Besteht für unsere Webseite eine Cookie-Hinweis Pflicht?

Auf sehr vielen Webseiten erscheint beim ersten Besuch ein sogenannter Cookie-Banner. Uns haben im Zuge der DSGVO-Neuerungen sehr viele Anfragen zu dem Thema Cookie-Banner erhalten. Hier klären wir Sie über die Hintergründe auf. 

Müssen wir einen Cookie-Hinweis auf unsere Webseite einbinden?

„Um unsere Webseite optimal zu präsentieren und zu verbessern, verwenden wir Cookies. Durch die weitere Nutzung unserer Webseite stimmen Sie der Verwendung der Cookies zu. Näheres dazu erfahren Sie in unserer Datenschutzerklärung.“

-OK“

So oder so ähnlich werden Besucher zahlreicher Webseiten begrüßt. Ein sogenanntes Pop-Up-Fenster am unteren oder oberen Rand des Bildschirms weist den Besucher darauf hin, dass die besuchte Homepage sog. „Cookies“ verwendet und bittet um eine kurze Bestätigung, dass dies zu Kenntnis genommen wurde.

Von vielen Usern wird der Hinweis als störend empfunden – gerade bei Mobile-Anwendungen, bei denen der Hinweis einen nicht unerheblichen Teil des Displays besetzt. Uns erreichen in den letzten Wochen daher viele Anfragen von Webseitenbetreibern und Internetagenturen. Sie wollen wissen, ob nach der Datenschutzgrundverordnung, welche seit dem 25. Mai 2018 zwingend umzusetzen sind, ein solcher Hinweis Pflicht wird.

Dieser Frage gehen wir nachfolgend auf den Grund.

 

 

Was sind eigentlich Cookies?

Bei Cookies handelt es sich um kleine Textdateien, welche bei einem Besuch einer Webseite vom Webserver auf dem Rechner des Users abgelegt wird. Die Dateien speichern Daten über das Verhalten des Nutzers. Wird die Webseite vom Nutzer noch einmal besucht, wird der Cookie aktiv und sendet die beim ersten Besuch gesammelten Informationen zurück an den Webserver. Damit wird ein schnelleres und vor allem angenehmeres Navigieren auf der Webseite möglich. So erlaubt die Verwendung von Cookies bspw., dass einmal eingegebene Benutzernamen und dazugehörige Passwörter gespeichert werden und nicht bei jedem Besuch erneut eingegeben werden müssen. Webseitenbetreiber können über Cookies aber auch an interessante Informationen über das Nutzerverhalten gelangen. So kann hierüber die Sitzungsdauer ermittelt werden oder passende Werbebanner eingeblendet werden.

Warum sind Cookies datenschutzrechtlich relevant?

Da Cookies zur Wiedererkennung des Nutzers und – je nach konkreter Verwendungsform – auch zur Verknüpfung von Daten dienen, können hierdurch Nutzerprofile erstellt werden. Datenschutzrechtlich relevant wird es dann, wenn in einem Cookie personenbezogene Daten gespeichert werden oder aber die Cookie-ID mit personenbezogenen Daten des Nutzers verknüpft wird. Dies ist beispielsweise der Fall, wenn der Nutzer seinen Anmeldestatus speichert, um nicht bei jedem Besuch der Webseite erneut seine Zugangsdaten eingeben zu müssen. Sofern der Nutzer in die jeweilige Nutzung eingewilligt hat, ist dies kein Problem. Da viele Cookies aber bereits bei dem ersten Besuch der Webseite gespeichert werden, stellt sich die Frage, wann und wie die Einwilligung eingeholt werden muss.

 

Ist der Cookie Hinweis mit Auslaufen der Umsetzungsverpflichtung der DSGVO am 25.05.2018 Pflicht?

Mit der DSGVO wird die Frage nach dem Cookie-Hinweis gar nicht explizit geregelt. Wichtig zu wissen ist aber, dass die alle Webseitenbetreiber, die Cookies nutzen, ihre Datenschutzerklärung anpassen müssen. Nach der DSGVO ist beispielsweise die Rechtsgrundlage für das Verwenden von Cookies zu nennen.

