Cookie Richtlinie: Die aktuelle Rechtslage

ePrivacy-Richtlinie goes TTDSG –  the never ending story! Cookies, Pixel, Consent Management etc.

Cookie Richtline Symbol

Wir liefern Ihnen in diesem Beitrag alle Informationen zum Thema Cookie Banner, Cookie Management und dem Einholen einer rechtskonformen Einwilligung. Da sich die Cookie Richtlinien stetig ändert, informieren wir Sie in einer Update-Timeline über alle Neuigkeiten und relevanten Urteile. So bleiben Sie up to date und können Ihre Website stets rechtskonform gestalten.

Inhalt dieser Seite

Cookie Richtlinie Timeline

Der Webauftritt ist häufig der erste Berühungspunkt und ein globales Aushängeschild eines Unternehmens. Nicht selten tritt der Fall ein, dass Datenschutzprobleme auf Websites auftauchen.

Basierend auf einer Anfrage bezüglich Ausübungen von Befugnissen nach Art. 58 DSGVO im Hinblick auf Drittlandverarbeitungen erstellte und veröffentlichte das ULD kurzerhand eine Vorlage für ein Hinweisschreiben (Stand: Januar 2022).

Hinweisschreiben – Vorlage ULD

Seit dem 1. Dezember 2021 greift das neue Telekommunikation- Telemedien-Datenschutz-Gesetz – TTDSG für den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien.

Durch die teils neuen Vorgaben bzw. die Konkretisierung bestehender Anforderungen an die Telemedienanbieter:innen entsteht seitens der Anwender:innen  Unsicherheit.

Aufgrund dessen unterstützt die herausragende und umfangreiche Orientierungshilfe als Praxisleitfaden mit Auslegungs- und Anwendungshilfen der bayrischen öffentlichen Stellen.

TTDSG – Die Orientierungshilfe

Ein wesentliches Instrument für den Schutz der Privatsphäre stellt die datenschutzrechtliche Einwilligung dar. Um die Anforderungen der DSGVO sowohl nutzerfreundlich als auch rechtssicher umzusetzen, sind Einwilligungsmanagement-Systeme (EMS) nötig. Durch das Forschungsvorhaben „Innovatives Datenschutz-Einwilligungsmanagement“ wurden verschiedene bereits vorhandene EMS Modelle durch die ConPolicy GmbH analysiert. Ableitend aus den Ergebnissen von Praxistests und einer repräsentativen Online-Befragung wurden schlussendlich Handlungempfehlungen in Form eines Best Practice-Modells entwickelt.

Best Practice Modell

Für die Verwendung von Cookies, sowie die Einbindung von Drittdienstleistern auf  Webseiten ist eine datenschutzrechtliche Einwilligung seitens der Seitennutzer:innen notwendig. Die Landesbeauftragte für den Datenschutz Niedersachsen nahm dies zum Anlass, um eine umfassende  Handreichung für die datenschutzkonforme Einwilligung auf Webseiten und die daraus vorherschenden Anforderungen an das Consent-Layer zu entwickeln.

Handreichung: Datenschutzkonforme Einwilligungen auf Webseiten

Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien ab dem 1. Dezember 2021 OH Telemedien 2021 – unter diesem Titel hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden
des Bundes und der Länder zum Ende dieses Jahres auf 32 Seiten Stellung bezogen.

„…Hinweis: Einsatz von Consent Management Plattformen Zur Implementierung einer umfassenden Einwilligungslösung werden zunehmend Consent-Management-Plattformen (CMP) eingesetzt, die von zahlreichen Unternehmen angeboten werden. Diese werben häufig damit, dass mit dem Einsatz ihres Tools rechtskonforme Einwilligungen auf der Webseite eingeholt würden. Ob dies tatsächlich der Fall ist, hängt jedoch maßgeblich vom konkreten Einsatz der CMP und den genauen Vorgängen auf dem jeweiligen Telemedienangebot ab. Die Betreiber:innen von Webseiten haben zahlreiche Konfigurationsmöglichkeiten, so dass allein durch den Einsatz der CMP keineswegs automatisch rechtskonforme Einwilligungen eingeholt werden. Die Verantwortlichkeit für die Wirksamkeit der eingeholten Einwilligungen verbleibt bei den jeweiligen Anbieter:innen des Telemedienangebotes…“

Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien

Die Datenschutzorganisation Noyb („None of your business“) hat eine Aktion gegen datenschutzwidrige Cookie Banner gestartet und über 500 Websites ein Ultimatum gesetzt, ihre Websites den Vorgaben des Datenschutzes anzupassen. Nach Ablauf des Ultimatums sind 422 formelle DSGVO Beschwerden gegen den „Banner-Wahnsinn“ bei zehn europäischen Datenschutzbehörden eingegangen.

