Datenschutzkonformer Einsatz von Cookie-Consent-Bannern

Der datenschutzkonforme Einsatz von Cookies gehört zu den größeren Herausforderungen des Marketings unter der Datenschutz-Grundverordnung (DSGVO). Wichtig ist vor allem, wie Websitenutzer ihre Zustimmung zur Verarbeitung ihrer personenbezogenen Daten abgeben oder eben auch verweigern können. Am verbreitetsten sind dafür sogenannte Cookie-Consent-Banner. Doch wie müssen diese technisch und juristisch ausgestaltet sein?

Grundlagen: Cookies und personenbezogene Daten

Durch das Setzten von Cookies – kleinen Textinformationen, die auf dem Gerät von Internetnutzern gespeichert werden – werden in der Regel personenbezogene Daten verarbeitet, da der Nutzer bzw. sein Endgerät dadurch individuell zuzuordnen ist. So zum Beispiel beim Tracking, also dem Nachverfolgen des individuellen Verhaltens von Nutzern. Die Individualisierung findet dabei durch die IP-Adresse, den Browserfingerprint oder andere dem Einzelnen zuordenbaren Kriterien statt. Deshalb ist der Anwendungsbereich des Datenschutzrechts eröffnet.

Während das Setzen von technisch notwendigen Cookies auf die Rechtsgrundlage des berechtigten Interesses gem. Art. 6 Abs. 1 lit. f) DSGVO gestützt werden kann, bedarf es vor dem Setzen von technisch nicht-notwendigen Cookies des Einholens einer informierten Einwilligung gem. Art. 6 Abs. 1 lit. a) DSGVO von dem Betroffenen.

Es ist deshalb zwischen folgenden zwei Fällen zu unterscheiden:

1. Fall: Technisch notwendige Cookies, deren Setzten immer auf ein berechtigtes Interesse gestützt werden kann.

In diesen Fällen ist eine dreistufige Prüfung notwendig: Erstens muss ein berechtigtes Interesse vorliegen, zweitens die Datenverarbeitung zur Wahrung dieses Interesses erforderlich sein und drittens durch Abwägung ein Überwiegen des berechtigten Interesses des Verantwortlichen über die Interessen, Grundrechte und Grundfreiheiten der betroffenen Personen festgestellt werden können.

Kriterien sind dabei die generellen Erwägungsgründe der DSGVO: Erwartung des Betroffenen bzw. Transparenz, Verkettung der Daten, beteiligte Akteure, Dauer der Beobachtung, Kategorien betroffener Personen und verarbeiteter Daten sowie der Umfang der Verarbeitung. Pseudonymisierung ist als Grundpflicht zur Sicherung der Verarbeitung kein eigener Abwägungspunkt. Gleichwohl können Schutzmaßnahmen aber die Beeinträchtigung reduzieren und so in die Abwägung mit einfließen.

Grob kann gesagt werden, dass immer dann, wenn die Daten an Dritte weitergegeben werden, die Abwägung zu Lasten des Verantwortlichen ausfallen. Davon sind insbesondere Cookies zu Werbezwecken betroffen. Bei Cookies zur Erhebung von statistischen Daten kommt es auf die Abwägung im Einzelfall an. Dazu, wie diese Abwägung genau vorzunehmen ist, hat die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) eine sehr umfangreiche Orientierungshilfe veröffentlicht (dort S. 14-25).

2. Fall: Technisch nicht notwendige Cookies, deren Setzen nur auf eine Einwilligung gestützt werden kann.

Das kürzlich ergangene Urteil des EuGH untermauert die bisherige Ansicht der deutschen Datenschutzbehörden, welche schon im Vorfeld des EuGH-Urteils für das Nutzertracking eine Einwilligung voraussetzten. Die dahingehende, vielfach kritisierte Auslegung der Exekutive wurde in der Praxis bisher weitestgehend ignoriert. Nunmehr dürfte hinsichtlich der Auslegung allerdings Klarheit herrschen und das Urteil des EuGH für Rechtssicherheit sorgen. Ein Tracking weiter auf das berechtigte Interesse zu stützen, sollte zukünftig unterbleiben, da ein diesbezüglicher Verstoß nun justiziabel ist.

