Cookies sind von vielen Webseiten nicht mehr wegzudenken. Sie ermöglichen die Basisfunktionen von Onlineshops und können darüber hinaus wertvolle Informationen für die Besucheranalyse und das Marketing sammeln. Seit dem Urteil des Europäischen Gerichtshof zur Sache "Planet49" sind nach wie vor viele Websitebetreiber verunsichert: Welche Cookies dürfen noch genutzt werden? Auf welche Rechtsgrundlage darf man sich stützen? Wie hole ich eine Einwilligung ein?

Im Mai wird ein Urteil des Bundesgerichtshofes (BGH) zur Cookie-Problematik erwartet. Außerdem wird dieses Jahr eine Gesetzesänderung mit Auswirkung auf die Cookie-Nutzung kommen. Auch in Zeiten von Corona bleibt der Datenschutz ein Thema – insbesondere, wenn es um Tracking von Personen geht und ihr Verhalten nachverfolgt werden soll. Angesichts von möglichen Umsatzeinbußen und der Verunsicherung im Onlinehandel wegen der Coronakrise sollten zusätzliche Probleme durch Datenschutzverstöße verhindert werden. Wir zeigen, was Sie tun können, um Cookies datenschutzkonform zu verwenden.

Bisher kann man sich bei der Nutzung von Cookies auf die Datenschutz-Grundverordnung (DSGVO) stützen. Sie bietet die Rechtsgrundlagen dafür, personenbezogene Daten mit Tools, die Cookies oder ähnliche Technologien einsetzen, zu verarbeiten. Grundsätzlich stehen daher als Rechtsgrundlagen insbesondere die Einwilligung, die Erfüllung eines Vertrags oder berechtigte Interessen zur Verfügung. Die Einwilligung ist dabei für alle Arten von Datenverarbeitungen geeignet.

Was gilt aktuell rechtlich für Cookies?

Auf die Erfüllung eines Vertrags oder vorvertraglicher Maßnahmen kann etwa die Funktionalität eines Onlineshops, insbesondere der Warenkorb und Bestellprozess, gestützt werden. Zu weit darf man diese Rechtsgrundlage jedoch nicht ausdehnen: die Datenverarbeitung muss für die Anbahnung oder Erfüllung des Vertrags erforderlich sein.


Damit die Falle nicht zuschnappt: Immer das Recht beachten.
© shutterstock / corund
Etailment-Klassiker

Geklaute Fotos, falsche AGBs: Wenn die Website zur Rechtsfalle wird

Der Europäische Datenschutzausschuss (edpb) hat diesbezüglich die Guidelines 2/2019 veröffentlicht, welche die Voraussetzungen dieser Rechtsgrundlage beschreiben. Die Verarbeitung sei demnach nicht erforderlich, wenn der Vertragszweck auch ohne sie erreicht wird oder es gleich geeignete Alternativen gibt, die weniger oder mit geringerer Intensität personenbezogene Daten verarbeiten. Nicht auf Art. 6 Abs. 1 lit. b DSGVO gestützt werden könne so insbesondere die Datenverarbeitung zur Verbesserung der Services, für nutzerbasierte Werbung, Tracking und Profiling oder personalisierte Produktvorschläge.

Dokumentierte Interessensabwägung

Doch auch für das berechtigte Interesse als Rechtsgrundlage nach Art. 6 Abs. 1 lit. f DSGVO sind die rechtlichen Anforderungen hoch: Danach muss die Datenverarbeitung zur Erreichung des Zwecks erforderlich sein und eine dokumentierte Interessenabwägung stattfinden. So könnte man etwa eine reine Reichweitenmessung ohne Einbindung Dritter darüber realisieren. Weil für viele Funktionen einer Website das berechtigte Interessen wohl aber nicht ohne Weiteres herangezogen werden kann, muss man daher in den meisten Fällen empfehlen, ein Cookie-Banner zur Einholung einer Einwilligung zu verwenden. 

Die Datenschutzbehörden stehen dem Einsatz von Cookies generell und insbesondere ohne Einwilligung kritisch gegenüber. Die Datenschutzkonferenz (DSK), ein Gremium aller deutschen Datenschutzbehörden des Bundes und der Länder, veröffentlichte hierzu 2019 ein Positionspapier, in welchem sie erläuterte, wie umfangreich die Abwägung im Rahmen des berechtigten Interesses ablaufen muss und dass sie dessen Anwendungsbereich sehr eingeschränkt sieht.

Welche Ansichten vertreten die Behörden?

Später erklärten darüber hinaus einige Aufsichtsbehörden, dass Google Analytics nur mit Einwilligung rechtskonform genutzt werden könne, da die Daten an Google übermittelt werden, welches mit diesen eigene Zwecke verfolge. Zwar sind die Stellungnahmen der Aufsichtsbehörden für Gerichte nicht bindend, jedoch können die Aufsichtsbehörden insbesondere Auskunfts- und Anhörungsverfahren wegen fragwürdiger Datenverarbeitungen einleiten. 
etailment.de
Morning Briefing
Ihren News-Espresso für den Tag kostenlos bestellen
 
Um eine Einwilligung in die Datenverarbeitung durch Cookies zu realisieren, werden häufig sogenannte Cookie-Banner verwendet. Im Februar 2020 veröffentlichte die dänische Datenschutzbehörde hierzu einen Beschluss, der sich intensiver mit Cookie-Bannern auseinandersetzte. Sie hielt insbesondere solche für unzulässig, bei welchen der Websitebesucher lediglich die Wahl zwischen "Einwilligen" und "Cookie-Einstellungen" habe, wobei letzterer Button auch zur Ablehnung der Cookies führt. In solchen Fällen fehle es der Behörde zufolge an der nötigen Freiwilligkeit und Informiertheit der Einwilligung. Sie resümiert: Die Ablehnung müsse genauso einfach wie die Einwilligung sein. So ins inhaltliche Detail sind die Datenschutzbehörden in Deutschland noch nicht gegangen. Aber es lohnt sich, hier die weitere Entwicklung aufmerksam zu verfolgen.

