Rechtsverordnung hier Richtlinie dort: viele Beiträge und Blogposts versuchen Klarheit zu schaffen, was zwischen den gesetzlichen Vorgaben zum Thema Cookies noch möglich ist. Können Tracking Methoden noch von meinem Unternehmen eingesetzt werden? Wann bin ich rechtlich auf der sicheren Seite? Dieser Blogbeitrag informiert Sie über die Rechtslage zu Cookies und personenbezogenen Daten und liefert Ihnen ein 4-Step-Tutorial zum datenschutzkonformen Cookie-Consent.

In 10 Sätzen: Das EuGH-Urteil Planet49

Die EU-Richtlinie verpflichtet die Bundesrepublik, entsprechende Gesetze zur Geltung der Richtlinie in Deutschland zu erlassen. Bürger und Unternehmen sind dabei nicht unmittelbar an die EU-Richtlinien gebunden. Darüber hinaus herrscht Unklarheit beim Bundesgerichtshof, inwieweit die Cookie-Richtlinien umgesetzt wurden und ob die Umsetzung überhaupt notwendig ist. Fest steht nur, dass die Richtlinien für alle im Endgerät des Nutzers gespeicherten, sowie die von dort abgerufenen Informationen gelten –  unabhängig davon, ob diese anonymisiert wurden oder nicht. Die Folge: Der Nutzer muss über die Verwendung von Cookies informiert werden. Ausgeschlossen hiervon sind nur solche Cookies, die für die Sicherstellung der Datenübertragung oder der Erbringung eines Dienstes unbedingt erforderlich sind, oder für solche, die ausdrücklich vom Nutzer erwünscht werden.
Nach dem Urteil zu Planet49 steht der Webseitenbetreiber also in der Pflicht, eine aktive Einwilligung des Nutzers einzuholen, nachdem dieser über die Nutzung von Cookies informiert wurde. Sprich: vorausgefüllte Häkchen oder implizite Einwilligungen (z.B. durch Scrollen oder einfache Klicks) sind nun unwirksam.
Bleiben Sie auf der sicheren Seite, indem Sie sich so verhalten, als würden die EU-Richtlinien unmittelbare Wirkung auf Sie entfalten. Denn es besteht die Möglichkeit, dass die Wertungen der Cookie-Richtlinie durch Datenschutzbehörden oder ggf. den BGH in den Anwendungsbereich des Datenschutzrechts übertragen werden.

Zusammenhang von personenbezogenen Daten und Cookies

Im Zusammenhang mit der Verwendung von Cookies fällt oft der Begriff der personenbezogenen Daten. Stehen diese in einem unmittelbaren Zusammenhang zueinander?

Die Antwort lautet: Nicht unbedingt.
Vom Anbieter können mehrere Arten von Cookies gesetzt werden. Die gängigsten Unterscheidungen von Cookies beziehen sich dabei auf den Empfänger der Cookie-Daten, den Zweck der Cookies oder auch die Speicherdauer auf dem jeweiligen Endgerät.

Doch wo zieht man die Linie von „einfacher“ Datenerhebung zu der Erhebung von personenbezogenen Daten? Dies hängt davon ab, ob der jeweilige Nutzer identifiziert werden kann. Dabei ist allein die Möglichkeit der Identifizierung ausreichend. Grund hierfür: auch personenbeziehbare Daten, also solche, die mit einigem Aufwand einer bestimmten Person zugeordnet werden können, zählen zu den personenbezogenen Daten. Dies ist beispielsweise der Fall, wenn die durch Kontaktformulare gesammelten Daten mit den durch die Cookies erhobenen Daten verknüpft werden können. Auch hier reicht die bestehende Möglichkeit aus.

In der Umsetzung heißt das jedoch in den häufigsten Fällen: die durch Cookies erhobenen Daten sind meist selbst personenbeziehbar respektive personenbezogen und unterliegen somit den Richtlinien der DSGVO.
Demnach muss die Datenverarbeitung erläutert werden und eine Verarbeitung darf nur nach entsprechender Einwilligung und aufgrund ausreichender Rechtsgrundlage erfolgen.