Entsprechendes gilt auch für den Einsatz von Tracking-Pixeln, die darüber hinaus auch viel schwieriger als Cookies festzustellen und zu blockieren sind und deshalb eine höhere Eingriffsintensität besitzen (siehe auch unser Ratgeber zum Thema Facebook Custom Audiences).

Es ergeben sich also für beide Fälle jeweils andere Rechtsfolgen:

  • Bei Cookies, die aufgrund eines berechtigten Interesses gesetzt werden, muss vor dem Datenfluss lediglich informiert werden. Dafür reicht ein einfaches Cookie-Banner aus.
  • Bei Cookies, die nur aufgrund einer Einwilligung gesetzt werden dürfen, muss nicht nur informiert, sondern auch die informierte Einwilligung eingeholt werden. Deswegen ist dann das einfache Cookie-Banner, welches nur informiert, nicht ausreichend. Stattdessen ist der Einsatz eines sogenanntes Cookie-Consent-Banners notwendig.

Einwilligung nur durch eindeutig bestätigende Handlung

Bevor die DSGVO aufgrund ihres Anwendungsvorrangs es verdrängte, stellte das Telemediengesetz (TMG), in welchem die europäische ePrivacy Richtlinie umgesetzt werden sollte, die Anforderungen bezüglich Information und Einwilligung auf (siehe folgender Exkurs).

Immer wieder kommt es zu Unklarheiten aufgrund der verschiedenen Rechtsquellen im Datenschutzrecht. Insbesondere bezüglich Cookies haben hier auch immer wieder Änderungen stattgefunden. Deshalb soll hier für juristisch Interessierte ein kurzer Überblick gegeben werden.

Der momentane Stand Ende 2019, also vor Erscheinen der oben genannten ePrivacy-Verordnung, sieht wie folgt aus: Die europäische ePrivacy-Richtlinie 2002/58/EG, 2009 ergänzt um die Regelungen zu Cookies durch die Richtlinie 2009/136/EG, trifft Mindestvorgaben für den Datenschutz in der elektronischen Kommunikation. Als Richtlinie hat sie, anders als eine Verordnung (wie z.B. die DSGVO oder die für 2020 erwartete ePrivacy-Verordnung), keine unmittelbare Regelungswirkung, sondern muss von den Mitgliedsstaaten der EU erst in Form von nationalem Recht im jeweiligen Land umgesetzt werden.

Die Geltungs- und damit auch Umsetzungspflicht wird durch das Erscheinen der DSGVO nicht berührt. Die Kollisionsregel in Art. 95 DSGVO regelt sogar ausdrücklich, dass soweit dasselbe Ziel verfolgt wird, die DSGVO keine zusätzlichen Pflichten zur Richtlinie auferlegt. Das heißt, nationale Regelungen, die auf der ePrivacy-Richtlinie basieren, werden nicht durch den Anwendungsvorrang der DSGVO verdrängt. Anders verhält es sich mit der alten Datenschutzrichtlinie 95/46/EG. Diese wurde am 25. Mai 2018 mit Anwendbarkeit der DSGVO aufgehoben.

In Deutschland ist jedoch die Umsetzung der ePrivacy-Richtlinie nicht wie vorgeschrieben erfolgt.

Ein formeller Umsetzungsakt der ePrivacy-Richtlinie in der Fassung der Änderung durch die Richtlinie 2009/136/EG ist im 4. Abschnitt des Telemediengesetzes (TMG) nicht erfolgt. Insbesondere fehlt es an einem Umsetzungsakt für Art. 5 Abs. 3 der ePrivacy-Richtlinie im deutschen Recht insgesamt. Es ist auch keine richtlinienkonforme Auslegung möglich (BGH Beschluss vom 5. Oktober 2017, Az.: I ZR 7/16 und der Final Report der EU-Kommission zur Studie über die Umsetzung der ePrivacy-Richtlinie).

