Datenschutzkonforme Website – heute: Anforderungen an Cookie-Consent Banner

Der BGH hat geurteilt…

pixabay cookies-1805_640


Zusammenfassung:

Ein einfacher Cookiehinweis ist nicht mehr datenschutzkonform. Lesen Sie in diesem Artikel, was ein moderner Cookiebanner leisten muss, um die komplexen Anforderungen der datenschutzrechtlichen Einwilligung zu erfüllen.

Die Unternehmens-Webseite als Indikator für Compliance

Die Unternehmens Website ist das Schaufenster zur großen, weiten Welt. Kunden, Interessenten und mögliche Job-Kandidaten nutzen Webseiten gern für einen ersten Überblick über angebotene Leistungen. Aber auch Wettbewerber, Abmahnanwälte und Aufsichtsbehörden verschaffen sich mit einem Besuch der Firmenwebseiten einen ersten Eindruck, wie sich ein Unternehmen wettbewerbsrechtlich oder datenschutztechnisch aufstellt. Fallen auf der Website schon auf den ersten Blick bestimmte Punkte auf, impliziert das zumindest, dass es mit der Compliance (=Einhaltung bestehender rechtlicher Vorschriften) im Unternehmen nicht allzu weit her ist.

Als absolutes „Must-Have“ ist die Datenschutzerklärung zu betrachten, die dem Nutzer Informationen darüber gibt, wie personenbezogene Daten generell verarbeitet werden. Diese muss den Anforderungen der DSGVO entsprechen. Eine Checkliste zur Prüfung, ob alle relevanten Inhalte in Ihrer Datenschutzerklärung enthalten sind, finden Sie hier: Checkliste Datenschutzerklärung.

Cookies auf Webseiten

Im Mai diesen Jahres kam es zu einer lange erwarteten Entscheidung des BGH zum Thema Cookies. Cookies sind kleineTextdateien, die beim Websitebesuch gern auf Endgeräten des Nutzers gespeichert werden und in denen Informationen gespeichert werden. Einige Cookies müssen gesetzt werden, damit eine Website überhaupt richtig angezeigt werden kann – das sind dann technisch notwendige Cookies.
Andere Cookies werden verwendet, um dem Websitebenutzer maximalen Service zu bieten. Dabei werden dann z. B. die bevorzugte Spracheinstellung, Geoinformationen, Schriftgrößen u.a. gespeichert.
Manche Cookies speichern das Nutzerverhalten: Was schaut man sich wie lange an, welche Links klickt man an usw. Weitere dienen statistischen Zwecken.

Cookies sind mitunter durchaus sinnvolle Helferlein: In der Regel werden beim erneuten Besuch einer Website die Einstellungen aus der Textdatei eingelesen, was den Ladevorgang beschleunigt. Über Cookies ist eine gewisse „Wiedererkennung“ möglich und sie sorgen u.a. dafür, dass auf kostenlosen Informationswebseiten nur relevante Werbung angezeigt wird.

Erwähnt werden muss auch, dass auch heute noch auf vielen Webseiten lediglich technisch-notwendige Cookies gespeichert werden.

Dennoch ist das Setzen von Cookies grundsätzlich eine Verarbeitung von personenbezogenen Daten und fällt unter das Selbstbestimmungsrecht des Einzelnen. Der BGH hatte zu entscheiden, ob und wie weit Websitebetreiber Cookies nur mit vorheriger Einwilligung setzen dürfen. Im konkreten Fall ging es darum, ob eine vorangekreuzte Checkbox eine Einwilligung zum Setzen eines Cookies ist, oder nicht. Des weiteren war zu prüfen, ob der bloße Hinweis, „Wir setzen Cookies, surfen Sie ruhig weiter…“ ausreicht.

Die bisherige Cookie-Praxis

Wie Sie sich als datenschutz-informierter Nutzer schon denken können, kam das Gericht dann natürlich zu der Überzeugung, dass die bisher geübte Cookie-Praktik nicht unbedingt ausreicht. Bisher galt nämlich, dass das Setzen von technisch notwendigen Cookies ohne Einwilligung möglich war. Die Rechtsgrundlage hierzu war berechtigtes Interesse nach Art. 6 Abs. 1 lit. f). Für andere – nicht-technisch notwendige Cookies benötigte man als Websitebetreiber schon immer eine Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).

