Cookies im Spinnennetz des Rechts – sind die jüngst aufdringlicher gewordenen Cookie Zustimmungsfenster immer nötig?

Stand: 18. August 2020

Die Frage, wie man seine Website rechtssicher gestalten kann, beschäftigt mich seit Jahren immer wieder. Zuletzt hat sich durch die BGH Entscheidung vom 28. Mai 2020 gezeigt, dass ein voreingestelltes Ankreuzkästchen im Cookiebanner keine wirksame Einwilligung im Sinne des DSGVO ist. Das hat meiner Meinung nach zusammen mit der aktuellen EUGH Rechtsprechung dazu geführt, dass in den letzten Monaten verstärkt Cookie Einwilligungsfenster eingesetzt werden, die für den Websitebesucher sperrig sind. Muss das sein? In diesem Artikel soll gezeigt werden, wann man überhaupt eine Einwilligung für Cookies braucht und wie dieses Einwilligungsfenster aussehen sollte. Anders als oftmals behauptet muss nicht jede Website mit EU-Besuchern zwingend ein Cookiebanner haben.

Das Wichtigste in Kürze:

  • Nicht in jedem Fall muss vor dem Setzen des Cookies eine Einwilligung eingeholt werden
  • Es lohnt sich danach zu unterscheiden, was für Cookies gesetzt werden
  • Cookiewalls sind unzulässig – opt-in nötig.
  • Voreingestellte Ankreuzkästchen sind keine DSGVO-konforme Einwilligung.
  • Falls Einwilligung für Cookie nötig ist, darf ohne Einwilligung keinerlei Datenverarbeitung erfolgen.

Als ich mich entschied diese Website aufzubauen, war es mir wichtig dem Besucher keine unnötigen Popups zuzumuten und ihm nicht auszuspionieren. Nachdem die meisten Websites auch für notwendige Cookies eine mitunter „hakelig“ zu bedienende Einwilligung verlangen, wollte ich wissen, ob das sein muss.

Warum gibt es überhaupt diese Cookiebanner bzw. Consent Tools?

Mit Wirksamwerden der Datenschutzgrundverordnung wurde der Datenschutz mit mehr Nachdruck als zuvor durchgesetzt. In Deutschland gab es bereits zuvor eine Vielzahl von Regelungen. Durch die äußerst spürbaren Bußgelder der DSGVO erlangte die Notwendigkeit eines Datenschutzes eine höhere Wichtigkeit auf der Agenda derjenigen, die personenbezogene Daten verarbeiten.

Entwicklung:

Die Notwendigkeit unter Umständen über das Setzen eines Cookies informieren zu müssen, ergibt sich aus § 13 Absatz 1 Satz 2 des Telemediengesetzes . Dort stand ursprünglich, dass ein Opt-out in Verbindung mit Information über dieses Recht ausreicht. Einfache Cookiebanner mit einem anzuklickenden Hinweis reichten aus. Das änderte sich mit der EU-Richtlinie 2009/136/EG (Cookie-Richtlinie): Jetzt ist eigentlich ein Opt-In mit vorheriger umfassender Information statt Opt-Out nötig. Allerdings hat der deutsche Gesetzgeber diese Richtlinie nicht umgesetzt, so dass § 13 Absatz 3 Telemediengesetz nach wie vor nur Opt-out plus Hinweispflicht (alte Rechtslage) ausgeht. Das führte lange Zeit zur Unsicherheit, was denn nun in Deutschland gelte: das Telemediengesetz oder Die EU Cookie-Richtlinie? Die Einführung der DSGVO vergrößerte die Unsicherheit. Diese enthielt keine Regelung, da ursprünglich geplant war zeitnah die e-privacy Verordnung zu erlassen. Diese sollte dann unter anderem auch das Thema Cookies abschließend regeln. Tatsächlich gibt es diese Richtlinie bis heute nicht. Was gilt nun?

Cookie-Einwilligung – wann nötig? Welche Anforderungen?

Mit Urteil vom 01.10.2019 (Az. C-673/17) hat der EUGH Klarheit geschaffen und zwar sowohl bzgl. Einwilligung als auch hinsichtlich der notwendigen Informationen.