Mangels selbstständigem Regelungscharakter der Richtlinie ergibt sich aus der Nichtumsetzung und der nicht möglichen richtlinienkonformen Auslegung von Art. 5 Abs. 3 ePrivacy-Richtlinie, dass sich die bisherige Rechtslage daher aus dem TMG als rein nationale Regelung beziehungsweise als Umsetzung der inzwischen aufgehobenen Datenschutzrichtlinie ergibt. Da die DSGVO als Verordnung unmittelbare Regelungswirkung entfaltet und Anwendungsvorrang vor nationalem Recht hat, sind die Regelungen der DSGVO anzuwenden. Eine Öffnungsklausel in der DSGVO, die die Anwendbarkeit des § 15 TMG rechtfertigen könnte, gibt es nicht. Deshalb gelten allein die Vorschriften der DSGVO. Wo die DSGVO nicht ausdrücklich die Verarbeitung von Daten erlaubt, ist sie verboten.

Sehr umfangreiche Informationen finden Sie hier: https://www.datenschutzkonferenz-online.de/media/oh/20190405_oh_tmg.pdf

Offen gelassen wurde dabei aber, in welcher Art und Weise die Einwilligung einzuholen ist. Entsprechend hat sich die Methode verbreitet, Websitebesucher zu informieren und zu erklären, dass ihre Einwilligung als gegeben betrachtet wird, wenn sie die Website weiterverwenden.

Seit Wirksamkeit der DSGVO sind solche Banner, wie sie noch auf vielen Websites im Einsatz sind, nicht mehr konform.

Es bedarf eines Cookie-Consent-Banners, mittels welchem eine aktive Einwilligung im Sinne von Art. 7 DSGVO eingeholt wird. Darunter zu verstehen ist eine unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder sonstigen eindeutigen bestätigenden Handlung, durch die die betroffene Person ihr Einverständnis zur Datenverarbeitung unmissverständlich erteilt. Weitersurfen auf der Website kann keine solche aktive Einwilligung sein. Ebenso wenig ein bereits vorangekreuztes, abwählbares Kästchen (Opt-out).

In Erwägungsgrund 32 DSGVO hat der Gesetzgeber dies auch ausdrücklich für den fraglichen Fall klargestellt: „Die Einwilligung sollte durch eine eindeutige bestätigende Handlung erfolgen […] Dies könnte etwa durch Anklicken eines Kästchens beim Besuch einer Internetseite […] geschehen“.

Des Weiteren gilt eine Einwilligung nach Erwägungsgrund 43 DSGVO auch dann nicht als freiwillig erteilt, wenn zu verschiedenen Verarbeitungsvorgängen von personenbezogenen Daten nicht gesondert eine Einwilligung erteilt werden kann. Wenn bei Websites durch vorgeschaltete Abfragen eine Einwilligung eingeholt wird, müssen die einzelnen Verarbeitungsvorgänge daher gesondert anwählbar sein (so die DSK). Eine grobe Aufteilung nach Zweck, zum Beispiel in Tracking, Statistik, etc. wird dabei aber genügen. Ansonsten würde bei der Verwendung vieler Cookies eventuell aufgrund der Menge und der oft kryptischen Bezeichnungen die Transparenz leiden.

Eine Einwilligung, die nicht den dargestellten Anforderungen genügt, ist unwirksam und kann nicht als Rechtsgrundlage für die Datenverarbeitung herangezogen werden. Der Rückgriff auf eine andere Backup-Rechtsgrundlage, wie beispielsweise berechtigtes Interesse gem. Art. 6 Abs. 1 lit. f) DSGVO, für nicht notwendige Cookies ist aufgrund des Transparenzgrundsatz aus Art. 5 Abs. 1 lit. a) DSGVO unzulässig.

