Besteht für unsere Webseite eine Cookie-Hinweis Pflicht?

Auf sehr vielen Webseiten erscheint beim ersten Besuch ein sogenannter Cookie-Banner. Uns haben im Zuge der DSGVO-Neuerungen sehr viele Anfragen zu dem Thema Cookie-Banner erhalten. Hier klären wir Sie über die Hintergründe auf. 

Müssen wir einen Cookie-Hinweis auf unsere Webseite einbinden?

„Um unsere Webseite optimal zu präsentieren und zu verbessern, verwenden wir Cookies. Durch die weitere Nutzung unserer Webseite stimmen Sie der Verwendung der Cookies zu. Näheres dazu erfahren Sie in unserer Datenschutzerklärung.“

-OK“

So oder so ähnlich werden Besucher zahlreicher Webseiten begrüßt. Ein sogenanntes Pop-Up-Fenster am unteren oder oberen Rand des Bildschirms weist den Besucher darauf hin, dass die besuchte Homepage sog. „Cookies“ verwendet und bittet um eine kurze Bestätigung, dass dies zu Kenntnis genommen wurde.

Von vielen Usern wird der Hinweis als störend empfunden – gerade bei Mobile-Anwendungen, bei denen der Hinweis einen nicht unerheblichen Teil des Displays besetzt. Uns erreichen in den letzten Wochen daher viele Anfragen von Webseitenbetreibern und Internetagenturen. Sie wollen wissen, ob nach der Datenschutzgrundverordnung, welche seit dem 25. Mai 2018 zwingend umzusetzen sind, ein solcher Hinweis Pflicht wird.

Dieser Frage gehen wir nachfolgend auf den Grund.

 

 

Was sind eigentlich Cookies?

Bei Cookies handelt es sich um kleine Textdateien, welche bei einem Besuch einer Webseite vom Webserver auf dem Rechner des Users abgelegt wird. Die Dateien speichern Daten über das Verhalten des Nutzers. Wird die Webseite vom Nutzer noch einmal besucht, wird der Cookie aktiv und sendet die beim ersten Besuch gesammelten Informationen zurück an den Webserver. Damit wird ein schnelleres und vor allem angenehmeres Navigieren auf der Webseite möglich. So erlaubt die Verwendung von Cookies bspw., dass einmal eingegebene Benutzernamen und dazugehörige Passwörter gespeichert werden und nicht bei jedem Besuch erneut eingegeben werden müssen. Webseitenbetreiber können über Cookies aber auch an interessante Informationen über das Nutzerverhalten gelangen. So kann hierüber die Sitzungsdauer ermittelt werden oder passende Werbebanner eingeblendet werden.

Warum sind Cookies datenschutzrechtlich relevant?

Da Cookies zur Wiedererkennung des Nutzers und – je nach konkreter Verwendungsform – auch zur Verknüpfung von Daten dienen, können hierdurch Nutzerprofile erstellt werden. Datenschutzrechtlich relevant wird es dann, wenn in einem Cookie personenbezogene Daten gespeichert werden oder aber die Cookie-ID mit personenbezogenen Daten des Nutzers verknüpft wird. Dies ist beispielsweise der Fall, wenn der Nutzer seinen Anmeldestatus speichert, um nicht bei jedem Besuch der Webseite erneut seine Zugangsdaten eingeben zu müssen. Sofern der Nutzer in die jeweilige Nutzung eingewilligt hat, ist dies kein Problem. Da viele Cookies aber bereits bei dem ersten Besuch der Webseite gespeichert werden, stellt sich die Frage, wann und wie die Einwilligung eingeholt werden muss.

 

Ist der Cookie Hinweis mit Auslaufen der Umsetzungsverpflichtung der DSGVO am 25.05.2018 Pflicht?

Mit der DSGVO wird die Frage nach dem Cookie-Hinweis gar nicht explizit geregelt. Wichtig zu wissen ist aber, dass die alle Webseitenbetreiber, die Cookies nutzen, ihre Datenschutzerklärung anpassen müssen. Nach der DSGVO ist beispielsweise die Rechtsgrundlage für das Verwenden von Cookies zu nennen.

Sofern Sie noch leine aktualisierte Datenschutzerklärung haben: Hier geht es zu unserem Datenschutz Generator, mit dem Sie eine DSGVO-konforme Datenschutzerklärung erstellen können.

 

Wenn nicht aus der DSGVO - woraus ergibt sich dann die Hinweispflicht?

