Aktuelles:

Cookies und der Datenschutz – Datenschutzbehörde gibt Orientierung

25. Juni 2019

Cookies sind Datenpakete, die zwischen verschiedenen Computerprogrammen ausgetauscht werden. Über Cookies speichern Webseiten Nutzerdaten lokal und serverseitig, um einzelne Funktionen wie z.B. Onlineshops, soziale Netzwerke und Foren nutzerfreundlicher zu gestalten.

Nach Anwendbarkeit der EU-Datenschutz-Grundverordnung (DSGVO) stehen viele Webseiten-Betreiber nach wie vor vor der Frage, wie Cookies datenschutzkonform eingesetzt werden können. Denn in der Praxis variiert der Umgang mit Cookies stark. Zudem wird auch die ePrivacy-Verordnung, die seit langem angekündigt, aber noch nicht erlassen wurde, Auswirkungen auf die Verwendung haben. Daher warten viele Webseiten-Betreiber derzeit noch mit Änderungsmaßnahmen hinsichtlich der von ihnen eingesetzten Cookies ab.

Das Bayerische Landesamt für Datenschutzaufsicht hat sich allerdings in seinem jüngst veröffentlichten Tätigkeitsbericht 2017/2018 zu den Anforderungen von sogenannten Cookie-Bannern geäußert. Die Behörde gibt konkrete Vorgaben, wie Webseite-Betreiber Cookie-Banner rechtskonform in ihren Internetauftritt verwenden können:

  • Zunächst ist zu beachten, dass Cookie-Banner zur Erteilung von Einwilligungen der betroffenen Personen (Besuchern der Webseite) in die Verarbeitung ihrer personenbezogenen Daten verwendet werden. Als Verarbeitung kommen hier nicht nur der Einsatz von Cookies bzw. das „klassische“ Tracking via Cookies  in Betracht. Vielmehr sollte der Cookie-Banner sämtliche einwilligungsbedürftige Datenverarbeitungen wie z.B. die Nutzung sogenannter Zählpixel, das Canvas Fingerprinting oder den Einsatz von Google Analytics in zum Inhalt haben. Die Ausgestaltung des Cookie-Banners hat sich folglich nach den tatsächlich eingesetzten Verarbeitungstätigkeiten zu richten. Standard-Cookie-Banner, die „von der Stange“ angeboten werden, sind daher regelmäßig nicht ausreichend.
  • Da durch Cookie-Banner die Einwilligung der Webseiten-Besucher erteilt wird, ist es zwingend erforderlich, dass diese Einwilligung freiwillig ist. Folglich muss eine Nutzung der Webseite in vollem Umfang auch dann möglich sein, wenn der Besucher die Abgabe seiner Einwilligung(en) verweigert.

Darüber hinaus erfordert die Freiwilligkeit der Einwilligung eine echte Wahlmöglichkeit. Das bedeutet, dass insbesondere gegenwärtig häufig anzutreffende Cookie-Banner, welche lediglich über die Verarbeitung personenbezogener Daten informieren und mit einem Klick auf z.B. „OK“ oder „Einverstanden“ aktiviert werden, nicht den datenschutzrechtlichen Anforderungen genügen.

Vielmehr muss der Besucher seine Einwilligung durch das Klicken auf entsprechende Aktivierungs-Buttons als Teil eines Auswahlmenüs ausdrücklich abgeben. Hierbei ist ferner zu beachten, dass „Aktivieren“ bedeutet, dass die Auswahlmöglichkeiten nicht auf eine Aktivierung bzw. Zustimmung des Besuchers voreingestellt sein dürfen. Aus technische Sicht ist demnach sicherzustellen, dass zunächst alle Skripte der Webseite blockiert werden, die potentiell Nutzerdaten erfassen.

  • Erst nach ausdrücklicher Einwilligung des Besuchers durch das Interagieren mit den entsprechenden Aktivierungs-Buttons im Cookie-Banner darf die jeweilige Datenverarbeitung zur Erfassung von Nutzerdaten stattfinden und das jeweilige Skript verwendet werden. Auch ist technisch sicherzustellen, dass - sofern die Einwilligung des Besuchers in mehr als eine Verarbeitung eingeholt wird - nur jene Skripten aktiviert werden, für welche der Besucher seine Einwilligung auch tatsächlich abgegeben hat.
  • Der Cookie-Banner hat beim erstmaligen Öffnen der Webseite durch den Besucher zu erscheinen. Die Auswahl bzw. Abgabe der Einwilligung durch den Besucher muss durch den Webseiten-Betreiber gespeichert werden, sodass bei einem weiteren Aufruf der Webseite der Cookie-Banner nicht erneut erscheint. Ferner dient das Speichern aus Sicht des Webseiten-Betreibers der Nachweispflicht bezüglich der Rechtmäßigkeit der Datenverarbeitung.
  • Zudem ist sicherzustellen, dass der Besucher jederzeit die Möglichkeit hat, seine über das Cookie-Banner erteilten Einwilligungen zu wiederrufen. Da der Widerruf einer Einwilligung gemäß Art. 7 Abs. 3 DSGVO in derselben Weise möglich sein muss, wie die Erteilung der Einwilligung, muss auf jeder Unterseite der Webseite die leicht auffindbare technische Möglichkeit geschaffen werden, eine bereits getroffene Auswahl zu ändern bzw. bereits erteilte Einwilligung durch das Deaktivieren zu widerrufen. Aus technischer Sicht ist in diesem Fall sicherzustellen, dass mit dem Widerruf der Einwilligung sämtliche vom Widerruf betroffenen Verarbeitungen durch das Blockieren der entsprechenden Skripte unterbunden wird.

Webseiten-Betreiber sollten sich also Zeit für ihre Cookies nehmen und den Leitlinien der bayerischen Datenaufsicht folgen. Denn nach unserer Einschätzung dürfte davon auszugehen sein, dass die Datenschutzbehörden bundesweit dem Thema „Cookies“ verstärkt Aufmerksamkeit widmen werden.