DSGVO: Rechtsgrundlagen und Funktionsweisen von Cookie-Hinweisen

(Bild: Tero Vesalainen / shutterstock.com)

Websitebetreiber müssen sich mit dem datenschutzkonformen Einsatz von Cookies beschäftigen. Die unübersichtliche Rechtslage macht es ihnen nicht leicht.

Nicolas Maekeler

Die Datenschutz-Grundverordnung der EU regelt die Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen grundsätzlich neu. Vor einem Jahr war es dann soweit: Die DSGVO trat nach einer zweijährigen Übergangsfrist endgültig in Kraft. Im Schwerpunkt "Ein Jahr DSGVO: die Erneuerung des Datenschutzes" ziehen wir Bilanz über die Auswirkungen und stellen die Änderungen auf den Prüfstand.

Seit dem Start der DSGVO greift das Phänomen der Cookie-Hinweise immer weiter um sich. Kaum ein Webauftritt, bei dem nicht auf der Startseite beim ersten Besuch ein Banner aufpoppt, das – wenn man ehrlich ist – möglichst schnell weggeklickt wird, weil es meist die Inhalte der Seite überdeckt. Ob diese, auch Cookie-Bars genannten, Text-Boxen den Website-Besuchern einen echten Mehrwert bieten, darf bezweifelt werden.

Oftmals sind die Banner nur ein datenschutzrechtliches Feigenblatt. Weil sich die Verantwortlichen meist selbst nicht im Klaren darüber sind, warum man auf der eigenen Website überhaupt auf Cookies hinweisen sollte, wird irgendeine halbgare Erklärung per Copy & Paste von einer anderen Seite übernommen. Frei nach dem Motto "Wenn es die anderen so machen, kann es ja nicht falsch sein".

Schwerpunkt: Ein Jahr DSGVO – eine Bilanz

Am 25. Mai 2018 trat die Datenschutz-Grundverordnung endgültig in Kraft - und löste trotz zwei Jahren Zeit für Vorbereitungen große Unsicherheit bei Anbietern und Nutzern aus. Nach einem Jahr zeigt die Bilanz, welche Auswirkungen die DSGVO hatte und was sich eigentlich Entscheidendes geändert hat.

Das machen Cookies

Cookies sind nicht per se datenschutzrechtlich bedenklich. In vielen Fällen ist ihr Einsatz für grundlegende Funktionen der Website erforderlich oder zumindest nützlich, etwa um die bevorzugte Sprache, Seiteneinstellungen oder – im Falle eines Onlineshops – den Inhalt eines Warenkorbes zu speichern. Darüber hinaus werden Cookies aber auch für die Website-Analyse verwendet. So ist es Website-Betreibern möglich, wiederkehrende Besucher zu erkennen und typische Klickpfade zu verfolgen.

Einen eher schlechten Ruf haben Cookies im Zusammenhang mit Online-Werbung. Mithilfe der kleinen Datenpakete tracken Werbetreibende Internetnutzer über viele Websites hinweg und legen von ihnen individuelle Profile an, um so gezielt personalisierte Werbung anzeigen zu können. Neben Informationen zur verwendeten Hard- oder Software können Cookies auch Informationen beinhalten, die einen Website-Besucher identifizierbar machen: IP-Adresse, E-Mail-Adresse, Name, Telefonnummer oder eine "unique user ID".

Und an dieser Stelle kommt der Datenschutz ins Spiel. Die DSGVO regelt in Artikel 4, dass auch Online-Kennungen, über die Personen identifiziert werden können, als personenbezogene Daten anzusehen sind, auf die der Datenschutz Anwendung findet. Für den Datenschutz nicht relevant sind somit technisch notwendige Cookies, die keine Wiedererkennung eines Website-Besuchers ermöglichen. Bei der Verwendung von Cookies, die einen Nutzer beispielsweise als "unique user" identifizieren, ist hingegen der Anwendungsbereich der DSGVO eröffnet.

Highlights des Sonderhefts: DSGVO-Praxis von Fachjuristen; was 2019 wirklich wichtig ist; neue Pflichten für Unternehmen; Anforderungen an die IT-Sicherheit; Inklusive Webinar, Kurzpapieren, FAQs, Checklisten.

