Webtracking und Cookie-Banner – Was ist zu beachten ?

In letzter Zeit erreichen uns vermehrt Anfragen zu dem Thema Cookie-Banner und zur Frage, ob die Verwendung solcher Banner rechtlich notwendig ist. Leider ist auf diese einfache Frage nur eine komplizierte Antwort möglich. Um es juristisch zu formulieren: es kommt drauf an. Ob ein Cookie-Banner verwendet werden muss, hängt stark davon ab, welche Cookies auf einer Seite zum Einsatz kommen und wie genau diese verwendet werden. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit in Baden-Württemberg (nachfolgend: LDI BW) hat erst kürzlich eine eigene Einschätzung und ein FAQ zu dem Thema veröffentlicht. Den Volltext finden Sie hier: https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2019/04/FAQ-zu-Cookies-und-Tracking.pdf. Er beruft sich in seinen Ausführungen unter anderem auf das 25 Seiten starke Positionspapier der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (kurz: DSK). Den Volltext zu dieser „Orientierungshilfe der Aufsichtsbehörde für Anbieter von Telemedien“ finden Sie hier: https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2019/04/Orientierungshilfe-der-Aufsichtsbeh%C3%B6rden-f%C3%BCr-Anbieter-von-Telemedien.pdf. Wir haben versucht, die beiden Papiere so kurz wie möglich zusammen zu fassen:
  • Wann brauche ich ein Cookie-Banner?

Ein Cookie-Banner ist nach Ansicht des LDI BW nur dann notwendig, wenn durch die Internetseite Cookies gesetzt werden, die eine datenschutzrechtliche Einwilligung benötigen. Sofern eine Internetseite also nur Cookies setzt, für die der Seitenbetreiber keine Einwilligung benötigt, hält der LDI BW Cookie-Banner für falsch.
  • Wann benötige ich eine Einwilligung?

Nach Ansicht des LDI BW benötige ich eine ausdrückliche Einwilligung dann, wenn ich auf meiner Internetseite Webdienste nutze, die den Nutzer z.B. über mehrere Domains hinweg analysieren. Von dieser Definition sind insbesondere Social-Media Plugins, Werbenetzwerke oder auch Analysetools wie Google Analytics umfasst. Der LDI BW geht in seinen FAQ sogar so weit, dass er bei jeder Datenübertragung an einen Dritten, der die Daten selbst nutzt oder weiterverarbeitet, eine ausdrückliche Einwilligung durch den Nutzer fordert. Als Webseitenbetreiber sollte man daher jedes verwendete Webtool dahingehend untersuchen, ob es Daten an Dritte übersendet, die bei diesem zu einem eigenen Zweck verarbeitet werden.
  • Kann ich nicht weiter mit meiner Opt-Out Lösung (Widerspruchslösung) arbeiten?

Nach Inkrafttreten der DSGVO war lange Zeit umstritten, ob das Telemediendienstgesetz (TMG) und die in ihm beinhaltete Widerspruchslösung (Opt-Out) als (inoffizielle) Ausprägung der Datenschutzrichtlinie (DSRL) weiterhin bestehen bleiben oder durch die Datenschutzgrundverordnung (DSGVO) als lex specialis -also spezielleres und somit vorrangiges Gesetz- verdrängt werden. Die für Webtracker und Cookies einschlägige E-Privacy Richtlinie (noch in Kraft bis zur E-Privacy-Verordnung) wurde durch Deutschland nie in nationales Recht umgesetzt. Die DSK hat in ihrer oben genannten Orientierungshilfe zur Fortgeltung des TMG im Hinblick auf datenschutzrechtliche Fragen eine eindeutige Stellung bezogen. Im Ergebnis ist das TMG nicht mehr anzuwenden. Im Hinblick auf die Verwendung von Cookies und Webanalysetools bedeutet dies, dass die im Rahmen des TMG entwickelte Widerspruchslösung (Opt-Out) nicht mehr anzuwenden ist. Der Unterschied zu einer Einwilligung (Opt-In) läge darin, dass bei der Widerspruchslösung die Daten so lange verarbeitet werden dürfen, bis der betroffene Nutzer dieser Verarbeitung widerspricht, wobei der Widerspruch nur für die Zukunft Wirkung entfaltet.
  • Wie muss die Einwilligung ausgestaltet sein?

1. Inhaltlich

Wichtig bei der Einwilligung im Rahmen der DSGVO ist zum einen, dass der Verarbeitungsvorgang klar und deutlich beschrieben wird. Der einzelne Seitenbesucher muss dabei ohne weiteres verstehen können, worin er gerade einwilligt. Ein bloßer Hinweis darauf, dass die Cookies der „Webanalyse“ dienen, ist nicht ausreichend. Auch muss zwingend ein Hinweis erfolgen, dass die Daten an einen Dritten übertragen werden. Dieser ist namentlich zu benennen. Soweit Dritte die erhaltenen Daten zu eigenen Zwecken verarbeiten (z.B. bei Google Analytics), muss der Seitenbetreiber auch über diese Zwecke aufklären. Klärt der Seitenbetreiber den Nutzer nicht vollständig auf, ist nach Ansicht der DSK die erteilte Einwilligung unwirksam. Die Einwilligung selbst muss freiwillig erfolgen, dem Seitennutzer also eine echte bzw. freie Wahl ermöglicht werden. Der Nutzer muss auch die Möglichkeit haben, die Einwilligung zu verweigern. Eine solche Verweigerung darf jedoch nicht zum Nachteil des Seitenbetreibers gehen. Der Nutzer muss zudem über sein Widerrufsrecht aufgeklärt werden, wobei der Widerruf so einfach sein muss wie die Einwilligungserteilung. (vgl. Art. 7 Abs. 3 S. 4 DSGVO).

