Datenschutz & Verbraucher

Ist ein Hinweis auf jedes Cookie jetzt Pflicht?

Laut DS-GVO, wei­­te­­ren Ge­­set­­zen und Ur­­tei­­len brau­chen Web­­sites ei­­nen Text mit Hin­weis auf Cookies – auch die Da­ten­schutz­er­klä­rung. We­gen der ver­wir­ren­den Rechts­la­ge soll­ten Un­­ter­­neh­­men mit Fach­­leu­­ten klä­­ren, wie sie ih­­re recht­­li­­chen Ver­­pflich­­tun­­gen tech­­nisch, op­­tisch und text­lich einhalten.

Teilen auf

LinkedIn Xing

Inzwischen haben sich die meisten Unternehmen auf die Anforderungen der Datenschutz-Grundverordnung (DS-GVO) eingestellt und Funktionen sowie Design ihrer Homepage entsprechend angepasst. Es passieren aber weiterhin Fehler, etwa im Umgang mit Cookies. Diese kleinen Informationselemente werden beim Aufrufen einer Website im Internetbrowser der Nutzer oder Nutzerinnen gespeichert und beim nächsten Besuch ausgelesen. Sie erleichtern neben der Navigation im Internet bestimmte Aktionen, etwa das Log-In in Onlinekonten oder Speichern von Warenkörben. Viele Cookies dienen auch dem Webtracking – zu Marketingzwecken sammeln sie Daten zum Surfverhalten, um beispielsweise gezielt individualisierte Werbung einzublenden. Das ist grundsätzlich zulässig, solange aktiv dem Cookie-Einsatz auf einer Internetseite zugestimmt wird. Weil ein Cookie personenbezogene Daten laut DS-GVO überträgt, muss im Text zur Einwilligung zu Cookies – und natürlich auch in der Datenschutzerklärung – ein Hinweis darauf enthalten sein und jeder aktiv den Einsatz akzeptieren. Muster – auch für den Text einer Datenschutzerklärung mit Hinweis auf die Cookies – gibt es bei spezialisierten Anwaltskanzleien.

Wegen der DS-GVO: Hinweis auf jedes Cookie ist Pflicht?

Nach Inkrafttreten der DS-GVO sowie einschlägigen Gerichtsurteilen hatten viele Unternehmen wenig Bewusstsein für die Bedeutung des Themas. Eine Prüfung von 40 Websites durch die bayerische Datenschutzaufsichtsbehörde ergab, dass keine die datenschutzrechtliche Einwilligung rechtskonform erfragte. Damals schien vielen unklar, dass Cookies – eigene und von Dritten, etwa der Facebook-„Like-Button“ – personenbezogene Daten sammeln. Inzwischen sollte bekannt sein, dass Besucher und Besucherinnen einer Webseite in der Regel über die Verwendung personenbezogener Daten zu informieren sind. Sie müssen erfahren, welche Daten erhoben beziehungsweise, wie sie verarbeitet werden sowie warum und aufgrund welcher Rechtsgrundlage dies stattfindet. Außerdem ist darzulegen, wie lange die Speicherung dauert und wie man ihr widersprechen kann. Wichtig ist der Hinweis, dass die Daten dazu dienen, Profile über das Verhalten von Nutzern zu bilden. Und dass sie eventuell an Dritte/in Drittstaaten gehen. Nicht nur die Datenschutzerklärung, sondern schon die Einwilligung zu den Cookies sollte diesen Text enthalten und einen Hinweis auf die DS-GVO.

