Eine flache Umrissillustration von einer Popup-Nachricht über das Akzeptieren von Cookies

Cookie-Banner auf jeder Webseite: Eine lästige Angelegenheit – doch nicht immer notwendig!

Seit Cookie-Banner auf jeder Webseite Pflicht sind, dauert ein Besuch im Internet gefühlt doppelt so lange. Ständig müssen Einwilligungen gegeben und Banner weggeklickt werden.

Und jetzt verrate ich Ihnen mal was: Viele dieser sogenannten Consent-Banner sind eigentlich gar nicht notwendig! Ein Missverständnis der DSGVO bezüglich Cookies führt dazu, dass so einige Webseiten die Cookie-Box völlig überflüssig verwenden – oder falsch.

Deshalb widmet sich dieser Beitrag einmal ganz ausführlich dem Thema DSGVO und Cookies. Fangen wir an!

Grundlagen verstehen: Das sagt die DSGVO zur Datenerhebung via Cookie

Wenn wir uns mit datenschutzrelevanten Fragen beschäftigen, hilft immer erst einmal ein Blick in den zugehörigen Rechtstext. Artikel 6, Absatz 1 der DSGVO erklärt Datenverarbeitung als rechtmäßig, wenn eine der folgenden Bedingungen erfüllt ist:

a) Einwilligung: Der User ist mit dem Erheben seiner Daten einverstanden.

b) Vertrag: Das Erheben der Daten ist notwendig, um (vor)vertragliche Maßnahmen durchzuführen.

c) Rechtliche Pflichten: Daten dürfen gesammelt werden, wenn der Verantwortliche damit rechtlichen Pflichten nachkommt – ein aktuelles Beispiel ist hier zum Beispiel das Ausfüllen der Zettelchen zur Kontaktverfolgung.

d) Interessen: Die Daten werden benötigt, wenn damit lebenswichtige Interessen der betroffenen Person geschützt werden sollen.

e) Öffentliche Aufgaben: Um ihre Aufgaben zu erfüllen, dürfen Behörden Daten natürlich erheben und verarbeiten.

f) Berechtigtes Interesse: Daten dürfen außerdem erhoben werden, wenn damit ein berechtigtes Interesse des Verantwortlichen verfolgt werden kann – zum Beispiel, um die Sicherheit einer Webseite oder deren Performance zu steigern.

Überlegen Sie jetzt kurz: Welche dieser sechs Punkte sind für Webseitenbetreiber eigentlich relevant? Richtig – solange kein Online-Shop verknüpft ist, dürfte es mit a und f getan sein. Laut DSGVO sind Cookie-Banner (oder Consent Banner, wie es tatsächlich heißt) damit nicht immer notwendig. Warum? Das erfahren Sie gleich. Zunächst klären wir jedoch, woher dieses Missverständnis überhaupt kommt, man brauche immer die Einwilligungsbox.

Das „Cookie-Urteil“ hat so einige Webseiten-Betreiber gründlich verwirrt

Grund dafür ist das sogenannte „Cookie-Urteil“ des Europäischen Gerichtshofs vom Oktober 2019. Darin hatte der EuGH entschieden, dass dem Einsatz von Cookies zugestimmt werden muss – wenn sie einer Einwilligung bedürfen. Und genau da liegt der Hase im Pfeffer.

Das Urteil (und auch das darauffolgende Urteil des Bundesgerichtshofs) bezieht sich nämlich nur auf Cookies, die gemäß DSGVO einer Einwilligung nach Buchstabe a bedürfen. Somit fallen alle Dienste raus, die allein durch berechtigtes Interesse gerechtfertigt werden. Zum besseren Verständnis:

  • Technisch notwendig betrifft Cookies, die notwendig sind, um einen Dienst überhaupt anbieten zu können. Das wäre beispielsweise der Warenkorb-Cookie beim Online-Shopping. Der merkt sich, welche Produkte Sie in den Warenkorb gelegt haben. Ohne solche Dienste funktioniert Ihre Webseite nicht, weshalb zum Beispiel technisch notwendige Cookies auch nie ablehnbar sind.
  • Berechtigtes Interesse umfasst Dienste, die zwar nicht technisch notwendig sind, aber dennoch mit der Rechtsgrundlage des berechtigten Interesses verarbeitet werden. Dies betrifft Cookies, die für Performance/Sicherheit notwendig sind oder dem Nutzer einen Vorteil bieten, zum Beispiel die Einbindung von Google Maps oder YouTube-Videos im sicheren Modus.
  • Einwilligung benötigen Sie für Dienste, die die Aktivitäten auf Ihrer Webseite tracken – also zum Beispiel Google Analytics oder das Facebook Pixel. Ihre Webseite würde natürlich auch ohne diese Dienste funktionieren.