Praktische Umsetzung der Implementierung von Cookie-Consent-Bannern

Anforderungen an Cookie-Consent-Banner

Aufgrund der oben geschilderten rechtlichen Lage gibt es bei der Implementierung eines Cookie-Consent-Banners zusammengefasst folgende Punkte zu beachten:

  • Es dürfen bis zur Erteilung der Einwilligung keine einwilligungsbedürftigen Cookies gesetzt werden. An diesem Punkt scheitern viele Websites. Ein rechtlich korrekter Text im Banner nützt nichts, wenn die technische Implementation nicht funktioniert.
  • Die Annahme einer automatischen Einwilligung durch Scrollen, Navigation auf der Website oder sonstiges Ignorieren der Einwilligungsaufforderung stellt nie eine rechtskonforme Einwilligung nach DSGVO dar.
  • Die betroffene Person muss vor Abgabe der Einwilligung über ihr Recht auf Widerruf der Einwilligung in Kenntnis gesetzt werden. Der Widerruf muss dabei genauso einfach möglich sein wie die Erteilung der Einwilligung.
  • Die Cookies, für die eine Einwilligung eingeholt wird, müssen alle, wenn nicht schon im Banner, dann in der Datenschutzerklärung oder in einer Cookie-Richtlinie, auf die in dieser verwiesen wird, aufgeführt werden. Über die mittels der Cookies stattfindende Verarbeitung ist zu informieren.
  • Der erforderliche Nachweis der Einwilligungserklärung erfolgt wiederum durch das Setzen eines notwendigen Cookies. Über das Setzen dieses Cookies ist zu informieren.

Inhalte von Cookie-Consent-Bannern

Aus diesen Anforderungen an ein Cookie-Consent-Banner ergibt sich dessen Inhalt. Dieser sollte umfassen:

  • Einen ersten Hinweis auf den Zweck der Cookies, in deren Verwendung eingewilligt werden soll.
  • Ein Hinweis auf das Widerrufsrecht gem. 7 DSGVO
  • Einen Verweis auf die Datenschutzerklärung, in der nähere Informationen Art. 13 DSGVO zu finden sind. Diese muss mit einem Klick erreichbar sein und es dürfen bei ihrem Aufruf noch keine technisch nicht notwendigen Cookies gesetzt werden.
  • Eine Schaltfläche zum Erteilen der Einwilligung
  • Eine Schaltfläche zum Verweigern der Einwilligung

Daraus ergibt sich beispielsweise folgender Formulierungsvorschlag für das Cookie-Consent-Banner:

Diese Website verwendet neben technisch notwendigen Cookies auch solche, deren Zweck die Analyse von Websitezugriffen oder die Personalisierung Ihrer Nutzererfahrung ist. Ihre Einwilligung in die Verwendung können sie jederzeit hier widerrufen. Mehr Informationen zu den im Einzelnen eingesetzten Cookies und ihrem Widerrufsrecht erhalten sie in unserer Datenschutzerklärung.

Achtung: Bitte passen Sie den im ersten Satz genannten Zweck den tatsächlich verwendeten Cookies an. Hier ist der Regelfall abgebildet, der die Verwendung von Cookies für Statistiken und Marketing umfasst.

Der Einwilligungsbutton sollte eine eindeutig erklärende Aussage beinhalten. Zum Beispiel „Ok. Ich bin mit der Verwendung einverstanden“ oder „Alle Cookies zulassen“. Die Verweigerung als Gegenstück könnte zum Beispiel lauten „Ich bin mit der Verwendung nicht einverstanden“ oder „Nur notwendige Cookies zulassen“.

Es besteht auch die Möglichkeit den Besuch der Website überhaupt nicht zuzulassen, wenn die Einwilligung nicht erteilt wird. Es gibt keine Pflicht eine cookiefreie Alternative bereitzustellen, sofern keine Abhängigkeit oder ein Monopol vorliegt (was der Fall wäre, wenn der Besucher keine Wahl hat, sondern die Seite aus irgendwelchen Gründen, wie zum Beispiel Alternativlosigkeit, besuchen muss). In den anderen Fällen könnte der Betroffene nicht frei entscheiden. Eine freiwillige Einwilligung im Sinne der DSGVO läge dann nicht vor.