Sofern Sie noch leine aktualisierte Datenschutzerklärung haben: Hier geht es zu unserem Datenschutz Generator, mit dem Sie eine DSGVO-konforme Datenschutzerklärung erstellen können.

 

Wenn nicht aus der DSGVO - woraus ergibt sich dann die Hinweispflicht?

Die Hinweispflicht ergibt sich aus der so genannten „Cookie-Richtlinie“ (EU-Richtlinie 2009/136/EG). Danach ist der Einsatz von Cookies nur dann erlaubt, wenn die Nutzer darin ausdrücklich eingewilligt haben. Wörtlich lautet die Bestimmung:

„Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat (…).“

Allerdings ist die Cookie-Richtlinie vom deutschen Gesetzgeber bisher nicht umgesetzt worden, also nicht in nationales Recht transferiert worden. Anders als EU-Verordnungen gelten EU-Richtlinien nicht unmittelbar, sondern müssen von den EU-Mitgliedsländern als nationale Gesetze umgesetzt werden. Dies ist, was die Cookie-Richtlinie angeht, in Deutschland bisher nicht geschehen.

Dies hat zur Folge, dass nach Ablauf der Umsetzungsfrist das deutsche Recht im Sinne der Richtlinie auszulegen ist, soweit dies im Rahmen des Wortlauts der nationalen Gesetze möglich ist.

Machen Sie Ihren Online-Auftritt DSGVO-konform!

  • In wenigen Minuten erstellt.
  • Von Anwälten entwickelt.
  • Hoher Individualisierungsgrad.

EU-Kommission: Keine Umsetzungsverpflichtung, da deutsche Gesetze ausreichend

Die EU-Kommission hat nach einem Bericht von Telemedicus vom 05.02.2014 erklärt, dass die Cookie Richtlinie in Deutschland in Deutschland ausreichend umgesetzt wurde. Diese Erklärung erfolgt wohl mit Blick auf die Bestimmungen des Telemediengesetzes (TMG). Nach § 15 Abs. 3 TMG ist jedoch gerade keine Einwilligung, also ein Hinweis verbunden mit dem Klick auf „Ja, ich stimme zu“ erforderlich. Vielmehr reicht hiernach der (bequem in der Datenschutzerklärung unterzubringende) Hinweis auf das Widerspruchsrecht aus.

 

Fachanwalt für Urheber- und Medienrecht Carl Christian Müller:

Bisher gibt es keine gerichtliche Entscheidung zu der Frage, ob ein Cookie-Banner verpflichtend ist. Wer auf Nummer sicher gehen will, sollte einen solchen Banner vorhalten.

Warum finden sich dann aber auf deutschen Webseiten vermehrt die Cookie-Hinweise

Weil die Rechtslage unklar ist. Eine – zudem noch nicht mal öffentlich abrufbare – Äußerung der EU-Kommission hat keine Gesetzeskraft.

Nach der Cookie-Richtlinie muss eine Einwilligung vorliegen (Opt-In).

Nach dem deutschen Telemediengesetz reicht ein Hinweis auf das Widerspruchsrecht aus (Opt-Out). Wir haben also zwei gegensätzliche Regelungen und den Grundsatz, dass das nationale Gesetz nach fruchtlosem Ablauf der Umsetzungsverpflichtung im Sinne der Richtlinie auszulegen ist.

Bisher gibt es keine gerichtliche Entscheidung zu der Frage, was denn nun gelten soll. Bis dahin ist aber nicht auszuschließen, dass ein fehlender Hinweis mit Einwilligung als Verstoß gegen geltendes Datenschutzrecht angesehen werden könnte, mit all den Konsequenzen, die hieraus folgen: Abmahnung, Bußgelder.

 

 

 

Machen Sie Ihren Online-Auftritt DSGVO-konform!

  • In wenigen Minuten erstellt.
  • Von Anwälten entwickelt.
  • Hoher Individualisierungsgrad.

Wird das Cookie-Banner mit Inkrafttreten der ePrivacy-Verordnung Pflicht?

Das bleibt abzuwarten.

