Webseiten-Tracking mit einem rechtskonformen Cookie-Banner verbessern

Webseiten-Tracking mit einem rechtskonformen Cookie-Banner verbessern

Webseiten sollten sowohl auf User- als auch auf Unternehmensseite den größtmöglichen Nutzen hervorbringen, ohne dabei personenbezogene Daten zu verarbeiten bzw. verarbeiten zu müssen. Meist lässt es sich aber nicht vermeiden und ein Cookie muss gesetzt werden. Das Unternehmen möchte so die eigenen Vorteile am Markt besser platzieren, indem es das Verhalten potentieller Kunden auswertet. Allerdings sind die Anforderungen an das aktive Setzen von Cookies in den letzten Jahren stetig gestiegen. Dieser Blogbeitrag soll Aufschluss darüber geben.

Ein Cookie ist eine kleine Textdatei, die beim Besuch der Webseite lokal auf dem Rechner des Users gespeichert wird. Ein Cookie richtet auf dem jeweiligen Endgerät keinen Schaden an, es enthält keine Viren, Trojaner oder sonstige Schadsoftware. Diese kleine Textdatei kann aufgrund unterschiedlicher Zielabsichten implementiert werden. Demzufolge gibt es verschiedene einzusetzende Cookies. Weitere Informationen zu unterschiedlichen Arten an Cookies sind in unserem Beitrag zu Google Analytics & die aktive Einwilligung nachzulesen.

Beim Setzen von Cookies wird eine gesetzliche Rechtsgrundlage benötigt. Die Rechtsgrundlage muss vor Verarbeitungsbeginn vorgewiesen werden können. Dafür kommt insbesondere die Einwilligung, die Erforderlichkeit für die Erfüllung eines Vertrages bzw. die Vertragsanbahnung sowie das berechtigte Interesse in Betracht.

Mit Hilfe der Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a DSGVO lassen sich alle möglichen Arten an Cookies auf der Webseite setzen, wie beispielsweise Cookies zur seitenübergreifenden Analyse, zum Marketing oder zum Retargeting. Das gängigste Beispiel, für das eine Einwilligung benötigt wird, ist Google Analytics. Am 19. November 2019 gab eine Vielzahl der Aufsichtsbehörden bekannt, dass Google Analytics nur noch mit Einwilligung implementiert werden darf. Dabei ist es auch nicht von Bedeutung, ob personenbezogene Daten verarbeitet werden oder nicht. Nach § 15 Abs. 3 S. 1 TMG wird immer eine Einwilligung benötigt, wenn mit den gesetzten Cookies ein Nutzungsprofil für Werbung oder Marktanalyse erschlossen werden soll.

Die Rechtsgrundlage rund um die Erfüllung eines Vertrages bzw. bei Anbahnung eines Vertrages findet auf Webseiten hauptsächlich bei Online-Shops ihre Anwendung. Für Webseiten, bei denen es rein um die Außendarstellung eines einzelnen Unternehmens, einer Organisation oder eines Vereines geht, wird die Rechtsgrundlage Art. 6 Abs. 1 S. 1 lit. b DSGVO wohl kaum zum Tragen kommen.

Besteht eine Einwilligungspflicht nach § 15 Abs. 3 S. 1 TMG nicht, dann kann der Verantwortliche das Setzen von Cookies auf sein berechtigtes Interesse gem. Art. 6 Abs. 1 S. 1 lit. f DSGVO stützen. Allerdings bedarf es dann einer ausführlichen und dokumentierten Interessensabwägung, warum gerade die Interessen des Webseitenbetreibers höher zu gewichten sind, als die des Users.

Unternehmen werden seit Jahren hohe Pflichten beim Setzen von Cookies auferlegt. Sie möchten sich darüber informieren? Wir stehen gerne beratend zur Seite.

Die rechtskonforme Ausgestaltung des Cookie-Banners

Alle Webseiten, die nicht nur technisch notwendige Cookies setzen, bzw. die, die der Einwilligungspflicht aus § 15 Abs. 3 S. 1 TMG unterliegen, benötigen den sogenannten Cookie-Banner. Im Netz kann man seit geraumer Zeit die unterschiedlichsten Versionen vorfinden. Doch nicht jeder entspricht den gesetzlichen Anforderungen und ist somit wirksam.

