Zum Hauptinhalt springen
seriousByte. LogoseriousByte. Logo
seriousCookies.

Cookie Banner

Do‘s & Dont‘s einfach erklärt

Das Thema DSGVO ist komplex, nicht immer eindeutig und viel diskutiert. Sicher hat unser Beitrag keinen Anspruch darauf eine Rechtsberatung zu ersetzen. Informiere dich in rechtlichen Belangen immer mit Hilfe von Fachexperten oder lass dich vom Anwalt deines Vertrauens beraten. Wie, das war’s schon? Naja, nicht ganz. Wir werden versuchen, ein bisschen Licht ins Dunkel zu bringen und dir etwas über die Hintergründe und Zusammenhänge erklären.

Manche Website-Betreiber machen es sich leicht und behaupten: „Cookies sind keine personenbezogenen Daten. Die DSGVO greift hier nicht.“ Leider ist das so nicht korrekt. Juristen bedienen sich gern der „Floskel“: Es kommt ganz darauf an.

Was regelt nun also die DSGVO? So heißt es ganz offiziell: Die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates, die neue Datenschutz-Grundverordnung der Europäischen Union (EU), regelt die Verarbeitung von personenbezogenen Daten natürlicher Personen durch natürliche Personen, Unternehmen oder Organisationen in der EU. Im Sinne dieser Verordnung bezeichnet der Ausdruck „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Die Frage ist nun also, ob eine Identifizierung über Online-Kennungen wie IP-Adressen oder Cookie-Kennungen möglich ist? Erwägungsgrund 30 der DSGVO bejaht dies eindeutig mit der Begründung, dass dies Spuren hinterlassen kann, die insbesondere in Kombination mit eindeutigen Kennungen und anderen beim Server eingehenden Informationen dazu benutzt werden könnte, um Profile der natürlichen Personen zu erstellen und sie zu identifizieren.

Kommen wir nun zum nächsten Punkt. Wie muss ein Cookie-Banner gestaltet sein, damit er den rechtlichen Anforderungen der DSGVO genügt? Die Datenschutz-Grundverordnung definiert dafür sieben Kriterien wie die Einwilligung zu erfolgen hat. Gemessen wird dabei immer aus der Perspektive des Nutzers und was dieser rational erwarten und verstehen kann.

  1. Die Einwilligung ist freiwillig, d.h. es muss eine Zustimmen- / Ablehnen-Möglichkeit gegeben werden. Dabei ist aber zu beachten, dass die Ablehnung nicht zum Nutzungsausschluss führen darf. So würde es sich nicht um eine freiwillige Entscheidung, sondern vielmehr um eine erzwungene Zustimmung handeln.
  2. Der Nutzer muss vor der Einwilligung im Sinne der o.g. Informationen informiert werden.
  3. Der Nutzer muss ausdrücklich zur Nutzung der Technologien zustimmen. Technologien dürfen also ausdrücklich erst nach erfolgter Einwilligung laden und nicht bereits bei Aufruf der Website.
  4. Die Einwilligung muss Technologie-spezifisch sein. Eine generelle Einwilligung ist nicht zulässig, es muss ausdrücklich jede genutzte Technologie aufgelistet sein und eine ausdrückliche Zustimmung für jede einzelne Technologie eingeholt werden.
  5. Die Datenverarbeitung darf erst nach erfolgreicher Einwilligung erfolgen. Dazu muss eine technische Verknüpfung des Cookie-Banners und der zu ladenden Technologien bestehen. Bei Nicht-Einwilligung muss gewährleistet sein, dass die Daten nicht erhoben und verarbeitet werden.
  6. Die Einwilligung muss vom Betreiber der Website dokumentiert und nachgewiesen werden. Dazu benötigt es aus technischer Sicht einen Zeitstempel, den User-Agent und die Version der Einwilligungstexte.
  7. Es muss die Möglichkeit des Widerrufs der Einwilligung für den Nutzer geben. Dieser muss einfach und grundlos erfolgen können. Eine Weiterleitung auf Drittanbieterseiten für den Widerruf ist nicht rechtens. Das Auslesen der Cookie-ID, auch wenn es nur darum geht den Opt-Out festzustellen, ist nicht rechtens. Es handelt sich hierbei um eine unberechtigte Datenweitergabe an Dritte.

