In letzter Zeit erreichen uns vermehrt Anfragen zu dem Thema Cookie-Banner und zur Frage, ob die Verwendung solcher Banner rechtlich notwendig ist.
Leider ist auf diese einfache Frage nur eine komplizierte Antwort möglich. Um es juristisch zu formulieren: es kommt drauf an.
Ob ein Cookie-Banner verwendet werden muss, hängt stark davon ab, welche Cookies auf einer Seite zum Einsatz kommen und wie genau diese verwendet werden.
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit in Baden-Württemberg (nachfolgend: LDI BW) hat erst kürzlich eine eigene Einschätzung und ein FAQ zu dem Thema veröffentlicht. Den Volltext finden Sie hier: https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2019/04/FAQ-zu-Cookies-und-Tracking.pdf.
Er beruft sich in seinen Ausführungen unter anderem auf das 25 Seiten starke Positionspapier der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (kurz: DSK). Den Volltext zu dieser „Orientierungshilfe der Aufsichtsbehörde für Anbieter von Telemedien“ finden Sie hier: https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2019/04/Orientierungshilfe-der-Aufsichtsbeh%C3%B6rden-f%C3%BCr-Anbieter-von-Telemedien.pdf.
Wir haben versucht, die beiden Papiere so kurz wie möglich zusammen zu fassen:
-
Wann brauche ich ein Cookie-Banner?
-
Wann benötige ich eine Einwilligung?
-
Kann ich nicht weiter mit meiner Opt-Out Lösung (Widerspruchslösung) arbeiten?
-
Wie muss die Einwilligung ausgestaltet sein?
1. Inhaltlich
Wichtig bei der Einwilligung im Rahmen der DSGVO ist zum einen, dass der Verarbeitungsvorgang klar und deutlich beschrieben wird. Der einzelne Seitenbesucher muss dabei ohne weiteres verstehen können, worin er gerade einwilligt. Ein bloßer Hinweis darauf, dass die Cookies der „Webanalyse“ dienen, ist nicht ausreichend. Auch muss zwingend ein Hinweis erfolgen, dass die Daten an einen Dritten übertragen werden. Dieser ist namentlich zu benennen. Soweit Dritte die erhaltenen Daten zu eigenen Zwecken verarbeiten (z.B. bei Google Analytics), muss der Seitenbetreiber auch über diese Zwecke aufklären. Klärt der Seitenbetreiber den Nutzer nicht vollständig auf, ist nach Ansicht der DSK die erteilte Einwilligung unwirksam. Die Einwilligung selbst muss freiwillig erfolgen, dem Seitennutzer also eine echte bzw. freie Wahl ermöglicht werden. Der Nutzer muss auch die Möglichkeit haben, die Einwilligung zu verweigern. Eine solche Verweigerung darf jedoch nicht zum Nachteil des Seitenbetreibers gehen. Der Nutzer muss zudem über sein Widerrufsrecht aufgeklärt werden, wobei der Widerruf so einfach sein muss wie die Einwilligungserteilung. (vgl. Art. 7 Abs. 3 S. 4 DSGVO).2. Technisch
Die Einwilligung des Seitenbesuchers muss aktiv und freiwillig erfolgen. Dies bedeutet vor allem, dass die Zustimmung zur Verwendung der Cookies nicht vorausgewählt sein darf. Die DSK sieht das Opt-Out Verfahren nicht mehr als ausreichend an, da in Erwägungsgrund 32 der DSGVO explizit erwähnt wird, dass „bereits angekreuzte Kästchen“ keine Einwilligung darstellen. Sofern verschiedene Kategorien personenbezogener Daten verarbeitet werden sollen oder die erhobenen Daten mehreren Dritten zur Verfügung gestellt werden, muss der Nutzer in jede einzelne Kategorie bzw. jeden einzelnen Empfänger gesondert einwilligen. Vor der Bestätigung der Auswahl durch den Seitenbesucher darf der Seitenbetreiber die entsprechenden Cookies nicht setzen.-
Wie muss ich meinen Cookie-Banner ausgestalten?
-
Gibt es Alternativen, für die ich keine Einwilligung brauche?