DSGVO: Benötigen Sie ein Cookie-Banner?

In vielen Shops sind sie zu sehen - doch sind sie auch erforderlich? Die Fragen rund um das Cookie-Banner sind mit der DSGVO nicht ausgeräumt. Vielmehr tauchen sie wieder unter Online-Händlern verstärkt auf, weil die DSGVO keine eindeutige Regelung zu Cookies und deren Einsatz enthält. Was also die DSGVO konkret für das Cookie-Banner auf Ihrer Webseite bedeutet, erfahren Sie in diesem Rechtstipp der Woche.

Was sind Cookies noch einmal genau?

Cookies sind kleine Textdateien, die auf dem Gerät eines Webseitenbesuchers zeitweise gespeichert werden und dem Webseitenbetreiber bestimmte Informationen bieten bzw. den Besucher für diesen wiedererkennbar machen (für den Fall z.B., dass er die Seite erstmal verlässt und später wieder abruft). Sie werden u.a. eingesetzt, um die Besucheranzahl zu ermitteln, die Seitennutzung zu analysieren, den Inhalt des Warenkorbs zu speichern usw. Um bestimmte Werte zu messen oder den Nutzer wiederzuerkennen, werden die vorgehaltenen Informationen im Falle eines erneuten Webseitenbesuchs oder eines Besuchs einer bestimmten anderen Webseite ausgelesen. Diese Informationen können statistische, aber auch personenbezogene Daten, wie zum Beispiel die IP-Adresse des Nutzers, beinhalten.

Einsatz von Cookies vor der DSGVO

Bisher beruhte der Einsatz von Cookies zum größten Teil auf § 15 Abs. 3 TMG, der eine Auflockerung der grundsätzlichen Voraussetzungen für die Erhebung personenbezogener Daten durch Cookies vorsah. Laut dieser Norm durften pseudonymisierte personenbezogene Daten grundsätzlich zum Zweck der Nutzerprofilerstellung, der Werbung und der Marktforschung und der bedarfsgerechten Gestaltung seiner Plattform erhoben werden, sofern der Nutzer nicht widersprochen hat und von seinem Widerspruchsrecht ordnungsgemäß unterrichtet wurde. In der deutschen Praxis hat sich aufgrund der Diskussionen rund um die Cookie-Richtlinie 2009/136/EG (näheres dazu hier) die Anwendung eines Cookie-Banners durchgesetzt, mit dem Nutzer über den Einsatz von Cookies und deren Zwecke zu informieren.

Was sagt die DSGVO zu Cookies?

Zwar nennt die DSGVO nennt nirgendwo ausdrücklich Cookies und trifft auch keine spezifischen Regelungen für diese, jedoch fallen die meisten Cookies unter den Begriff der personenbezogenen Daten des Art. 4 Nr. 1 DSGVO, welche demnach auch solche sind, die eine natürliche Person dadurch identifizierbar machen, dass sie sich einer „Kennung wie einem Namen, zu einer Kennnummer, zu Standorten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen“ zuordnen lässt. Vor diesem Hintergrund bleibt der Einsatz von Cookies nur nach erfolgter Einwilligung des Betroffenen (Art. 6 Abs. 1 S. 1 lit. a DSGVO) oder aufgrund der Wahrung berechtigter Interessen (Art. 6 Abs. 1 S. 1 lit. f DSGVO) zulässig. Einzelheiten dazu finden Sie in diesem Rechtstipp der Woche. Aktuell wird darüber diskutiert, inwiefern Webanalysetools einer Einwilligung bedürfen.

Macht ein Cookie-Banner Sinn?

Aus Sicht der DSGVO ist der Einsatz eines Cookie-Banners nicht verpflichtend. Ist der Einsatz eines Cookies über Art. 6 Abs. 1 Satz 1 lit. f DSGVO zulässig, ist keine Einwilligung erforderlich. Ist aber eine Einwilligung erforderlich, muss diese durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Gewöhnliche Cookie-Banner genügen dem nicht, da die Cookies bereits bei Betreten der Seite gesetzt werden und in dem Banner auch häufig lediglich allgemeine Informationen vorgehalten werden, sodass auch nicht von einer Informiertheit ausgegangen werden könnte.

Warum machen es dann trotzdem so viele?

Cookie-Banner haben sich als „Best Practice“ durchgesetzt. Nicht zuletzt deshalb, weil Nutzer bestimmter Google-Produkte (wie AdSense) seit 2015 aufgrund der Nutzungsbedingungen entsprechende Banner vorhalten mussten. Ein Cookie-Banner ist daher grundsätzlich nicht schädlich. Sofern Sie eines einsetzen, seien sie sich aber bewusst, dass ein solches Banner nicht die rechtlichen Anforderungen an eine Einwilligung erfüllt.

VORSICHT: Darüber hinaus ist auf die genaue Platzierung des Banners in der Webseite zu achten. Dieses darf nicht andere Informationen, die dem Nutzer zwingend zur Verfügung zu stellen sind, verdecken oder den Zugang zu diesen blockieren. So darf z.B. das Cookie-Banner nicht den Zugang zum Impressum oder zur Datenschutzerklärung der Webseite versperren oder verdecken, da wichtige Pflichtangaben zur Datenerhebung und zum Seitenbetreiber erhalten, die für den Betroffenen jederzeit verfügbar und leicht einsehbar sein müssen.

Unser Tipp

Zum aktuellen Zeitpunkt sind Cookie-Banner gesetzlich nicht verpflichtend. Sofern Sie eines einsetzen, stellen Sie sicher, dass das Cookie-Banner den Zugang zu Ihrem Impressum und Ihrer Datenschutzerklärung nicht erschwert oder vollständig verhindert. Eine Änderung in der rechtlichen Wertung von Cookie-Bannern könnte sich jedoch aus der sog. ePrivacy-Verordnung der EU ergeben. Dort ist eine Neuregelung der Inhalte aus der Cookie-Richtlinie im Einklang mit der DSGVO geplant. Hierbei handelt es sich allerdings noch um einen Entwurf und der Zeitpunkt des Inkrafttretens ist noch unklar. Wir halten Sie hierzu auf dem Laufenden.

 

Über die Autorin


Madeleine Pilous ist Master of Laws (LL.M.) und als Legal Consultant bei der Trusted Shops GmbH tätig. Im Rahmen ihrer Tätigkeit betreute sie den Audit-Prozess deutscher und österreichischer Key Accounts und setzt sich seit vielen Jahren intensiv mit den für Online-Shops relevanten Rechtsgebieten, insbesondere dem Fernabsatz- und E-Commerce-Recht auseinander. Sie ist Blog-Autorin, an größeren Beratungsprojekten v.a. zum Bestellprozess-Relaunch von Online-Shops beteiligt und betreut die Trusted Shops Abmahnschutzpakete.

11.06.18

© 2024 Trusted Shops AG  |  Impressum  |  Datenschutz  |  Cookies