Cookie Hinweis prüfen - Rechtmäßige Anwendung der DSGVO und Richtlinien
Ratgeber: Cookie Hinweis prüfen - Rechtmäßige Anwendung der DSGVO und Richtlinien
(Lesezeit: ca. 9 Minuten)
Vor dem Hintergrund, dass Datenschutz von wachsender Bedeutung ist, sollte sich jeder Webseiten-Betreiber eingehend mit der gesetzeskonformen Anwendung der Cookie-Regelungen auseinandersetzen. Zusätzliche Relevanz hat das Thema aufgrund eines aktuellen Urteils des Europäischen Gerichtshofs gewonnen, nach welchem die Anforderungen an eine ordnungsgemäße Aufklärung über die Verwendung von Cookies verschärft wurden. Die Regelungen rund um Cookies - so wie das Datenschutzrecht insgesamt - stoßen auf viel Unverständnis und Widerwillen. Häufig werden Hinweistexte blind kopiert, weshalb ein großer Anteil der Hinweise und Banner nicht rechtskonform sind. Dieser Ratgeber erklärt Ihnen, was Sie als Webseiten-Betreiber wissen müssen und wie Sie rechtskonform und abmahnsicher auf Cookies hinweisen.
Das Wichtigste in Kürze
-
Cookies sind Datenpakete, die beim Besuch einer Website durch den Browser auf dem Nutzercomputer gespeichert werden.
-
Datenrechtlich bedenklich wird die Verfolgung des Surfverhaltens, wenn die auf den Datensammlungen beruhenden Nutzerprofile für personalisierte Werbung genutzt werden.
-
Webbetreiber müssen ihre Nutzer*innen über die Verwendung der Cookies umfassend aufklären und eine aktive Einwilligung verlangen, damit die Cookie-Nutzung rechtmäßig erfolgt.
-
Wichtig ist, dass Nutzer*innen tatsächlich eine Wahl gegeben werden muss und sie nicht zu einem Akzeptieren durch übergroße Banner oder vorausgewählte Häkchen gedrängt werden. Ebenso unzulässig ist es, den Zugang zu der Internetseite an eine Einwilligung zu knüpfen.
Inhaltsverzeichnis
- Was sind Cookies?
- Rechtliche Grundlagen
- Die EU Cookie-Richtlinie
- Die DSGVO
- Die kommende ePrivacy-Verordnung
- Bisherige Rechtslage: Cookie Hinweis Pflicht
- Neue Rechtsprechung: Aktive Einwilligung erforderlich
- Urteil des EuGH vom 1.10.2019
- Folgen des Urteils für die Praxis
- Cookie Einwilligung
- Wie hole ich eine Einwilligung ein?
- Wann muss keine Einwilligung eingeholt werden?
- Anpassung der Datenschutzerklärung
- Konsequenzen eines Verstoßes
- Fazit: Kostenlose anwaltliche Ersteinschätzung
Was sind Cookies?
Cookies sind Daten und Datenpakete, die von Internetseiten und Webbetreibern erzeugt werden. Nach dem ersten Besuch einer Website werden diese Textdaten gespeichert, indem im Browser der Cookie angelegt wird. Besucht der*die Nutzer*in die Seite zum zweiten Mal, wird dieser durch eine zufällig erkannte Nummer wieder erkannt. Grundsätzlich dienen sie grundlegenden Funktionen und erleichtern das Surfen im Internet, da Informationen zur Anpassung einer Internetseite an den Besucher (Sprache, Seiteneinstellungen, typisches Klickverhalten, Login, E-Mail-Adressen etc.) genutzt werden und teilweise auch zur Ausführung spezifischer Funktionen technisch notwendig sind.
Allerdings dienen Cookies auch der Sammlung von Daten. Sogenannte Tracking-Cookies verfolgen das Surfverhalten der Nutzer*innen und erlauben somit eine Form von Überwachung. Durch die Zusammenstellung zahlreicher persönlicher Informationen über den Besuch einer Seite - etwa die Zeit, die auf einer Seite verbracht wird, was gesucht wird oder was dem "Einkaufswagen" hinzugefügt wurde - kann so regelrecht ein Nutzerprofil erstellt werden.
Diese Informationen werden vor allem für Werbezwecke verwendet, da sie speziell auf potenzielle Interessenten zugeschnittene Angebote ermöglichen. Auf dem digitalen Markt sind solche Nutzerprofile und Daten ein wertvolles Gut. In dem Zusammenhang sind insbesondere Targeting-Cookies zu nennen, welche dem Surfverhalten entsprechende Werbung einblenden.