Ohne Einwilligung zu Cookies droht Ärger

Die meisten Unternehmen haben die Bedeutung des Cookie-Themas erkannt – nicht zuletzt, weil bei Verstößen gegen die DS-GVO schmerzhafte Bußgelder drohen. Am besten lässt sich das daran ablesen, dass beim Öffnen fast jeder Website entsprechende Formulare erscheinen und Zustimmung erbitten. Im Detail entdecken Fachleute allerdings Fehler, die bei einer Abmahnung oder im Falle einer Datenpanne teuer werden könnten. Deshalb ist es sinnvoll, den Hinweis auf Cookies und die DS-GVO mit darauf spezialisierten Anwältinnen oder Anwälten zu besprechen. Und die technischen Aspekte mit Spezialistinnen oder Spezialisten für den Aufbau und das Design von Websites zu klären. Formulierungen. Aktuell wird noch nicht für alle Cookies eine Einwilligung gefordert. Die ePrivacy-Verordnung, die das Thema regeln sollte, ist noch nicht in Kraft. Die DS-GVO selbst macht keine Aussagen zur Frage Tracking und Cookies. Und die Urteile, speziell zur Frage, welche Cookies konkret eine Einwilligung benötigen, sind zum Teil widersprüchlich.

Als Webseitenbetreiber kann man sich aktuell am besten daran orientieren, was der EuGH dazu entschieden hat. Technisch notwendige Cookies, also Session-Cookies, Cookies für LogIns oder Warenkörbe, die keine Daten weiter geben, können vom berechtigten Interesse des Webseitenbetreibers abgedeckt sein und benötigen daher keine Einwilligung. Tracking und Werbe-Cookies von Drittanbietern hingegen schon. Das sind also vor allem Cookies, die für die eigentlichen Funktionen der Webseite nicht zwingend notwendig sind und die Daten dann gegebenenfalls mit anderen Daten und Diensten verknüpfen oder teilen. Eine explizite, freiwillige Zustimmung zum Cookie ist mit einem Hinweis darauf per Formular einzuholen, das erscheint, bevor Cookies aktiviert werden. Hier müssen Besucherinnen und Besucher aktiv einen Haken setzen und so dem Einsatz von Cookies zustimmen. Erst dann darf die Website die Informationselemente automatisch aktivieren lassen.

Den Cookies zustimmen lassen und das gut dokumentieren

Was bedeutet das für Unternehmen? Sie sollten sich zunächst fragen, ob sie überhaupt Cookies brauchen – und das kritisch technisch sowie anwaltlich prüfen lassen. Bietet der Einsatz von Cookies keine erkennbaren Vorteile, ist ein Verzicht die rechtssicherste und zugleich billigste Lösung. Denn nicht alles, was technisch möglich ist, bringt auch automatisch einen ausreichenden Erkenntnisgewinn und nutzt so dem Betrieb. Erweist sich der Cookie-Einsatz als unternehmerisch sinnvoll, sollte er vor allem mit dem Anwalt oder der Anwältin abgestimmt sein. Die Fachleute prüfen, wie sich die Informationspflichten rechtskonform umsetzen lassen und Nutzerinnen oder Nutzer am besten den Cookies zustimmen. Um auf Nummer sicher zu gehen, ist nicht nur aktiv das Anklicken der Box zu verlangen, was Zustimmung bedeutet. Sondern ausdrücklich auch die Option anzubieten, einzelne beziehungsweise alle Cookies abzulehnen. Zudem sollte sich eine einmal gegebene Zustimmung bei späteren Besuchen einfach zurücknehmen lassen. Das alles ist natürlich für den Streitfall vernünftig zu dokumentieren.

Hinweis auf Cookies auch in Datenschutzerklärung aufnehmen

Manche Formulare zur Zustimmung sind lang und detailliert, andere kurz und prägnant. Dies liegt daran, dass manche Unternehmen von Partnerbetrieben viele technisch nicht notwendige Cookies auf der eigenen Seite setzen lassen. Etwa für die Statistik oder Empfehlungsmarketing in sozialen Medien. Wer für viele verschiedene Zwecke ein enges Partnernetzwerk pflegt, muss umfassende Cookie-Formulare mit vielen Erklärungen und Opt-in-Möglichkeiten anbieten. Wer sich auf einige wenige Aspekte und Partner beschränkt, kann den Aufwand deutlich schlanker halten. Wichtig ist, regelmäßig mit Fachleuten für die technischen und juristischen Fragen zu klären, ob alles noch dem aktuellen Stand entspricht. Insbesondere der Text mit dem Hinweis auf das Cookie-Thema, die Datenschutzerklärung und die DS-GVO sollten regelmäßig anwaltlich geprüft werden – dafür sind auch Muster verfügbar, die sich leicht für den eigenen Betrieb adaptieren lassen.

