31.08.2019 | Eine große Unsicherheit herrscht zurzeit bei allen Websitebetreibern bezüglich einer notwendigen Einwilligung bei Tracking Cookies. Gilt noch das bestehende Telemediengesetz, welches nur eine Informationspflicht und ein OPT-Out bei Cookies erforderlich macht oder muss man – wie einige es bereits umgesetzt haben – eine Einwilligung für das Setzen von Tracking-Cookies einholen.

Jetzt hat die Datenschutzkonferenz (DSK) strenge Vorgaben zu Tracking-Cookies in ihrem Positionspapier gemacht. Dies hat die Haufe Online Redaktion in ihrem Artikel näher erläutert.

Denn ausführlichen Artikel finden Sie unter: https://www.haufe.de/compliance/recht-politik/datenschutzkonferenz-macht-strenge-vorgaben-zu-tracking-cookies_230132_491340.html

Hier eine Zusammenfassung des Artikels:

Management Summary

Die Datenschutzkonferenz der deutschen Behörden hat klar Stellung bezogen: eine einfache Einblendung mit entsprechenden Hinweisen reichen nicht aus. In jedem Fall muss der Besucher tatsächlich eine Wahl haben, ob der die Nutzung dieser Cookies bzw. Tracking-Instrumente zulassen will oder nicht. Dazu gehört auch, dass er die Verwendung von Cookies, die nicht zwingend für die Website notwendig sind, gezielt deaktivieren kann.

Als nicht geeignet bzw. unwirksam werden daher solche Cookie-Hinweise eingestuft, bei denen der Zugang zur eigentlichen Webseite zunächst über ein – mehr oder weniger – großes Browser-Fenster blockiert wird, das lediglich ein pauschales Akzeptieren aller Cookies durch Anklicken eines Buttons ermöglicht.

Datenschutzkonferenz macht strenge Vorgaben zu Tracking-Cookies

Auf welche Weise sind Website-Besucher über verwendete Cookies zu informieren und wie sind welche nötigen Einwilligungen einzuholen? Eigentlich sollte hierzu die ePrivacy-Verordnung längst verbindliche Regelungen bringen, doch die wird wohl noch auf sich warten lassen. Die Datenschutzkonferenz hat jetzt in einer Orientierungshilfe ihre Sichtweise bekräftigt, nach der recht strenge Vorgaben bei der Verwendung von Tracking-Cookies zu erfüllen sind.

Cookies, die Grundfunktionen bereitstellen, wie Z.B. Verwalten eines Warenkorbes sind auch aus Datenschutzsicht eher unproblematisch und für deren Einsatz muss daher keine explizite Zustimmung eingeholt werden.

Anders sieht es dagegen mit solchen Cookies aus, mit denen Web-Surfer über die Grenzen einer Website hinaus identifiziert werden können.

Dazu werden diese Tracking-Cookies nicht von den jeweiligen Websites direkt gesetzt, sondern sie kommen von Anbietern, die meiste Werbenetzwerke betreiben. Über solche Tracking-Cookies können diese Werbenetzwerke genaue Profile der jeweiligen Nutzer erstellen, um diese mit personalisierter Werbung zu beliefern.

Tracking-Cookies sammeln so einiges an Nutzerdaten ein, oft ohne dass dies dem Surfenden klar ist. Es gilt dabei immer den Nutzer zu identifizieren und sein Surfverhalten zu analysieren.

Nach Art. 6 DSGVO ist die Verarbeitung personenbezogener Daten nur erlaubt, wenn entweder eine Einwilligung der Website-Besucher eingeholt wird oder sich die Website-Betreiber auf berechtigte Interessen berufen können.

Gilt Onlinemarketing als berechtigtes Interesse, dass eine Einwilligung entbehrlich macht?

Als ein solches, die Einwilligung ersetzendes berechtigtes Interesse wurde unter anderem auch die Möglichkeit zum Direktmarketing betrachtet, weshalb viele Website-Betreiber bislang davon ausgingen, dass etwa für Tracking-Cookies von Website-Analysediensten wie Google Analytics keine explizite Einwilligung der Besucher einzuholen sei. Doch dieser Standpunkt wird auf Dauer wohl nicht zu halten sein.

