Cookie-Banner, Consent-Manager und Opt-In. Das sind nur einige Begriffe, die spätestens seit Anwendbarkeit der europäischen Datenschutz-Grundverordnung (DSGVO) im Jahr 2018 insbesondere im Zusammenhang mit Websites von verantwortlichen Stellen immer wieder angesprochen werden. Die Diskussion um die richtige Rechtsgrundlage für unterschiedliche Cookie-Banner, die inhaltliche Gestaltung von Cookie-Hinweisen und die Art und Weise, wie Einwilligungen in Cookies eingeholt und verwaltet werden müssen, sind aktuell in der praktischen Ausgestaltung in den meisten Fällen noch nicht rechtskonform. Dies ergibt sich zumindest aus einer aktuellen Studie. In unserem Blogbeitrag erfahren Sie, welche rechtlichen und technischen Aspekte Sie bei der Gestaltung von Cookie-Bannern berücksichtigen müssen.
Was sind Cookies?
Bei einem Cookie handelt es sich um eine sehr kleine Textdatei mit gewissen Informationen, wodurch ein Webserver einen Anwender bzw. Besucher wiedererkennen kann und in diesem Zusammenhang Konfigurationen speichert. Dabei werden Cookies in unterschiedlichen Bereichen eingesetzt:So z.B., um eine Website darstellen zu können oder für Marketingzwecke, wie z.B. der Analyse des Verhaltens von Besuchern einer Webseite. Auch die Integration von Plugins oder Zählpixel aus Social Media Netzwerken erfordern in der Regel Cookies.
Brauche ich immer eine Einwilligung für Cookies?
Wenn die Speicherung von Cookies nicht auf eine andere Rechtsgrundlage gestützt werden kann, bleibt als potentielle Rechtsgrundlage nur noch die Einwilligung gem. Art. 6 Abs. 1 lit. a) DSGVO. Zunächst ist daher zu prüfen, ob die Speicherung von Cookies zur Wahrung des berechtigten Interesses erforderlich sind. Falls diese Prüfung ergibt, dass dies nicht der Fall ist, muss eine informierte Einwilligung von der betroffenen Person eingeholt werden.
Für technisch erforderliche Cookies, ohne deren Speicherung die Darstellung der Website gar nicht möglich wäre, reicht das berechtigte Interesse gem. Art. 6 Abs. 1 lit. f) DSGVO als Rechtsgrundlage in der Regel aus. Für alle anderen Cookies muss eine Einwilligung gem. Art. 6 Abs. 1 lit. a), Art. 7, 8 DSGVO eingeholt werden. Zumindest nach der aktuellen Rechtslage sollten Sie diese Vorgehensweise berücksichtigen. Wenn die neue E-Privacy-Verordnung verabschiedet wird und in Kraft tritt, kann sich die Rechtslage wieder ändern. Dies wird allerdings nach aktuellem Stand nicht vor 2020 der Fall sein.
Cookie-Banner datenschutzkonform gestalten – Das müssen Sie beachten
Zunächst sollten Sie Ihren Cookie-Banner derart gestalten, dass dieser direkt zu Beginn des Aufrufs der Website angezeigt wird. Darüber hinaus dürfen Cookies erst dann gespeichert werden, wenn eine aktive Einwilligung (Opt-In) durch die betroffene Person vorliegt, vgl. Erwägungsgrund 32 S.1 zur DSGVO. Das ist z.B. bei dem Setzen eines Häkchens in einer Checkbox durch die betroffene Person der Fall, Erwägungsgrund 32 S.2 zur DSGVO. Vorher dürfen keine Cookies gespeichert werden. Hier empfiehlt sich die Nutzung einer Checkbox. Dabei sollten Sie darauf achten, dass je Cookie eine eigene Checkbox platziert wird, da eine betroffene Person durchaus mit einem Cookie für Analysezwecke einverstanden sein kann, dagegen aber nicht mit einem Zählpixel von einem Social Media Netzwerk.
Durch die erforderliche aktive Handlung des Webseitenbesuchers wird das Prinzip der Freiwilligkeit für eine Einwilligungserklärung gem. Art. 7 DSGVO gewahrt. So dürfen die Checkboxen nichts bereits ein Häkchen enthalten, da ansonsten die Freiwilligkeit für die Einwilligung fehlt (sog. Opt-Out), vgl. Erwägungsgrund 32 S.3 zur DSGVO. Eine Ausnahme gilt nur dann, wenn das berechtigte Interesse die Rechtsgrundlage für ein Cookie ist (technisch erforderliche Cookies).
Ferner müssen alle Cookies einzeln in dem Cookie-Banner selbst aufgeführt oder zumindest via Klick einblendbar sein. Eine Kategorisierung der Cookies, z.B. in technisch erforderlich oder Marketing, ist für eine bessere Übersicht empfehlenswert. Der Standort des Cookie-Banners auf Ihrer Website ist ebenfalls wichtig: Der Banner sollte wesentliche Bereiche Ihrer Website, wie z.B. die Datenschutzerklärung oder das Impressum, nicht verdecken.
Datenschutzerklärung für Cookies aktualisieren und Besonderheiten für Social Media
Ihre Datenschutzerklärung muss bezüglich der Datenschutzerklärung alle erforderlichen Angaben aus Art. 12 ff. DSGVO, inbes. Art. 13 DSGVO, enthalten. Die gesetzlich erforderlichen Mindestangaben nach Art. 13 DSGVO müssen je Cookie in der Datenschutzerklärung enthalten sein. Darüber hinaus müssen betroffenen Personen gem. Art. 12 DSGVO leicht verständlich, transparent, präzise und in einer klaren und einfachen Sprache informiert werden. Für Socia Media und Cookies gelten weitere Besonderheiten: Wie zuletzt vom EuGH entschieden, muss für den Einsatz von sog. Social Plugins eine informierte Einwilligung durch die betroffene Person vorliegen, da personenbezogene Daten an die jeweilig einschlägigen Social Media Netzwerke weitergegeben werden.
Mit hellotrust werden die genannten datenschutzrechtlichen Anforderungen aus DSGVO und dem BDSG-neu erfüllt. Kontaktieren Sie uns jetzt für ein unverbindliches Angebot.