PRODUKTEMPFEHLUNG VON DATEV
Workbook Datenschutz-Grundverordnung

Dieses Workbook erleichtert durch seine systematische Aufbereitung der DS-GVO den Einstieg in die Thematik für alle Praktiker. Es bietet direkt einsetzbare Arbeitshilfen zur Vorbereitung der Umsetzung der DS-GVO.

Print

Diese Punkte sind beim Setzen von Cookies immer zu beachten

    • Zeitpunkt. Der Hinweis auf Cookies mit der Bitte um Einwilligung ist nur rechtskonform, wenn er sofort beim Aufruf der Website erscheint. Ein Cookie darf erst dann gesetzt werden, wenn die Zustimmung vorliegt.
    • Platzierung. Der Hinweis auf Cookies und die Bitte um Einwilligung muss gut sichtbar sein, sollte also keine wichtigen Inhalte verdecken. Problematisch aus Sicht der DS-GVO wäre es beispielsweise, wenn das Banner über den Links auf Impressum oder Datenschutzerklärung erscheint und so einen schnellen Zugriff verhindert.
    • Vollständigkeit. Das Dialogfeld sollte sauber strukturiert den Zweck der Cookies auflisten – etwa in den Kategorien technisch notwendig, Analyse oder Werbung. Und die einzelnen Cookies in den Kategorien dann umfassend erklären, etwa durch einen ausklappbaren Hinweis auf spezifische Funktionen.
    • Freiwilligkeit. Besucherinnen und Besucher müssen aktiv die Einwilligung zu Cookies geben, die nicht zum sicheren technischen Betrieb der Website erforderlich sind. Dies erfordert das sogenannte Op-In, also das bewusste Anklicken der Checkboxen zu jenen Zwecken, denen man zustimmt. Deshalb erfordert jedes Cookie eine eigene Erklärung sowie eine Checkbox, in der nicht schon standardmäßig ein Haken voreingestellt ist. Er muss bewusst geklickt werden. Oft findet sich auf dem Cookie-Banner eine optisch hervorgehobene Fläche zu Akzeptieren aller Cookies. Wer diese Herangehensweise nutzen will, sollte klären, wie gut erkennbar die Abwähl-Variante sein muss, um Ärger zu vermeiden.
    • Datenschutzerklärung. Wer einen Hinweis auf Cookies mit der Bitte um Einwilligung platziert, sollte diesen Punkt spätestens nach dem BGH-Urteil aus dem Mai 2020 auch in die Datenschutzerkärung aufnehmen, um die rechtlichen Vorgaben einzuhalten. Das Cookie-Banner und die Erläuterungen zu Cookies in der Datenschutzerklärung sollten also immer parallel aktualisiert werden.

Bei Text für Cookie DS-GVO und Telemediengesetz beachten

Derzeit sind beim Thema Cookies mindestens drei Gesetze relevant: Die DS-GVO, das Telemediengesetz (TMG) sowie die geplante E-Privacy-Verordnung. Zudem haben diverse aktuelle Urteile vom Europäischen Gerichtshof (EuGH), vom Bundesgerichtshof (BGH) und einigen Landesgerichten die Rechtsauslegung beeinflusst. Explizit findet das Thema Cookies in der DS-GVO keine Erwähnung. Die DS-GVO entfaltet aber ihre Wirkung, weil sie Vorgaben zum Umgang mit personenbezogenen Daten macht, die Cookies ja übertragen. Konkret geregelt ist das Thema im deutschen Telemediengesetz, das die europäische E-Privacy-Richtlinie nach BGH-Meinung aber fehlerhaft umsetzt. Deshalb spielen Gerichtsurteile aktuell eine wichtige Rolle. Der BGH hatte das Problem dem EuGH vorgelegt, der dann entschied, dass alle Cookies, die für den Betrieb einer Webseite nicht zwingend erforderlich sind, nach EU-Recht einwilligungspflichtig sind (Az. C-673/17).

