By: Comments off 19. September 2019

Die Cookie-Hinweise sind auf den Webseiten nicht mehr wegzudenken. Eine regelrechte Konfrontation mit den Pop-Up Bannern, die möglichst schnell weggeklickt werden. Kaum eine Seite hat keinen Cookie-Hinweis, aufgrund aktueller Rechtsunsicherheit. Aber brauchen Seitenbetreiber überhaupt einen?

Auch die neue DSGVO legt keine eindeutigen Regeln zu Cookie-Bannern fest.

Um Klarheit zu schaffen, klären wir erstmal, was sind „Cookies“?

Cookies sind kleine Textdateien, die auf dem Endgerät des Seitenbesuchers abgelegt werden. Sie dienen dazu, den Bestellprozess durch Speicherung von Einstellungen zu vereinfachen. Cookies werden auch zu Analysezwecken oder für bedarfsgerechte Werbung verwendet.

Wie unterscheiden sich „Cookies“?

  • Sitzungs-Cookies werden nach dem Ende einer Browser-Sitzung wieder gelöscht
  • persistente Cookies verweilen auf dem Endgerät

Nach den Domains wird unterschieden nach

  • „first-party cookies“ sog. Erstanbieter Cookies, die vom Webserver der besuchten Seite gesetzt werden und dieselbe Domain verwenden.
  • „third-party cookies“ sog. Cookies von Drittanbietern, die von einer anderen Domain als der Domain der besuchten Seite gespeichert werden (z.B. Verweis auf Datei).

Aufgrund der Verwendung von Cookies muss ein Erlaubnistatbestand nach Art. 6 DSGVO vorliegen. Die Seitenbetreiber können entweder die Einwilligung der Besucher einholen oder sich auf die Erfüllung der Rechtsgrundlage des berechtigten Interesses berufen.

Viele Website-Betreiber waren daher im Umsetzungsprozess der DSGVO frohen Mutes und gingen davon aus, dass auch die umstrittenen Marketing-Cookies wie gewohnt und ohne Einwilligung mittels einer Opt-Out-Lösung genutzt werden könnten.

Doch welcher Weg ist nun der Sicherste und datenschutzkonform?

Lösungsvorschläge

Die 1. Möglichkeit ist die Cookie Einwilligung:

  • Einwilligung der Nutzer nach Art. 6 Abs.1 lit. a) DSGVO
  • als Pop-Up eingeblendet
  • Text sollte so konkret wie möglich sagen, um welche Daten es geht, wo diese genutzt werden und an wen diese Daten ggf. weitergegeben werden.

Vor der Zustimmung des Besuchers dürfen noch keine Daten erhoben werden. So ist kein Risiko gegeben.

Die 2. Möglichkeit ist die Info per Cookie Banner:

  • Information an den Nutzer erst beim Seitenaufruf über das Verwenden von Cookies und das Widerspruchsrecht (Cookie Banner)
  • es würde genügen, die Verwendung auf die „berechtigten Interessen“ nach Art. 6 Abs.1 lit. f DSGVO zu stützen

Das birgt jedoch ein hohes Sicherheitsrisiko. Zumal der Benutzer nicht detailliert informiert wird, was mit seinen Daten passiert.

-Tracking-

Ganz besondere Anforderungen hat das Tracking von Nutzern auf Webseiten. Eine Regelung zu Cookies und Tracking sollte bereits in der ePrivacy-VO stehen. Bis diese in Kraft tritt, kann man sich nach den Datenschutzbehörden richten, die ein Positionspapier zu dem speziellen Thema verfasst haben. Hier positioniert sich z.B. die DSK (Positionspapier der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder) eindeutig:

„Es bedarf jedenfalls einer vorherigen Einwilligung beim Einsatz von Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen, und bei der Erstellung von Nutzerprofilen.“

Die Aussagen der DSK sind zwar noch nicht rechtlich bindend, aber geben neue Wege, wie Datenschutzbehörden das Positionspapier auslegen werden. Bei Verstößen drohen auch hier hohe Geldbußen.

Was man sagen kann, es wird noch lange keine Ruhe im Thema Cookie-Hinweise einkehren. Erst mit der kommenden ePrivacy-VO werden Seitenbetreiber sich verstärkt mit dem Thema auseinandersetzen müssen.

Bis dahin gilt:

  • auf Nummer sicher gehen ⇒ binden Sie ein Consent Tool mit Einwilligung auf Ihre Webseite ein
  • weil noch nicht klar ist, bei welchen Cookies genau eine Einwilligungspflicht gilt ⇒ zumindest für Werbe-Cookies sollte eine Einwilligung eingeholt werden
  • Datenschutzerklärung ⇒ DSGVO konformer Passus zu Cookies ist Pflicht
Author: Total Post: 17