Die Hinweispflicht ergibt sich aus der so genannten „Cookie-Richtlinie“ (EU-Richtlinie 2009/136/EG). Danach ist der Einsatz von Cookies nur dann erlaubt, wenn die Nutzer darin ausdrücklich eingewilligt haben. Wörtlich lautet die Bestimmung:

„Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat (…).“

Allerdings ist die Cookie-Richtlinie vom deutschen Gesetzgeber bisher nicht umgesetzt worden, also nicht in nationales Recht transferiert worden. Anders als EU-Verordnungen gelten EU-Richtlinien nicht unmittelbar, sondern müssen von den EU-Mitgliedsländern als nationale Gesetze umgesetzt werden. Dies ist, was die Cookie-Richtlinie angeht, in Deutschland bisher nicht geschehen.

Dies hat zur Folge, dass nach Ablauf der Umsetzungsfrist das deutsche Recht im Sinne der Richtlinie auszulegen ist, soweit dies im Rahmen des Wortlauts der nationalen Gesetze möglich ist.

Machen Sie Ihren Online-Auftritt DSGVO-konform!

  • In wenigen Minuten erstellt.
  • Von Anwälten entwickelt.
  • Hoher Individualisierungsgrad.

EU-Kommission: Keine Umsetzungsverpflichtung, da deutsche Gesetze ausreichend

Die EU-Kommission hat nach einem Bericht von Telemedicus vom 05.02.2014 erklärt, dass die Cookie Richtlinie in Deutschland in Deutschland ausreichend umgesetzt wurde. Diese Erklärung erfolgt wohl mit Blick auf die Bestimmungen des Telemediengesetzes (TMG). Nach § 15 Abs. 3 TMG ist jedoch gerade keine Einwilligung, also ein Hinweis verbunden mit dem Klick auf „Ja, ich stimme zu“ erforderlich. Vielmehr reicht hiernach der (bequem in der Datenschutzerklärung unterzubringende) Hinweis auf das Widerspruchsrecht aus.

 

Fachanwalt für Urheber- und Medienrecht Carl Christian Müller:

Bisher gibt es keine gerichtliche Entscheidung zu der Frage, ob ein Cookie-Banner verpflichtend ist. Wer auf Nummer sicher gehen will, sollte einen solchen Banner vorhalten.

Warum finden sich dann aber auf deutschen Webseiten vermehrt die Cookie-Hinweise

Weil die Rechtslage unklar ist. Eine – zudem noch nicht mal öffentlich abrufbare – Äußerung der EU-Kommission hat keine Gesetzeskraft.

Nach der Cookie-Richtlinie muss eine Einwilligung vorliegen (Opt-In).

Nach dem deutschen Telemediengesetz reicht ein Hinweis auf das Widerspruchsrecht aus (Opt-Out). Wir haben also zwei gegensätzliche Regelungen und den Grundsatz, dass das nationale Gesetz nach fruchtlosem Ablauf der Umsetzungsverpflichtung im Sinne der Richtlinie auszulegen ist.

Bisher gibt es keine gerichtliche Entscheidung zu der Frage, was denn nun gelten soll. Bis dahin ist aber nicht auszuschließen, dass ein fehlender Hinweis mit Einwilligung als Verstoß gegen geltendes Datenschutzrecht angesehen werden könnte, mit all den Konsequenzen, die hieraus folgen: Abmahnung, Bußgelder.

 

 

 

Machen Sie Ihren Online-Auftritt DSGVO-konform!

  • In wenigen Minuten erstellt.
  • Von Anwälten entwickelt.
  • Hoher Individualisierungsgrad.

Wird das Cookie-Banner mit Inkrafttreten der ePrivacy-Verordnung Pflicht?

Das bleibt abzuwarten.

Die ePrivacy-Verordnung die im Jahr 2019 kommen soll, bedarf keiner Umsetzung ins nationale Recht und entfaltet nach Inkrafttreten und Ablauf der zugebilligten Umsetzungsfrist ähnlich der DSGVO unmittelbar Wirkung.

Die Verordnung sieht im Bereich der Cookies zahlreiche Neuregelungen vor:

Cookie-Tracking

Zukünftig soll auch in Deutschland endgültig die bereits erwähnte „Opt-Out“ Variante abgeschafft werden. Es bedarf also einer vorherigen Einwilligung der Betroffenen, um Cookies einzusetzen.

Cookie-Beschränkung

Cookies sollen nur noch eingesetzt werden dürfen, um den effektiven Seitenbetrieb zu ermöglichen.

Cookie-Verhinderung

In Zugangssoftware wie Browser oder Apps müssen Optionen einprogrammiert werden, die den Ausschluss von Cookies ermöglichen. Eine nachträgliche Zustimmung zur Verwendung muss so dann manuell erteilt werden.

Keine Datenerhebung durch Dritte

Eine derartige Datenerhebung durch Dritte soll nur noch dann möglich sein, wenn der Betroffene ausdrücklich zustimmt.

