Veröffentlicht von:

Rechtsanwalt und DSB (TÜV) Henning Koch

Webseiten-Datenverarbeitung und Tracking mittels Cookies - Das müssen Sie beachten.

01.09.2021
7 Minuten Lesezeit

Webseiten-Datenverarbeitung und Tracking mittels Cookie - Das müssen Sie beachten.

Eigentlich ist das kein neues Thema mehr, sondern ein alter Hut. Bereits vor über einem Jahr, genauer gesagt am 1.10.2019, hat der Europäische Gerichtshof in seiner Entscheidung im Verfahren „Planet 49“ (EuGH, Urteil vom 1. 10. 2019, Az. C-673/17 – Planet49 GmbH ) festgehalten, dass eine Einwilligung, mit der Internetnutzer*innen das Speichern und Auslesen von Informationen (z.B. Cookies) auf ihren Geräten erlauben sollen, nur dann wirksam ist, wenn die Nutzer*innen aktiv die Einwilligung erklärt haben.

Zudem liegt nach der Meinung es EuGH keine wirksame Einwilligung vor, wenn die Felder schon vorab angekreuzt sind oder die Einwilligung wegen des Weiternutzens der Webseite einfach unterstellt wird.

Hintergrund ist der, dass man ja im Normalfall nicht will, dass Profile über das eigene Nutzungsverhalten angelegt oder ausgewertet werden oder Dritten ermöglicht wird. Hierbei ist an externe Tools zur Reichweitenanalyse zu denken.

„Cookies“ - kurz erklärt

Bei Cookies handelt es sich um Textdaten mit Informationen, die bei dem Aufruf einer Webseite zusammen mit der Webseite selbst an den Webbrowser gesendet werden. Wird dieselbe Webseite zu einem späteren Zeitpunkt wieder aufgerufen, sendet der Browser den Cookie zurück an die Webseite, sodass diese den Nutzer bzw. den von der Person genutzten Browser wiedererkennt.

Es gibt verschiedene Arten von Cookies: Zu den technisch notwendigen Cookies gehören unter anderem die sogenannten „Session Cookies“, die für eine funktionierende Webseite benötigt werden, diese werden nur zeitlich begrenzt im Browser hinterlegt, in den meisten Fällen, bis dieser geschlossen wird. Sie können aber auch langlebig sein, wie beispielsweise für die bevorzugte Spracheinstellung einer Webseite. In den Gebrauch technisch nicht notwendiger Cookies muss der Nutzer explizit einwilligen, weil damit personenbezogene Daten (siehe auch gesonderter Beitrag) verarbeitet werden. Unter diese Cookies fallen solche, die nicht für die Bereitstellung der Webseite notwendig sind, also besonders Cookies, die durch Drittanbieter gesetzt werden, denn nicht nur der Anbieter einer Webseite selbst kann diese einsetzen, sondern auch Dritte, wie Werbefirmen. Diese setzten gerne sogenannte „Tracking- und Analyse-Cookies“ ein, diese bleiben dann in der Regel für einen längeren Zeitraum im Browser, es sei denn, man löscht diese selbst. Diese Cookies haben die Aufgabe, andere Webseiten die der Nutzer besucht hat zu erkennen und zu analysieren, damit Profile angelegt werden können, über die Interessen und Wünsche des Nutzers, damit die für ihn passende Werbung innerhalb des Browsers eingeblendet werden kann

Ohne Einwilligung ist das Speichern verboten

Daher gilt der Grundsatz, dass ohne Einwilligung für das Speichern oder verarbeiten von jeglichen Informationen aus den Endgeräten der Nutzer*innen untersagt ist.

Hiervon gibt es nur 2 Ausnahmen:

die Cookies werden gesetzt aus Komfortfunktion also zur Erleichterung der Handhabung der Webseite oder
es ist zwingend erforderlich, um den Nutzern diesen Dienst auch zur Verfügung zu stellen. Erforderlich heißt aber nur im technischen Sinne und nicht aus Gründen der späteren Vermarktung dieser Daten, um etwa eine Seite zu betreiben.

Beispielsweise hierzu Einkaufswagen auf Internetshops oder die erleichterte Navigation auf einer Website.

Einwilligung

In allen anderen Fällen benötigt man eine Einwilligung. Und hier kommen die Cookie-Banner ins Spiel. Denn eine Einwilligung ist nur dann im Sinne des Datenschutzes auch wirksam, wenn sie informiert erklärt wird. Zum anderen müssen die Webseitenbetreiber auch die Einwilligung dokumentieren können, falls einmal die Aufsichtsbehörde nachfragt.