Nach dem Urteil ist die Situation für Websitebetreiber nicht wesentlich einfacher geworden. Der BGB bestätigt die bisherige Praxis, allerdings werden die Regeln deutlich verschärft: Eine Einwilligung ist für (fast) alle zu setzenden Cookies und auch für einen Zugriff auf bereits auf dem Gerät des Nutzers abgelegte Cookies einzuholen. Das gilt für Cookies, die zu Werbezwecken eingesetzt werden (sowieso!) aber jetzt auch für Cookies, die nur bestimmte Nutzerpräferenzen (wie z. B. die Sprache oder Geoinformationen) speichern. (Das war bisher anders).

Das Gericht ist der Auffassung, dass der Regelungsumfang über personenbezogene Daten hinaus für alle Cookies gilt. Es geht in erster Linie darum, dass Nutzer die Selbstbestimmung darüber behalten, welche Dateien auf dem eigenen Gerät gespeichert werden und welche nicht.

Cookie ist nicht gleich Cookie

Es ist also immer noch zwischen technisch notwendigen Cookies (Art. 6 Abs. 1 lit. f) und technisch nicht notwendigen Cookies (Art. 6 Abs. 1 lit a) zu unterscheiden. Welche Cookies nun aber technisch notwendig sind und welche von diesem Begriff nicht mehr erfasst werden, sagt das Urteil natürlich nicht. Darum lautet unsere Empfehlung: Gehen Sie eher konservativ an das Thema heran.

Setzt Ihre Website Cookies und handelt es sich dabei um

  • Präferenzcookies,
  • Cookies für Werbeinformation
  • Analyse- und Statistik Cookies

benötigen Sie eine ausdrückliche, informierte, aktive Einwilligungserklärung.

Technisch unabdingbare Cookies dürfen Sie weiterhin setzen – darüber ist lediglich zu informieren. Dafür reicht ein einfacher Cookie Banner aus.

Wie bekommt man die erforderliche Einwilligung?

Bis dato ist es weit verbreitete Praxis, dass Websitebesucher über das Setzen von Cookies informiert werden und dem Nutzer erklärt wird, dass das Weitersurfen als Einwilligung betrachtet wird. Solche Cookie-Banner / Cookie Hinweise sind definitiv nicht mehr konform und der Websitebetreiber setzt sich der Gefahr einer Abmahnung aus bzw. es droht ein Bußgeld.

Erforderlich ist es nun, einen Cookie Banner zu verwenden, der eine aktive Einwilligung im Sinne von Art. 4 Nr. 11 DSGVO holt. Darunter zu verstehen ist „eine unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder sonstigen eindeutigen bestätigenden Handlung, durch die die betroffene Person ihr Einverständnis zur Datenverarbeitung erteilt.“

Klartext: vorangekreuzte Kästchen oder ein einfacher Hinweistext gehen nicht mehr – der Nutzer muss aktiv Ankreuzen, dass er erlaubt, dass Cookies gespeichert werden.

Hinzu kommt, dass an eine Einwilligungserklärung ganz besondere Merkmale erfüllen muss, um juristisch als „freiwillig abgegeben“ anerkannt zu werden. Das Merkmal der Freiwilligkeit ist nicht erfüllt, wenn zu verschiedenen Verarbeitungsvorgängen von personenbezogenen Daten nicht gesondert eine Einwilligung erteilt werden kann. Ein Cookie-Banner, der dem Stand der Technik entspricht, muss also u.a. jeden einzelnen Verarbeitungsvorgang gesondert anwählbar darstellen und kurz erklären, wofür das Cookie ist. Es genügt, die verschiedenen Cookies zu kategorisieren (also z. B. : Werbung, Tracking, Statistik, Präferenzen usw.).

Was muss denn nun ein moderner, DSGVO-konformer Cookie-Banner können?

