Die DSGVO stellt für viele Unternehmen noch immer eine Hürde dar. Besonders zeigt sich das beim Thema Cookies. Wie werden diese DSGVO-konform eingesetzt? Muss ich den Besucher meiner Webseite wirklich immer mit dem Cookie-Banner begrüßen? Die Antworten finden Sie in diesem Beitrag – inklusive der wichtigsten Hintergründe für einen umfassenden Cookie-Check.
Was wollen wir überhaupt im Internet über uns preisgeben?
Und an wen? Mit der Weiterentwicklung der Möglichkeiten im Internet wuchs auch die Relevanz dieser Fragen. Durch die DSGVO wurde die Datenfrage schließlich aus aktueller Perspektive aufgegriffen und geregelt. Sie räumt Internetnutzern das Recht ein, über ihre personenbezogenen Daten selbst zu verfügen – das heißt: Diese Daten dürfen nicht mehr einfach so im Hintergrund gesammelt und weiterverarbeitet werden. Egal, ob dies nun durch den Webseitenbetreiber oder durch Drittanbieter und deren Tools geschieht.
Die Datenanalyse erfolgt (einfach gesagt) durch Cookies, die im Browser des Nutzers hinterlegt werden. Ob Sie als Webseitenbetreiber diese Cookies DSGVO-konform einsetzen, sollten Sie regelmäßig mit einem Cookie-Check prüfen. Wichtig ist hier, die Hintergründe zu verstehen, um sinnvoll und rechtmäßig zu handeln.
Der Europäische Datenausschuss ist überzeugt: Rechtmäßige Einwilligung gibt es nur bei voller Kontrolle
Seit der Veröffentlichung von Guidelines zur Cookie-Nutzung durch den Europäischen Datenausschuss (European Data Protection Board) am 4. Mai 2020 sind Cookies nicht mehr aus einem Internetbesuch wegzudenken. Denn das EDPB ist überzeugt:
“Generally, consent can only be an appropriate lawful basis if a data subject is offered control and is offered a genuine choice with regard to accepting or declining the terms offered or declining them without detriment.”
– also kurz: Die Einwilligung ist nur rechtmäßig, wenn die betroffene Person volle Auswahlmöglichkeit und Kontrolle hat, was das Einwilligen und Ablehnen der einzelnen Dienste betrifft. Für viele Webseitenbetreiber bedeutet das: Ich muss in jedem Fall ein Cookie-Banner vorschalten, das Besucher über den Einsatz von Cookies informiert und ihnen die Wahl überlässt, inwiefern Daten gesammelt werden.
Seitdem werden wir bei jedem Webseitenbesuch von Cookie-Banners aller Art erschlagen. Viele klicken resigniert einfach nur noch auf „Alle akzeptieren“, um nicht jede Einwilligung einzeln erteilen bzw. ablehnen zu müssen.
Diese Hintergründe sollten Sie für den Cookie Check kennen
Dabei ist das gar nicht nötig. Sie müssen für den Cookie-Check nur verstehen, was die Gesetzgebung dazu sagt.
Für Webseitenbetreiber sind in diesem Zusammenhang vor allem Buchstaben a und f des Artikel 6, Absatz 1 der DSGVO wichtig:
- Einwilligung: Das Sammeln von Daten ist erlaubt, wenn die betroffene Person explizit zustimmt.
- f) Berechtigtes Interesse: Daten dürfen außerdem erhoben werden, wenn damit ein berechtigtes Interesse des Verantwortlichen verfolgt werden kann – zum Beispiel, um die Sicherheit einer Webseite oder deren Performance zu steigern.
Die Einwilligung nach Buchstabe a kennen wir ja bereits aus den eingangs genannten Guidelines des EDPB. Sie basieren auf einem Urteil des EuGH vom Oktober 2019, welches ebenfalls besagt, dass dem Einsatz von Cookies nur zugestimmt werden muss, wenn sie tatsächlich einer Einwilligung bedürfen. All diese (vielleicht verwirrend wirkenden Beispiele) laufen letztendlich auf einen Punkt hinaus, den Sie beim Cookie-Check beachten sollten:
Ein Cookie Banner ist nicht immer notwendig, um Cookies DSGVO-konform zu nutzen!
Tatsächlich benötigen Sie die Einwilligungs-Box nur für Cookies, die
- Das Nutzerverhalten analysieren
- Statistiken erstellen
- Nutzerdaten an Drittanbieter weitergeben – besonders, wenn diese Anbieter außerhalb der EU agieren
- Nutzerprofile anlegen
Cookies, die technisch notwendig sind (z.B. für den Warenkorb von Online-Shops) oder aus berechtigtem Interesse eingesetzt werden (z.B. für eine GoogleMaps-Integration) sind nicht einwilligungspflichtig – und damit nicht Cookie-Banner-pflichtig.
Ich weiß, dass all diese Urteile und verschiedenen Meinungen zum Thema Cookies und DSGVO sehr verwirrend sind und das Thema nicht unbedingt einfacher machen. Lassen Sie mich deshalb zum Abschluss noch konkret auf den Punkt bringen, auf was Sie bei Ihrem Cookie-Check achten müssen. Die Hintergründe dazu kennen Sie ja nun.
Der Cookie-Check in der Kurzversion – Schritt für Schritt zum DSGVO-konformen und nutzerfreundlichen Einsatz
- Gehen Sie alle Dienste durch, die Sie auf Ihrer Webseite nutzen (und prüfen Sie dabei bitte direkt, ob die auch vollständig in der Datenschutzerklärung auftauchen)
- Prüfen Sie, ob Sie auf Ihrer Webseite ein Cookie-Banner brauchen. Wenn ja, haben Sie bereits eines?
- Wird darin erläutert, zu welchem Zweck Sie Cookies einsetzen und welche Drittanbieter eventuell beteiligt sind?
- Ist jede Option abwählbar? Die Einwilligung muss explizit und aktiv erfolgen. Vorausgewählte Einwilligungen oder das implizite Erteilen der Erlaubnis durch Schließen der Box/Weiterscrollen ist nicht erlaubt. Auch eine Cookie Wall ist rechtswidrig – also ein die Webseite blockierendes Fenster, das sich nur durch Akzeptieren der Cookies schließen lässt.
- Stellen Sie sicher, dass auch wirklich nur die Cookies funktionieren, die vom Nutzer erlaubt werden.
- Schließen Sie Ihren Cookie-Check mit der Frage ab, ob Ihre Cookie-Löschfristen dem Gesetz entsprechen und ob Nutzer die Möglichkeit haben, ihre Einwilligung jederzeit ohne viel Aufwand zu widerrufen.
Ziehen Sie mit dem Compliance Check die notwendigen Schlüsse nach dem Cookie Check
Wenn Sie sich darum nicht selbst kümmern möchten, übernehme ich das auch gerne für Sie. Zum Beispiel im Rahmen des Compliance Checks. Sie erhalten einen kompletten Scan Ihrer Webseite inklusive ausführlichen Handlungsempfehlungen, wo Sie dringend noch nacharbeiten müssen. Auf Wunsch können Sie den Check um ein Cookie-AddOn erweitern, welches regelmäßig alle einwilligungspflichtigen Dienste Ihrer Webseite prüft und ein rechtssicheres Banner erstellt.