Oft hilft es also, sich einmal näher zu informieren, anstatt sicherheitshalber alle Maßnahmen zu fahren.

Umgekehrt sehe ich häufig, dass auf Webseiten in den Datenschutzhinweisen für einen Dienst die Rechtsgrundlage 6-f genannt ist, aber über den Consent-Banner die Einwilligung nach 6-a eingeholt wird. Aus meiner Sicht ein Verstoß gegen den Grundsatz einer transparenten Verarbeitung nach Treu und Glauben. Sie können als Grund Einwilligung oder berechtigtes Interesse nennen – nicht jedoch beides!

Sie tracken nicht? Dann ist laut DSGVO kein Cookie-Banner notwendig!

Wer auf seiner Webseite keine Tracking-Tools einsetzt, braucht daher auch keinen Consent Manager. Alles, was allein auf Buchstabe f des Artikel 6 basiert, muss lediglich in der Datenschutzerklärung aufgeführt werden. Und die ist Pflicht auf jeder Webseite! Technisch müssen Sie nur dafür sorgen, dass ein Webseitenbesucher dieser Verarbeitung widersprechen kann.

Diese Schritte sollten Sie jetzt gehen, um Ihre Webseite zu prüfen

Sie wollen jetzt nachsehen, ob Sie mit dem Cookie-Banner der DSGVO entsprechen? Dann empfehle ich Ihnen diese Schritte:

  1. Gehen Sie einmal durch, welche Dienste Sie aktuell nutzen.
  2. Sind diese bereits in der Datenschutzerklärung aufgeführt? Wenn nicht, dann bitte ergänzen!
  3. Auf welcher Rechtsgrundlage basiert Ihre Datenerhebung? Sind einwilligungspflichtige Dienste dabei? Wenn ja, benötigen Sie das Consent Banner in jedem Fall.
  4. Überlegen Sie sich, ob Sie die einwilligungspflichtigen Dienste wirklich benötigen, oder ob Sie das Ihren Nutzern ersparen können.
  5. Prüfen Sie abschließend, ob Ihre Cookie-Löschfristen dem Gesetz entsprechen – und ob Sie Ihre Löschfristen nicht sogar noch weiter verkürzen können.

Wenn Sie nun festgestellt haben, dass Sie um ein Consent Banner nicht herumkommen, habe ich einige Tipps für Sie.

Achten Sie bitte darauf, dass die Box einwandfrei funktioniert. Einwilligungspflichtige Dienste dürfen laut DSGVO wirklich nur dann aktiviert werden, wenn Nutzer aktiv das Häkchen gesetzt haben. Ein vorab von Ihnen angekreuztes Kästchen, welches lediglich bestätigt werden muss, reicht nicht aus. Prüfen Sie, ob die Texte Ihres Consent Banners rechtskonform sind und ob Nutzer die Möglichkeit haben, ihre Einwilligung jederzeit zurückzuziehen.

Haben Sie das alles abgehakt, sind Sie in Sachen Cookies auf der richtigen Spur!

Cookies und DSGVO: Nicht so kompliziert, wie es scheint

Ich hoffe, mit diesem Beitrag sind Sie nun etwas gefestigter im Umgang mit Cookies. Sicher, die DSGVO enthält eine Menge neuer Regelungen, die viele Unternehmen vor eine echte Hürde stellen. Oft lohnt es sich jedoch, einmal etwas genauer nachzuforschen und dann zu erkennen, was wirklich zählt. Schauen Sie deshalb öfters mal auf meinem Blog vorbei – hier finden Sie regelmäßig hilfreiche Einblicke in die wirklich wichtigen Datenschutz-Themen!

cookie, datenschutz, DSGVO

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Geschäftsstelle

Barth Datenschutz GmbH
Theodor-Veiel-Straße 94
70374 Stuttgart

Tel: 0711 / 40070720
Fax: 0711 / 40070729
info@barth-datenschutz.de

© Copyright - Barth Datenschutz GmbH - 0711 / 40070720 - info@barth-datenschutz.de