In näherer Zukunft soll die europäische E-Privacy-Verordnung als Ergänzung zur DS-GVO den Themenkomplex umfassend behandeln. Das Wirrwarr zeigt, wie wichtig anwaltliche Unterstützung ist, um den Text für eine Datenschutzerklärung und den Hinweis auf Cookies richtig zu formulieren sowie die Einwilligung zum Setzen eines Cookie rechtskonform einzuholen.

E-Privacy-Verordnung könnte bald neuen Standard setzen

Schon 2017 präsentierte die EU-Kommission den ersten Entwurf für eine E-Privacy-Verordnung. Sie könnte die DS-GVO zur Regelung des Datenschutzes im Rahmen der elektronischen Kommunikation ergänzen. Noch laufen Verhandlungen zwischen den EU-Institutionen und -Mitgliedsstaaten. Die E-Privacy-Verordnung soll die Verarbeitung elektronischer Kommunikationsdaten von Nutzern und Nutzerinnen in der EU regeln. Wichtig mit Blick auf den künftigen Text für die Datenschutzerklärung und den Hinweis auf Cookies sowie das Einholen der Einwilligung zum Setzen eines Cookie: Es soll eine freie Wahl zur Zulassung nicht erforderlicher Cookies geben. Nicht unzulässig eingeschränkt sei diese laut derzeitigem Entwurf, wenn der Zugang zur Website von der Einwilligung zum Einsatz von Cookies für weitere Zwecke abhängt. Das solle aber nur gelten, wenn man zwischen diesem Angebot und einem gleichwertigen Angebot des gleichen Anbieters wählen kann. Dieses Angebot dürfe nicht die Einwilligung zur Nutzung zusätzlicher Cookies einfordern, könne aber beispielsweise kostenpflichtig sein. Details dazu sollten Unternehmen künftig anwaltlich klären lassen.

Neben DS-GVO bei Hinweis auf Cookie auch Urteile beachten

In den vergangenen Jahren haben vor allem Gerichtsurteile den Umgang mit Cookies näher geregelt. Laut E-Privacy-Richtlinie der EU von 2009 ist der Einsatz von Cookies nur mit ausdrücklicher Einwilligung der Website-Besucher oder -Besucherinnen erlaubt. Erforderlich ist also ein sogenanntes Opt-in, das aktive Auswählen dieser Option. Das deutsche Telemediengesetz hatte diese Vorgabe bei der Umsetzung der Richtlinie in nationales Recht relativiert. Es gestattete das Setzen von Cookies zur Profilbildung, wenn Betroffene nicht widersprechen, also aktiv ein Opt-out wählen. Darauf haben sich viele Website-Betreiber bezogen. Sie informierten im Text ihrer Datenschutzerklärung oder beim Hinweis auf Cookies über die Widerspruchsmöglichkeiten, forderten aber keine aktive Einwilligung zum Setzen von einem Cookie. Dieser Praxis hat der BGH 2020 widersprochen. Nutzerinnen und Nutzer müssten ihre Einwilligung durch bewusstes Ankreuzen der entsprechenden Felder erklären, so der BGH. Andernfalls sei das vorformulierte Einverständnis zum Setzen von Cookies unwirksam.

PRODUKTEMPFEHLUNG VON DATEV
Kommentar Datenschutz-Grundverordnung

Der vorliegende Kommentar zur DS-GVO liefert eine verständliche Kommentierung eines sehr komplexen Verordnungstextes. Er macht praktikable Umsetzungsvorschläge und enthält Argumentationshilfen für rechtliche Auseinandersetzungen.