Ein Grund, weshalb viele dem Ultimatum nicht nachgekommen sind, war das Argument des Konkurrenzdrucks. Wenn die Konkurrenz ohne Konsequenzen datenschutzwidrig handeln kann, hat sie einen Vorteil gegenüber anderen. Somit wollen Unternehmen lieber das Risiko einer Abmahnung eingehen und neue Rechtssprechungen abwarten. Es sei zwar eine Verbesserung auf fast allen Websites zu erkennen, dennoch sind die Ergebnisse weit entfernt von Datenschutzkonformität. Ziel der Aktion ist es, Druck auszuüben und strengere Auflagen für die Gestaltung von Cookie Bannern zu forcieren – das europaweit.

Ein besonderes Augenmerkt gilt dabei dem sogenannten „Dark Pattern“, also einer bestimmten Art der manipulativen Cookie Banner wie sie beim Spiegel, heise.de, Zeit Online oder FAZ.net beispielsweise zu sehen sind. Trackingloses Surfen nur gegen den Abschluss eines Abos. Hier entgegnet der Spiegel, dass es dabei auch um das werbefreie Nutzen der Website geht, welches selbstverständlich teurer sein muss. Seitens des Spiegels bestünden „keine Zweifel an der Freiwilligkeit der Einwilligung wenn nahezu werbefreie Inhalte von einer angemessenen Bezahlung abhängig gemacht werden“.

Auch die Berliner Aufsichtsbehörde hat rund 50 Berliner Unternehmen mit rechtswidrigem Tracking konfrontiert. „Aus dem Datenschutzrecht ergibt sich, dass es ebenso einfach sein muss, Tracking abzulehnen, wie darin einzuwilligen. Die Ablehnung darf nicht aufwendiger oder gar versteckt sein“, erklärt die Datenschutzbeauftragte Maja Smoltczyk. Mit einem Hinweisschreiben wurden Unternehmen aus diversen Branchen kontaktiert, deren Cookie-Banner als besonders mangelhaft aufgefallen sind, die vergleichsweise viele Nutzer*innen haben oder die möglicherweise besonders sensitive Daten verarbeiten. Sie wurden aufgefordert die Mängel unverzüglich zu beheben.

Der steigende Druck auf Websitebetreibende und auf die Behörden lässt eine baldige Rechtssprechung für Cookie Banner erwarten.

Nachzulesen in der Pressemitteilung der Berliner Beauftragten für Datenschutz und Informationssicherheit:

Berliner Beauftragte für Datenschutz und Informationsfreiheit – Pressemitteilung

 

Der im Mai vom Bundestag verabschiedete Entwurf des Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG) hat das Ziel, die Datenschutzvorgaben für Telemedien- und Telekommunikationsdienste zu konsolidieren sowie an das geltende europäische Recht anzugleichen. Durch das neue Gesetz sollen in Zukunft die durch die Co-Existenz von DSGVO, TMG und TKG entstehenden Rechtsunsicherheiten vermieden werden.Laut dem neuen Gesetzesentwurf für eine einheitliche Regelung des Datenschutzes in Telemedien und Telekommunikation sollen zukünftig staatliche Dienste zur Einwilligungsverwaltung eingeführt werden. Die Idee hinter diesen sogenannten PIMS (Personal Information Management Services) ist, dass NutzerInnen auf Dashboards Datenschutzeinstellungen vornehmen, die von den Diensteanbietern übernommen werden müssen. Dies soll verhindern, dass NutzerInnen ständig Cookie Banner wegklicken müssen und von sogenannten Dark Patterns zur Einwilligung der Verarbeitung ihrer personenbezogenen Daten gedrängt werden.PIMSLaut dem neuen Gesetzesentwurf für eine einheitliche Regelung des Datenschutzes in Telemedien und Telekommunikation sollen zukünftig staatliche Dienste zur Einwilligungsverwaltung eingeführt werden. Die Idee hinter diesen sogenannten PIMS (Personal Information Management Services) ist, dass NutzerInnen auf Dashboards Datenschutzeinstellungen vornehmen, die von den Diensteanbietern übernommen werden müssen. Dies soll verhindern, dass NutzerInnen ständig Cookie Banner wegklicken müssen und von sogenannten Dark Patterns zur Einwilligung der Verarbeitung ihrer personenbezogenen Daten gedrängt werden.Datentreuhänder können hier eine wichtige Funktion einnehmen, indem sie Datenschutzeinstellungen speichern und für angeschlossene Telemediendienste eine Schnittstelle zum Abruf dieser Einstellungen bieten. Dadurch hätten NutzerInnen mehr Kontrolle über ihre Daten und ein nutzerfreundlicheres Surferlebnis im Netz, während Wettbewerb ohne Cookies für alle Marktteilnehmer ermöglicht wird.

