Cookie-Consent-Banner DSGVO- und TTDSG-konform gestalten – Welche häufigen Abmahngründe sollte man vermeiden?Welche rechtlichen Vorgaben gelten nun für das Setzen von Cookies?
Mittlerweile ist das Cookie-Consent Banner auf fast jeder Webseite zu finden. Gleichwohl scheint bei der Umsetzung und Einbindung des Banners noch vieles unklar zu sein und manches falsch zu laufen, so dass Abmahnungen drohen. Worauf ist beim Cookie-Consent Banner zu achten?
Der (Gerichtshof der Europäischen Union, Urteil vom 01.10.2019, Az. C-673/17) und der Bundesgerichtshof (Urteil vom 28. Mai 2020 – I ZR 7/16 – Cookie-Einwilligung II) haben wegweisende Entscheidungen zu diesem Rechtsthema getroffen. Seit diesen Urteilen ist ein Cookie-Consent Banner immer dann erforderlich, wenn die Webseite Cookies verwendet, die nicht technisch notwendig sind. Als technisch notwendige Cookies werden dabei Cookies verstanden, ohne die die Webseite gar nicht betrieben werden kann. Eine Vielzahl von Tools, Plugins und Widgets für Internetseiten verwenden aber Cookies auch für andere Zwecke.
Neues Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) beachten
Zudem wird die Einwilligungspflicht für technisch nicht erforderlichen Cookies seit dem 1. Dezember 2021 durch das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) geregelt. Das TTDSG dient der Umsetzung der EU-Richtlinie über die Verarbeitung von personenbezogenen Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation).
Das TTDSG soll insbesondere die Anpassung der Datenschutzbestimmungen des TKG und des TMG an die DSGVO bezwecken. In welchem Verhältnis das TTDSG zur DSGVO steht, ist derzeit noch nicht abschließend geklärt. Fest steht, dass das TTDSG die Datenschutzvorschriften für Telekommunikations- und Telemediendienste aus der DSGVO ergänzen und detaillieren soll.
Es gilt dennoch folgende Unterschiede zu beachten: Werden bei dem Einsatz von Technologien keine personenbezogenen Daten verarbeitet, sind nur die Vorgaben des TTDSG, nicht aber diejenigen der DSGVO anzuwenden.
Bei der Nutzung von Cookies, bei der das Nutzerverhalten nachverfolgt werden kann, werden regelmäßig personenbezogene Daten verarbeitet, sodass sowohl der Anwendungsbereich des TTDSG als auch der der DSGVO eröffnet ist, ebenso wie die zugrunde liegende Cookie‑Richtlinie. Das wird insbesondere dadurch ersichtlich, dass § 25 Abs. 1 S. 2 TTDSG ausdrücklich Bezug auf die DSGVO nimmt.
Aber welche Cookies sind nun zwingend erforderlich und welche Cookies bedürfen einer Einwilligung nach den vorgenannten Gesetzen?
Technisch notwendige Cookies
Für technisch notwendige Cookies muss keine Einwilligung eingeholt werden. Als technisch notwenige Cookies können angesehen werden:
- Session Cookies: Cookies für Warenkorbinhalte, Cookies für Loginstatus oder Spracheinstellungen
- Opt-Out-Cookies
- reine Zähl-Cookies, die eine Überlastung von Webseiten verhindern
Einwilligungsbedürfte Cookies
Als einwilligungsbedürftige Cookies werden alle Cookies angesehen, die nicht technisch notwendige Cookies sind und ein bestimmtes Nutzungsverhalten der Webseitenbesucher zu Marktforschungs- oder Analysezwecken auswerten sollen. Das sind z.B.:
- Cookies von Analyse- und Trackingdiensten, wie Google Analytics oder Hotjar
- Cookies von Werbe- und Marktingdiensten, wie Google Remarketing oder Bing Ads
- Cookies von Affiliate-Diensten
- Social Media Plugins, wie Facebook, Instagram, Twitter
- Videotool-Anbieter, wie Vimeo Video oder YouTube Video
- Online-Kartendienste, wie Google Maps
- und ähnliche Technologien, wie z.B. Verfahren zur Verfolgung der Webseitenbesucher durch Zählpixel oder Fingerprinting-Methoden, wenn deren Datenverarbeitung nicht aufgrund einer anderen Rechtsgrundlage zulässig sind.
Häufige Fehler bei der Einbindung eines Cookie-Consent-Banners
Auf folgendes sollten Sie bei der Einbindung eines Cookie-Consent Banners achten.
- Informieren Sie den Webseitenbesucher beim Öffnen der Webseite, dass Sie Cookies auf der Webseite nutzen
- Informieren Sie darüber, dass zwischen einwilligungsbedürftigen Cookies und Cookies, die für den Betrieb der Webseite essentiell sind, unterschieden wird
- Die einwilligungsbedürftigen Cookies können unter Nennung der einzelnen Dienste und deren Funktionen oder als gegliederte Kategorien (z.B. „Marketingdienste“ und „Analysedienste“) über ein Auswahlmenü durch den Webseitenbesucher aktiviert werden.