Wahlmöglichkeit zwischen Cookies oder Bezahlung

Eine zumindest nach den österreichischen und niederländischen Aufsichtsbehörden zulässige Alternative ist die Auswahlmöglichkeit zwischen Einwilligung in die Verarbeitung und dem Erwerb eines kostenpflichtigen Zugangs, bei dem der Nutzer nicht getrackt wird. Ein Beispiel dafür ist die Website der Zeitung Der Standard. Diese verstößt nicht gegen das Kopplungsverbot und betrifft nicht die Freiwilligkeit der Erklärungsabgabe. Neben der kostenpflichtigen Alternative gibt es ja noch die Alternative, das Angebot nicht zu nutzen.

Eine Aussage deutscher Behörden oder Gerichte zu genau dieser Konstellation gibt es noch nicht. Jedoch zu der, was die Interessenslage angeht, ähnlichen Konstellation der Werbefreiheit nur gegen Bezahlung. Das BayLDA sagt in seinem Beratungs-FAQ, „die grundrechtlich geschützte, allgemeine Vertragsfreiheit erlaubt [es] den Vertragsparteien im Rahmen der Gesetze die Vertragsinhalte (Leistung und Gegenleistung) frei festzulegen. Wenn also das Vertragsangebot klar und deutlich dergestalt lautet, dass eine Leistung dann kostenfrei zur Verfügung gestellt wird, wenn der Kunde als seine Vertrags-Gegenleistung (‚Bezahlung‘) Werbung erlaubt, so ist dagegen datenschutzrechtlich nichts einzuwenden.“ Anders wäre dies wieder nur bei einer Monopolstellung oder anderweitigen Abhängigkeit zu beurteilen.

Hinweis zur kommenden ePrivacy Verordnung

Es sei darauf hingewiesen, dass voraussichtlich im Jahr 2020 die europäische ePrivacy-Verordnung anwendbar wird. Es ist zu erwarten, dass das kürzlich ergangene Urteil des EuGH den Regelungsinhalt vorweggenommen hat. Nicht denkbar ist dagegen, dass die Verordnung erneut eine Abkehr dieser Auslegung zulässt.

Fazit: Cookies nur noch mit rechtskonformer Einwilligung

Wir wissen um die Schwierigkeit der Umsetzung. Für viele Unternehmen ist der Einsatz von Cookies wichtiger Bestandteil ihrer Internetpräsenz und das Einhalten der datenschutzrechtlichen Vorgaben kann eine deutliche Beschränkung ihres Geschäftsmodells darstellen. Wettbewerber, die sich nicht an die strengen Vorgaben halten, haben unter Umständen einen Vorteil vor denen, die sich rechtskonform verhalten.

Durch die nun geschaffene Rechtssicherheit durch höchstrichtliche Entscheidung gibt es keinen Spielraum mehr, welche eine Auslegung hinsichtlich der rechtskonformen Nutzung von Cookies zulässt. Abzuwarten bleibt, ob sich alle Anbieter von Online-Angeboten an die rechtlichen Vorgaben halten werden. Erwartbar ist eine Vielzahl in Kürze geführter gerichtlicher Verfahren, die je nach Ausgang eine erhebliche Auswirkung auf die Nutzer von Online-Angeboten sowie Betreiber von Websites haben kann.

Ob dies in letzter Konsequenz zu mehr Datenschutz für den einzelnen Nutzer führt, bleibt abzuwarten. Die unter Umständen eintretende Auswirkung auf die Diensteanbieter jedenfalls bleibt nicht aus. Spannend ist demnach die Frage, ob dies ein Mittel zu mehr Selbstregulierung im Netz ist und ob hiermit auch negative Auswirkungen auf das Online-Angebot insgesamt einhergehen.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Kommentar schreiben

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Netiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen. Informationen zu der Verarbeitung Ihrer personenbezogenen Daten finden Sie in unserer Datenschutzerklärung.