2. Technisch

Die Einwilligung des Seitenbesuchers muss aktiv und freiwillig erfolgen. Dies bedeutet vor allem, dass die Zustimmung zur Verwendung der Cookies nicht vorausgewählt sein darf. Die DSK sieht das Opt-Out Verfahren nicht mehr als ausreichend an, da in Erwägungsgrund 32 der DSGVO explizit erwähnt wird, dass „bereits angekreuzte Kästchen“ keine Einwilligung darstellen. Sofern verschiedene Kategorien personenbezogener Daten verarbeitet werden sollen oder die erhobenen Daten mehreren Dritten zur Verfügung gestellt werden, muss der Nutzer in jede einzelne Kategorie bzw. jeden einzelnen Empfänger gesondert einwilligen. Vor der Bestätigung der Auswahl durch den Seitenbesucher darf der Seitenbetreiber die entsprechenden Cookies nicht setzen.
  • Wie muss ich meinen Cookie-Banner ausgestalten?

Sofern Webdienste verwendet werden, für die eine ausdrückliche Einwilligung rechtlich notwendig ist, muss dieser zum einen in der Datenschutzerklärung erwähnt werden, zum anderen muss über ein Cookie-Banner die Einwilligung des Nutzers eingeholt werden. Hierbei ist wichtig, dass die oben genannten technischen Voraussetzungen erfüllt werden. Zudem darf das Cookie-Banner nicht die bereits vorhandenen Links zum Impressum und zum Datenschutz überlappen. Diese Links müssen auch weiterhin frei abrufbar sein.
  • Gibt es Alternativen, für die ich keine Einwilligung brauche?

Einige Analysetools lassen sich durch den Seitenbetreiber auf einem eigenen Server installieren. Sofern selbst gehostete Analysetools verwendet werden, die keine Daten an Dritte übertragen und ansonsten datenschutzrechtskonform konfiguriert sind (Anonymisierung etc.), ist kein Cookie-Banner erforderlich. Der LDI BW sieht -bei datenschutzfreundlicher Einstellung- das Tracking Tool Matomo (https://matomo.org/) -vielen noch als Piwik bekannt- als eine datenschutzkonforme Lösung an. Auch andere Analysetools sind denkbar.

Fazit:

Sofern man im Bereich der „Reichweitenanalyse“ und der Online-Werbung Daten an Dritte übermittelt, benötigt man nach Ansicht des LDI BW einen rechtskonformen Cookie-Banner, der dazu führt, dass der Nutzer erst nach aktiver Auswahl der für ihn relevanten Cookies durch den Seitenbetreiber getrackt wird. Bei der textlichen Ausgestaltung der Einwilligung raten wir dringend dazu, sich an die Vorgaben des LDI BW bzw. der DSK zu halten bzw. sich rechtlich beraten zu lassen, da zu erwarten ist, dass ein Gericht später den vertretenen Auffassungen folgen wird. Insbesondere bei der Verwendung des bekannten und beliebten Trackingtools Google Analytics ist nach Ansicht des LDI BW eine ausdrückliche Einwilligung rechtlich notwendig. Auch Google selbst sieht die Notwendigkeit einer Einwilligung, da es in den AGB zu Google Analytics fordert, dass der Seitenbetreiber selbst „dazu verpflichtet ist […]sicherzustellen, dass ein Besucher transparente, umfassende Informationen über das Speichern von und das Zugreifen auf Cookies […]“ (Datenschutzerklärung) zu geben, und „dass sich der Besucher damit einverstanden erklärt […] und das Einholen eines solchen Einverständnisses“ sicherzustellen. Ein Webtracking durch Google Analytics ohne ausdrückliche Einwilligung in Form eines rechtskonformen Cookie-Banners bietet daher das Risiko potentieller Abmahnungen durch die Landesbeauftragten für den Datenschutz. Falls sie eine Webseite betreiben und diese nachhaltig, effektiv gegen teure Abmahnungen und Bußgeldern absichern möchten, melden sie sich gerne bei uns. Wir erstellen ihnen die auf ihren Internetauftritt angepassten Rechtstexte (Impressum, DSGVO-konforme Datenschutzerklärung). Anschließend erfolgt eine anwaltliche Prüfung ihrer Webseite inklusive Haftungsübernahme.
Tags :
Datenschutz, In eigener Sache, Technikecke

Autor:

Teilen

Website-Check Newsletter abonnieren

Webauftritt mit automatisierten Rechtstexten schützen!

Fehler in der Datenschutzerklärung, im Impressum oder anderen rechtlichen Texten können teure Abmahnungen nach sich ziehen. Besonders riskant ist es, wenn gesetzliche Änderungen übersehen werden und Ihre Rechtstexte veraltet sind.

  • Individuelle und abmahnsichere Rechtstexte
  • Kostenloser Update-Service
  • Selbstverständlich inkl. Haftungsübernahme
  • Riesige anwaltlich geführte Webdienste & Cookiedatenbank
  • und vieles mehr