Ein Cookie-Banner sollte in der Regel mindestens die nachfolgenden Informationen beinhalten:

  • Zwecke der verwendeteten Cookies, d.h. warum wird der Cookie auf der Webseite gesetzt? (Reichweitenanalyse, Marketing, Retargeting, usw.)
  • Möglichkeit zum Ablehnen vor dem ersten Setzen der Cookies
  • ggf. Nennung, an wen die Daten weitergeleitet werden
  • Klarstellung, dass die Entscheidung des Users auf einer Freiwilligkeit beruht und die Entscheidung im Anschluss widerrufen werden kann
  • Link zu weiteren Informationen über die Verarbeitung personenbezogener Daten (Link zur Datenschutzinformation)

Es ist essentiell, dass in der Datenschutzinformation ausführlichere Informationen, wie beispielsweise über die Speicherdauer der Cookies und ggf. über die Weitergabe von Informationen an Dritte und deren Empfänger, offengelegt werden müssen. Der Cookie-Banner allein reicht nicht aus, um der Informationspflicht nach Artt. 13, 14 DSGVO gerecht werden zu können.

Zudem dürfen Cookies technisch gesehen im Falle einer Einwilligung erst nach der aktiven Zustimmung des Users gesetzt werden. Auf einer Webseite dürfen somit keine Cookies verarbeitet werden, so lange der User sich nicht aktiv dafür entschieden hat. Die Webseite muss auch ohne Interaktion "benutzbar" sein. Darüber hinaus muss dem User dauerhaft die Möglichkeit eingeräumt werden, seine Einwilligung zu widerrufen. Dies lässt sich am besten in der Datenschutzinformation umsetzen. Hier könnte unter dem Informationstext des jeweiligen Tools ein Opt-out stehen.

Wenn es um die Platzierung des Cookie-Banners geht, sollte beachtet werden, dass der Cookie-Banner die aktiven Links zum Impressum oder zur Datenschutzinformation nicht überdecken darf. Das Impressum und die Datenschutzinformation müssen rechtlich gesehen mit höchstens zwei Klicks aufrufbar sein. Dies darf durch den Banner nicht verhindert werden und nicht nur mit Interaktion möglich sein.

Das Aus des unwirksamen Cookie-Banners?!

Cookie-Banner bestimmen unseren Alltag - spätestens dann, wenn man im World Wide Web unterwegs ist. Auf europäischer Ebene gab es immer wieder höchstrichterliche Entscheidungen, die sich mit der Umsetzung der oben beschriebenen Punkte beschäftigt haben. Allerdings beachten derzeit viele Webseitenbetreiber nicht ihre Pflicht, dass die Webseite auch ohne aktive Einwilligung nutzbar sein muss. Und genau hier möchte der Datenschutzaktivist Maximilian Schrems eingreifen und Unternehmen, Organisationen und Vereine über deren fehlerhafte Implementierung aufklären.

Dazu hat die NGO "none of your business" (noyb) um Gründer Maximilan Schrems in einem ersten Lauf 500 Webseiten mit implementiertem Cookie-Banner geprüft. Diejenigen, die nach Ansicht der Organisation einen rechtswidrigen Cookie-Banner implementiert hatten, wurden mit einem Beschwerdeentwurf kontaktiert. Mit diesem Beschwerdeentwurf wurde den jeweiligen Betreibern eine Frist von 30 Tagen eingeräumt, um an der rechtskonformen Implementierung des Cookie-Banners zu arbeiten. Wird der Aufforderung nicht nachgekommen, wird die Beschwerde an die jeweils zuständige Aufsichtsbehörde gesendet.

Nach und nach sollen weitere Webseiten geprüft und entsprechende Webseitenbetreiber kontaktiert werden. Ziel der Aktion sollte sein, rechtswidrige Cookie-Banner aus dem World Wide Web zu entfernen. Wer die oben genannten Punkte vollumfänglich umsetzt, sollte der Überprüfung von der Organisation noyb standhalten.

personenbezogeneDaten Cookie Cookie-Banner Einwilligung Datenschutzinformation

Maren Kübler

Maren Kübler

Datenschutz­beauftragte

veröffentlicht am

30. Juni 2021

Lernen wir uns kennen!

Sie haben Anmerkungen oder Fragen zum Thema? Oder benötigen Sie unsere Expertise? Kontaktieren Sie uns mit Ihrem Anliegen, wir freuen uns auf den gemeinsamen Austausch.

VELIT Consulting GmbH & Co. KG

Weitere Artikel lesen

In unserem Blog behandeln wir topaktuelle Themen rund um den Datenschutz und unsere Arbeit. Bleiben Sie immer informiert.

GAIA-X: Eine europäische Dateninfrastruktur

28. Juli 2021

GAIA-X: Eine europäische Dateninfrastruktur

Herausforderung im Gesundheitswesen: Verarbeitung besonderer Kategorien personenbezogener Daten

28. Mai 2021

Herausforderung im Gesundheitswesen: Verarbeitung besonderer Kategorien personenbezogener Daten

Brexit vollzogen: Das Vereinigte Königreich ist Drittland bei Datenübermittlungen

30. April 2021

Brexit vollzogen: Das Vereinigte Königreich ist Drittland bei Datenübermittlungen