  • Es dürfen bis zur Erteilung der Einwilligung keine einwilligungsbedürftigen Cookies gesetzt werden. An diesem Punkt scheitern viele Websites. Hat man z. B. ein YouTube-Video eingebunden, darf das Cookie theoretisch nicht vor der Zustimmung des Nutzers gesetzt werden – praktisch wird das Cookie in den meisten Fällen beim Öffnen der Website gesetzt.
  • Weitersurfen des Nutzers, das Anklicken von Links oder scrollen durch die Seite stellt keine Einwilligung dar.
  • Der Nutzer muss vor Abgabe der Einwilligung über ihr Recht auf Widerruf der Einwilligung informiert werden. Der Widerruf muss dabei genauso einfach möglich sein, wie die Erteilung der Einwilligung.
  • Die Cookies, für die eine Einwilligung eingeholt wird, müssen alle! – wenn zwar nicht unbedingt im Banner – dann zu mindestens doch in der Datenschutzerklärung oder in einer Cookie-Richtlinie auf die verwiesen wird, aufgeführt werden. Über die mittels der Cookies stattfindenden Verarbeitung ist zu informieren.
  • Der Nachweis der Einwilligungserklärung erfolgt durch das Setzen eines notwendigen Cookies. Darüber ist der Nutzer zu informieren.

Der Cookie-Banner sollte also nun folgendes enthalten:

  • Eine Auswahlmöglichkeit der Cookies, in die eingewilligt werden, kategorisiert nach ihrem Zweck. Die Checkboxen dürfen auf keinen Fall vorangekreuzt sein!
  • Erklärung über den Zweck des Cookies, der gesetzt werden soll
  • Hinweis auf das Widerrufsrecht nach Art. 7 DSGVO
  • Einen Verweis auf die Datenschutzerklärung, die mit einem Klick erreichbar sein muss. Ruft der Nutzer sie auf, dürfen noch keine nicht-erforderlichen Cookies gesetzt werden!
  • Eine Schaltfläche zum Erteilen der Einwilligung
  • Eine Schaltfläche zum Verweigern der Einwilligung

So könnte ein Hinweistext im Cookiebanner aussehen:

„Diese Webseite verwendet neben technisch notwendigen Cookies auch solche, deren Zweck, die Analyse von Websitezugriffen oder die Personalisierung Ihrer Nutzererfahrung ist. Ihre Einwilligung in die Verwendung können Sie jederzeit hier widerrufen. Mehr Informationen zu den im Einzelnen genutzten Cookies und ihrem Widerrufsrecht erhalten Sie in der Datenschutzerklärung.“

Natürlich müssen Sie noch mal genau schauen, welche Cookies Ihre Website zu welchen Zwecken verwendet und den o. g. Hinweistext dementsprechend anpassen!

Wie bekommen Sie jetzt raus, welche Cookies Ihre Website verwendet?

Die gute Nachricht ist: Die meisten von Ihnen greifen für die Bereitstellung einer Website auf eine spezialisierte Webagentur zurück. Sofern die Dienstleister noch nicht pro-aktiv auf Sie zugekommen sind, um Sie über die geänderte Rechtslage zu informieren und Ihnen eine rechtskonforme Lösung anzubieten, holen Sie den Dienstleister Ihrerseits ins Boot. Von Ihrem Webdienstleister benötigen Sie eine Aufstellung, welche Cookies zu welchem Zweck gesetzt werden (auch allein schon für die entsprechende Verarbeitungstätigkeit). Ihr Dienstleister kennt mit Sicherheit auch Anbieter dsgvo-konformer Cookie-Banner (so z. B. Borblabs Cookie 2.2 für WordPress -Webs oder Cookiebot) und kann einen solchen dann problemlos in Ihre Website implementieren.

Die verwendeten Cookies müssen dann

  1. in der entsprechenden Verarbeitungstätigkeit ergänzt und
  2. in Ihrer Datenschutzerklärung berücksichtigen werden.

Alle, die die ihre Unternehmenswebsite selbst betreuen, müssen wohl oder übel diese Funktionalität selbst einbauen (Recherche: welche Cookies werden zu welchem Zweck gesetzt, Einbindung des neuen Cookie Banners, ggf. weitere Anpassungen).

Zu überlegen wäre generell einmal, ob die Pflege der Website allein schon aus haftungsrechtlichen Gründen nicht doch lieber an einen spezialisierten Dienstleister ausgelagert werden sollte. Denn über einen adäquaten Auftragsverarbeitungsvertrag können Sie den Dienstleister verpflichten, die Website dem jeweiligen Stand der Technik anzupassen 😊.


Brauchen Sie Unterstützung und überlegen Sie einen externen Datenschutzbeauftragten bestellen? Dann nehmen Sie doch einfach Kontakt auf. Datenschutz kann auch Spaß machen!

Ansprechpartner:Datenschutz - Anke Blömer

Anke Blömer

Datenschutzbeauftragter Münsterland

Telefon: 0 25 43 / 9 30 20 29