Cookie-Banner
leicht gemacht!

Cookies sind kleine Textdateien, die auf dem Gerät von Webseitenbesucherinnen und -besuchern zeitweise gespeichert werden und den Webseitenbetreiberinnen und -betreibern bestimmte Informationen bieten bzw. die Besucherin oder den Besucher wiedererkennbar machen (für den Fall z. B., dass sie oder er die Seite erstmal verlässt und später wieder abruft).

Sie werden u. a. eingesetzt, um die Besucheranzahl zu ermitteln, die Seitennutzung zu analysieren, den Inhalt des Warenkorbs zu speichern usw. Um bestimmte Werte zu messen oder die Nutzerin bzw. den Nutzer wiederzuerkennen, werden die vorgehaltenen Informationen im Falle eines erneuten Webseitenbesuchs oder eines Besuchs einer bestimmten anderen Webseite ausgelesen. Diese Informationen können statistische, aber auch personenbezogene Daten, wie zum Beispiel die IP-Adresse der Nutzerin oder des Nutzers beinhalten.

Cookies spielen daher noch immer eine wichtige Rolle für die Durchführung von Webseiten sowie im Bereich des Online-Marketings.

Neben der DSGVO bestehen spezielle Anforderungen zur Einwilligung nach der E-Privacy- Richtlinie (Richtlinie 2002/58/EG). Nach Ansicht des EuGH spielt es bei der Auslegung der anzuwendenden RL keine Rolle, ob es sich bei den Cookies, die auf dem Endgerät der Kundin oder des Kunden abgelegt werden, um personenbezogene Informationen handelt oder nicht.

Der verwendete Begriff „Information“ gemäß Art. 5 Abs. 3 der Richtlinie 2002/58 EG weise eine neutrale Bedeutung auf. Neben personenbezogenen Cookies fallen auch vergleichbare Technologien darunter, die Personenbezug aufweisen oder auch nicht.

Hintergrund ist der verfolgte Schutzzweck der Richtlinie. Basierend auf dem grundrechtlichen Schutz der EU-Charta gilt der Schutz der Privatsphäre auch für Informationen, die auf den Endgeräten von Nutzerinnen und Nutzern ablegt oder abgerufen werden.

Somit fallen auch Analyse-Tools, welche nur anonymisierte Daten verarbeiten, unter den Anwendungsbereich der Richtlinie und dürfen nach der Ansicht des EuGHs erst im Browser der Nutzerin oder des Nutzers aktiviert werden, wenn diese bzw. dieser seine aktive Einwilligung erteilt hat.

Nutzen Sie Marketing-Tools auf Grundlage von Pixel- oder Fingerprinting-Technologien? Dann ist auch hier schnelles Handeln gefragt und eine Einwilligung in Ihrem Webauftritt einzuholen.

Webtechniken, die auf Grundlage von Cookies oder ähnlichen Technologien basieren, können auch ohne die aktive Zustimmung der Webseitennutzerin oder des -nutzers gesetzt werden, sofern

• sie für die technische und funktionelle Erbringung des Webdienstes (z. B. Online-Shop, Webseite, App) unabdingbar sind, oder
• der alleinige Zweck für die Setzung der Cookies bzw. der ähnlichen Technologien in der Durchführung oder Übertragung einer Nachricht besteht (z. B. Sprachdienste)

Technisch notwendige Cookies können z. B. User-Input-Cookies (für den Warenkorb), Authentifizierungscookies, nutzerorientierte Sicherheitscookies oder Cookies zur Anpassung der Benutzeroberfläche (Speicherung der Spracheinstellung) sein.

Als allgemeine Faustregel gilt: Muss das Cookie/die ähnliche Technologie wirklich eingesetzt werden, damit der von der Nutzerin oder vom Nutzer ausdrücklich gewünschte Webdienst oder auch die Webapplikation genutzt werden kann?

Für Online-Marketing-Tools, insbesondere für Tracking- oder Remarketing-Tools, trifft dies nicht zu. Sie gelten nicht als essentielle Webtechniken, unabhängig davon, ob es sich um Drittanbieter-Tools oder eigene Techniken der Webseitenbetreiberin oder des Webseitenbetreibers handelt.

Möchte man also den sicheren Weg beschreiten, scheint das Cookie-Banner die Lösung zu sein, um eine wirksame Einwilligung einzuholen, bevor die Tracking-Cookies oder ähnliche Techniken gesetzt werden. In der Orientierungshilfe der Aufsichtsbehörden für Anbieterinnen und Anbieter von Telemedien finden sich diverse Anforderungen an die Ausgestaltung:

• Das Banner muss eine Übersicht aller einwilligungsbedürftigen Verarbeitungsvorgänge enthalten sowie eine Möglichkeit, diese zu aktivieren (= nicht vorangekreuzte Checkbox).
• Der Zugriff auf Impressum und Datenschutzerklärung darf der Cookie-Banner nicht verhindern.
• Erst wenn die Nutzerin bzw. der Nutzer informiert und freiwillig in die Datenverarbeitung eingewilligt hat, dürfen die Tracking-Maßnahmen ausgeführt werden.

Viele Cookie-Banner, denen man beim Surfen begegnet, werden diesen Anforderungen nicht gerecht. Cookies werden gesetzt, sobald man die Seite betritt und eine Ablehnung einzelner Tracking-Maßnahmen ist häufig nicht möglich.

Auch Formulierungen wie „Durch weitersurfen stimmen Sie zu, dass…“ stellen keine Einwilligung dar.

Informationen innerhalb der Datenschutzerklärung oder innerhalb des Cookie-Banners können somit schnell widersprüchlich zu den tatsächlichen technischen Cookie-Einstellungen auf der Webseite sein.