Daher ist die Idee der Cookie-Banner auch eigentlich ganz gut, in dem man mir ganz kurz erläutert, das eine Datenverarbeitung über das erforderliche Maß hinaus erfolgt und das die Daten auch zum Zwecke der Analyse selbst oder von Dritten verwendet werden.

Und das betrifft alle Analysetools oder Social Media Plugins. Bei den Social-Media-Plugins ist es in etwa so als hätte man ständig eine Tür, offen, durch die dann Daten abfließen.

Damit die Information als Voraussetzung für die sogenannte informierte Einwilligung auch rechtlich einwandfrei ist, muss sie verschiedene Voraussetzungen erfüllen:

es muss erklärt werden, was Gegenstand der Einwilligung sein soll. Was passiert mit den Daten? Wer hält darauf Zugriff? Was ist der Zweck dahinter?
Daher darf die Beschriftung auch nicht irreführend sein.
Es geht ja um meine Einwilligung. Daher muss auch der Hinweis erfolgen, dass die Einwilligung freiwillig ist und jederzeit widerruflich ist. Hierbei muss der Widerruf so einfach sein wie die Einwilligung.
Wichtig und insoweit eigentlich auch nachvollziehbar ist, dass Daten nicht weitergegeben werden dürfen, bevor die Einwilligung auch erteilt worden ist. Tatsächlich gibt es aber zukaufbare Cookie-Banner, bei denen das der Fall ist. Also darauf ist immer zu achten.
Die Einwilligung darf nicht voreingestellt sein. Es muss also ein sogenanntes opt-in erfolgen. Jeder Cookie-Banner, bei dem man die Verwendung und Verarbeitung von Daten erst abwählen musst ist illegal. Davon gibt es ganz viele.
Auf das Impressum einer Webseite und die Datenschutzerklärung muss ein Zugriff immer erfolgen können. Ist das nicht der Fall, verstoßen die Webseitenbetreiber gegen das Datenschutzrecht. Hiervon gibt es leider genug Beispiele. Denn häufig verdecken die Cookie Banner genau diese Informationen. Man bekommt dann erst Zugriff auf diese Information, indem man sich durch den Cookie Banner durchgeklickt hat. Das darf nicht sein.

Hier sieht man schon, dass es sehr viele Vorgaben gibt, die zu erfüllen sind und auf die man hinweisen muss im Cookie-Banner.

Unter der Stelle muss man sich einmal verdeutlichen, warum man das ganze macht als Webseitenbetreiber: Es ist nämlich kein Selbstzweck, sondern dient allein dazu eine Einwilligung zur Datenverarbeitung rechtssicher abzubilden.

Aktuell kommt noch ein neues Thema hinzu:

Nach der Entscheidung des EuGH zum Ende des EU-US-Privacy-shield muss man sich auch immer als Webseitenbetreiber die Frage stellen, ob man eine Datenverarbeitung dieser mit den Cookies ermittelten Daten auch in den USA durchführen muss und ob man US-amerikanische Anbieter auch verwenden muss. Ich denke da an Google Analytics oder im Bereich von Facebook an Facebook-Pixel.

Die Frage ist also, gibt es auch europäische Anbieter? Dies ist deswegen relevant, weil die Datenverarbeitung in den USA zwar nicht verboten ist aber nach der Entscheidung des EuGH das Datenschutzniveau in den USA nicht demjenigen entspricht, wie es in der EU gegeben ist.

Daraus folgt, dass in den allermeisten Fällen eine Datenverarbeitung in den USA höchst problematisch ist. Je nach Art der verarbeiteten Daten. Da bei der Verwendung von aus Cookie generierten Daten Persönlichkeitsprofile und Nutzerprofile erstellt werden können bzw. auch tatsächlich erstellt werden, wäre hier ein hohes Datenschutzniveau zu fordern.

Ich vertrete die Auffassung, dass eine Datenverarbeitung mit Tools wie Google Analytics oder Facebook Pixel wenn überhaupt nur dann zulässig ist, wenn man hierzu eine weitere gesonderte Einwilligung dann nach Art. 49 DSGVO erteilt. Auch dies wäre im Cookie-Banner abzubilden. Wichtig hierbei ist, dass auch hierzu erläutert wird, was es mit dem Risiko der Datenverarbeitung in den USA auf sich hat. Dies dürfte eigentlich in der Regel den Rahmen sprengen, weil es nicht genügt, dass man erklärt, dass das Datenschutzniveau in den USA nicht ausreicht.

