Cookies und DSGVO: Ein Blick hinter die Kulissen

Cookies und DSGVO: Ein Blick hinter die Kulissen

Ständig müssen wir Einwilligungen geben und lästige Banner wegklicken – Cookies können Internetnutzer zur Verzweiflung treiben oder dazu führen, dass wir resigniert auf “Alles akzeptieren” klicken und unsere Daten verschenken.

Aber ich verrate Ihnen jetzt ein kleines Geheimnis: Cookie-Banner sind nicht immer Pflicht! Ein Missverständnis der DSGVO in Bezug auf Cookies führt dazu, dass viele Websites die Cookie-Box unnötig verwenden – oder sogar falsch.

In diesem Artikel widmen wir uns ausführlich dem Thema DSGVO und Cookies. Lassen Sie uns anfangen!

Die Grundlagen: Was sagt die DSGVO zur Datenerhebung durch Cookies?

Wenn es um datenschutzrelevante Fragen geht, lohnt es sich immer, einen Blick in den entsprechenden Rechtstext zu werfen. Artikel 6, Absatz 1 der DSGVO besagt, dass die Datenverarbeitung rechtmäßig ist, wenn eine der folgenden Bedingungen erfüllt ist:

  • Einwilligung: Der Nutzer stimmt der Erhebung seiner Daten zu.
  • Vertrag: Die Datenverarbeitung ist zur Durchführung (vor)vertraglicher Maßnahmen erforderlich.
  • Rechtliche Pflichten: Die Datenerhebung ist erforderlich, um rechtlichen Verpflichtungen nachzukommen – ein aktuelles Beispiel hierfür ist das Ausfüllen von Kontaktverfolgungsformularen.
  • Interessen: Die Daten werden benötigt, um lebenswichtige Interessen der betroffenen Person zu schützen.
  • Öffentliche Aufgaben: Behörden dürfen selbstverständlich Daten erheben und verarbeiten, um ihre Aufgaben zu erfüllen.
  • Berechtigtes Interesse: Daten dürfen auch erhoben werden, wenn dadurch ein berechtigtes Interesse des Verantwortlichen verfolgt wird, z. B. zur Steigerung der Sicherheit oder Leistungsfähigkeit einer Website.

Denken Sie kurz darüber nach: Welche dieser sechs Punkte sind tatsächlich relevant für Website-Betreiber? Genau – solange es sich nicht um einen Online-Shop handelt, sollten die Punkte a und f ausreichen. Laut DSGVO sind Hinweise auf Cookies (oder Consent-Banner, wie sie tatsächlich genannt werden) daher nicht immer erforderlich. Warum? Das erfahren Sie gleich. Zunächst klären wir jedoch, woher dieses Missverständnis überhaupt kommt, dass eine Einwilligungsbox immer notwendig ist.

LESEN  Geld sparen im Alltag: Entdecke diese 16 cleveren Tipps!

Das “Cookie-Urteil” hat viele Website-Betreiber verwirrt

Der Grund dafür ist das sogenannte “Cookie-Urteil” des Europäischen Gerichtshofs (EuGH) vom Oktober 2019. In diesem Urteil wurde entschieden, dass der Einsatz von Cookies einer Einwilligung bedarf – sofern diese erforderlich ist. Und genau hier liegt das Problem.

Das Urteil (sowie das darauffolgende Urteil des Bundesgerichtshofs) bezieht sich nur auf Cookies, die gemäß DSGVO einer Einwilligung nach Buchstabe a bedürfen. Damit sind alle Dienste ausgeschlossen, die allein durch ein berechtigtes Interesse gerechtfertigt werden. Zur besseren Veranschaulichung:

  • Technisch notwendige Cookies betreffen Cookies, die erforderlich sind, um einen Dienst überhaupt anbieten zu können. Das könnte beispielsweise der Warenkorb-Cookie beim Online-Shopping sein. Dieser merkt sich, welche Produkte Sie in den Warenkorb gelegt haben. Ohne solche Dienste funktioniert die Website nicht, weshalb technisch notwendige Cookies auch nicht abgelehnt werden können.
  • Berechtigtes Interesse umfasst Dienste, die zwar nicht technisch notwendig sind, aber dennoch aufgrund des berechtigten Interesses des Verantwortlichen verarbeitet werden. Dies betrifft Cookies, die für Leistung und Sicherheit erforderlich sind oder dem Nutzer einen Vorteil bieten, wie die Einbindung von Google Maps oder YouTube-Videos im sicheren Modus.
  • Einwilligung ist erforderlich für Dienste, die die Aktivitäten auf Ihrer Website verfolgen, wie zum Beispiel Google Analytics oder das Meta Pixel (Facebook und Instagram). Die Website funktioniert natürlich auch ohne diese Dienste.

Es hilft oft, sich genauer zu informieren, anstatt vorsichtshalber alle Maßnahmen zu ergreifen. Ich sehe oft, dass in den Datenschutzhinweisen eines Dienstes die Rechtsgrundlage 6-f genannt wird, aber über das Consent-Banner die Einwilligung nach 6-a eingeholt wird. Aus meiner Sicht verstößt dies gegen den Grundsatz einer transparenten Verarbeitung nach Treu und Glauben. Sie können entweder Einwilligung oder berechtigtes Interesse nennen – aber nicht beides!