Das Bundeskabinett hat am 10.02.2021 den „Entwurf eines Gesetzes über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien sowie zur Änderung des Telemediengesetzes“ (Telekommunikation-Telemedien-Datenschutzgesetz – TTDSG) beschlossen. Der Gesetzesentwurf beinhaltet neue Bestimmungen zum Einsatz von Cookies und vergleichbaren Technologien. Ziel des neuen Gesetzesentwurfes ist das Beseitigen von Rechtsunsicherheiten, die sich aus der Datenschutzgrundverordnung (DSGVO), des Telekommunikationsgesetzes (TKG) und des Telemedien-Gesetzes (TMG) ergibt. Die Bestimmungen aus den verschiedenen Gesetzen werden in diesem Entwurf zusammengeführt und orientieren sich dabei nah am Wortlaut der E-Privacy Richtlinie.

 

§ 24 TTDSG

In § 24 TTDSG geht es um die Neuregelung zum Einsatz von Cookies und vergleichbaren Technologien, genauer gesagt um das Speichern und Abrufen von Informationen auf Endeinrichtungen der Endnutzer. Das Gesetz soll den Schutz personenbezogener Daten bzw. die für das Speichern dieser Daten erforderliche Einwilligung erleichtern.

Damit reagiert dieser Absatz auf jüngere gerichtliche Entscheidungen wie das Planet49 Urteil und das Cookie-II-Urteil und setzt das europarechtliche Einwilligungserfordernis und damit auch den Einwilligungsvorbehalt für deutsche Unternehmen in geltendes Recht. Die Einwilligung muss also den Ansprüchen der DSGVO gerecht werden und zwar auf informierter, freiwilliger Basis erfolgen und jederzeit widerruflich sein. Dies betrifft die „Endeinrichtung“, die in § 2 Abs. 2 Nr. 6 TTDSG als jedes Gerät mit einer Internetverbindung definiert wird.

Schutz der Privatssphäre bei Endeinrichtungen

(1) Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 zu erfolgen.

(2) Die Einwilligung nach Absatz 1 ist nicht erforderlich,

  1. wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder
  2. wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.

Gesetzenentwurf der Bundesregierung – TTDSG

Mit diesem Fragebogen hat die niedersächsische Aufsichtsbehörde einige Unternehmen aus unterschiedlichen Branchen zu dem Umgang mit Cookies und den Cookie Richtlinien auf Ihren Websites befragt. Die betroffenen Unternehmen sollen Auskunft über ihre Internetseiten und ein dort ggf. befindliches Tracking oder den Einsatz von Cookies geben.

Prüfung des Einsatzes von Tracking-Tools auf Websiten nach der DSGVO

FAQs zu Cookies und Tracking

So lautet der Beschluss vom LG Köln vom 29.10.2020 (Az.: 31 O 194/20)

Eine einstweilige Verfügung erreichte die Antragstellerin, da ein Konkurrent auf seiner Website Cookies setze, ohne vorher eine explizite und informierte Einwilligung seiner WebsitebesucherInnen einzuholen.

Die Rechtsgrundlage für dieses Urteil sei §§12 Abs. 1, 15 Abs.3 Telemediengesetz (TMG), welche nicht mit der DSGVO konkurrieren:

„Die DSGVO beansprucht gem. Art. 95 gegenüber der RL 2002/58/EG keinen Vorrang und ermöglicht deswegen eine fortdauernde Anwendung auch der §§ 12 Abs.1, 15 Abs.3 TMG (…).“

Auch die Voraussetzungen für einen Ausnahmefall lägen nicht vor:

(…) Der Verweis auf die Nutzung von Cookies erfolgt dort nicht (…) im Zusammenhang mit der Übertragung einer Nachricht. Ebenso wenig steht er im Zusammenhang mit einem durch den Nutzer ausdrücklichen angefragten Dienst, was beispielsweise bei einer angeforderten Wiedergabe von Video- oder Audioinhalten oder dem Aufruf einer Warenkorbfunktion der Fall wäre.“

Wenn wir von Cookies und Consent Management sprechen, geht es also nicht mehr nur um den Schutz personenbezogener Daten, sondern auch um einen fairen Wettbewerb im Online Business.