Ich halte es für erforderlich, dass man in dem Fall detailliert erklärt, welche Risiken tatsächlich bestehen und dass man weder als Webseitenbetreiber noch als Nutzer der Webseite eine Möglichkeit hat effektiv zu erfahren, welche Risiken genau bestehen. Die Angabe, dass man das Schlimmste befürchten muss reicht aber auch nicht.

Hinzu kommt, dass die deutschen Aufsichtsbehörden sich hierzu noch nicht konkret verhalten haben. Der Landesdatenschutzbeauftragte von Baden-Württemberg beispielsweise vertritt die Auffassung, dass eine solche Einwilligung überhaupt nicht möglich ist, weil kein Ausnahmefall vorliegt, wie das Gesetz fordert. Es bleibt also an dieser Stelle spannend. Für die Nutzer*innen heißt das, sich noch mehr darüber klar zu werden, was eigentlich mit den Daten passiert und tatsächlich sehr vorsichtig zu sein.

Durch die Verpflichtung zur Einholung von Einwilligungen für die auf der Webseite Passieren der Datenverarbeitung mit den Nutzerdaten tritt das Problem erst recht zu Tage. Aus Sicht der Nutzer*innen möchte man sich damit am liebsten nicht auseinandersetzen müssen. Zumindest sollte es komfortabel sein und so einfach wie möglich händelbar sein.

Und es zeigt sich, dass die Cookie-Banner immer intransparenter werden. Man kann den Eindruck gewinnen, dass dies Absicht ist. Jedenfalls werden so oder auch aus anderen Gründen die Nutzer dazu verleitet, unbesehen den Button mit der „Einwilligung“ zu klicken, nur damit man den gewünschten Inhalt der Webseite auch (endlich) einsehen kann.

Ausblick:

Zum 1.12. 2021 tritt das TTDSG (siehe gesonderter Beitrag) in Kraft, dass ganz explizit auch Fragen der Verwendung von Cookies und das damit Verbundene Einwilligungsmanagement regelt.

Foto(s): Photo by Dex Ezekiel on Unsplash

Rechtstipp aus den Rechtsgebieten

Bewerten Sie diesen Rechtstipp:

Artikel teilen:

Sie haben Fragen? Jetzt Kontakt aufnehmen!

Rechtsanwalt und DSB (TÜV) Henning Koch

Veröffentlicht von:

Rechtsanwalt und DSB (TÜV) Henning Koch

Datenschutzrecht • Gewerblicher Rechtsschutz • IT-Recht

Arbeitsrecht

… weitere weniger

Zum Profil

Hier bekommen Sie Recht –
aktuell und schnell

Wir halten Sie rund ums Recht mit unserem wöchentlichen Newsletter auf dem Laufenden!

Hier mehr erfahren

Weitere Rechtstipps von Rechtsanwalt und DSB (TÜV) Henning Koch

Microsoft Copilot - Einige Hinweise für den Sicheren Umgang

Wir möchten Sie heute über einige wichtige Datenschutzaspekte informieren, die im Zusammenhang mit dem Einsatz von Künstlicher Intelligenz (KI) in Microsoft Produkten, insbesondere durch das Tool ... Weiterlesen
Datenschutz verheizt. Warum die Kampagne der CDU gegen Datenschutzrecht verstößt.

Die Aktion "Fair heizen statt verheizen" auf der Webseite https://aktion.cdu.de/fair-heizen bezieht sich auf das geplante Heizungsgesetz der Ampelkoalition. Die CDU plant, mit einer ... Weiterlesen
Das Online-Handelsregister verstößt gegen den Datenschutz

Das Online-Portal handelsregister.de, in dem deutschlandweite Eintragungen in das Handelsregister einsehbar sind, ist nicht mit dem europäischen Datenschutzrecht vereinbar. Wo legen die ... Weiterlesen

Alle Rechtstipps von Rechtsanwalt und DSB (TÜV) Henning Koch

Weitere

Beiträge zum Thema

Cookies & Tracking: DSK veröffentlicht Orientierungshilfe für Webseitenanbieter

23.04.2019

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hat eine sehr lesenswerte ... Weiterlesen
Cookies auf Webseiten: Alles gut oder teurer Spaß?

15.02.2022

Alle Webseitenbetreiber beschäftigen sich früher oder später mit dem Thema Cookies auf ihren Webseiten und ... Weiterlesen
Tracking-Tools und die DSGVO

17.12.2019

Viele Webseitenbetreiber verwenden Tracking-Tools. Diese sind durchaus nützlich, aber erfordern meist auch die ... Weiterlesen