Rechtsgrundlage für Cookies

Für die Verwendung derartiger Cookies muss daher ein Erlaubnistatbestand des Artikel 6 DSGVO vorliegen. Der Betreiber der Website kann entweder die Einwilligung der Website-Besucher einholen oder sich auf die Erfüllung eines Vertrages beziehungsweise die Rechtsgrundlage der berechtigten Interessen berufen. Zu letzterem zählt unter anderem auch Direktwerbung.

Viele Website-Betreiber waren daher im Umsetzungsprozess der DSGVO frohen Mutes und gingen davon aus, dass auch die umstrittenen Marketing-Cookies wie gewohnt und ohne Einwilligung mittels einer Opt-Out-Lösung genutzt werden könnten. Insbesondere um den Einsatz von Webseitenanalyse-Cookies, etwa bei Google Analytics, machte man sich wenig Sorgen. Denn wenn selbst Direktmarketing als berechtigtes Interesse deklariert wird, müsste dies doch erst recht für die Vorstufe der Marketinganalyse gelten.

Tracking

Die gute Stimmung wurde jedoch kurz vor dem Startschuss der DSGVO im April 2018 durch ein Positionspapier der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) jäh beendet. In dem Papier, das sich mit den rechtlichen Anforderungen an das Tracking von Nutzern auf Websites beschäftigt, positionieren sich die Datenschützer eindeutig: "Es bedarf jedenfalls einer vorherigen Einwilligung beim Einsatz von Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen, und bei der Erstellung von Nutzerprofilen." Vor dem Verwenden von Analysewerkzeugen wie Google Analytics oder von Werbetrackern müsse daher vorab eine informierte Einwilligung eingeholt werden. Nur wenn der Einsatz von Cookies unbedingt erforderlich sei, um dem Nutzer den angefragten Online-Service zur Verfügung stellen zu können, soll man sich auf andere Rechtsgrundlagen berufen können.

Mitte April 2019 legte die DSK ergänzend eine „Orientierungshilfe für Anbieter von Telemedien“ vor, in der sie ihre Position ausführlicher darlegt und begründet. Bei „Tracking“ handle es sich um „Datenverarbeitungen zur – in der Regel Website-übergreifenden – Nachverfolgung des individuellen Verhaltens von Nutzern“.

Die Aussagen der DSK sind zwar nicht rechtlich bindend, machen jedoch deutlich, wie die Datenschutzbehörden das neue europäische Recht auslegen und anwenden werden. Bei Verstößen drohen hier Geldbußen.

Googles Marktmacht

Auch seitens der großen Internetunternehmen wird Druck gemacht. Wer etwa Googles Werbe- und Measurement-Produkte, Google Maps, YouTube oder reCAPTCHA auf der eigenen Website nutzt, muss der "Richtlinie zur Einwilligung der Nutzer in der EU" zustimmen. Diese fordert von Website-Betreibern, dass sie von Endnutzern eine Einwilligung für den Einsatz von Cookies oder anderer Formen der lokalen Speicherung von Informationen einholen und dieses auch dokumentieren. Auch Facebook empfiehlt für das Facebook-Pixel – ein Analysetool, mit dem man die Effektivität eigener Werbung messen kann – eine Opt-In-Lösung. Anstatt die angebotenen Dienste datenschutzfreundlicher zu gestalten, wird die Verantwortung gerade von Seiten der Internetgiganten offenbar lieber auf die einzelnen Website-Betreiber abgewälzt.

Zwar lassen sich nach wie vor gute Argumente dafür finden, dass Analysewerkzeuge und Tracking-Funktionen auf der Website ohne Zustimmung auf Grundlage berechtigter Interessen genutzt werden können. Wer jedoch keinen Ärger mit den Datenschutzbehörden bekommen möchte oder einer vertraglichen Verpflichtung unterliegt, sollte sich lieber mit der Einwilligungslösung anfreunden.

