Aktuell geht insbesondere das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) gegen Website-Betreiber vor, die sogenannte Cookie-Banner im Zusammenhang mit Tracking-Lösungen einsetzen. Siehe hierzu
https://www.lda.bayern.de/media/pm2019_2.pdf
https://www.lda.bayern.de/media/sid_ergebnis_2019.pdf (ab Folie 20)
Irrtümlicherweise glauben viele Verantwortliche, diese Hinweise auf den Einsatz von Cookies seien im Rahmen der EU-Datenschutzgrundverordnung (DSGVO) hilfreich, erforderlich oder sogar für die Einholung von Einwilligungen ausreichend.
Tatsächlich sind Cookie-Banner nicht nur für Nutzer störend, sie sind insbesondere im Rahmen der DSGVO irreführend und können sich sogar rechtlich negativ auswirken.
Warum sind Cookie-Banner kontraproduktiv in Bezug auf die DSGVO?
Gemäß Artikel 6 DSGVO dürfen Cookie-Kennungen nur dann eingesetzt werden, wenn mindestens eine von drei Voraussetzungen erfüllt ist, nämlich:
- Cookies sind rechtlich und technisch unbedingt erforderlich beispielsweise, um eine Bestellung zu tätigen oder damit sich Nutzer einloggen können.
- Die mittels Cookies verarbeiteten Daten helfen dem Website-Betreiber bei einem berechtigten Zweck, während die Auswirkungen auf die Privatsphäre der Nutzer nicht überwiegen dürfen.
- Der Nutzer hat eingewilligt, dass bestimmte Cookies gesetzt werden dürfen.
Schauen wir uns nun zu jedem der drei Voraussetzungen die Auswirkungen auf das Einholen von Einwilligungen und dazugehörige Datenschutzhinweise an:
Fall a)
Erforderlichkeit: In der eigentlichen Datenschutzerklärung Ihrer Webseite sollten Sie erklären, dass Cookies eingesetzt werden, die grundsätzliche Funktionsweise von Cookies sowie welche Cookies Sie einsetzen, was diese tun, deren Funktionsdauer sowie ob Dritte auf die Cookies Zugriff erhalten. Ein einfacher Cookie Hinweis a la „Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies.“ ist nicht ausreichend. Genauso wenig ist es erforderlich, mittels eines Popups auf die Datenschutzerklärung hinzuweisen. Es reicht vielmehr ein Link beispielsweise im Footer jeder Seite.
Fall b)
Interessensabwägung: Erfolgt der Einsatz von Cookies zu sogenannten berechtigten Zwecken muss zusätzlich zu einem Passus über Cookies in der Datenschutzerklärung noch über die Zwecke des Einsatzes informiert werden und der Nutzer muss die Möglichkeit erhalten, der Datenverarbeitung für die Zukunft zu widersprechen. Ebenso wie unter (a) ist ein einfacher Cookie-Hinweis weder erforderlich noch ausreichend.
Fall c)
Einwilligungspflicht: Wird mittels des Einsatzes von Cookies stärker in die Privatsphäre der Nutzer eingegriffen, etwa wenn Dritte Zugang zu den Daten erhalten, sensible Daten erhoben oder Webseiten-übergreifende Nutzerprofile damit erstellt werden, dürfen dafür genutzte Cookies erst dann gesetzt werden, wenn Einwilligungen der Nutzer rechtmäßig eingeholt wurden. Zur Rechtmäßigkeit gehört, dass
- die Einwilligung freiwillig erfolgt und Nutzer auch einfach ablehnen beziehungsweise Einwilligungsbanner schließen können.
- die Einwilligung informiert erfolgt bezüglich Zweck, Umfang, Weitergabe an Dritte usw.
- die Einwilligung explizit erfolgt und Nutzer aktiv zustimmen, also nicht in dieser Art: „Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu.“
- die Einwilligung vorab erfolgt bevor Cookies gesetzt und Daten erfasst werden.