Die ePrivacy-Verordnung die im Jahr 2019 kommen soll, bedarf keiner Umsetzung ins nationale Recht und entfaltet nach Inkrafttreten und Ablauf der zugebilligten Umsetzungsfrist ähnlich der DSGVO unmittelbar Wirkung.

Die Verordnung sieht im Bereich der Cookies zahlreiche Neuregelungen vor:

Cookie-Tracking

Zukünftig soll auch in Deutschland endgültig die bereits erwähnte „Opt-Out“ Variante abgeschafft werden. Es bedarf also einer vorherigen Einwilligung der Betroffenen, um Cookies einzusetzen.

Cookie-Beschränkung

Cookies sollen nur noch eingesetzt werden dürfen, um den effektiven Seitenbetrieb zu ermöglichen.

Cookie-Verhinderung

In Zugangssoftware wie Browser oder Apps müssen Optionen einprogrammiert werden, die den Ausschluss von Cookies ermöglichen. Eine nachträgliche Zustimmung zur Verwendung muss so dann manuell erteilt werden.

Keine Datenerhebung durch Dritte

Eine derartige Datenerhebung durch Dritte soll nur noch dann möglich sein, wenn der Betroffene ausdrücklich zustimmt.

Die ePrivacy-VO unterscheidet nicht danach, ob mit den Cookies anonyme oder personenbezogene Daten gespeichert werden. Vielmehr zielt sie auf die Geräte der Nutzer ab, die sie als Teil ihrer Privatsphäre schützen will. Daher soll jede, auch anonyme Datenerhebung und Verarbeitung auf den Geräten der Nutzer erlaubnispflichtig sein, es sei denn, die Daten sind für die Nutzung des Onlineangebotes unbedingt notwendig (wie z.B. ein Warenkorb-Cookie in einem Onlineshop). Mit der Verordnung soll daher eine generelle Einwilligungspflicht für Cookies eingeführt werden.

Wie aber diese Einwilligung umgesetzt werden soll, ist bisher nicht klar, denn kurioserweise wird das Gesetz u. a. damit begründet, dass es der Verbreitung der Cookie-Banner entgegentreten will. Vielmehr soll die Einwilligung dann über die Browsereinstellungen erfolgen. Dies wirft aber wiederum Fragen auf: Wenn der Nutzer in der Browsereinstellung die Funktion „Do-Not-Track“ deaktiviert, um in das Setzen von Cookies einzuwilligen, erklärt er sich ausnahmslos mit sämtlichen Tracking einverstanden. Das wiederum widerspräche jedoch den Bestimmungen der DSGVO, nach denen die Einwilligenden konkret und transparent informiert werden müssen, in welche Verarbeitung ihrer Daten sie genau einwilligen – und zwar für die jeweils konkrete Marketingmaßnahme. Eine Generaleinwilligung mit dem Umlegen des Schalters „Do-Not-Track“ würde dem also nicht gerecht. Hier bleibt also abzuwarten, ob und in welcher Form die ePrivacy-Verordnung das Einholen der Einwilligung vorschreiben wird.

 

Machen Sie Ihren Online-Auftritt DSGVO-konform!

  • In wenigen Minuten erstellt.
  • Von Anwälten entwickelt.
  • Hoher Individualisierungsgrad.

Was soll ich jetzt tun?

Es gibt im Wesentlichen drei Wege, mit denen das Problem umgegangen werden kann.

Auf Nummer sicher gehen: die Einwilligung der Nutzer einholen.

In dieser Variante erscheint der Einwilligungstext des Cookie-Hinweises beim ersten Aufruf der Seite (Cookie Warnung). Der Hinweistext sollte dabei so konkret wie möglich ausgestaltet sein: Um welche Daten geht es? Wozu werden diese genutzt? An wen werde diese weitergegeben? Der Nutzer muss den Hinweis mit einem Klick bestätigen.

Allerdings: Die meisten Cookie Banner, sind nicht geeignet, um eine wirksame datenschutzrechtliche Einwilligung einzuholen. Denn hierzu bräuchte man ein Opt-In, das beim Besucher der Webseite eingeholt wird, bevor die Cookies auf dem von ihm genutzten Endgerät gespeichert werden. Mit den gängigen Bannern wird jedoch lediglich eine Einwilligung für die Nutzung der Cookies beim Weitersurfen eingeholt. 