Urteil v. 28. Mai 2020 – I ZR 7/16 – Cookie-Einwilligung II – Guidelines on consent, Aktualisierte Vorgaben für die Einwilligung nach Art.6 l 1 lit. a DSGVO (EuGH)

Einwilligung in die Speicherung von Cookies: Am 28. Mai 2020 hat der Zivilsenat des Bundesgerichtshofs (BGH) über die Frage entschieden, welche Anforderungen an die Einwilligung in die Speicherung von Cookies auf dem Endgerät des Nutzers zu stellen sind.

BGH Entscheidung zu Cookies auf Websites

Am 28. Mai 2020 hat der Bundesgerichtshof ein weiteres Cookie-Urteil verkündet. Und das Ergebnis ist im Grunde wenig überraschend: Cookies auf Websites dürfen grundsätzlich nur mit Einwilligung der Nutzer gesetzt werden. Der bloße Hinweis auf ein Widerspruchsrecht (Opt-Out) wird damit eine eindeutige höchstrichterliche Absage erteilt.

Damit sollte nun doch alles geklärt sein, oder? Aber was bedeutet das für die praktischen Umsetzung auf Ihrer Website?

Urteil v.01.10.19 EuGH: C-673/17

Das jüngste EuGH-Urteil vom 01.Oktober 2019 des Europäischen Gerichtshofes (EuGH) zu Cookies beendet eine deutsche Sonderregelung. Cookies dürfen ab sofort nur noch nach ausdrücklicher Zustimmung des Nutzers gespeichert werden.

EuGH-Urteil: Ausdrückliche Einwilligung für Cookies erforderlich

Der EuGH hat in seiner Entscheidung festgestellt, dass eine einfache Information über den Einsatz von Cookies nicht ausreicht. Die Nutzer müssen der Verwendung von Cookies auf ihrem Rechner ausdrücklich und aktiv zustimmen – der Anbieter muss hierfür über die Cookielaufzeit und die Wege der weiteren Datenverarbeitung informieren. Wenn Cookies an andere Anbieter weitergegeben werden, müssen Nutzer darüber ausdrücklich informiert werden und auch widersprechen können.

Voreinstellungen mit angekreuztem Feld „Ich stimme zu“ sind keine wirksame Einwilligung und daher nicht mehr zulässig, auch wenn die Nutzer die Häkchen entfernen können – sie müssen die Erlaubnis aktiv erteilen. Dies gilt laut EuGH für alle Daten, die auf dem Gerät des Nutzers gespeichert bzw. von diesem abgerufen werden, selbst wenn sie nicht personenbezogen sind – und auch Tracking-Cookies.

Vorausgefüllte Cookiebanner sind passé

Das Urteil aus Luxemburg beendet einen mehr als sechs Jahre währenden Rechtsstreit. Im konkreten Fall hatte ein Gewinnspielanbieter in seinem Cookiehinweis die Erlaubnisfelder für Datenverarbeitung und Werbeanrufe sowie weitere Werbung auch durch Drittanbieter vorangekreuzt. Dies war laut deutschem Telemediengesetz zwar erlaubt, entspricht aber nicht dem geltenden europäischen Recht. Die Verbraucherzentrale hatte hiergegen auf Unterlassung geklagt (Rechtssache C-637/17).

Der EuGH urteilte, dass auch pseudonymisierte, nicht personenbezogene Daten wie in diesem konkreten Fall nur nach Erlaubnis durch den Nutzer verarbeitet werden dürfen. Damit solle verhindert werden, dass die Privatsphäre durch sogenannte Hidden Identifiers ausspioniert werden könnten, begründete das Gericht seine Entscheidung.

Auf dem Weg zur ePrivacy-Verordnung

Damit wird Deutschland verpflichtet, die Cookie-Richtlinie aus dem Jahr 2009 nunmehr vollständig umzusetzen. Dies war bislang nur in Teilen geschehen, solange die deutsche Regelung nicht beanstandet worden war. Nun aber müssen alle Webseitenbetreiber ausführliche Cookie-Informationen bereitstellen und auch die Möglichkeit der Ablehnung von Cookies anbieten. Gleichzeitig dürfen Nutzer, die Cookies ablehnen, nicht benachteiligt werden. Damit hat der EuGH einen wichtigen Teil der lange angekündigten ePrivacy-Verordnung bereits vorweggenommen.

