Geschrieben am 17.06.2019 von:
Sabine Pernikas
Rechtsanwältin | Fachanwältin für IT-Recht
zum Profil
Kontaktiere mich:
+49 (0) 6232 – 100119 0
E-Mail senden
Quasi über Nacht sind auf vielen Webseiten sogenannte Cookie-Banner aufgetaucht, in denen z.B. folgendes steht: „Auf dieser Webseite werden Cookies verwendet, um den Webseitenauftritt zu verbessern. Indem Sie weitersurfen, erklären Sie sich mit der Verwendung von Cookies einverstanden.“
Für Webseitenbesucher sind solche Cookie-Banner einfach nur nervig und verwirrend. Aus rechtlicher Sicht sind Formulierungen wie diese aber meistens vor allem Eines: falsch! Doch wie sollte ein Cookie-Banner denn nun ausgestaltet sein und wofür braucht man es? Schluss mit dem Cookie-Wahnsinn!
Tracking nur mit Einwilligung
Ein Cookie-Banner wird meistens zum Einholen einer Einwilligung bei den Webseitenbesuchern verwendet. Das ist notwendig, wenn auf der Webseite Dienste von Drittanbietern eingebunden sind, die Reichweitenmessungen durchführen und Nutzerverhalten auf der Webseite analysieren und auswerten können. Diesen Vorgang nennt man Tracking.
Die Aufsichtsbehörden haben im April 2018 in einem Positionspapier klargestellt, dass man für dieses Tracking eine Einwilligung benötigt. So sieht es jedenfalls die noch geltende e-Privacy-Richtlinie vor und so sollte es auch in der neuen e-Privacy-Verordnung geregelt werden. Diese Verordnung ist jedoch noch nicht verabschiedet worden und andere Rechtsgrundlagen können nicht herangezogen werden. Die Aufsichtsbehörden sind der Meinung, dass Tracking unter der Einbindung von Drittanbietern nur mit einer Einwilligung möglich ist.
Jedoch sind Formulierungen wie oben alles andere als geeignet, wirksame Einwilligungen in Tracking einzuholen.
Transparente Information zum Tracking
Gesetzliche Vorgaben konkret dazu, wie ein Cookie-Banner ausgestaltet werden muss, gibt es nicht. Da aber für alle Einwilligungen die gleichen Regelungen zu beachten sind, gelten maßgeblich Art. 7 DS-GVO und Erwägungsgrund 32. Hiernach muss eine Einwilligung so gestaltet werden, dass der Nutzer freiwillig, für den konkreten Fall und in informierter Weise klar und unmissverständlich bekundet, dass er mit der Verarbeitung seiner personenbezogenen Daten zu einem konkreten Zweck einverstanden ist.
Übertragen auf die Einwilligungserklärung für Tracking über ein Cookie-Banner bedeutet das, dass zunächst eine Information über das Tracking und den dahinterstehenden Zweck zu erfolgen hat. Im Satz „Auf dieser Webseite werden Cookies verwendet, um den Webseitenauftritt zu verbessern. Indem Sie weitersurfen, erklären Sie sich mit der Verwendung von Cookies einverstanden“ wird Tracking oder Analyse von Nutzerverhalten noch nicht einmal erwähnt. Die relevanten Informationen fehlen, weshalb in dieser Form eine Einwilligung nicht „in informierter Weise“ eingeholt werden kann.
Erklärung des Webseitenbesuchers
Der Webseitenbesucher muss klar und unmissverständlich bekunden, dass er mit der Analyse seines Nutzerverhaltens einverstanden ist. Das Weitersurfen auf einer Webseite reicht dafür nicht aus. Die Formulierung im oben genannten Beispiel ist dabei einer der häufigsten Fehler. Beim Weitersurfen handelt es sich nämlich gerade nicht um eine eindeutige bestätigende Handlung, mit der in Tracking eingewilligt wird. Der Besucher will ja nur die Webseite besuchen und sich die Inhalte anschauen.
Eine Einwilligung kann vom Webseitenbesucher abgegeben werden, wenn dieser das Tracking aktiv anwählen kann. Hierfür muss eine Anwahl-Option im Cookie-Banner enthalten sein (also „ja“ oder „nein“). Nicht vergessen werden darf außerdem der Hinweis, dass der Webseitenbesucher seine Einwilligung jederzeit widerrufen kann.
Bei der Einbindung des Cookie-Banners muss außerdem streng darauf geachtet werden, dass das Impressum und die Datenschutzerklärung immer sichtbar sind und aufgerufen werden können. Ist das nicht der Fall, droht eine Abmahnung wegen fehelender Anbieterkennzeichnung. In der Datenschutzerklärung müssen ferner die zusätzlichen Informationen nach Art. 13 DS-GVO enthalten sein.
Braucht man für jedes Cookie eine Einwilligung?
Nicht immer muss eine Einwilligung eingeholt werden. Betroffen sind nur die Cookies, bei deren Verwendung die erhobenen Daten zum Nutzerverhalten an Drittanbieter weitergegeben werden (z.B. Google Analytics). Es gibt auch Tracking-Cookies, bei denen keine Weitergabe an Drittanbieter erfolgt. In diesem Fall ist keine Einwilligung erforderlich.
Es gibt viele Webseiten, bei denen die Betreiber trotz der Einbindung von Google Analytics auf das Einholen einer Einwilligung verzichten. Im Falle einer aufsichtsbehördlichen Prüfung würde das natürlich beanstandet werden. Wenn man Nutzerverhalten analysieren und Reichweitenmessungen durchführen will, ist die Einwilligung des Nutzers unumgänglich. Wenn dann eine Einwilligung mit einem Cookie-Banner eingeholt wird, muss diese allerdings auch den Anforderungen der DS-GVO entsprechen. Ansonsten ist das Tracking nicht zulässig und es liegt ein bußgeldbewehrter Verstoß vor.