Rechts-Tipp:
Viele Webseiten nutzen die Werbe- und Analyse-Tools "Google Ads" und "Google Analytics". Hier gilt besondere Vorsicht. In dem Zusammenhang hat Google für die Nutzung von "Google Ads" eine "Richtlinie zur Einwilligung der Nutzer in der EU" online gestellt, die Webseitenbetreiber befolgen müssen. Hinsichtlich des Tracking-Tools "Google Analytics" herrscht nicht Klarheit. Jedoch geht die Tendenz dahin, dass auch hierfür eine Einwilligung nötig ist.
Es lassen sich demnach verschiedene "Cookie-Arten" zusammen fassen:
- Session Cookies: Sie werden nur für die Dauer einer Besuchersitzung zwischengespeichert. Dadurch muss man sich etwa nicht ständig neu einloggen, da das Passwort für diesen Zeitraum automatisch erneuert wird. Diese machen den Internetbesuch komfortabler (technisch notwendig).
- Tracking Cookies: Diese Cookies ermöglichen es, das Surfverhalten des*der Nutzer*in sitzungsübergreifend dauerhaft zu verfolgen und die Daten zu sammeln (technisch nicht notwendig)
Rechtliche Grundlagen
Die EU Cookie-Richtlinie
Grundlage für die Regelungen zu den Cookies ist die sogenannte Cookie-Richtlinie (Richtlinie 2009/136/EG). Diese musste von den Mitgliedstaaten bis 2011 vollständig umgesetzt werden. Dem kam jedoch Deutschland nicht vollständig nach. Die Cookie-Richtlinie verlangt - einfach formuliert - eine verständliche Informierung des*der Nutzer*in und das Verlangen einer Zustimmung zur Speicherung der Daten. Eine ungefragte Verwendung ist nur möglich, wenn die Nutzung der Cookies technisch unbedingt notwendig und unverzichtbar ist. Dia nationale Umsetzung der Cookie-Richtlinie (Art und Weise, Inhalt und Zeitpunkt der Einwilligung) wurde den EU-Staaten überlassen.
Die DSGVO
Die Datenschutz-Grundverordnung (DSGVO), welche die personenbezogene Datenverarbeitung durch Unternehmen und öffentlichen Stellen regelt, sagt leider nicht viel über Cookies aus. Gem. Art. 4 DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine direkt oder indirekt mittels Zuordnung zu einer Online-Kennung identifizierbare natürliche Person beziehen. Da Cookies die Identifizierung spezieller Nutzer*innen möglich machen, sind auch Cookies von dem Anwendungsbereich der DSGVO umfasst. Art. 6 DSGVO definiert die rechtmäßige Verarbeitung dieser Daten. Jedoch ist eben nicht viel mehr zu Cookies zu finden.
Die kommende ePrivacy-Verordnung
Am 10. Januar 2017 wurde erstmals die ePrivacy-Verordnung vorgestellt, welche die genaue Anwendung von Cookies und das Tracking regeln soll. In dem Entwurf sind strengere Regeln zur Verwendung der Cookies vorgesehen. Sie wird allerdings voraussichtlich nicht vor 2020 in Kraft treten, wird jedoch aufgrund der Unsicherheiten bezüglich der jetzigen Regelungen.
Bisherige Rechtslage: Cookie Hinweis Pflicht und Einwilligung
Laut der DSGVO müssen Webseiten-Betreiber ihre Nutzer darüber informieren, dass Cookies auf der Seite genutzt werden, welche Daten genau gespeichert werden und dass diese eventuell an Dritte weitergeleitet werden (etwa zu Werbezwecken). Zudem muss in diese Verwendung eingewilligt werden. Diese Pflicht trifft die Betreiber*innen grundsätzlich nur, wenn Tracking-Cookies verwendet werden, da in dem Fall nutzerrelevante Daten gesammelt werden. Vor der ausdrücklichen Bestätigung dürfen noch keine Daten übertragen werden.
Rechts-Tipp:
Webseitenbetreiber sollten dringend ihre Cookie-Einstellungen überprüfen und ihre Datenschutzerklärungen anpassen. Man ist auf der sicheren Seite, wenn bei jeder Nutzung von Cookies eine Einwilligung gefordert wird.