Cookie-Einwilligung: wann ist sie erforderlich?

Wenn Sie auf der rechtssicheren Seite stehen möchten, sollten Sie bei jeglicher Verwendung von Cookies eine Einwilligung einholen. Denn es besteht die Möglichkeit, dass die Datenschutzbehörden die Richtlinien der Cookie-Richtlinie der EU ins Datenschutzrecht übertragen. Spätestens dann ist es unumgänglich, eine Einwilligung für jeden Cookie, der nicht unbedingt erforderlich ist, einzuholen. Hierzu zählen beispielsweise Cookies, die zu Werbe- oder Optimierungszwecken von Werbekampagnen dienen (Remarketing).

Dabei sind Cookie-Banner, die nur eine Zustimmung zulassen, die weitere Nutzung der Seite als Zustimmung werten oder vorausgefüllt sind, nicht rechtskonform. Auch eine Widerspruchslösung, die erst nach dem Setzen der Cookies greift, entspricht nicht den Vorgaben.

Doch wie setze ich dies am besten um?
Wir liefern die Antwort:

Unser 4-Step-Tutorial zur datenschutzkonformen Erhebung von Cookie-Zustimmungen

1. Welche Cookies sind auf meiner Webseite gesetzt?

Finden Sie heraus, welche Cookies auf Ihrer Webseite gesetzt sind. Abhilfe können Cookie-Crawler schaffen. Nutzen Sie hier beispielsweise den Quick-Check von Cookiebox.pro oder verwenden Sie die Crawling-Funktion Ihres Consent-Management-Systems.

Erstellen Sie eine Liste mit den detektierten Cookies und schaffen Sie Klarheit zu folgenden Punkten:

  • (technische) Kennung des Cookies
  • Zu welchem Zweck werden die Cookies genutzt?
  • Welcher Inhalt wird durch die Cookies gespeichert?
  • Bestandsdauer des Cookies
  • Handelt es sich um First-Party-Cookies oder Third-Party-Cookies?
  • Bestehen Besonderheiten?

2. Detektion und Analyse der Cookies: Sind sie unbedingt erforderlich?

Fassen Sie die detektierten Cookies in Gruppen zusammen. Hier bieten sich vor allem folgende „Cluster“ an:

  • Gruppierung nach essentiellen oder notwendigen Cookies
  • Funktionale Cookies
  • Analytics
  • Marketing
    Natürlich können Sie die Cookies auch nach allgemeineren Faktoren „clustern“:
  • Die Gesamtmenge der Cookies
  • Die Art der Cookies
  • nach den Vorgaben des CMS

Tipp: rechtlich gesehen ist eine Gruppierung nach Verwendungszweck nützlich. Grund hierfür: Die Einwilligungen sollen nur für ein Cookie-Cluster möglich sein. Dabei ist es laut DSGVO rechtswidrig, Einwilligungen zu koppeln, die verschiedene Verwendungszwecke vorweisen.

3. Einwilligung einholen

Eine Einwilligung wird für alle Cookies benötigt, die nicht zur unmittelbaren Funktionstüchtigkeit der Webseite beitragen (funktionale und technische Cookies). Dies betrifft beispielsweise Cookies, die zum Nutzer-Login benötigt werden oder solche, die den Warenkorb verwalten.

Bei manchen Cookies ist es auf den ersten Blick nicht eindeutig, ob eine Einwilligung erforderlich ist.
Falls Sie sich unsicher sind, ob die von Ihnen geschalteten Cookies einwilligungsbedürftig sind, kontaktieren Sie gerne unsere TÜV-zertifizierten Datenschutzexperten. Wir helfen Ihnen gerne!

Haben Sie einmal herausgefunden, welche Cookies eine Einwilligung benötigen, können Sie mit der Umsetzung Ihres Cookie-Konzeptes beginnen.