Die ePrivacy-VO unterscheidet nicht danach, ob mit den Cookies anonyme oder personenbezogene Daten gespeichert werden. Vielmehr zielt sie auf die Geräte der Nutzer ab, die sie als Teil ihrer Privatsphäre schützen will. Daher soll jede, auch anonyme Datenerhebung und Verarbeitung auf den Geräten der Nutzer erlaubnispflichtig sein, es sei denn, die Daten sind für die Nutzung des Onlineangebotes unbedingt notwendig (wie z.B. ein Warenkorb-Cookie in einem Onlineshop). Mit der Verordnung soll daher eine generelle Einwilligungspflicht für Cookies eingeführt werden.

Wie aber diese Einwilligung umgesetzt werden soll, ist bisher nicht klar, denn kurioserweise wird das Gesetz u. a. damit begründet, dass es der Verbreitung der Cookie-Banner entgegentreten will. Vielmehr soll die Einwilligung dann über die Browsereinstellungen erfolgen. Dies wirft aber wiederum Fragen auf: Wenn der Nutzer in der Browsereinstellung die Funktion „Do-Not-Track“ deaktiviert, um in das Setzen von Cookies einzuwilligen, erklärt er sich ausnahmslos mit sämtlichen Tracking einverstanden. Das wiederum widerspräche jedoch den Bestimmungen der DSGVO, nach denen die Einwilligenden konkret und transparent informiert werden müssen, in welche Verarbeitung ihrer Daten sie genau einwilligen – und zwar für die jeweils konkrete Marketingmaßnahme. Eine Generaleinwilligung mit dem Umlegen des Schalters „Do-Not-Track“ würde dem also nicht gerecht. Hier bleibt also abzuwarten, ob und in welcher Form die ePrivacy-Verordnung das Einholen der Einwilligung vorschreiben wird.

 

Machen Sie Ihren Online-Auftritt DSGVO-konform!

  • In wenigen Minuten erstellt.
  • Von Anwälten entwickelt.
  • Hoher Individualisierungsgrad.

Was soll ich jetzt tun?

Zwar ist in der DSGVO nichts zu Cookie-Bannern geregelt. Allerdings handelt es sich bei Cookies um personenbezogene Daten i.S.d Art. 4 Nr. 1 DSGVO. Geht man mit der strengeren Auffassung davon aus, dass § 15 Abs. 3 TMG von den regelungen der DSGVO verdrängt wird, bedeutet dies, dass das Setzen eines Cookies entweder einer Einwilligung des Nutzers bedarf (Art. 6 Abs. 1 lit a DSGVO) oder über einen gesetzlichen Erlaubnistatbestand (Art. 6 Abs. 1 lit b bis f) gedeckt sein muss. 

"Herkömmliche" Cookie Banner sind wirkungslos

Die meisten Cookie Banner, sind jedoch nicht geeignet, um eine wirksame datenschutzrechtliche Einwilligung einzuholen. Eine echte Einwilligung liegt nur bei einem Opt-In vor, welches beim Besucher der Webseite eingeholt wird, bevor die Cookies auf dem von ihm genutzten Endgerät gespeichert werden. Mit den gängigen Bannern wird lediglich darauf hingewiesen, dass die Webseite Cookies verwendet - ein Hinweis auf eine Selbstverständlichkeit. Bei diesen Bannern macht es keinen Unterschied, ob der Nutzer auf „Okay“ klickt oder einfach weitersurft und sich bei jedem Seitenwechsel aufs Neue von dem Hinweis begrüßen lässt. 

Verdecken diese Banner den Link auf das Impressum oder die Datenschutzerklärung, kann hiermit sogar ein Abmahnrisiko verbunden sein, da diese Information nach der Rechtsprechung jederzeit mit nur einem Klick erreichbar sein müssen. 

Nur "echte" Cookie-Banner helfen

Bei "echten" Cookie Bannern erscheint der Einwilligungstext des Cookie-Hinweises ebenfalls beim ersten Aufruf der Seite (Cookie Warnung). Der Unterschied zu den herkömmlichen oder reinen "Hinweis"-Cookie Bannern besteht darin, dass sich das jeweilige Cookie erst dann auf dem Endgerät des Nutzers setzt, wenn der Nutzer den Hinweis mit einem Opt-In bestätigt. Wir nennen diese Cookie Banner "Echte Cookie Banner". Nur hiermit kann eine wirksame datenschutzrechtliche Einwilligung generiert werden. Der Hinweistext sollte mit Blick auf das/die verwendeten Cookie/s dabei so konkret wie möglich ausgestaltet sein: Um welche Daten geht es? Wozu werden diese genutzt? An wen werde diese weitergegeben? 

"Echte" Cookie-Banner differenziert einsetzen

Die informierte Einwilligung des Nutzers ist nicht für jedes Cookie erforderlich. Der Einsatz von Cookies, die technisch für den Betrieb der Webseite erforderlich sind, ist über den gesetzlichen Erlaubnistatbestand des Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an dem ordnungsgemäßen Betrieb der Webseite) gedeckt. 