Was Webseitenbetreiber jetzt tun sollten

Das EuGH-Urteil ist bindend. Alle deutschen Gerichte werden im Sinne dieser Entscheidung Urteile fällen. Daher sind Webseitenbetreiber, die bislang auf ihrer Webseite nur über den Einsatz von Cookies informiert haben, jetzt in der Pflicht. Sie müssen zum einen detailliertere Cookie-Banner einsetzen und zum anderen unterbinden, dass Cookies gesetzt, Informationen aus dem Endgerät des Nutzers abgerufen oder überhaupt Daten verarbeitet werden, bevor der Nutzer zugestimmt hat („Opt-In-Modell“). Formulierungen wie „Wenn Sie diese Internetseite weiterhin nutzen, stimmen Sie der Verwendung von Cookies zu“, vielleicht ergänzt um einen „Okay-Button“, sind nicht mehr zulässig. Nur technisch unbedingt erforderliche Cookies dürfen noch gesetzt werden. Was damit konkret gemeint ist, werden die Gerichte noch klären müssen. Bitte wenden Sie sich für weitere Informationen an Ihren Datenschutzbeauftragten.

Urteil v. 29.07.2019 EugH: C-40/17

Der Europäische Gerichtshof (EuGH) hat am 29. Juli 2019 eine Entscheidung bezüglich der Nutzung des Facebook „Gefällt mir“-Buttons getroffen; gleichzeitig hat sich der EuGH zum Einsatz von Cookies geäußert – und unterstrichen, dass das Ausspielen von Cookies die Einwilligung des User erfordert.

Die drei zentralen Aspekte zusammengefasst und aufs Wesentliche reduziert:

EUGH I
Die ungefragte Übertragung von User-Daten mittels Facebook-Like-Button verstößt gegen Datenschutzrecht.

EUGH II
Der Betreiber einer Website ist – zusammen mit Facebook – verantwortlich für die Datenerverarbeitung; das gilt auch für Datenschutzverstöße bzw. den daraus resultierenden Konsequenzen.

EUGH III
Für Cookies, die zu Tracking- oder Werbezwecken gesetzt werden, ist eine echte Einwilligung der Besucher nötig; ein Cookie-Hinweis-Banner reicht nicht aus.

Das Problem mit dem Facebook-Like Button und Cookie Einwilligungen: Opt-in- oder Opt-out-Verfahren?

Facebook stellt den Betreibern von Fanpages einen Code-Snippet zur Verfügung. Dieser Code kann auf der Website eingebunden werden. Der Like-Button erscheint für den User dann direkt im Frontend bzw. an jeder beliebigen Stelle der Website. So wird dem Website-Besucher die Möglichkeit geboten, die Facebookseite direkt zu liken – ohne Umweg bzw. Weiterleitung.

Was an dieser Stelle erwähnt werden muss: Der implementierte Code sammelt bereits Daten, bevor der User auf “Like” geklickt hat.

Damit werden User-Daten nicht nur unwissentlich, sondern ggf. auch ungewünscht an Dritte weitergegeben. Es kommt hinzu, dass die Verarbeitung der Daten unabhängig davon erfolgt, ob der Besucher ein Facebook-Account hat oder nicht.

Der User hat praktisch keine Möglichkeit, der Datenweitergabe zu widersprechen respektive sie zu unterbinden.

Das Problem mit dem Cookie Banner und der Einwilligung des Users

Oder besser gesagt: Das Problem mit der Einwilligung des Users. Einwilligungen können nämlich grundsätzlich über zwei Wege eingeholt werden: Opt-in oder Opt-out.

Beim Opt-in ist die Checkbox zunächst leer; der Website-Besucher muss seine Einwilligung aktiv durch das Anklicken eines Buttons bzw. das Setzen eines Häkchens erteilen. Beim Opt-out ist das Häkchen in der Box bereits gesetzt bzw. vorausgefüllt – und damit ist die Einwilligung bereits erteilt. Der User einer Website muss aktiv das Häkchen entfernen.

Sehr häufig verwenden die Betreiber von Webshops, eCommerce-Plattformen und Websites diese Opt-out-Verfahren. Davon ausgehend, dass die meisten User möglichst schnell das Online-Angebot nutzen wollen und den OK-Button des Cookie-Banners anklicken würden – ohne den Text gelesen zu haben oder darüber nachzudenken, was sie da gerade tatsächlich ankreuzen.

