SIE HABEN IHRE DATEN VERGESSEN?

Blog

Websites DSGVO-konform mit Cookie-Bannern ausstatten

Artikel veröffentlicht: 15. Januar 2020
Update: 3. Juni 2020

Jeder hat wohl schon einmal die - zugegebenermaßen nervigen - Cookie-Banner wahrgenommen, die sich vorschalten, sobald man eine Website öffnet. Doch sind diese wirklich nötig? Wir schildern Ihnen unsere Sicht der Dinge:

Cookie Banner auf der ITR Website

Seit Einführung der Datenschutz-Grundverordnung (DSGVO) haben sich die Anforderungen an die Gestaltung von Webseiten deutlich verändert. Die meisten Websites funktionieren ohne (technisch notwendige) Cookies nicht, das ist Fakt. Man unterscheidet allerdings zwischen verschiedenen Cookie-Arten:

1. Session Cookies (Essenziell)

werden vom Browser wieder gelöscht, sobald der Nutzer die Website verlässt.

Diese dienen z.B. der Nutzerführung auf der Seite oder dem Warenkorb in Onlineshops. Hierfür bedarf es nach heutigem Stand keiner Cookie-Einwilligung durch den Nutzer.

 

2. Permanente Cookies (Tracking)

bleiben hingegen gespeichert. Der Betreiber der Seite legt hierbei fest, wie lange die Cookies gültig sein sollen. Hierdurch wird für den Nutzer das Nutzungserlebnis erhöht, sie können allerdings auch zum Tracking der Nutzer und dessen Verhalten genutzt werden. Und genau hier liegt das Problem. Diese Daten dürfen ohne Einwilligung des Nutzers nicht mehr gespeichert werden.

Bei Tracking-Cookies muss zudem die Dauer der Speicherung angegeben werden (siehe Art. 13 DSGVO).

Rechtsgrundlage

Es gibt allerdings auch nicht "die eine" Rechtsgrundlage für alle Cookies. In jedem individuellen Fall muss geprüft werden, welcher Zweck und welches Werkzeug hinter dem jeweiligen Cookie stehen und welche Daten dabei verarbeitet werden. Die Gesetzgeber tun sich schwer damit, eine gültige Richtlinie zu erstellen.

Der bisherigen Rechtslage, wonach das Tracking auch ohne Einwilligung möglich war, wurde somit praktisch die Grundlage entzogen. Statt eines „Opt-Out“, wonach die Daten bis zum Widerspruch verarbeitet werden dürfen, ist nun grundsätzlich ein „Opt-In“ nötig. Eine Verarbeitung darf also erst dann stattfinden, wenn der Nutzer seine Einwilligung erklärt hat.

Sofern die Interessen des Nutzers die Interessen des Websitebetreibers überwiegen, ist selbst ein Webtracking zur reinen Reichweitenmessung mit Matomo oder Google Analytics nicht ausgeschlossen.

Sobald allerdings etwa die IP-Adresse verarbeitet wird oder eine Verknüpfung mit einer eindeutigen ID oder mit weiteren Daten stattfindet ist eine Einwilligung erforderlich.

!!! Wichtiges Update nach BHG-Urteil vom 28. Mai 2020: siehe weiter unten !!!

Cookie-Banner

Will man auf Nummer sicher gehen und sich teure Abmahnungen ersparen, kommt man um den Einsatz eines Cookie-Banners nicht herum. Es gibt allerdings nur wenige der aktuell eingesetzen Cookie-Banner, die an den Voraussetzungen nicht scheitern. Diese sind u.a.:

  • Wahlmöglichkeit
  • Unmissverständliche Zustimmung (Weiterscrollen ist KEINE Einwilligung!)
  • Tracking darf erst dann beginnen, wenn der Nutzer seine Einwilligung erklärt hat.
    • Das lässt sich in der Praxis mit einem entsprechenden JavaScript-Code realisieren
    • prüft den Eintrag im „Cookie-Banner“-Cookie
    • führt entsprechend des Eintrags den Tracking-Code aus oder aber verhindert diesen
  • Nutzer muss seine Einwilligung widerrufen können, indem er etwa das Cookie-Banner erneut aufrufen und Einstellungen verändern kann.
  • Impressum und Datenschutzerklärung müssen trotz Cookie-Banner aufrufbar sein.

Tracking ohne Cookies auch möglich

Ein cookieloses Tracking auf Basis eines zurückhaltenden Fingerprints (Tracking-Script erstellt einen Fingerabdruck des Browsers des Besuchers) ohne Verarbeitung der IP-Adresse lässt sich beispielsweise bei Matomo direkt konfigurieren.

Achtung bei datenverarbeitenden Drittanbietern

Besondere Aufmerksamkeit gilt neben den Cookies allerdings auch dem Zugriff auf fremde Seiten, Dienste und Anbieter. Auch dieser ist nicht ohne ausdrückliche Einwilligung gestattet, da hierdurch Daten (z.B. IP-Adresse, Browserinfos des Besuchers) an Dritte weitergegeben werden.