Unwirksame Einwilligung

Eine rechtsverbindliche Vorgabe, wie ein Cookie-Hinweis auszusehen hat, gibt es nicht. Eine wirksame Einwilligung setzt jedenfalls voraus, dass der Website-Besucher tatsächlich die Wahl haben muss, zu entscheiden, ob er Cookies zulassen will oder nicht. Er muss folglich das Setzen von nicht zwingend erforderlichen Cookies auch ablehnen können. Etliche Hinweise verdecken jedoch in Form eines großen Layers fast die gesamten Inhalte einer Website und bieten lediglich die Möglichkeit, mittels eines einzelnen OK-Buttons Cookies zu akzeptieren. Ohne Einwilligung kann man die Website somit nicht nutzen. In solchen Fällen gilt die Einwilligung nicht als freiwillig erteilt und ist daher unwirksam.

Auf der Website derStandard.at können die Verbraucher entscheiden, ob sie zur Nutzung der Seite mit ihren personenbezogenen Daten oder mit Geld bezahlen wollen.

Die Diskussion um Cookies lässt Website-Betreiber kreativ werden. Die österreichische Tageszeitung "Der Standard" stellt die Nutzer ihres Onlineportals beispielsweise vor die Wahl: Entweder sie willigen in die Verwendung von Cookies zu Analyse- und Werbezwecken ein oder sie schließen ein kostenpflichtiges Abo ab und können die Website ohne zustimmungspflichtige Cookies nutzen. Die örtlich zuständige Datenschutzbehörde sieht in diesem Fall das Kriterium der Freiwilligkeit erfüllt. Da das Abo nicht unverhältnismäßig teuer ist, sei es eine echte Alternative. Soweit für den Nutzer keine der beiden Möglichkeiten in Betracht kommt, könne er auch auf andere Informationsangebote zurückgreifen.

Informierte Einwilligung

Häufig liest man Sätze wie "Durch die Nutzung der Website erklären Sie sich mit der Verwendung von Cookies einverstanden". Derartige Formulierungen dürften den Anforderungen der Datenschutzbehörden nicht genügen, denn diese fordern laut des zitierten DSK-Papiers eine "Erklärung oder sonstige eindeutig bestätigende Handlung".

Derzeit etablieren sich Einwilligungsmodelle, bei denen der Nutzer die Möglichkeit hat, neben der pauschalen Zustimmung oder Ablehnung, einzelne oder bestimmte Kategorien von Cookies an- beziehungsweise abzuwählen.

Eine entsprechende Erklärung kann nur abgeben, wer hinreichend über den Einsatz von Cookies informiert wird. Ein Banner, der aus Platzgründen zunächst rudimentär darauf hinweist, für welche Zwecke Cookies genutzt werden und dass ein Widerrufsrecht besteht, kann das Thema nur anreißen. Ein Link zur Datenschutzerklärung oder einer gesonderten Cookie-Policy, in der alle Pflichtinformationen sowie Ausführungen zu den verwendeten Cookies enthalten sind, ist daher verpflichtend.

Nicht selten ist zu beobachten, dass zwar ein, den Kriterien einer wirksamen Einwilligung entsprechender Cookie-Banner vorhanden ist, beim Besuch der Website jedoch im Hintergrund bereits Cookies in den Browser geladen werden, obwohl der Nutzer dem noch nicht zugestimmt hat. Dabei wird außer Acht gelassen, dass eine vorherige Einwilligung eingeholt werden muss und nicht eine nachträgliche Genehmigung. Ein rechtlich einwandfreier Einwilligungstext nützt wenig, wenn eine entsprechende technische Umsetzung nicht erfolgt.

Ausblick

Wer denkt, mit der DSGVO hätte man nun eine beständige Rechtslage in Bezug auf Cookies, liegt daneben. Denn der nächste große Wurf der EU ist schon im Anmarsch: die ePrivacy-Verordnung. Diese sollte eigentlich zeitgleich mit der DSGVO und den Bereich der elektronischen Kommunikation neu regeln. Derzeit berät man sich noch über den aktuellen Entwurf, der deutlich strengere Regeln im Zusammenhang mit Cookies vorsieht. Voraussichtlich wird die Verordnung nicht vor 2020 in Kraft treten und mit einer zweijährigen Übergangsfrist erst 2022 anwendbar sein. Bis dahin muss man sich mit der DSGVO begnügen. (cbo)

Abonnieren
Nach oben ↑