Neue Rechtsprechung: Aktive Einwilligung erforderlich
Häufig wird mit Hilfe eines eingeblendeten "Cookie-Banners" beim ersten Besuch auf die Verwendung von Cookies hingewiesen. Dieser Banner verdeckt in der Regel die Inhalte der kompletten Webpage. Der Wert dieser Hinweis-Boxen wurde insbesondere in dem aktuellen Urteil hinterfragt.
Urteil des EuGH vom 1.10.2019
Am 1.10.2019 hat der Europäische Gerichtshof entschieden, dass zur Setzung von Cookies auf einer Website die aktive Einwilligung des Internetnutzers erforderlich ist (AZ C-673/17). Ein voreingestelltes Ankreuzkästchen reicht nicht mehr.
Dem Europäischen Gerichtshof wurde ein Fall des Deutschen Bundesgerichtshofs zur Vorabentscheidung vorgelegt. Der deutsche Bundesverband der Verbraucherverbände hatte gegen Planet49 geklagt. Die Planet49 GmbH hatte auf ihrer Internetseite Ankreuzkästchen mit voreingestellten Häkchen benutzt, um die Einwilligung von Internetnutzer*innen zur Speicherung ihrer Cookies einzuholen. Zur Verweigerung muss der*der Nutzer*in das Ankreuzkästchen abwählen.
Der EuGH hat entscheiden, dass das Abwählen keine wirksame Einwilligung in die Datenspeicherung darstellt. Es ist unerheblich, ob es sich um personenbezogene Daten handelt oder nicht. Zudem erklärte das Gericht, dass über Funktionsdauer und Zugriffsmöglichkeiten Dritter aufgeklärt werden muss.
Folgen des Urteils für die Praxis
Das sogenannte "Opt-out-Verfahren" ist nicht zulässig. Der Nutzer wählt gemäß diesem Verfahren bloß von Beginn an gesetzte Häkchen ab und kann diesen anschließend widersprechen. Als verpflichtend gilt dementsprechend das "Opt-in-Verfahren", bei welchem der Nutzer aktiv selber ein Häkchen setzen muss, um der Datenspeicherung zuzustimmen.
Das Urteil hat jedoch für Unklarheiten hinsichtlich des Anwendungsbereichs gesorgt. Der EuGH hat beschlossen, dass die Opt-in-Pflicht auch gegenüber "nicht personenbezogenen Cookies" gilt. Diese Aussage bringt das bisherige Verständnis, dass im Falle technisch notwendiger Cookies eben keine Einwilligung erforderlich ist, ins Wanken. Dies muss in der kommenden ePrivacy-Verordnung (s.o.) geklärt werden. Der Druck ist jedenfalls gestiegen.
Cookie Einwilligung
Die Verwendung bestimmter Cookies ist nur rechtmäßig und damit erlaubt, wenn der Tatbestand des Art. 6 DSGVO vorliegt. Darunter fällt in erster Linie die Einholung einer Einwilligung zur Einholung der empfindlichen Daten. Laut eines Positionspapiers der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) ist die Einholung insbesondere dann notwendig, wenn "Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen" verwendet werden und Nutzerprofile erstellt werden. Das hängt damit zusammen, dass dieses Tracking der Nachverfolgung individuellen Verhaltens dient.
Wie hole ich eine Einwilligung ein?
Es gibt keine gesetzlichen Vorgaben für den Inhalt und die Formulierung von Hinweis und Einwilligungseinholung. Dem Nutzer muss tatsächlich die Wahl zwischen der Zulassung oder Verweigerung von Cookies gegeben werden. Ihm muss es ermöglicht werden, nicht zwingend notwendige Cookies abzulehnen und Einfluss zu nehmen. Häufig läuft das Tracking schon, bevor der*die Nutzer*in eingewilligt hat. Zudem gilt es zu beachten, dass vor der Einholung genügend über Einsatz und Grund der Verwendung informiert werden muss. Ein knapper, obligatorischer Cookie-Hinweis reicht nicht aus.
Übergroße, den kompletten Inhalt der Seite verdeckende Cookie-Banner widersprechen dieser Anforderung. Die Website kann in dem Fall nur genutzt werden, wenn mittels OK-Buttons das Banner weg geklickt werden kann. Die Einwilligung erfolgt nicht freiwillig. Ebenso unerlaubt ist es, bei Ablehnung den Zugang zu der Internetseite zu blockieren.
Rechts-Tipp:
Der simple Standardsatz "Durch die Verwendung der Webseite erklären Sie sich mit der Verwendung von Cookies einverstanden." ist jedenfalls nicht ausreichend.