- die Einwilligung differenziert erfolgt und Nutzer bei verschiedenen Zwecken, Arten und Lösungen auch einzeln zustimmen und ablehnen können.
- die Einwilligung dokumentiert wird und nachgewiesen werden kann.
Wie man sieht, ist das Einholen rechtmäßiger Einwilligungen gar nicht so einfach. Ein simpler Cookie-Hinweis wird den Anforderungen keinesfalls gerecht. Wenn man also eine Einwilligung benötigt, helfen keine halben Sachen.
Ein Cookie-Banner hilft also in keinem dieser drei Fälle, sondern schadet eher. Einerseits nerven die Hinweise Ihre Besucher, außerdem stört sich die Datenschutzaufsicht daran. Cookie-Banner erwecken den Eindruck, dass das Tracking und Setzen von Cookies auf der Einwilligung der Nutzer basiert. Und dann sagen die Aufsichtsbehörden zurecht: Wenn das Setzen von Cookies mit der Einwilligung von Nutzern begründet wird, muss die Einwilligung rechtmäßig erfolgen: Cookie-Banner heißt keine wirkliche Zustimmung, also kein DSGVO-konformes Tracking. Gemäß DSGVO sollte man daher lieber auf Cookie-Banner verzichten, da sie eher schaden als helfen.
Was ist mit der Cookie-Richtlinie?
Kurz gesagt: Außerhalb Deutschlands wird es leider kompliziert. Der Grund hierfür ist die so genannte Cookie-Richtlinie, genauer: Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation). In Artikel 5 Absatz 3 heißt es dort:
Die Mitgliedstaaten stellen sicher, dass die Benutzung elektronischer Kommunikationsnetze für die Speicherung von Informationen oder den Zugriff auf Informationen, die im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur unter der Bedingung gestattet ist, dass der betreffende Teilnehmer oder Nutzer gemäß der Richtlinie 95/46/EG klare und umfassende Informationen insbesondere über die Zwecke der Verarbeitung erhält und durch den für diese Verarbeitung Verantwortlichen auf das Recht hingewiesen wird, diese Verarbeitung zu verweigern.
Auch diese Anforderung erfüllen die meisten Cookie-Hinweise nicht, denn es wird die umfassende Information gefordert ebenso wie die Möglichkeit der Ablehnung. Unklar ist, ob die Richtlinie eine Einwilligung vor dem Setzen von Cookies und der Datenverarbeitung erforderlich macht. Daher wurde die Richtlinie in Mitgliedstaaten der EU sehr unterschiedlich umgesetzt, mal mit Einwilligungspflicht (Opt-In), mal ohne (Opt-Out). In Deutschland ist die Umsetzung in nationales Recht nie erfolgt, obwohl die Frist hierfür 2011 endete. Daher empfiehlt es sich, das nationale Recht des jeweiligen EU-Staats zu beachten, in welchem sich der Sitz des Website-Betreibers befindet. Hinzu kommt, dass sich die Rechtspraxis von Mitgliedstaat zu Mitgliedstaat unterscheiden kann ebenso wie die Interpretation der Rechtsvorschriften durch die Aufsichtsbehörden des jeweiligen Landes.
Um unseren etracker-Kunden weitestgehende Rechtssicherheit bieten zu können, haben wir uns einerseits dem Prüfverfahren unabhängiger Experten unterzogen, die die Einhaltung der Regelungen von EU-Datenschutzgrundverordnung (EU-DSGVO) und Bundesdatenschutzgesetz neu (BDSG neu) mit dem Datenschutz-Gütesiegel ePrivacyseal attestiert haben. Mit Verleihung des Siegels wurde explizit bescheinigt, dass die Verarbeitung durch das berechtigte Interesse des Website-Betreibers gedeckt ist und somit keine Einwilligungspflicht besteht. Ebenso wurde uns im direkten Dialog mit Professor Dr. Johannes Caspar, dem Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit, bestätigt, dass eine Einwilligungserfordernis vor dem Setzen von Cookies nicht generell bestehe, sondern von der Art der Datenverarbeitung abhänge.