Wie können Sie weiterhin Daten sammeln?

Viele Websitenbetreiber sind auf Tracking- und Marketingcookies angewiesen. Sie verwenden Dienste wie Google Analytics um Informationen über ihre Zielgruppe zu sammeln, ihre Dienste zu verbessern oder weiter mit den Daten zu arbeiten.

Die Betreiber möchten daher ein System benutzen, welches ihnen neben Rechtskonformität auch weiterhin Daten von einer Vielzahl von Nutzern garantiert. Wichtig ist daher, den Cookie-Banner so zu gestalten, dass er nicht nur alle rechtlichen Vorgaben erfüllt, sondern möglichst viele Nutzer zum Klick auf „Akzeptieren“ überzeugt.

Außerdem wirken sich große und klobige Einwilligungs-Banner schlecht auf das Design der Seite aus. Ein guter Banner sollte sich also grafisch in die Seite einfügen und nicht das Seitenbild zerstören.

Die Antwort: Permission Marketing

Nach der DSGVO wird eine Rechtsgrundlage benötigt, wenn (personenbezogene) Daten erhoben werden. Eine solche Rechtsgrundlage kann eine Einwilligung des Webseitenbesuchers darstellen.

Also: Liegt eine Einwilligung des Webseitenbesuchers vor, darf der Webseitenbetreiber Marketing und Tracking verwenden. Der Name dafür: Permission Marketing.

Haben Sie die richtige Permission Marketing Strategie gewählt, haben Sie die Möglichkeit,

 

  • Ihr Haftungsrisiko zu minimieren (Schutz vor Abmahnungen)
  • die Reputation Ihres Unternehmens durch aktive Kommunikation zu stärken (Schutz der Datenhoheit der Nutzer)
  • Ihre Revenue Streams zu sichern, die auf Daten basieren (Schutz Ihrer Werbeperformance)
  • in eine nachhaltige Datengrundlage zu investieren (erfolgreiche Datenaktivierung und -nutzung)

Somit hat der Webseitenbetreiber trotz rechtlicher Einschränkungen die Möglichkeit, Daten zu erheben und Marketing zu betreiben.

Fazit und Ausblick

Es ist davon auszugehen, dass die nationalen Gerichte und die Aufsichtbehörden der Länder sich dem EuGH-Urteil anschließen werden.

Die Entscheidung dürfte einen massiven Effekt auf die Auslegungen zur datenschutzrechtlichen Verantwortlichkeit, die Erlaubnistatbestände und die Informationspflichten haben.

Für die Verarbeitung und Weitergabe von personenbezogenen Daten ohne Rechtsgrundlage (bzw. Einwilligung) sieht die DSGVO ein Bußgeld von maximal 4% des Jahresumsatzes vor.

Website-Betreiber, die auf Nummer sicher gehen wollen, sollten sich deshalb mit der Verwendung des Facebook-Like-Buttons sowie den auf der Seite genutzten Tracking-/ Analyse-Technolgien beschäftigen.

Die 99 Artikel der DSGVO sind an vielen Stellen – was die praktische Anwendung betrifft – eine Frage der Auslegung (z. B. Art. 6, 1f DSGVO; Wahrung der berechtigten Interessen).

Für den Betreiber einer Website bedeutet das: Der Einsatz von Cookies ist mein berechtigtes Interesse – unabhängig von der konkreten Funktion des jeweiligen Cookies.

„Diese Website verwendet Cookies, um Ihnen die bestmögliche Funktionalität bieten zu können…“ So oder so ähnlich wurde der Einsatz von Cookies dann als Service für den User umschrieben.

Diese Zeiten sind vorbei; der unterkomplexe „Ok-Button“ dürfte bald der Vergangenheit angehören.

Einwilligung (Englisch consent) wird das neue Zauberwort. Und damit gilt zukünftig: consent is king.

Wir empfehlen nachdrücklich, sich diesem Trend anzuschließen. Sie benötigen Unterstützung dabei? Wir beraten Sie gerne zum Thema Cookie Banner und übernehmen alles Wichtige für Sie.