Zurück zu unserer Ursprungsfrage, worauf kommt es nun also an? Es kommt darauf an, um welche Art von Cookie es sich handelt und ob dieser die Verarbeitung personenbezogener Daten ermöglicht. Nun erheben Cookies in der Regel unabhängig vom Verwendungszweck personenbezogene Daten, weshalb auch hier die Informationspflicht der DSGVO greift. Der Betreiber der Website ist demnach verpflichtet, den Nutzer über die Erhebung und Verarbeitung seiner personenbezogenen Daten zu informieren. Es geht dabei um folgende Punkte:

  • Welche Daten werden erhoben?
  • Wie werden die Daten erhoben?
  • Zu welchem Zweck werden die Daten erhoben?
  • Wie lange werden die Daten gespeichert?
  • Wer bekommt diese Daten?
  • Werden die Daten an einen Drittanbieter weitergegeben?
  • Wo ist die Datenschutzerklärung des jeweiligen Technologie-Anbieters einzusehen?
  • Auf welcher Rechtsgrundlage werden die Daten erhoben?
  • In welchem Land werden die Daten verarbeitet?
  • Wie kann der Nutzer der Verarbeitung der Daten widersprechen?

Da viele Cookies erst nach Zustimmung des Nutzers geladen werden dürfen, muss ein Cookie-Banner nicht nur über o.g. Inhalte informieren, sondern holt sich auch die ausdrückliche Erlaubnis des Nutzers ein, diese Daten verarbeiten zu dürfen.

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hat in einer Orientierungshilfe vom 20.12.2021 klargestellt, dass das Ablehnen von Cookies genauso einfach gestaltet sein muss wie das Annehmen. Darüber hinaus muss klar und transparent ohne weitere Klicks erkennbar sein, worauf sich eine Einwilligung bezieht. Dies ist oft erst dann erkennbar, wenn weitere Fenster geöffnet werden. Wörtlich heißt es dazu:

„Eine wirksame Einwilligung liegt zudem regelmäßig nicht vor, wenn Nutzenden nur zwei Handlungsmöglichkeiten zur Auswahl gestellt werden, die nicht gleich schnell zu dem Ziel führen, den Telemediendienst nutzen zu können. Hierbei wird ihnen einerseits eine Schaltfläche zum „Alles Akzeptieren“ angezeigt, andererseits eine Schaltfläche mit Bezeichnungen wie „Einstellungen“, „Weitere Informationen“ oder „Details“. Mittels der ersten Schaltfläche können die Endnutzer:innen unmittelbar und ohne weiteren Aufwand eine zustimmende Willenserklärung abgeben und das Angebot sofort nutzen. Mit der anderen Schaltfläche können die Nutzenden weder ablehnen noch eine sonstige Willenserklärung abgeben, sondern lediglich weitere Handlungsschritte einleiten. Es bedarf dann weiterer Entscheidungen oder Einstellungen, bis das gewünschte Angebot genutzt werden kann. Diese beiden Handlungsoptionen haben somit nicht denselben Kommunikationseffekt. (...)“. 

Mit einem „Ablehnen-Button“ ist man rechtlich gesehen meist auf der sicheren Seite. Bei anderen Gestaltungswünschen muss man genau prüfen und wie so oft feststellen „Es kommt darauf an“.

Das hilft dir nicht weiter? Dann melde dich bei uns, wir helfen dir gern.

Ich habe die Datenschutzerklärung zur Kenntnis genommen. Ich stimme zu, dass meine Angaben und Daten zur Beantwortung meiner Anfrage und für Werbung über ähnliche Informationen und Dienstleistungen von seriousByte. elektronisch erhoben, gespeichert und verarbeitet werden. Hinweis: Sie können Ihre Einwilligung jederzeit für die Zukunft per E-Mail an info@seriousbyte.de widerrufen.