Dies ist besonders bei den folgenden sehr verbreiteten Funktionen der Fall:

  • Google Fonts
  • Google Maps
  • Youtube
  • Vimeo
  • Google Analytics etc.

Hier gilt besondere Vorsicht!

EUGH-Urteil vom 1. Oktober 2016

Der EuGH urteilte, dass Einwilligungen so ausdrücklich gegeben werden müssen, dass ein vorangekreuztes Häkchen nicht reicht.

Im konkreten Fall heißt dies, essenzielle Cookies, die zum Ausführen der Website notwendig sind, können vorausgewählt sein. Denn hierdurch überwiegen die Vorteile des Nutzers.

Alle anderen Cookies (Tracking-Cookies zu Statistiken / Conversion Tracking, Marketing / Remarketing oder externen Medien wie z.B. Facebook Pixel) bedürfen der ausdrücklichen Zustimmung des Nutzers. Diese dürfen nicht vorausgewählt sein, sondern müssen vom Nutzer aktiv gesetzt (zugestimmt) werden.

!!! BGH-Urteil vom 28. Mai 2020 !!!

Zustimmung zu Cookies im Internet darf nicht voreingestellt sein.

"Das Setzen von Cookies ohne Einwilligung sei nun auch in Deutschland sogenannten technisch notwendigen Cookies vorbehalten, etwa für die Funktionalität eines elektronischen Warenkorbs", sagt David Klein, Fachanwalt für Informationsrecht bei der internationalen Wirtschaftskanzlei Taylor Wessing. „Das Urteil des Bundesgerichtshofs schafft zumindest insoweit Klarheit, als dass der deutsche Sonderweg des ,Opt-out‘ nunmehr beendet ist.“

"Der richtlinienkonformen Auslegung des Telemediengesetzes (TMG) stehe nicht entgegen, dass der deutsche Gesetzgeber bisher keinen Umsetzungsakt vorgenommen hat. Denn es sei anzunehmen, dass der Gesetzgeber die bestehende Rechtslage in Deutschland für richtlinienkonform erachtete. Mit dem Wortlaut des TMG ist eine entsprechende richtlinienkonforme Auslegung noch vereinbar.", so die Richter.

So urteilte der BGH so, wie der EUGH es bereits im letzten Jahr getan hatte. Die Handlungsempfehlungen gelten nach wie vor. Essenzielle Cookies können vorausgewählt sein, alle anderen Cookies bedürfen der ausdrücklichen Zustimmung des Nutzers. Diese dürfen somit nicht vorausgewählt sein

unser Service für Sie

Wenn Sie sicher gehen wollen, nutzen Sie in jedem Fall ein wirksames Cookie-Banner.

Wir haben uns Gedanken gemacht, wie wir unseren Kunden beim Schutz Ihrer Website helfen können. Nach viel Recherchen (und noch viel mehr als untauglich befundenen Bannern) haben wir uns für den Borlabs Cookie-Banner entschieden. Dieser kommt für all unsere Wordpress-Kunden in Frage. Es gibt auch Alternativen für andere Seiten, die wir allerdings individuell prüfen müssen.

Die Vorteile liegen klar auf der Hand: Der Banner ist so individuell einstellbar, wie man es sich nur wünschen kann. Und er ist zum heutigen Zeitpunkt einer der wenigen, der allen Anforderungen entspricht.

Für eine kleine monatliche Pauschale sowie einer ebenso kleinen einmaligen Einrichtungspauschale richten wir unseren Kunden auf Wunsch das Banner so ein, dass er für Sie optimal eingestellt ist. Natürlich kann er auch passend an das CI des Unternehmens angepasst werden.

Und da von der Nutzung eines reCAPTCHA (zur Vermeidung von Spam-E-Mails) momentan ganz klar abgeraten wird, bauen wir unseren Wordpress-Kunden zudem kostenlos eine DSGVO-konforme Alternative in Form eines Honeypots ein.

Alle Angaben ohne Gewähr.

Wollen Sie sich mit einem Cookie-Banner absichern?

Wir setzen auf Wunsch Ihre gesamte Website DSGVO-konform um. Sprechen Sie uns gleich an:

ITR Service GmbH
Telefon: +49 2233 808880
E-Mail: info@itr-service.de

Quellen:

DuD • Datenschutz und Datensicherheit 9 | 2019, Sebastian Schwäbe, S. 559-562

https://www.datenschutz-notizen.de/zur-wirksamkeit-von-cookie-bannern-1823565/

https://www.handelsblatt.com/technik/it-internet/internetwirtschaft-was-das-cookie-urteil-des-bgh-fuer-die-internetwirtschaft-bedeutet/25868182.html?ticket=ST-1976844-o67zeW7HW4d3CKWNihQp-ap2

Kategorien

Letzte Beiträge

Archiv

NACH OBEN