 

Die Lösung: Ein grafisch frei gestaltbares Banner – Usercentrics

Der ideale Banner sollte also:

  • Frei gestaltbar sein und nicht an feste Vorgaben gebunden
  • Detaillierte Ergebnisse liefern, wieviel Prozent der Nutzer den Cookies zustimmen/ablehnen/zum Teil zustimmen
  • Funktionen wie A/B – Testing anbieten um die Opt-In Rate zu steigern
Der Fall Springer

In einem Urteil vom Juni 2023 wird das Unternehmen Axel Springer zu einer Unterlassung – oder bei Nichteinhaltung zu 250.000€ verurteilt

Der Grund: technisch nicht notwendige Cookies, vor allem Webcookies, wurden auf der Website von welt.de ohne Zustimmung des Users und sofort bei Aufrufen der Website ausgespielt. Das sei laut LG Berlin „wettbewerbswidrig“. Der unlautere Wettbewerb ist hier nur die Spitze des Eisbergs. Hinzu kommen grobe Verstöße gegen die DSGVO und das TTDSG

Cookie-Banner auf Focus.de unzulässig

Am 29. November 2022 kam es zu einem Urteil des Landgericht München I gegen das Nachrichtenportal Focus.de. Mit diesem Urteil gab das Landgericht der Klage des VZBZ in Teilen statt. 

Grund für die Klage ist ein unzulässiger Cookie-Banner von Focus Online. Dem Gericht zufolge erfolgt nämlich die Zustimmung der Nutzer nicht freiwillig, da Focus.de sog. Dark Patterns in den Cookie-Bannern verwendet. Diese ermöglichen es den Nutzern auf erster Ebene den Cookies zwar zuzustimmen, diese jedoch erst auf zweiter Ebene abzulehnen. Damit kann der User die Website nicht ohne weitere Interaktion mit der Consent Management Platform (CMP) nutzen. 

Focus.de legt Rechtsmittel ein, sodass das Urteil vom 29. November noch nicht rechtskräftig ist.  

Kategorien der verwendeten Cookies

Welche Arten von Cookies gibt es eigentlich? Und über welche Cookies muss mein Cookie Banner informieren?

Generell gilt: Es besteht ein Unterschied zwischen technisch notwendigen Cookies – die ausschließlich für die Funktionstüchtigkeit der Webseite genutzt werden und meist mit dem Schließen des Browsers gelöscht werden und weiterhin nicht einwilligungsbedürftig sind – und anderen Cookies.

Für alle technisch nicht notwendigen Cookies, die personenbezogene Daten übermitteln bzw. verarbeiten, benötigen Webseitenbetreiber vor ihrem Einsatz eine ausdrückliche Einwilligung der Nutzer („Opt-in“). Davon betroffen sind vor allem Analyse-, Social-Media- und Werbe-Cookies – Wenn eine Einwilligung zu diesen nicht notwendigen Cookies fehlt, wird dies als Datenschutzverstoß gewertet.

Haben Sie Ihre Cookies nun in diese Kategorien unterteilt und detektiert, welche Cookies einwilligungsbedürftig sind, ist nun zu klären, welche Anforderungen an eine wirksame und rechtskonforme Einwilligung gestellt sind.

Technisch notwendige Cookies

Unbedingt erforderliche Cookies sind dafür da, dass die Website, beziehungsweise der Dienst funktionsfähig und nutzbar ist. Diese Cookies werden von dem Websitebetreiber ausgespielt (First Party Cookies) und die gesammelten Informationen werden nur an diese Website gesendet.

Funktionale Cookies

Die Funktonalen Cookies ermöglichen dem User einer Website verbesserte und personalisierte Funktionen zu nutzen, zum Beispiel indem der Benutzername oder die Sprachauswahl gespeichert werden; diese Cookies sammeln und speichern ausschließlich anonymisierte Informationen.

Performance Cookies

Mit den Performance Cookies wird das Nutzerverhalten analysiert. So kann z.B. festgestellt werden, welche Unterseiten auf einer Website besucht werden.

Marketing- / Third Party-Cookies

Marketing- / Third Party -Cookies werden unter anderem auch von externen Werbeunternehmen verwendet, um zielgruppenorientierte Werbung für die User zu erstellen; die Cookies werden genutzt, um Informationen über den Nutzer zu sammeln.

DSGVO und Cookies: 7 Punkte Checkliste

In § 17 Abs. 2 TTDSG werden durch den direkten Bezug zur DSGVO nunmehr die Anforderungen an die erforderliche Einwilligung festgelegt. Für eine wirksame Einwilligung ist entscheidend, dass die Erste Cookie Banner Ebene ebenfalls die Möglichkeit der Ablehnung bietet. Außerdem dürfen bis zu dem Zeitpunkt der Einwilligung keine Daten erhoben werden. Und die Möglichkeit des Wiederrufs muss gewährt werden. Auch müssen nun Angaben zur Funktionsdauer der Cookies gemacht werden, und die Informationen gestellt werden, ob Dritte Zugriff auf die Cookies haben.

