Erfahrungen & Bewertungen zu Barth Datenschutz GmbH

Cookies und DSGVO: Sind Cookies wirklich Pflicht?

15. Mai 2023

von Achim Barth

Ständig müssen Einwilligungen gegeben und Banner weggeklickt werden – Cookies treiben viele Internet-Nutzer zur Verzweiflung oder führen dazu, dass wir resigniert auf „Alles akzeptieren“ klicken und unsere Daten verschenken.

Und jetzt verrate ich Ihnen mal was: Cookie-Banner sind nicht zwangsläufig Pflicht! Ein Missverständnis der DSGVO bezüglich Cookies führt dazu, dass so einige Webseiten die Cookie-Box völlig überflüssig verwenden – oder falsch.

Deshalb widmet sich dieser Beitrag einmal ganz ausführlich dem Thema DSGVO und Cookies. Fangen wir an!

Grundlagen verstehen: Das sagt die DSGVO zur Datenerhebung durch Cookies

Wenn wir uns mit datenschutzrelevanten Fragen beschäftigen, hilft immer erst einmal ein Blick in den zugehörigen Rechtstext. Artikel 6, Absatz 1 der DSGVO erklärt Datenverarbeitung als rechtmäßig, wenn eine der folgenden Bedingungen erfüllt ist:

a) Einwilligung: Der User ist mit dem Erheben seiner Daten einverstanden.

b) Vertrag: Das Erheben der Daten ist notwendig, um (vor)vertragliche Maßnahmen durchzuführen.

c) Rechtliche Pflichten: Daten dürfen gesammelt werden, wenn der Verantwortliche damit rechtlichen Pflichten nachkommt – ein aktuelles Beispiel ist hier zum Beispiel das Ausfüllen der Zettelchen zur Kontaktverfolgung.

d) Interessen: Die Daten werden benötigt, wenn damit lebenswichtige Interessen der betroffenen Person geschützt werden sollen.

e) Öffentliche Aufgaben: Um ihre Aufgaben zu erfüllen, dürfen Behörden Daten natürlich erheben und verarbeiten.

f) Berechtigtes Interesse: Daten dürfen außerdem erhoben werden, wenn damit ein berechtigtes Interesse des Verantwortlichen verfolgt werden kann – zum Beispiel, um die Sicherheit einer Webseite oder deren Performance zu steigern.

Überlegen Sie jetzt kurz: Welche dieser sechs Punkte sind für Webseitenbetreiber eigentlich relevant? Richtig – solange kein Online-Shop verknüpft ist, dürfte es mit a und f getan sein. Laut DSGVO sind Hinweise auf Cookies (oder Consent Banner, wie es tatsächlich heißt) damit nicht immer notwendig. Warum? Das erfahren Sie gleich. Zunächst klären wir jedoch, woher dieses Missverständnis überhaupt kommt, man brauche immer die Einwilligungsbox.

Das „Cookie-Urteil“ hat so einige Webseiten-Betreiber gründlich verwirrt

Grund dafür ist das sogenannte „Cookie-Urteil“ des Europäischen Gerichtshofs vom Oktober 2019. Darin hatte der EuGH entschieden, dass dem Einsatz von Cookies zugestimmt werden muss – wenn sie einer Einwilligung bedürfen. Und genau da liegt der Hase im Pfeffer.

Das Urteil (und auch das darauffolgende Urteil des Bundesgerichtshofs) bezieht sich nämlich nur auf Cookies, die gemäß DSGVO einer Einwilligung nach Buchstabe a bedürfen. Somit fallen alle Dienste raus, die allein durch berechtigtes Interesse gerechtfertigt werden. Zum besseren Verständnis:

  • Technisch notwendig (laut TTDSG eigentlich nur „notwendige Cookies“) betrifft Cookies, die notwendig sind, um einen Dienst überhaupt anbieten zu können. Das wäre beispielsweise der Warenkorb-Cookie beim Online-Shopping. Der merkt sich, welche Produkte Sie in den Warenkorb gelegt haben. Ohne solche Dienste funktioniert Ihre Webseite nicht, weshalb zum Beispiel technisch notwendige Cookies auch nie ablehnbar sind.
  • Berechtigtes Interesse umfasst Dienste, die zwar nicht technisch notwendig sind, aber dennoch mit der Rechtsgrundlage des berechtigten Interesses verarbeitet werden. Dies betrifft  laut DSGVO Cookies, die für Performance/Sicherheit notwendig sind oder dem Nutzer einen Vorteil bieten, zum Beispiel die Einbindung von Google Maps oder YouTube-Videos im sicheren Modus.
  • Einwilligung benötigen Sie für Dienste, die die Aktivitäten auf Ihrer Webseite tracken – also zum Beispiel Google Analytics oder das Meta Pixel (Facebook und Instagram). Ihre Webseite würde natürlich auch ohne diese Dienste funktionieren.

Oft hilft es also, sich einmal näher zu informieren, anstatt sicherheitshalber alle Maßnahmen zu fahren. Umgekehrt sehe ich häufig, dass auf Webseiten in den Datenschutzhinweisen für einen Dienst die Rechtsgrundlage 6-f genannt ist, aber über das Consent-Banner die Einwilligung nach 6-a eingeholt wird. Aus meiner Sicht ein Verstoß gegen den Grundsatz einer transparenten Verarbeitung nach Treu und Glauben. Sie können als Grund Einwilligung oder berechtigtes Interesse nennen – nicht jedoch beides!

