausdrückliche Einwilligung der Betroffenen benötigt. Dies betrifft vor allem die Einbindung von Plugins bei Social-Media-Anbieter, Online-Plattform-Betreibern und Werbenetzwerken.

Tracking
In dieser Kategorie geht es um die Auswertung des Besucherverhaltens auf einer Website. Einzuordnen sind Verfahren, die das Verhalten eines Nutzers über einen längeren Zeitraum analysieren und die Identifikation des Nutzers ermöglichen. Um den Nutzer wiederzuerkennen werden Nutzerprofile erstellt (Profiling), indem den einzelnen Nutzern persönliche Merkmale und Interessen zugeordnet werden. Mit Hilfe von Marketing-Cookies und Third-Party-Cookies können dem Nutzer dann gezielt Werbemaßnahmen möglichst personalisiert angezeigt werden. Da in diesem Falle nach Ansicht der Aufsichtsbehörden das Interesse des Nutzers überwiegt, wird eine Einwilligung des Nutzers benötigt.

Cookies und Datenschutzerklärung

Wird keine Einwilligung der Nutzer bei der Verwendung von Cookies benötigt, ist es ausreichend, die Datenverarbeitung in der Datenschutzerklärung zu beschreiben. Werden die Daten an Dritte weitergegeben oder liegt ein anderer Grund für eine Einwilligung ein, ist ein Hinweis auf die Cookies in der Datenschutzerklärung nicht mehr ausreichend. Dann wird ein Cookie Hinweis für die Einwilligung der Nutzer benötigt. Unabhängig davon ob Sie einen Cookie Hinweis auf Ihrer Seite einbauen, sollte jede Datenschutzerklärung einen Abschnitt zu Cookies enthalten und erklären, welche Cookies eingesetzt werden und was diese tun.

Was muss im Hinweistext für die Einwilligung stehen?

Sie benötigen einen Cookie Banner um die Einwilligung der Website-Nutzer zu bekommen. Wichtig ist, dass in dem Cookie Hinweistext der Gegenstand der Einwilligung klar und verständlich formuliert wird. Es muss deutlich werden, dass die Einwilligung freiwillig erfolgt und die Zustimmung jederzeit widerrufen werden kann.

Zu beantworten sind folgende Fragen:

  • Welche personenbezogenen Daten werden verarbeitet?
  • Was passiert mit den Daten?
  • Wer hat Zugriff auf diese Daten?
  • Welchem Zweck dient die Verarbeitung dieser Daten?
  • Werden die personenbezogenen Daten mit anderen Daten verknüpft?

Zudem müssen Links eindeutig beschrieben sein und wesentliche Inhalte dürfen nicht durch Links verschleiert werden.

März 2019: Orientierungshilfe der DSK - für Anbieter von Telemedien

Download

Laden Sie hier Ihre Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien herunter.

Update - Februar 2019

Einwilligungen: Zunehmende Kontrollen und ein erschreckendes Ergebnis

Der Einsatz von Cookies bzw. Cookie Hinweisen wird zunehmend überprüft. Das Bayerische Landesamt für Datenschutz (BayLDA) hatte im Februar mit sehr großer Reichweite die bayerischen Unternehmens-Websites auf eine DSGVO-konforme Einholung und Dokumentation der User-Einwilligung überprüft. Das erschreckende Kontrollergebnis: Auf keiner einzigen der untersuchten 40 Websites werden Tracking-Tools datenschutzkonform eingesetzt und die Einwilligungen rechtskonform eingeholt. Als Konsequenz kündigte die Behörde Bußgeldverfahren an.

Konkret überprüft wurden drei Aspekte, über die der User gemäß DSGVO informiert werden muss bzw. für die der Website-Betreiber ggf. den Nachweis zu erbringen hat.

  1. Die Cookie Einwilligung muss vorab abgefragt werden: Daten sollten erst erhoben werden, wenn eine Cookie Einwilligung vorliegt. Webseiten-Betreiber müssen deshalb sicherstellen, dass Cookie-Banner und Analyse Tools ( z. B. Google Analytics) miteinander korrespondieren.
  2. Der User sollte über die Datenverarbeitung informiert sein bzw. über alle Aspekte im Kontext mit der Datenverarbeitung in Kenntnis gesetzt worden sein.
  3. Die Cookie-Einwilligung muss freiwillig abgeben werden. Anders formuliert: Wer JA sagen kann, muss auch NEIN sagen dürfen. Ein ABLEHNEN-Button auf dem Cookie-Banner ist deshalb erforderlich.

Bewertung des Ergebnisses durch das BayLDA:

“Keine der eingeholten Einwilligungen ist wirksam. Das beutet im Ergebnis, dass die Datenverarbeitung durch einwilligungsbedürftige Tracking-Tools rechtswidrig ist”, so der Präsident des BayLDA, Thomas Kranig.“Alle begutachteten Websites begehen Datenschutzverstöße beim Einsatz der Tracking-Werkzeuge. Für die verantwortlichen Unternehmen wird unsere Prüfung ein Nachspiel haben. Wir haben uns entschlossen, diese Missstände abzustellen sowie die Einleitung von Bußgeldverfahren zu prüfen”.

CORTINA CONSULT DURCHSUCHEN

Generic selectors
Exact matches only
Search in title
Search in content
Search in posts
Search in pages

Ihr Ansprechpartner

Externer Datenschutzbeauftragter / Datenschutzberatung - Jörg Ter Beek

Jörg ter Beek
+49 251 2979474-1
[email protected]