Print

EuGH: Einwilligung zu Cookies erfordert aktives Anklicken

Mit seinem Urteil folgte der BGH einer Entscheidung des EuGH vom Oktober 2019. Der EuGH bezog sich auf die E-Privacy-Richtlinie, die festlegt, dass technisch nicht notwendige Cookies eine aktive Einwilligung von Seitenbesuchern erfordern. Nach dieser Opt-in-Lösung dürfen Cookies erst dann gespeichert werden, wenn Nutzerinnen oder Nutzer einer Website zuvor aktiv zugestimmt haben. Eine solche datenschutzrechtliche Einwilligung muss ausdrücklich und nicht nur durch schlüssiges Verhalten erfolgen. Das erfordert ein aktives, zielgerichtetes Handeln, beispielsweise den Klick auf einen Button oder das Setzen eines Häkchens in einer Checkbox. Die bloße Möglichkeit eines nachträglichen Opt-out genügt nicht. Außerdem müssen die Betroffenen wissen, in was sie durch ihre Aktion einwilligen. Also sollte nicht nur die Datenschutzerklärung, sondern schon der Text zur Einwilligung die wesentlichen Fakten zum Einsatz der Cookies enthalten. Nur technisch notwendige Cookies erfordern keine Zustimmung. Ihren Einsatz rechtfertigt das Interesse von Website-Betreibern an der Funktionsfähigkeit ihrer Website.

Am 20.05.2021 hat der Bundestag den „Entwurf eines Gesetzes zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien“ (Telekommunikation-Telemedien-Datenschutzgesetz – TTDSG) in der Beschlussempfehlung des Ausschusses für Wirtschaft und Energie mehrheitlich angenommen. Das neue Gesetz soll am 21. Dezember 2021 in Kraft treten. Es enthält auch eine Bestimmung zum Einsatz von Cookies und vergleichbaren Technologien und setzt damit die entsprechende Vorgabe der ePrivacy-Richtlinie ins deutsche Recht um.

Nach Facebook-Urteil besonders auf Social-Plugins achten

Mit der Vorgabe, wie Cookies zuzustimmen ist, sorgte der EuGH zum zweiten Mal binnen kurzer Zeit für Unruhe. Bereits Mitte 2019 hatte er entschieden, für den Einsatz des Facebook-„Like Button“ auf Websites seien die betreibenden Unternehmen verantwortlich. Wer das „Gefällt mir“-Symbol einbinde, hafte für die Einhaltung der datenschutzrechtlichen Vorgaben ebenso wie Facebook. Dazu gehört etwa, Nutzerinnen und Nutzer über die Verarbeitung ihrer Daten zu informieren. Mit diesem Urteil folgte der Europäische Gerichtshof seinem verbraucherfreundlichen Grundsatz, den er 2018 aufgestellt hatte. Damals ging es um die datenschutzrechtliche Verantwortung für eine Facebook-Fanpage. Wer eine Facebook-Fanpage betreibt, sei gemeinsam mit dem sozialen Netzwerk für die Erhebung und Verarbeitung von Besucherdaten verantwortlich. Insofern konnten die weiteren Entscheidungen kaum überraschen. Inzwischen öffnet sich auf fast jeder Internetseite zunächst ein Formular, das um die um die Einwilligung zu Cookies bittet und auf die auf die Datenschutzerklärung verweist. Wer das richtig macht, ist rechtlich aus dem Schneider.

Um das Thema Datenschutz-Grundverordnung geht es auch im folgenden Video.

  • Hat Ihnen der Beitrag gefallen?
  • JaNein
Frank Wiercks

ist Mitglied der Redaktion von TRIALOG, dem Unternehmermagazin für Mittelständler, Selbständige und Freiberufler. Außerdem arbeitet er für verschiedene Wirtschafts- und Managementmagazine. Zuvor war er unter anderem Chefredakteur von handwerk magazin und Markt und Mittelstand.

  • Trialog-Newsletter

    Sie möchten künftig keine wichtigen Tipps für Ihr Unternehmen verpassen?
    Mit dem kostenlosen Newsletter halten wir Sie auf dem Laufenden.

  • Experten-Suche

    Mit dem richtigen Partner die Digitalisierung der unternehmerischen Prozesse angehen! Finden Sie auf DATEV SmartExperts den passenden Experten.

    Ich suche








  • Auf Facebook mitdiskutieren

    Sie möchten das Thema vertiefen?
    Dann werden Sie gerne Fan und beteiligen sich an der Diskussion auf unserer Facebook-Seite

    Jetzt DATEV-Fanpage besuchen

  • DATEV im Web