Auch für Analyse-Tools, CDN-Dienste oder die externe Einbindung von Schriftarten, Bildern oder Videos muss unserer Auffassung nach keine Einwilligung eingeholt werden. Hier reicht es aus, den Nutzer über die Datenschutzerklärung zu informieren und ihm eine Opt-Out-Möglichkeit anzubieten. Es gibt mittlerweile echte Cookie-Banner, die neben einem Opt-In für Marketings-Tools auch eine Opt-Out-Möglichkeit für Analyse-Tools anbieten. Das halten wir aber für überobligatorisch.

Der Einsatz von Marketingtools, die geräteübergreifend Nutzerverhalten tracken erfordert dagegen aus unserer Sicht eine Einwilligung des Betroffen. Welche Marketing-Maßnahmen im Einzelnen einer Einwilligung bedürfen, haben wir in diesem Artikel zusammengefasst.

Achtung: Beim echten Cookie-Bannern Anpassung der Datenschutzerklärung erforderlich

Sofern Sie echte Cookie-Banner einsetzen, muss Ihre Datenschutzerklärung dies für das jeweilige Cookie bzw. für das jeweilige Analyse- oder Marketing-Tool auch ausweisen und die entsprechende Rechtsgrundlage benennen, nämlich Art. 6 Abs. 1 lit. a DSGVO (Einwilligung des Nutzers). Insofern ist jedoch wiederum zu beachten, dass Minderjährige erst ab dem Alter von 16 Jahren eine wirksame Einwilligung abgeben können, Art. 8 Abs. 1 DSGVO. In Österreich ist dies bereits ab 14 Jahren möglich, § 4 Abs. 4 DSG. In der Datenschutzerklärung wird damit eine Ausnahmeklausel für Minderjährige erforderlich.

Individuelle Anpassung Ihrer Datenschutzerklärung mit unserem Datenschutz-Generator 

Unser Datenschutzgenerator sieht eine entsprechende Auswahl bei den entsprechenden Analyse- bzw. Marketing-Tools vor. Wenn Sie einen echten Cookie-Banner einsetzen, haben Sie hier also die Möglichkeit, Ihre Datenschutzerklärung individuell anzupassen. 

 

 

Machen Sie Ihre Onlinepräsenz fir für die DSGVO! So einfach geht's:

1. Übermitteln Sie uns die Adresse Ihrer Internetseite.

2. Einer unserer spezialisierten Rechtsanwälte schaut sich den Online-Auftritt an, prüft die Rechtslage und ruft Sie zurück. Er bespricht mit Ihnen die umzusetzenden Maßnahmen - garantiert kostenfrei.

3. Im Anschluss erhalten Sie eine E-Mail mit allen relevanten Informationen. Sie können dann in Ruhe überlegen, ob Sie ein Webseitenaudit beantragen wollen.

Verwandte Themen

Das könnte Sie auch interessieren

Datenschutzgrundverordnung - Webseitenbetreiber müssen handeln

Die bereits im Mai 2016 in Kraft getretene Datenschutzgrundverordnung (DSGVO) gilt mit dem Stichtag ab dem 25. Mai 2018 in der gesamten EU. Sie betrifft alle Unternehmen, die personenbezogenen Daten von Mitarbeitern oder Kunden verarbeiten. Weil die Änderungen verpflichtend sind, müssen Unternehmer und Webseitenbetreiber umfangreiche Änderungen vornehmen.

Mehr

Google Tools DSGVO-konform einsetzen

Unternehmer, Online-Händler und Webseitenbetreiber müssen mit dem 25.05.2018 bei der der Verwendung von Google-Tools wie Google AdWords oder Google Analytics die Vorgaben der DSGVO umsetzen. Hier gehen wir darauf ein, was es für Webseitenbetreiber und Online-Shops bei der Verwendung der gängigsten Google-Programme in Bezug auf die DSGVO zu beachten gibt.

Mehr

 

Besteht für Webseiten eine Cookie-Hinweis Pflicht?

Eine der häufigst gestellten Fragen in unserer Beratungspraxis: Müssen wir einen Cookie-Hinweis auf unsere Webseite einbinden? Hier finden Sie die Antwort und die Hintergründe zum Cookie-Banner verständlich erklärt. 

Mehr

 

 

 

 

Zeugnis

Dies ist ein Typoblindtext. An ihm kann man sehen, ob alle Buchstaben da sind und wie sie aussehen. Manchmal benutzt man Worte wie Hamburgefonts, Rafgenduks oder Handgloves, um Schriften zu testen. Manchmal Sätze, die alle Buchstaben des Alphabets enthalten - man nennt diese Sätze »Pangrams«.

Mehr