Im zweiten Teil unserer Reihe erfahrt ihr, wie der Umgang mit Cookies gesetzlich geregelt ist und wie sie datenschutzkonform eingesetzt werden sollten.

Cookies können nicht einfach willkürlich auf Internetseiten eingesetzt werden. Auch hier gibt es gesetzliche Vorgaben, an denen sich die Webseitenbetreiber*innen orientieren sollten.

Die Datenschutzgrundverordnung (DSGVO): Seit dem 25. Mai 2018 gilt die DSGVO, die gemäß dem Grundsatz der Transparenz verlangt, dass im Datenschutzhinweis über die Existenz von Cookies und deren Zwecke informiert wird.

Die ePrivacy-Verordnung: Die ePrivacy-Verordnung sollte zeitgleich mit der DSGVO in Kraft treten und die Themenbereiche „Tracking und Cookies“ regeln. Ein Inkrafttreten der ePrivacy-Verordnung wird es jedoch aller Voraussicht nach frühestens Ende 2021/Anfang 2022 geben.

Da aktuell keine eindeutige gesetzliche Regelung zur Verwendung von Cookies existiert, muss sich der Webseitenbetreiber an dem orientieren, was zum einen der EuGH und der BGH dazu entschieden haben und zum anderen was die Stellungnahmen der Datenschutzbehörden und der Datenschutzkonferenz (DSK) vorgeben.

Die Auffassungen der Datenschutzbehörden und der Datenschutzkonferenz (DSK) sowie des EuGH/BGH zur Notwendigkeit einer Einwilligung beim Setzen von Cookies sind:

  1. Keine Einwilligung beim Setzen von Cookies erforderlich: z. B. Session-Cookies, Cookies für LogIns oder Warenkörbe können vom berechtigten Interesse des Webseitenbetreibers abgedeckt sein.
  2. Einwilligung beim Setzen von Cookies erforderlich: z. B. Tracking und Werbe-Cookies von Drittanbietern benötigen eine Einwilligung. Das sind also vor allem Cookies, die für die eigentlichen Funktionen der Webseite nicht zwingend notwendig sind und die Daten dann ggf. mit anderen Daten und Diensten verknüpfen oder teilen.

Die EU-Cookie-Richtlinie: Den rechtlichen Umgang regelt in der EU die sogenannte „Cookie-Richtlinie“. Diese EU Cookie-Richtlinie, die eine ausdrückliche Einwilligung der Nutzer*innen in solchen Fällen vorsieht, wurde von Deutschland aber gar nicht umgesetzt. Zur Erklärung: EU-Richtlinien sind nicht automatisch „Gesetz“, sondern müssen von den EU-Ländern einzeln umgesetzt werden. Da das in Deutschland nicht geschehen ist, gilt die Richtlinie bei uns eigentlich gar nicht. Dafür gibt es den § 15 Abs.3 Telemediengesetz (TMG). Dieser besagt, dass es ausreicht, den/die Nutzer*in zu unterrichten und auf ein Widerspruchsrecht hinzuweisen. Das kann durch einen Hinweis in einem Cookie Banner (mit Link auf die Datenschutzerklärung) erfolgen.

Das deutsche Recht hatte also bis zur Verkündigung des EuGH- und BGH-Urteils trotz der EU-Cookie-Richtline keine direkte Pflicht, die Nutzer*innen in die Verwendung von Cookies einwilligen zu lassen.

 

Wie sieht eine datenschutzkonforme Verwendung von Cookies aus?

 

Gemäß der Urteile des EuGH und des BGH ist der Einsatz von Cookies auf Websites nur dann erlaubt, wenn die Nutzer*innen ausdrücklich eingewilligt haben. Ausnahme: Notwendige Cookies – notwendig sind alle Cookies, die technsich für den Betrieb einer Website un deren Funktionen erforderlich sind.

Folgendes ist insbesondere zu beachten:

  • Der Cookie-Banner darf keine vorher angekreuzten Kontrollkästchen auf Kategorien von Cookies haben, außer jenen, die für die Funktion Ihrer Website notwendig sind.
  • Die Zustimmung muss auf Grundlage genauer und spezifischer Informationen darüber gegeben werden, welche Daten verfolgt werden und zu welchem Zweck.
  • Dies gilt für den gesamten Umgang mit personenbezogenen Daten, einschließlich Erstanbieter- und Drittanbieter-Cookies und anderer Online-Tracking-Methoden. In der Regel sind die Informationen in der Datenschutzerklärung der Webseite angezeigt.
  • Alle erhaltenen Zustimmungen müssen zur Dokumentation gespeichert werden, als Nachweis, dass die Zustimmung erteilt wurde, falls die Behörden diese anfordern.
  • Es muss für die Nutzer*innen genauso einfach sein, ihre Zustimmung zurückzuziehen, wie sie sie ursprünglich gegeben haben.
Ob die User*innen auf “Zustimmen” klicken oder nicht hat keine Auswirkungen. Personenbezogene Daten werden trotzdem gespeichert.

 

 

Der Banner verdeckt einen Teil der Seite, kann aber nur weggeklickt werden, indem die User*innen auf “Einverstanden” klicken. Die Nutzer*innen haben also keine Wahl. Entweder erklären sie sich für die Nutzung aller Cookies einverstanden oder sie verlassen die Website und können diese nicht nutzen.

 

 

Doch nun gibt das EuGH-Urteil vom Oktober 2019 und das BGH-Urteil vom Mai 2020, bei denen sich für den Datenschutz ausgesprochen wurde. Mit dem neuen Urteil sind alle Betreiber*innen von Webseiten nun verpflichtet, Besucher*innen mit einem Cookie-Hinweis auf den jeweiligen Einsatz von Cookies hinzuweisen. Die User*innen müssen auch freiwillig ihr Einverständnis geben. Die oben gezeigten Cookie-Banner sind jetzt also nicht mehr zulässig.

Ausschlaggebend für dieses Urteil und die Entscheidung war ein Online-Gewinnspiel, bei dem im Cookie-Banner bereits ein Auswahlkasten vorausgewählt war. Dieser hat die Einwilligung zu Werbeanalysen erteilt. Da der Nutzer oder die Nutzerin sich nicht explizit und freiwillig dafür entschieden hat, sieht der EuGH und auch der BGH das nicht als gültige Einwilligung.

 

Im dritten und letzten Teil der Cookie-Reihe erklären wir euch, welche Neuerungen das EuGH- und das BGH-Urteil für uns mit sich bringt und welche Auswirkungen das auch auf unsere Systeme und die Website baur.de hat. Also seid gespannt 🙂

 

0 Kommentare

Dein Kommentar

An Diskussion beteiligen?
Hinterlasse uns Deinen Kommentar!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.