Hohe Anforderungen an Umsetzung der Cookie-Hinweise

Damit eine informierte Einwilligung erfolgt, reichen nach Ansicht der DSK einfache Einblendungen mit entsprechenden Hinweisen nicht aus. In jedem Fall muss der Besucher tatsächlich eine Wahl haben, ob der die Nutzung dieser Cookies bzw. Tracking-Instrumente zulassen will oder nicht. Dazu gehört auch, dass er die Verwendung von Cookies, die nicht zwingend für die Website notwendig sind, gezielt deaktivieren kann.

Was stuft die DSK als nicht ausreichend ein

Als nicht geeignet bzw. unwirksam werden daher solche Cookie-Hinweise eingestuft, bei denen der Zugang zur eigentlichen Webseite zunächst über ein großes Browser-Fenster blockiert wird, das lediglich ein pauschales Akzeptieren aller Cookies durch Anklicken eines Buttons ermöglicht
Eine solche Einwilligung werde nicht freiwillig erteilt und sei daher unwirksam, begründen die Datenschützer ihre Auffassung.

Ebenso als nicht ausreichend stuft die DSK auch einfache bzw. pauschale Formulierungen in Cookie-Hinweistexten ein. Der Hinweis, dass der Nutzer sich durch den Zugriff auf die Webseiten mit dem Setzen von Cookies einverstanden erklärt, erfüllt daher ebenfalls nicht den Anforderungen, die immer ausreichende Erklärungen zu den Cookies und eindeutige, bestätigende Handlungen wie etwa das Anklicken eines Kästchens voraussetzen.

Was erfüllt bezüglich der Tracking-Cookies die DSGVO-Voraussetzung?

Werden auf den Webseiten mehrere Tracking-Cookies eingesetzt, müssen diese einzeln aufgelistet und entsprechende Informationen (z.B. die jeweiligen Betreiber und Funktionen) darüber gegeben werden. Zudem muss es den Nutzern möglich sein, bei jedem dieser Cookies einzeln zuzustimmen oder eben ihre Zustimmung zu verweigern. Erst nach der Zustimmung dürfen die Cookies gesetzt werden und die Datenverarbeitung somit erfolgen.

Um zu verhindern, dass Nutzer bei jedem Aufruf der Website diese Entscheidung erneut treffen müssen, kann das Ergebnis dieser Cookie-Abfrage auf dem Endgerät des Nutzers gespeichert werden. Allerdings darf dazu keine User-ID verwendet werden, durch die der Nutzer eindeutig identifizierbar ist.

Die Einwilligung zur Nutzung von Tracking-Cookies kann jederzeit widerrufen werden. Die Website-Betreiber müssen daher in jedem Fall zusätzlich auch eine solche Widerrufsmöglichkeit implementieren. Der Widerruf muss dabei ebenso einfach durchzuführen sein wie die Zustimmung.

Mit dem Positionspapier und der Orientierungshilfe ist die Auffassung der Datenschutzbehörde deutlich geworden

Wer allerdings von diesen Vorgaben abweicht, muss dennoch prinzipiell damit rechnen, dass ein Bußgeld verhängt werden kann.

Mehr Rechtssicherheit wird es erst mit der lang angekündigten europäischen ePrivacy-Verordnung geben, die ursprünglich zusammen mit der DSGVO in Kraft treten sollte.

Momentan ist jedoch immer noch nicht abzusehen, wann diese Verordnung nun verabschiedet und in Kraft treten kann. Selbst wenn dies schon im nächsten Jahr geschieht, wird es danach noch die obligatorische zweijährige Übergangsfrist geben, sodass man frühestens 2022 mit einer eindeutigen Regelung rechnen kann.

Fazit:
Die Behörden haben klar Stellung bezogen und damit auch vorgegeben, wie diese Behörden die aktuelle Rechtslage interpretieren. Allerdings handelt es sich nicht um rechtlich bindende Vorgaben. Ein rechtskräftiges Urteil gibt es dazu (noch) nicht.

Damit bleibt es der Risikobereitschaft des jeweiligen Unternehmens vorbehalten, wie zügig die DSK Cookie-Meinung auf den eigenen Seiten umgesetzt wird. Ist allerdings ein Relaunch geplant, sollte sich das Unternehmen konkret die Frage stellen, wie es die neue Regelung, die spätestens mit der ePrivacy-VO in jedem Fall kommt, umsetzen will.

Bei Rückfragen stehe ich Ihnen gerne zur Verfügung

Ihr Roland von Gehlen


Bild von pixabay.com