Eine Möglichkeit ist, auf den Zweck der Cookies zu erklären sowie auf das Widerrufsrecht hinzuweisen und dieser Einwilligungsanforderung einen Link zur Datenschutzerklärung oder zu ausführlicheren, die Pflichtinformationen erhaltenden Cookie-Erklärungen hinzuzufügen.
Wann muss keine Einwilligung eingeholt werden?
Neben der Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) umfasst der Erlaubnistatbestand des Art. 6 DSGVO auch die Berufung auf die Erfüllung eines Vertrages und auf die Rechtsgrundlage "berechtigtes Interessen" (Art. 6 Abs. 1 lit. b und c). Es ist jedoch darauf hinzuweisen, dass die Rechtfertigung des Einsatzes von Cookies nur greift, wenn die Verwendung zur Bereitstellung des Online-Services unbedingt notwendig ist.
Anpassung der Datenschutzerklärung
Wegen der Verwendung von Cookies sind Webseitenbetreiber*innen verpflichtet, ihre Datenschutzerklärungen anzupassen. In der DSGVO wird verlangt, dass die Rechtsgrundlagen für das Verwenden von Cookies genannt werden. Zudem muss an dieser Stelle ausführlicher erklärt werden, welche Cookie-Kategorien genau verwendet werden und welche Daten wofür genutzt und eventuell an Dritte weiter geleitet werden. Es erscheint zudem sinnvoll zu erläutern, warum sich der Webseitenbetreiber nach einer Interessenabwägung für die Verwendung von Cookies entschieden hat.
Rechts-Tipp:
Nehmen Sie Datenschutz ernst. Die angepasste und ausführliche Datenschutzerklärung hilft, gegenüber einer Aufsichtsbehörden eine Beachtung des Datenschutzrechts zu belegen.
Konsequenzen eines Verstoßes
Bei Missachtung der Regelungen besteht für Unternehmen die Gefahr von Abmahnungen ein, erst recht nach dem Urteil des EuGH. Insbesondere pauschale Cookie-Hinweise, wie häufig in der Praxis verwendet bzw. von anderen Seiten kopiert, bergen ein enormes Abmahnrisiko in sich. Einige Experten rechnen sogar mit einer regelrechten Abmahnwelle. Aufsichtsbehörden verhängen bei Verstoß gegen die DSGVO unter Umständen enorme Geldstrafen. Diese sind unter anderem in Art. 83 und 84 DSGVO geregelt. Die Höhe richtet sich nach Größe und Umsatz des Unternehmens (bis zu 4% des Jahresumsatzes).
Fazit: Kostenlose anwaltliche Ersteinschätzung
Trotz DSGVO und Cookie-Richtlinie herrscht noch immer Unsicherheit hinsichtlich des exakten Anwendungsbereichs der Einwilligungspflicht. Einige Fragen bleiben offen: Besteht eine Pflicht im Falle technisch notwendiger Cookies? Welche inhaltlichen Anforderungen werden an Aufklärung und Einwilligung gestellt? Auch die Rechtsprechung verschafft bisher noch nicht genug Klarheit. Jedenfalls lässt sich festhalten, dass man bis zum Inkrafttreten der neuen ePrivacy-Verordnung auf der sicheren Seite ist, wenn man in jedem Fall eine Einwilligung einfordert. Außerdem sollte in dem Zusammenhang nicht zu knapp über die Nutzung von Cookies aufgeklärt werden. Damit Sie sich auf der sicheren Seite befinden und möglichen Abmahnungen und Geldbußen vorbeugen, sollten Sie sich von einem unserer erfahrenen und spezialisierten Anwalt*innen beraten lassen. Sie können in einem kostenlosen Erstgespräch offene Fragen klären und inwiefern Bedarf besteht.
Bereits beantwortete Fragen |
---|
Arbeitszeugnis prüfen lassen - Pro |
Familienrecht: Ex-Frau möchte Hobbies der Kinder verbieten |
Schenkung oder Mietkauf |
Eigentumwohnung _Kaufpreisaufteilung_steuerliche Gestaltung der Immobilie |
Steuerliche Anmeldung einer selbständigen Zweigniederlassung eines inländ. Unt. |
Berücksichtigung von Sonder-Afa bei Beendigung der Vermietung aufgrund Abriss des Nachfolgebesitzers |
Erbschaftssteuerklärung/ Schenkungen |
Frage zum (Eltern-)Unterhaltsrecht |
Arbeitszeugnis prüfen lassen - Premium |
Krypto steuer |
Häufige Fragen
Wie funktioniert die kostenlose Ersteinschätzung?