Vorteil: Sofern echte Opt-In Banner eingesetzt werden kein rechtliches Risiko

Nachteil: Einschränkung im Design der Webseite, Verminderte Usability der Webseite, Nervfaktor hoch

Fast auf Nummer sicher gehen

In dieser Variante wird der Nutzer beim ersten Aufruf der über einen am oberen oder unteren Ende auf das Verwenden von Cookies hingewiesen. Mit dem Text in dem Banner wird der Nutzer darüber belehrt, dass der Webseitenbetreiber davon ausgeht, dass er mit dem Setzen von Cookies einverstanden ist, wenn der Nutzer seinen Besuch fortsetzt. Der Nutzer muss diesen Hinweis nicht mit einem Klick bestätigen.

Vorteil: Rechtliches Risiko: Fast keins

Nachteil: Geringe Einschränkung im Design der Webseite

Alles so lassen wie es ist

Wer sich für diese Variante entscheidet, kann sich darauf berufen, dass es derzeit keine gesetzliche Bestimmung in Deutschland gibt, nach der eine ausdrückliche Einwilligung für die Verwendung von Cookies eingeholt werden muss.

Vorteil: Keine Einschränkung im Design oder der Usability der Webseite, kein

Nachteil: Derzeit geringes rechtliches Risiko, dass es zu einer Abmahnung oder Bußgeld kommt

Risiko: Derzeit eher gering

 

Machen Sie Ihre Onlinepräsenz fir für die DSGVO! So einfach geht's:

1. Übermitteln Sie uns die Adresse Ihrer Internetseite.

2. Einer unserer spezialisierten Rechtsanwälte schaut sich den Online-Auftritt an, prüft die Rechtslage und ruft Sie zurück. Er bespricht mit Ihnen die umzusetzenden Maßnahmen - garantiert kostenfrei.

3. Im Anschluss erhalten Sie eine E-Mail mit allen relevanten Informationen. Sie können dann in Ruhe überlegen, ob Sie ein Webseitenaudit beantragen wollen.

Verwandte Themen

Das könnte Sie auch interessieren

Datenschutzgrundverordnung - Webseitenbetreiber müssen handeln

Die bereits im Mai 2016 in Kraft getretene Datenschutzgrundverordnung (DSGVO) gilt mit dem Stichtag ab dem 25. Mai 2018 in der gesamten EU. Sie betrifft alle Unternehmen, die personenbezogenen Daten von Mitarbeitern oder Kunden verarbeiten. Weil die Änderungen verpflichtend sind, müssen Unternehmer und Webseitenbetreiber umfangreiche Änderungen vornehmen.

Mehr

Google Tools DSGVO-konform einsetzen

Unternehmer, Online-Händler und Webseitenbetreiber müssen mit dem 25.05.2018 bei der der Verwendung von Google-Tools wie Google AdWords oder Google Analytics die Vorgaben der DSGVO umsetzen. Hier gehen wir darauf ein, was es für Webseitenbetreiber und Online-Shops bei der Verwendung der gängigsten Google-Programme in Bezug auf die DSGVO zu beachten gibt.

Mehr

 

Besteht für Webseiten eine Cookie-Hinweis Pflicht?

Eine der häufigst gestellten Fragen in unserer Beratungspraxis: Müssen wir einen Cookie-Hinweis auf unsere Webseite einbinden? Hier finden Sie die Antwort und die Hintergründe zum Cookie-Banner verständlich erklärt. 

Mehr

 

 

 

 

Zeugnis

Dies ist ein Typoblindtext. An ihm kann man sehen, ob alle Buchstaben da sind und wie sie aussehen. Manchmal benutzt man Worte wie Hamburgefonts, Rafgenduks oder Handgloves, um Schriften zu testen. Manchmal Sätze, die alle Buchstaben des Alphabets enthalten - man nennt diese Sätze »Pangrams«.

Mehr