Cookie Banner Checklist
Was muss beim Cookie Hinweis beachtet werden?
  1. Die Einwilligung der Nutzer darf nicht voreingestellt sein.
  2. Der Nutzer muss die Möglichkeit haben die Einwilligung zu verweigern.
  3. Es wird ein Opt-in benötigt.
  4. Es dürfen keine Daten weitergegen werden, wenn noch keine Einwilligung vorliegt.
  5. Der Zugriff auf die Datenschutzerklärung und auf das Impressum darf nicht verhindert oder eingeschränkt sein.
  6. Der Widerruf einer Einwilligung muss so einfach sein wie die Einwilligungserklärung selbst.

Voreingestellte Einwilligung

Zur Erinnerung: Nach dem EuGH Urteil Planet49 sind Einwilligungen im Sinne der maßgeblichen Richtlinien der EU nicht mehr rechtskräftig, wenn das Cookie Banner voreingestellte Ankreuzfelder beinhaltet, welche der Nutzer zur Verweigerung seiner Einwilligung abwählen muss. Der Nutzer muss also aktiv der Schaltung von Cookies zustimmen.

Auch müssen nun Angaben zur Funktionsdauer der Cookies gemacht werden, und die Informationen gestellt werden, ob Dritte Zugriff auf die Cookies haben.

Warum ist eine konkrete Einwilligung so wichtig?

Das Fehlen einer Einwilligung zählt nach allen Urteilen und Verordnungen als Datenschutzverstoß.

Wenn nicht alle Voraussetzungen für das Einholen einer Einwilligung erfüllt sind, kann diese auch nicht als Rechtsgrundlage verwendet werden.

Folge: wenn eine Datenverarbeitung nicht auf eine Rechtsgrundlage gestützt werden kann, liegt ein Datenschutzverstoß vor. Darüber hinaus wurde der Bußgeldrahmen durch die DSGVO erheblich erweitert.

Worauf sollten sich Website-Betreiber einstellen?

Einfache Cookie-Banner erfüllen nicht (mehr) die Anforderungen an eine wirksame Einwilligung. Generell ist die Verwendung jeglicher Cookies in der Datenschutzerklärung der jeweiligen Website aufzuführen.

Darüber hinaus muss für das Setzen technisch nicht notwendiger Cookies die Einwilligung der Nutzer eingeholt werden.

Diese Einwilligung ist nach Ansicht des EuGH nur wirksam, wenn der Nutzer vorab über alle Datenverarbeitungsvorgänge und sämtliche Empfänger seiner Daten ausführlich informiert wurde sowie die Möglichkeit zum Widerspruch gegen alle oder bestimmte Cookies erhält.

Damit sind viele der derzeit kursierenden Cookie-Banner, die nur einen einfachen „Okay-Button“ oder die Möglichkeit des Zuklickens enthalten, nicht ausreichend, weil der Nutzer dem Setzen solcher Cookies nicht widersprechen kann.

Die Anforderungen für die Verwaltung von Cookie-Einwilligungen wird deshalb komplexer. Die Lösung hierfür lautet: CMP (consent management platform).

Ein wirksames Consent-Management-Tool muss demnach dem Nutzer eine Einwilligungsmöglichkeit bieten und darf erst dann Daten übertragen, wenn der Nutzer eingewilligt hat.

Inhalt dieser Seite
Jörg ter Beek externer Datenschutzbeauftragter
Jörg ter Beek
Datenschutzexperte & DSB
Cookie Richtlinien Beratung

Als externer Datenschutzbeauftragter unterstützen wir Sie bei der Umsetzung der aktuellen Cookie Richtlinien.

Cookie und Consent Management Beratung anfragen

Cortina Consult hilft Unternehmen dabei, die Anforderungen der DSGVO im Unternehmen umzusetzen – digital, so einfach wie möglich, zu fixen Konditionen.

Als Beratungsdienstleister und externer Datenschutzbeauftragter unterstützen wir Sie bei der Umsetzung der Cookie Richtlinien.

Auftragsverarbeitungsvertrag prüfen lassen
Nach oben scrollen
Sie haben Fragen?
– Wir beraten Sie gerne
Jörg ter Beek externer Datenschutzbeauftragter
Jörg ter Beek
Datenschutzexperte & DSB
Unsere Lösungen
Cortina Consult Logo