  • Vor dem Setzen eines für das Funktionieren der Website nicht erforderlichen Cookies muss zwingend die Einwilligung des Websitebesuchers eingeholt werden. Dies gilt unabhängig davon, ob personenbezogene Daten erfasst werden.
  • Die Einwilligung muss ausdrücklich erklärt werden. Der Hinweis, dass beim weiteren Nutzen der Website vom Einverständnis ausgegangen wird reicht nicht.
  • Ein Cookiebanner, das dem Nutzer nur die Möglichkeit gibt entweder allen Datennutzungen zuzustimmen oder die Website nicht nutzen zu können (=Cookiewall) ist nicht zulässig.
  • Es ist unzulässig, wenn im Cookiebanner das Häkchen für die Einwilligung bereits gesetzt.
  • Der Widerruf der Einwilligung zum Setzen des Cookies muss möglich sein.
  • Die einwilligungsbedürftige Datenverarbeitung darf erst nach Einwilligung erfolgen – nicht vorher!

Hier kommen wir zu der Frage, wann man bei der Website auf Cookiebanner verzichten kann.

Nicht bei allen Cookies ist eine Einwiligung nötig: Es gibt zwei Ausnahmen (Randnummer 10 EUGH Urteil):

  1. „wenn der alleinige Zweck“ des Cookies „die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist“ oder
  2. das Cookie „unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann“

Der Websitebetreiber muss Erlaubnistatbestände prüfen ( Artikel 5 Absatz 2 DSGVO, https://dsgvo-gesetz.de/art-5-dsgvo/ ) und darüber informieren ( Artikel 13 bis 14 DSGVO ).

Auf die Einwilligung kann verzichtet werden bei

  • Session Cookies ( z.B.Log-in, Websiteeinstellungen des Nutzers, Warenkorb)
  • Opt-out Cookies,
  • Flash Cookies des Flash Mediaplayers
  • Cookies von Zahlungsanbietern, sofern diese ausschließlich der Zahlungsabwicklung dienen – ohne weiter Ansalyse des Nutzers. Bitte vorsichtig sein bei AmazonPay und PayPal Oneclick. Hier sollten Sie die Einwilligung einholen.

Eine Einwilligung ist nötig bei

  • Tracking Cookies von Social Plug-Ins (z.B. Facebook Like Button, Twitter, LinkedIn, Instagram, Pinterest, Google+)
  • Third Party Cookies von Werbenetzwerken oder
  • Tracking Pixel für Werbekampagnen
  • Cookie-basierte Tracking- und Analysemaßnahmen
  • Cookies von Kartendiesten (z.B. Google Maps, Openstreetmap)
  • Einbindung von Videos von anderen Seiten wie Youtube oder Vimeo
  • Cookies von Affiliate Services
  • Cookies von Remarketing und Retargeting Diensten
  • Cookies aus Tracking- und Analysetools ( z.B. Google Analytics, mamoto, Hotjar)

Diese Übersicht ist nicht vollständig und ersetzt keine Analyse und (Rechts)beratung. Bitte schauen Sie sich die auf ihrer Website genutzen Technologien genau an und fragen ggf. einen Berater, der sich mit Datenschutz gut auskennt.

Gerade wenn Sie die Website nicht „from the scratch“ selber programmieren, sondern eine Vorlage für die gängigen Content Management Systeme wie WordPress oder Joomla verwenden, sind bereits viele Komponeten (Plugins) enthalten für deren Nutztung Sie eine Einwilligung des Nutzers brauchen und über deren Einsatz Sie informieren müssen. Hierbei ist nicht nur an Cookies zu denken, sondern auch an Google Fonts, Social Plugins, Analysetools etc. Fragen Sie am besten einfach nach, um Ärger mit Abmahnungen oder Datenschützern auszuschließen.

Ihnen hat gefallen, was Sie gelesen haben? Sie sind anderer Meinung oder haben Anmerkungen? Dann nutzen Sie bitte die Kommentarfunktion oder sprechen uns einfach per Twitter, Mail oder Messenger an. Wir freuen uns darauf von Ihnen zu hören!

Ihr Björn Formen

Schreibe einen Kommentar