Auch das neue TTDSG sagt: Der Cookie-Hinweis ist nicht immer notwendig

Im Dezember 2021 ist das Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) in Kraft getreten. Das TTDSG ist eine Erweiterung der DSGVO. Sie finden hier nichts Neues zum datenschutzkonformen Cookie-Einsatz. Stattdessen regelt es die Rechtslage etwas klarer. § 25 Abs. 1 TTDSG schreibt vor:

„Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 zu erfolgen.“

Auf Deutsch heißt das: Mit versteckten Optionen zum Ablehnen oder Phrasen wie „Mit der weiteren Nutzung stimmen Sie der Nutzung von Cookies zu“ ist jetzt endgültig Schluss. Wenn Sie Cookies auf Ihrer Webseite nutzen, dürfen Sie die erst aktivieren, wenn der Nutzer aktiv und informiert zustimmt. Umgekehrt müssen Nutzer Ihre Webseite auch besuchen dürfen, wenn sie optionale Cookies ablehnen. Eine Ausnahme bilden auch hier – ähnlich wie bei der DSGVO – unbedingt erforderliche Cookies.

Wann ist kein Cookie-Banner notwendig?

Das TTDSG sagt ziemlich rigoros, dass sämtliche Cookies nur mit Einwilligung arbeiten dürfen. Davon ausgenommen sind die unbedingt erforderlichen (notwendigen) Cookies. Diese Vorgabe gilt selbst dann, wenn gar keine personenbezogenen Daten verarbeitet werden. Das berechtigte Interesse ist dann lediglich noch die Rechtsgrundlage der DSGVO, den Consent (die Einwilligung) benötigen Sie aber aufgrund des eben beschriebenen §25 TTDSG.

Für Ihre Webseite heißt das also: Ein Cookie-Banner bzw. Consent-Manager ist nur dann nicht verpflichtend, wenn Sie

  • Nicht tracken
  • Keine Cookies setzen
  • Keine Drittanbieter nutzen (auch nicht im Rahmen des berechtigten Interesses).

Diese Schritte sollten Sie jetzt gehen, um Ihre Webseite zu prüfen

Sie wollen jetzt nachsehen, ob Ihre Hinweise auf Cookies der DSGVO entsprechen? Dann empfehle ich Ihnen diese Schritte für eine datenschutzkonforme Webseite:

  1. Gehen Sie einmal durch, welche Dienste Sie aktuell nutzen.
  2. Sind diese bereits in der Datenschutzerklärung aufgeführt? Wenn nicht, dann bitte ergänzen!
  3. Auf welcher Rechtsgrundlage basiert Ihre Datenerhebung? Sind einwilligungspflichtige Dienste dabei? Wenn ja, benötigen Sie das Consent Banner in jedem Fall.
  4. Überlegen Sie sich, ob Sie die einwilligungspflichtigen Dienste wirklich benötigen, oder ob Sie das Ihren Nutzern ersparen können.
  5. Prüfen Sie abschließend, ob Ihre Cookie-Löschfristen dem Gesetz entsprechen – und ob Sie Ihre Löschfristen nicht sogar noch weiter verkürzen können.

Wenn Sie nun festgestellt haben, dass Sie um ein Consent Banner nicht herumkommen, habe ich einige Tipps für Sie.

Achten Sie bitte darauf, dass die Box einwandfrei funktioniert. Einwilligungspflichtige Dienste dürfen laut DSGVO wirklich nur dann aktiviert werden, wenn Nutzer aktiv das Häkchen gesetzt haben. Ein vorab von Ihnen angekreuztes Kästchen, welches lediglich bestätigt werden muss, reicht nicht aus. Prüfen Sie, ob die Texte Ihres Consent Banners rechtskonform sind und ob Nutzer die Möglichkeit haben, ihre Einwilligung jederzeit zurückzuziehen.

Haben Sie das alles abgehakt, sind Sie in Sachen Cookies auf der richtigen Spur!

Cookies und DSGVO: Nicht so kompliziert, wie es scheint

Ich hoffe, mit diesem Beitrag sind Sie nun etwas gefestigter im Umgang mit Cookies. Sicher, die DSGVO enthält eine Menge neuer Regelungen, die viele Unternehmen vor eine echte Hürde stellen. Oft lohnt es sich jedoch, einmal etwas genauer nachzuforschen und dann zu erkennen, was wirklich zählt. Auf meinen Datenschutz-Blog finden Sie noch zahlreiche weitere aufschlussreiche Beiträge zur DSGVO-konformen Webseite.

Wenn Sie sich nicht selbst darum kümmern können, empfehle ich Ihnen den DSGVO-Web-Check. Nach einem kompletten Scan Ihrer Webseite erhalten Sie einen ausführlichen Bericht mit Handlungsempfehlungen, außerdem korrekte Datenschutzhinweise als Text und Code sowie ein DSGVO-konformes Cookie-Banner.

Von |2024-12-03T05:52:25+01:00Mai 2023|Webseite|