Nach Schilderung Ihres Anliegens, meldet sich innerhalb weniger Stunden einer*eine unserer Anwält*innen bei Ihnen und, soweit im Einzelfall möglich, erhalten Sie eine kostenlose und unverbindliche Ersteinschätzung zu Ihrem Anliegen.
Wie ist der Ablauf nach der kostenlosen Ersteinschätzung?
Bei weiterem Handlungsbedarf erhalten Sie von Ihrem*Ihrer Anwält*in ein individuelles unverbindliches Festpreisangebot. Sie können dann in Ruhe entscheiden, ob Sie das Angebot annehmen möchten. Dabei fallen für Sie keine Kosten an.
Was ist der Unterschied zwischen einer kostenlosen Ersteinschätzung und einer kostenpflichtigen Rechtsberatung?
Eine Ersteinschätzung kann als Orientierungshilfe dienen. Sie erfahren hier gegebenenfalls, ob Ihr Anliegen Aussichten auf Erfolg hat, welche nächsten Schritte bzw. welcher Aufwand in Ihrem Fall notwendig wäre, oder welche Möglichkeiten Sie haben weiter vorzugehen.
Bitte beachten Sie, dass in manchen Fällen eine Ersteinschätzung nicht erfolgt, zum Beispiel wenn eine solche mit einer umfangreichen Prüfung verbunden wäre.
Im Gegensatz zu einer kostenlosen Ersteinschätzung stellt eine Rechtsberatung eine fundierte und umfassende rechtssichere Beratung dar, welche auf alle relevanten Aspekt eingeht und eine umfangreiche Prüfung Ihres Anliegens beinhaltet. Diese Rechtsberatung muss auch als solche vergütet werden, jedoch nur, wenn Sie das unverbindliche Beratungsangebot annehmen.
Im Rahmen der Ersteinschätzung erhalten Sie deshalb auch ein Angebot für eine abschließende Rechtsberatung.
Welche Kosten entstehen?
Die Ersteinschätzung ist kostenlos und unverbindlich. Der Preis für die abschließende Rechtsberatung wird individuell im unverbindlichen Angebot angegeben. Kosten entstehen für Sie also immer erst, wenn Sie nach der Ersteinschätzung das individuelle, anwaltliche Festpreisangebot annehmen.
Wer kann meine Anfrage bzw. meine Dokumente lesen? (Wird meine Anfrage öffentlich sichtbar sein?)
Aus datenschutzrechtlichen Gründen ist Ihre Anfrage zu keiner Zeit öffentlich einsehbar und lediglich die für die Bearbeitung infrage kommenden Rechtsanwält*innen können die Anfrage einsehen. Die Übersendung Ihrer Daten erfolgt sicher und verschlüsselt. Unsere Server, auf denen die Daten gespeichert sind stehen, ausschließlich in Deutschland. Bitte beachten Sie darüber hinaus unsere Datenschutzerklärung.
Sie haben keine kostenlose Ersteinschätzung erhalten?
Bitte beachten Sie, dass in Einzelfällen eine Ersteinschätzung nicht möglich ist, da diese Beispielsweise einer umfangreichen Prüfung bedarf, welche nicht im kostenlosen Rahmen möglich ist.
Wann erhalte ich die Ersteinschätzung?
Die Ersteinschätzungen auf Ihre Anfrage erhalten Sie in der Regel bereits nach wenigen Stunden. Der*die Anwält*in teilt Ihnen im Preisangebot auch die für Ihre Anfrage benötigte Bearbeitungszeit mit, sodass Sie sicher sein können, dass Ihr Auftrag innerhalb der vereinbarten Frist bearbeitet wird. Sollte Ihre Anfrage sehr zeitkritisch sein, vermerken Sie dies bitte gleich beim Einstellen Ihrer Anfrage, sodass der*die Anwält*in hierauf entsprechend reagieren kann. Vielen Dank.
Bildnachweis: © pixabay.com
sehr gut
Finanztip
Stiftung Warentest
Spiegel Online
WirtschaftsWoche
n-tv
und viele mehr
So funktioniert's:
- Kostenlose anwaltliche Ersteinschätzung
- Unverbindliches Festpreisangebot
- Angebot annehmen und Rechtsberatung erhalten