Gute Vorsätze im neuen Jahr: Cookiefasten auf der Webseite!
Nach den vom Schlemmen und gutem Essen geprägten Weihnachtstagen, nimmt sich der Eine oder die Andere im neuen Jahr vor, auf Süßigkeiten und Kekse zu verzichten. Aus Sicht des Datenschutzrechtes drängt sich für das Jahr 2023 ebenfalls eine Fastenkur auf: hinsichtlich der viel eingesetzten Cookies auf Webseiten!
Was ist ein Cookie?
Bei Cookies handelt sich um Textdateien, die vorübergehend im Browser der NutzerInnen deponiert werden und z.T. Informationen über diese erheben. Häufig werden sie eingesetzt, um den NutzerInnen mehr Komfort beim Surfen zu bieten (Warenkorbfunktion, Speicherung der Sprachauswahl). In solch einem Fall spricht man von sogenannten technisch notwendigen Cookies, die eine fehlerfreie Funktion der Webseite gewährleisten.
Problematisch ist jedoch, dass Cookies auch darüber hinaus verwendet werden, um geräteübergreifende Nutzerprofile zu bilden und in der Folge gezielte Werbung auszuspielen. Dabei können die Cookies unterschiedliche Arten von Daten enthalten – neben statistischen auch personenbezogene Nutzerdaten etwa in Form der kompletten IP-Adresse. NutzerInnen bemerken dies beispielsweise in Form von personalisierter Werbung, die sich ihrem Kaufverhalten anpasst. Für ein geräteübergreifendes Nutzerprofil werden daher insbesondere Präferenz-, Statistik- oder Marketing-Cookies eingesetzt. Mittels Nachverfolgung der IP-Adressen und des jeweiligen Nutzerverhaltens, können die Websitebetreiber Querverbindungen für andere (Werbe-)Zwecke herstellen.
Einsatz von Cookies
Am 01.10.2019 beschloss der Europäische Gerichtshof (EuGH), dass jeder Einsatz von Cookies, die nicht für die reine Funktionalität der Webseite benötigt werden, eine ausdrückliche Einwilligung der NutzerInnen benötigen. Die Datenschutzbehörden haben sich mithin auf die Opt-In Lösung geeinigt. Das bedeutet, nur mit ausdrücklicher Zustimmung der NutzerInnen vor dem Setzen der Cookies ist der Einsatz von Cookies zulässig.
Konkretisiert wurde dies durch das In-Kraft-Treten des TTDSG in Umsetzung der seit 6 Jahren noch offenen E-Privacy-Richtlinie. Nun ist endgültig klar: für das Setzen von Cookies ist eine echte und informierte Einwilligung der NutzerInnen vor der Speicherung seiner Daten Pflicht. Vom TTDSG umfasst sind neben Cookies auch andere Tracking-Techniken (z.B.: Zähl-Pixel, Fingerprinting). Eine Einwilligung ist demnach unabhängig davon einzuholen, ob personenbezogene Daten verarbeitet werden, oder nicht. Ziel ist der Schutz der Privatsphäre der NutzerInnen. Werden im Anschluss personenbezogene Daten wie IP-Adresse oder andere Online-Kennungen verarbeitet, ist zusätzlich die Datenschutzgrundverordnung (DSGVO) zu beachten, die ebenfalls eine ausdrückliche Einwilligung verlangt, daneben aber noch berechtigte Interessen als Rechtsgrundlage kennt.
Gemäß DSGVO und TTDSG ist demnach eine Einwilligung für „nicht notwendige“ Cookies und Tracking-Techniken vor der Nutzung klar und eindeutig einzuholen und zu speichern.
Nur für folgende Cookies sind keine separaten Einwilligungen notwendig:
- Warenkorb
- E-Shops
- Login-Status
- Sprachauswahl
- Cookies, die eine Cookie-Einwilligung der NutzerInnen speichern
Pflicht für Webseitenbetreiber
Die gesetzlichen Verpflichtungen erfüllen Webseiten-Betreiber immer dann, wenn Sie für die eingebundenen Cookies und Tracking-Techniken eine echte Einwilligung einholen. Dies erfolgt am besten mittels eines Einwilligungsbanners oder auch Cookie Consent bzw. Consent Management Tools.
Der Einwilligungstext bei einem Cookie-Hinweis sollte beim ersten Aufruf der Webseite eingeblendet werden. Der Text für die Cookie-Nutzung sollte so konkret wie möglich klarstellen, um welche Daten es sich handelt, wozu diese genutzt werden und an wen diese Daten und Informationen gegebenenfalls weitergegeben werden.
Die NutzerInnen müssen detailliert über die Dienste und die Risiken informiert werden, die Cookies setzen und Daten übertragen. Auf Basis dieser Informationen müssen sie ausdrücklich ihre Zustimmung bestätigen. Außerdem müssen NutzerInnen die Möglichkeit haben, eine einmal erteilte Einwilligung auch widerrufen zu können – und müssen diese Chance auch später nutzen können.