LESEN  Eine Karriere als Sozialarbeiter: Für Herz und Verstand

Auch das neue TTDSG bestätigt: Der Cookie-Hinweis ist nicht immer notwendig

Im Dezember 2021 trat das Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG) in Kraft. Dabei handelt es sich um eine Erweiterung der DSGVO. Das TTDSG enthält keine neuen Bestimmungen für den datenschutzkonformen Einsatz von Cookies. Stattdessen regelt es die Rechtslage etwas klarer. Gemäß § 25 Abs. 1 TTDSG gilt:

“Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage klarer und umfassender Informationen eingewilligt hat. Die Informationen für den Endnutzer und die Einwilligung müssen gemäß der Verordnung (EU) 2016/679 erfolgen.”

Mit versteckten Optionen zum Ablehnen oder Formulierungen wie “Mit der weiteren Nutzung stimmen Sie der Verwendung von Cookies zu” ist jetzt endgültig Schluss. Wenn Sie Cookies auf Ihrer Website verwenden, dürfen Sie diese nur aktivieren, wenn der Nutzer aktiv und informiert zustimmt. Umgekehrt müssen Nutzer Ihre Website auch besuchen dürfen, wenn sie optionale Cookies ablehnen. Eine Ausnahme bilden auch hier – ähnlich wie bei der DSGVO – unbedingt erforderliche Cookies.

Wann ist kein Cookie-Banner erforderlich?

Das TTDSG besagt ziemlich eindeutig, dass sämtliche Cookies nur mit Einwilligung verwendet werden dürfen. Ausgenommen sind lediglich die unbedingt erforderlichen Cookies. Diese Regelung gilt auch dann, wenn keine personenbezogenen Daten verarbeitet werden. Das berechtigte Interesse bleibt jedoch eine Rechtsgrundlage gemäß DSGVO. Dennoch benötigen Sie aufgrund des oben beschriebenen §25 TTDSG eine Einwilligung (Consent).

Was bedeutet das für Ihre Website? Ein Cookie-Banner oder ein Consent-Manager ist nur dann nicht erforderlich, wenn:

  • Sie keine Verfolgung durchführen,
  • keine Cookies setzen und
  • keine Dienste von Drittanbietern nutzen (auch nicht im Rahmen des berechtigten Interesses).
LESEN  Die 5 typischen Anzeichen von emotionaler Abhängigkeit

Diese Schritte sollten Sie jetzt unternehmen, um Ihre Website zu prüfen

Sie möchten überprüfen, ob Ihre Hinweise auf Cookies der DSGVO entsprechen? Dann empfehle ich Ihnen die folgenden Schritte für eine datenschutzkonforme Website:

  1. Überprüfen Sie, welche Dienste Sie derzeit nutzen.
  2. Sind diese bereits in der Datenschutzerklärung aufgeführt? Wenn nicht, fügen Sie sie bitte hinzu!
  3. Auf welcher Rechtsgrundlage basiert die Datenerhebung? Gibt es Dienste, die eine Einwilligung erfordern? In diesem Fall benötigen Sie auf jeden Fall einen Cookie-Banner.
  4. Überlegen Sie, ob Sie die Dienste, die eine Einwilligung erfordern, wirklich benötigen oder ob Sie Ihren Nutzern diese ersparen können.
  5. Überprüfen Sie abschließend, ob Ihre Cookie-Löschfristen den gesetzlichen Anforderungen entsprechen – und ob Sie diese sogar noch verkürzen können.

Wenn Sie festgestellt haben, dass ein Cookie-Banner unvermeidbar ist, habe ich einige Tipps für Sie:

  • Achten Sie darauf, dass der Banner einwandfrei funktioniert. Gemäß DSGVO dürfen einwilligungspflichtige Dienste nur aktiviert werden, wenn die Nutzer aktiv das Häkchen setzen. Ein vorab markiertes Kästchen, das nur bestätigt werden muss, genügt nicht. Überprüfen Sie, ob die Texte Ihres Consent-Banners rechtskonform sind und ob Nutzer die Möglichkeit haben, ihre Einwilligung jederzeit zu widerrufen.

Wenn Sie all das erledigt haben, sind Sie in Sachen Cookies auf dem richtigen Weg!

Fazit: Cookies und DSGVO sind nicht so kompliziert, wie es scheint

Ich hoffe, dieser Artikel hat Ihnen geholfen, im Umgang mit Cookies etwas sicherer zu werden. Die DSGVO enthält sicherlich viele neue Bestimmungen, die für viele Unternehmen eine Herausforderung darstellen. Oft lohnt es sich jedoch, genauer zu recherchieren und zu erkennen, worauf es wirklich ankommt. Auf meinem Datenschutz-Blog finden Sie weitere aufschlussreiche Beiträge zur DSGVO-konformen Website.

Falls Sie sich nicht selbst darum kümmern können, empfehle ich Ihnen den DSGVO-Web-Check. Nach einer umfassenden Analyse Ihrer Website erhalten Sie einen detaillierten Bericht mit Handlungsempfehlungen sowie korrekte Datenschutzhinweise als Text und Code, einschließlich eines DSGVO-konformen Cookie-Banners.

Anja Zimmermann