Tipp: hier bietet sich die Nutzung eines CMPs an. Die Nutzung einer Consent-Management-Plattform eines etablierten Anbieters ist dabei unkomplizierter und birgt weniger Fehler als eine In-House-Lösung.

Wie ist die Einwilligung für Cookies einzuholen?

Wählen Sie eine Box oder ein Pop-up-Fenster, das beim ersten Aufruf der Webseite über alle Cookies aufklärt und erläutert, welche einwilligungspflichtigen Cookies gesetzt werden sollen. Diese sollte dabei den Seiteninhalt nicht verdecken oder den Nutzer zu einer Einwilligung zwingen. Denn eine Unterbrechung des Dienstes durch die Einwilligung würde der Datenschutzgrundverordnung widersprechen. Solange Sie auf eine Datenschutzerklärung verweisen, die alle verwendeten Cookies auflistet, können Sie hier eine verkürzte Beschreibung wählen. Viele Cookies benötigen jedoch eine gesonderte Einwilligung. Diese lassen sich aber nach dem jeweiligen Nutzungszweck zusammenfassen: listen Sie Statistik-Cookies, Einstellungscookies, Marketing-Cookies oder Cookies, die einem speziellen Tool wie Facebook gehören, gesondert auf.
Die Cookies werden danach nur gesetzt, wenn der Webseitenbesucher aktiv zugestimmt hat.
Wenn der Nutzer das Banner ignoriert und ohne Interaktion weitersurft, das Banner geschlossen wird oder der Setzung von Cookies widersprochen wird, dürfen keine einwilligungsbedürftigen Cookies gesetzt werden.

Umgang mit der Einwilligung

Ob der Nutzer der Verwendung von Cookies zugestimmt hat oder nicht, sollte gespeichert werden (ohne ID). Unsere Empfehlung: Wurde die Einwilligung erteilt, sollte die Einwilligung jedoch nach 6-12 Monaten verfallen. Auch sollte jederzeit die Möglichkeit bestehen, die Einwilligung widerrufen zu können. Andersrum genauso: Hat der Besucher die Verwendung von Cookies abgelehnt, sollte er nach 6-12 Monaten erneut gefragt werden, ob er die Einwilligung erteilen möchte. Hat der Nutzer die Verwendung von Cookies verweigert, muss das Informationsangebot der Webseite jedoch abrufbar bleiben. Sonst wäre die Einwilligung ggf. als unfreiwillig anzusehen und wäre somit unwirksam.

4. Aufnahme der Cookies in die Datenschutzerklärung

Die Datenschutzerklärung muss alle Informationen über die gesetzten Cookies enthalten. Auch hier gilt: gruppieren Sie die Cookies und geben Sie alle relevanten Informationen an:
  • Verarbeiteten Daten
  • Zwecke der Verarbeitung
  • Speicherdauer
  • Datenempfänger
  • Datenübermittlungen in nicht-EU Länder
  • Rechtsgrundlage
  • Verantwortliches Unternehmen

Die Verwendung eines Consent-Management-Systems erleichtert auch hier die Darstellung: es werden grundlegende Cookie-Informationen bereitgestellt und zentral verwaltet. Somit ist die Datenschutzerklärung immer aktuell.

Fazit

Mit einigen Tipps und Tricks ist es einfach, eine datenschutzkonforme Webseite zu erstellen. Informieren Sie sich stetig über neue Entscheidungen zur Rechtslage bezüglich Cookies und Einwilligungen zur Verwendung von Cookies.

Falls Sie dies umgehen möchten, können Sie eine CMP nutzen, die Ihnen auf dem Weg zur DSGVO-konformen Webseite einige Schritte abnimmt.

In Kombination mit unserem Tutorial zum Cookie-Consent sind Sie datenschutzrechtlich auf der sicheren Seite.

Kontaktieren Sie uns gerne, falls Sie weitere Fragen haben oder Hilfe in anderen Themengebieten benötigen. Unsere Datenschutzexperten der Cortina Consult helfen Ihnen gerne!