- „Aktivieren“ heißt, dass die Zustimmung zu den einwilligungsbedürftigen Diensten nicht voreingestellt sein darf. Wichtig ist auch, dass die Webseite so eingestellt wird, dass die Dienste, die eine Einwilligung bedürfen erst dann mit der Datenverarbeitung beginnen, wenn der Webseitenbesucher der Datenverarbeitung aktiv zugestimmt hat. Häufiger Fehler ist hier also, dass Cookies bereits beim Aufruf der Webseite vorab gespeichert worden sind.
- Es reicht nicht aus, wenn ein Cookie-Consent-Banner ledig darüber informiert, dass Cookies genutzt werden. Häufig findet man folgenden Hinweis: „Diese Seite benutzt Cookies“. Man kann dann diesen Hinweis mit „Ok“ bestätigen. Bei einem derartigen Banner kann der Besucher nicht freiwillig in einwilligen. Es fehlt somit an der Freiwilligkeit der Einwilligung gemäß Art. 7 DSGVO. Die Einwilligung ist damit unwirksam. Es ist also nicht ausreichend die Webseite einfach zu verlassen, wenn man nicht zustimmen möchte.
- Der Banner enthält zwar die Funktion die Cookies abzulehnen, aber technisch gesehen passiert nichts, wenn man diese Option wählt. Somit kann man nicht wirksam ablehnen.
- Listen Sie auf, welche Cockies gespeichert werden, wie lange und zu welchem Zweck. Sie können die Auflistung entweder direkt im Consent Tool vornehmen oder aber in die Datenschutzerklärung auslagern.
- Damit der Webseitenbesucher sich auch bei der Entscheidung umfassend über die möglichen Datenverarbeitungsvorgänge auf der Webseite informieren kann, muss die Datenschutzerklärung über das Cookiebanner erreichbar sein.
- Erst wenn der Webseitenbesucher durch eine aktive Handlung, also beispielsweise das Setzen eines Häkchens im Cookiebanner, seine Einwilligung gemäß Art. 6 Abs. 1 S. 1 lit. a) in Verbindung mit Art. 7 DSGVO in die Datenverarbeitung durch einwilligungsbedürftige Dienste erteilt hat, dürfen die zugehörigen Cookies tatsächlich Daten erheben.
Sehr häufiger Fehler – Impressum wird überdeckt
Der Zugriff auf die Datenschutzerklärung und das Impressum darf durch das Cookiebanner nicht verhindert, bzw. der Text nicht verdeckt werden.
Ist bei jedem Webseitenbesuch eine erneute Einwilligung erforderlich?
Wenn der Webseitenbesucher einmal dem Cookie-Consent-Banner zugestimmt hat, muss dieses bei zukünftigen Besucher nicht immer neu erscheinen. Das getroffene Ergebnis kann auf dem Endgerät des Webseitennutzers als Cookie gespeichert werden. Um den Nachweispflichten aus Art. 7 Abs. 1 DSGVO nachkommen zu können, ist eine indirekte Identifizierung des Webseitennutzers ausreichend. Es ist gemäß Art. 11 Abs. 1 DSGVO nicht notwendig, den Nutzer direkt identifizieren zu können.
Vorsicht – die Einwilligung muss widerrufbar sein!
Ein Webseitenbesucher muss aber immer die Möglichkeit haben, seine getroffene Einwilligung zu widerrufen. Die Erklärung des Widerrufs muss dabei gemäß Art. 7 Abs. 3 S. 4 DSGVO so einfach möglich sein, wie die Erteilung der Einwilligung selbst. Dies lässt sich durch einen leicht auffindbaren Link zum Aufruf des Cookie-Consent-Banners umsetzen.
Schnellprüfung für Ihr Cookie-Consent-Banner
Diese Punkte können Sie bei ihrem Cookie-Consent-Banner schnell prüfen:
- Wird das Cookie-Consent-Banner eingeblendet sobald sich die Webseite öffnet?
- Können die Cookies auf dem Consent-Banner genau so einfach abgelehnt wie angenommen werden?
- Sind auf dem Cookie-Consent-Banner keine Kästchen vorausgewählt?
- Sind nicht notwendige Cookies vor Zustimmung des Nutzers tatsächlich deaktiviert?
- Informiert das Banner die Webseiten-Besucher ausreichend über die angewandten Analyse-Tools?
- Bleibt das Cookie-Consent-Banner geöffnet beziehungsweise öffnet es sich immer wieder auf jeder Seite neu so lange noch keine Einwilligung/Ablehnung auf dem Banner ausgewählt wurde?
Fazit
Bei der Nutzung von einwilligungsbedürftigen Cookies und dem Einbinden eines Cookie-Consent-Banners lauern viele Fallstricke. Insoweit ist es empfehlenswert sich an Experten für diese Fragen zu wenden, an Datenschutzbeauftragte oder an Rechtsanwälte für Internetrecht oder Rechtsanwälte für Datenschutzrecht.
Siehe zum Thema:
- DSGVO-Schadenersatz bei Datenleck wird einfacher durchsetzbar (Ein Text der Kanzlei Wrase, bei recht-aktuell.de)
Tipp: Bleiben Sie auf dem Laufenden: Abonnieren Sie den kostenlosen recht-aktuell Newsletter mit den neuesten Rechtsfragen von refrago.de und den neuesten Artikeln aus über 30 Rechtsanwaltskanzleien.