Liegt keine transparente Datenverarbeitung vor oder fehlt gar eine zugrundeliegende Rechtsgrundlage in der DSGVO, kann das empfindliche Konsequenzen haben.

Die Landesdatenschutzbehörden haben sich auf eine gemeinsame Positionierung gegen den Einsatz von Drittanbieter-Tools wie Google Analytics verständigt, sofern diese ohne die aktive Zustimmung der Nutzerin oder des Nutzers auf den Webseiten eingesetzt werden.

So kam es bereits in der Vergangenheit zu entsprechenden Untersagungsverfügungen und Gerichtsverfahren. Vor dem Verwaltungsgericht Mainz konnte ein Webseitenbetreiber sich nicht erfolgreich gegen die Anweisung der Aufsichtsbehörde (LfDI) wehren. Das Gericht stufte ein überwiegendes Interesse des Nutzes als „grundsätzlich überzeugend“ ein.

Webseitenbetreiberinnen und -betreiber können sich daher beim Einsatz von Tracking-Tools nicht auf die Rechtsgrundlage des berechtigten Interesses stützen (Art. 6 Abs. 1 lit. f DSGVO).

Eine nicht rechtmäßige Datenverarbeitung (z. B. die fehlende Rechtsgrundlage für die Durchführung von Tracking-Techniken) kann ein empfindliches Bußgeld für die Webseitenbetreiberin oder den Webseitenbetreiber bedeuten. Nach Art. 83 Abs. 5 DSGVO sind Geldbußen von bis zu 20.000.000 Euro oder von bis zu 4% des weltweit erzielten Vorjahresumsatzes möglich. Folgt man den aufgestellten Kriterien zur Bußgeldbemessung der Aufsichtsbehörden, so ist bei einem Vorjahresumsatz eines Unternehmens von 30.000 Euro ein Bußgeld von mehr als 10.000 Euro möglich.

Daneben sind auch wettbewerbsrechtliche Abmahnungen von Wettbewerbsverbänden möglich. Nach Ansicht des OLG Naumburg, des OLG Hamburg und des OLG Stuttgart können einzelne Normen der DSGVO als Marktverhaltensnormen eingestuft werden und ermöglichen somit ein wettbewerbsrechtliches Vorgehen gegen vermeintliche Datenschutzverstöße.

Auch Schadensersatzansprüche der betroffenen Personen sind möglich, sofern ihnen wegen eines Verstoßes gegen datenschutzrechtliche Vorgaben ein materieller oder immaterieller Schaden entstanden ist. Zwar ist das Vorliegen eines immateriellen Schadens bei einer fehlenden oder fehlerhaften Cookie-Einwilligung auf einer Webseite als eher fragwürdig einzustufen. Jedoch sind Schadensersatzansprüche lästig und kosten Sie aufgrund der Bearbeitung wertvolle Zeit, die Ihnen im täglichen Business dann fehlt.

Um den rechtlichen Risiken Einhalt zu gebieten, bieten sich Consent-Manager an. Im Gegensatz zu einfachen Cookie-Bannern ermöglichen Consent-Manager zudem, dass die bzw. der Verantwortliche ihrer bzw. seiner Rechenschaftspflicht nachkommt, weil jede abgegebene Einwilligung dokumentiert wird.

Das Cookie-Banner muss dabei nicht zwingend als ein Banner am unteren Ende der Webseite positioniert sein. In der Praxis haben sich hier auch Overlay-Varianten etabliert, welche die Seite überlagern und eine weitere Nutzung erst nach Einwilligung oder Ablehnung ermöglichen.

Profitieren Sie beim Einsatz unseres Einwilligungsmanagements von unserer E-Commerce Expertise:

• In wenigen Klicks können Sie Ihren Consent-Manager inhaltlich sowie farblich auf das Layout Ihres Online-Auftrittes abstimmen.
• Technische sowie inhaltliche Anleitungen helfen Ihnen bei der Einbindung sowie bei der Einordnung Ihrer Tools in die verschiedenen Nutzungskategorien (Essentiell/Statistik/Marketing).
• Ein vorgefertigter Einwilligungstext ist bereits vorhanden und kann sofort eingesetzt werden.
• Der Consent-Manager ist auf allen mobilen Endgeräten aufrufbar.
• Mit der technisch abgestimmten Widerrufsmöglichkeit im Consent-Manager kann die Nutzerin oder der Nutzer die nötigen Einwilligungseinstellungen leicht vornehmen und Sie behalten dabei den vollen Überblick.
• Haftungsübernahme im gebuchten Abmahnschutz inklusive

Das Verkündungsurteil des BGH am 28.05.2020 wird keine Neuigkeiten im Umgang mit der Einwilligungspflicht für Cookies und ähnliche Technologien bringen. Die E-Privacy-Richtlinie ist jedoch nicht direkt anwendbar und hätte vor Jahren schon in deutsches Recht transformiert werden müssen.

Das Telemediengesetz (TMG), dass diese Umsetzung wiederspiegeln sollte, sieht aber lediglich eine Widerspruchsmöglichkeit (Opt-out) und kein Zustimmungserfordernis für Marketing-Tools und Co. vor. Es bestünde nun die Möglichkeit, dass der BGH das bestehende deutsche Recht „richtlinienkonform“ auslegt oder den Gesetzgeber dazu veranlasst, eine bisher verschlafene Gesetzesanpassung vorzunehmen.

Eine gute Vorbereitung auf die bevorstehenden Regelungen ist daher das A und O. Die Schlinge für den Einsatz von Online-Marketing-Tools wie Analyse und Remarketing-Verfahren ohne vorherige Einwilligung der Kundin oder des Kunden wird immer enger.

Vertrauen Sie auf unseren Trusted Shops Consent-Manager und machen Sie den Einsatz ihrer Tools rechtssicher.