Anforderungen an ein Cookie-Banner
- deutliche und verständliche Formulierung
- Zweck der Verarbeitung ist anzugeben
- Opt-In-Funktion muss auch ohne die Einwilligung zur Verfügung gestellt werden
- keine vorherigen (Dritt-)Verbindungen (Datentransfer an Dritte)
- keine unterschwellige Beeinflussung zur Abgabe einer Einwilligung (Nudging)
- Cookie-Widerspruch muss einfach zugänglich sein
- Zugriff auf Impressum und Datenschutzhinweise darf nicht verhindert oder eingeschränkt werden
- Freiwilligkeit der Einwilligung muss deutlich sein
- Hinweis auf Widerrufsmöglichkeit
- Einwilligung in die Nutzung von Cookies muss unmittelbar vor der ersten Nutzung abgefragt werden
- Drittempfänger der Daten sind konkret zu benennen
Nudging & Dark Pattern
„Nudging“ (dt.: „anstupsen“) sind Techniken, die die NutzerInnen zur Abgabe einer Einwilligung bewegen sollen. Beispielsweise sind in Consent-Bannern die „Zustimmen-Funktionen“ häufig auffälliger und ansprechender durch Farbwahl, Schriftart oder sonstige Hervorhebungen gestaltet.
Bei den „Dark Pattern“ (dt. „dunkle Muster“) werden NutzerInnen entgegen Ihrer Interessen zu einer Einwilligung verleitet. Am Beispiel eines Consent-Banners liegt Dark Pattern vor, wenn sich die NutzerInnen im Fenster nicht zurechtfinden und die Option „Ablehnen“ erst durch viele weitere Klicks erreichen.
Grundsätzlich gilt, dass jede Gestaltung eines Cookie-Banners, welche die NutzerInnen hinsichtlich einer bestimmten Handlung beeinflusst, unzulässig ist. Auch die Aufsichtsbehörden legen großen Wert darauf, dass die NutzerInnen eine echte Wahl haben.
In der praktischen Umsetzung heißt das, dass „Zustimmen“ und „Ablehnen“ sich zwar farblich unterscheiden dürfen, jedoch nicht in dem extremen Maße, dass die Einwilligung nicht mehr als „unmissverständlich abgegeben“ gilt (kein Nudging). Im Consent-Banner muss bereits auf der ersten und nicht erst auf zweiter Ebene, sowohl eine Option „Zustimmen“ als auch die Option „Ablehnen“ auswählbar sein (kein Dark Pattern).
Braucht jede Website einen Cookie-Banner?
Nach dem TTDSG ist keine Einwilligung nötig, wenn ausschließlich Informationen auf den Endgeräten der NutzerInnen abgelegt oder von dort ausgelesen werden, die unbedingt erforderlich sind, damit von den Nutzenden ausdrücklich gewünschte Dienste zur Verfügung gestellt werden können.
Werden mittels Ihrer Webseite keine einwilligungsbedürftigen Verarbeitungen vorgenommen werden, ist nach der DSGVO ebenfalls keine Einwilligung nötig.
Cookie Hinweis, Cookie Banner, Datenschutzerklärung: Wo ist da der Unterschied?
Im Internet findet man mit Blick auf einen „Cookie Hinweis“ viele verschiedene Bezeichnungen. Zeit für eine kurze Klarstellung der Rechtslage und Begrifflichkeiten:
Cookie Hinweis:
Alternativ: Cookie Banner, Cookie Warnung, Cookie Pop Up, Cookie Meldung
Damit sind die Einwilligungsbanner gemeint, die dem NutzerInnen beim erstmaligen Aufruf einer Seite angezeigt werden und wenn es richtig gestaltet ist – dem NutzerInnen eine echte Wahl lassen, ob Cookies gesetzt werden dürfen („akzeptieren“) oder eben nicht („ablehnen“).
Datenschutzerklärung (mit Cookie Hinweis):
Alternativ: Cookie Policy, Cookie Datenschutzerklärung, Cookie Hinweistext, Cookie Hinweise für Webseiten
Hier spricht man eigentlich von den Datenschutzhinweisen für den Besuch einer Webseite. Sofern Cookies gesetzt werden, muss jede Datenschutzerklärung auch einen Passus zu Cookies enthalten: Dieser erklärt dann konkret, welche Cookies eingesetzt werden und welche Funktion diese verfolgen.
Unser Tipp: Cookiefasten
Wir empfehlen Ihnen, Ihre Webseite und ein vorhandenes Cookie-Banner anhand der obigen Erläuterungen kritisch zu überprüfen und bestenfalls auf das ein oder andere Cookie zu verzichten. Die Folgekosten der Cookie-Nutzung können nämlich erheblich sein. Fehler bei der Implementierung eines Cookie-Banners entstehen leicht – Ihr Ecovis-Datenschutz-Team unterstützt Sie gern bei der Überprüfung und gibt Hinweise zur Anpassung Ihrer Webseite.
Sprechen Sie uns jederzeit gerne zu diesem Thema an!
Kontakt
ECOVIS Keller Rechtsanwälte PartG mbB
Tel.: +49 381 12 88 49-0
E-Mail: anja.dacunha@ecovis.com