Wie wird die Cookie-Nutzung trotzdem handelstauglich?

Auch wenn etwa bei Tools zur seitenübergreifenden Analyse, Profilbildung, zu Marketing- oder Retargetingzwecken eine Einwilligung notwendig ist, muss man als Onlinehändler nicht auf diese Funktionalitäten und Vorteile verzichten – denn im Rahmen des geltenden Rechts und einer vernünftigen Risikoabwägung hat der Websitebetreiber bei der Umsetzung eines Einwilligungs-Banners einen gewissen Spielraum, um seine Interessen wahrzunehmen. Zunächst einmal muss jedoch das Cookie-Banner gewisse Voraussetzungen erfüllen:

  • Der Besucher muss die freie Wahl zwischen Zustimmen und Ablehnen haben.
  • Cookies und ähnliche Technologien dürfen erst nach erfolgter Einwilligung gesetzt/aktiviert werden       bzw. Daten übertragen.
  • Das Banner muss auf weiterführende Hinweise, meist die Datenschutzerklärung, verlinken.
  • Es muss über die Zwecke der Cookies beziehungsweise Tools informiert werden.
  • Freiwilligkeit und Widerrufbarkeit der Einwilligung müssen klar aus dem Banner hervorgehen.

Ausgehend von diesen Voraussetzungen können sich Onlinehändler nun überlegen, inwiefern sie die Buttons und Links im Banner entsprechend anpassen. Natürlich darf das Design nicht dazu führen, dass der Websitebesucher die Möglichkeiten zu individuellen Einstellungen oder zur Ablehnung gar nicht mehr wahrnehmen kann. Sogenannte "Dark Patterns" sind in der Regel unzulässig. Es kann jedoch – auch, weil es keine konkreten Vorgaben von Behörden oder Gerichten gibt – wohl zulässig sein, die Felder für die Zustimmung hervorzuheben.

Endgeräte berücksichtigen: Passt die Textlänge?

Wichtig ist bei der Gestaltung des Banners auch die Textlänge. Sie ist insbesondere bei der Nutzung mobiler Endgeräte ein wichtiger Aspekt, der bei der Entwicklung der Texte berücksichtigt werden muss. Das Banner sollte nie mehr als 50% des Bildschirmes einnehmen.

Deshalb kann es unter Umständen angebracht sein, für Desktop- und mobile Endgeräte unterschiedliche Texte zu entwerfen – oder gleich einen kurzen, der für beide passt, aber trotzdem noch die Voraussetzungen einhält.

Was muss in der Datenschutzerklärung ergänzt werden?

Wer Cookies nutzt, der muss auch in der Datenschutzerklärung insbesondere über die Weitergabe der Daten an Dritte, die Empfänger und die Speicherdauer der Cookies informieren – das hat der Europäische Gerichtshof (EuGH) in seinem "Planet49"-Urteil entschieden. Doch auch die grundsätzlichen Informationspflichten gelten für Cookies: In der Datenschutzerklärung müssen auch die Rechtsgrundlage, die Zwecke der Datenverarbeitung und die gegebenenfalls erfolgende Übermittlung ins Nicht-EU-Ausland (etwa in die USA, wie bei Google Analytics) geklärt werden. Es sind also "nicht nur Cookies" – sondern für sie gelten dieselben Anforderungen wie bei anderen Verarbeitungen personenbezogener Daten.

Wann kommt die ePrivacy-Verordnung?

Ursprünglich sollte mit der DSGVO auch die ePrivacy-Verordnung in Kraft treten, welche die Nutzung von Cookies speziell geregelt hätte. Mit Sicherheit kann aktuell aber niemand sagen, wann die ePrivacy-Verordnung verabschiedet wird. Die Verhandlungsparteien befinden sich nach wie vor in einer Diskussion über die Ausrichtung der Verordnung. Und die aktuelle Coronakrise hat die Prioritäten sicherlich noch einmal verändert. 
Der aktuelle Entwurf des Europäischen Rats enthält in Art. 8 Nr. 1 lit. g einen interessanten Teil, der Bezug auf Cookies nimmt: Dort wird die Verarbeitung und Speicherung von Cookies gestützt auf ein berechtigtes Interesse vorgeschlagen, was vor allem in Hinblick auf überwiegend werbefinanzierte Mediendienste interessant sein dürfte. Dies ist jedoch nur eine Momentaufnahme der Verhandlung.

Es bleibt spannend, wie sich die Diskussion weiterentwickelt und ob die Nutzung von Cookies mit der finalen ePrivacy-Verordnung auch ohne Einwilligung (wieder) möglich sein wird.

Fazit und Ausblick

Um einen rechtssicheren und handelstauglichen Cookie-Banner zu entwerfen, braucht es die interdisziplinäre Zusammenarbeit von Juristen, Marketing- und IT-Experten zur Entwicklung einer zufriedenstellenden Lösung für Online-Händler. Ziel muss es sein, die rechtlichen Voraussetzungen einzuhalten, aber zugleich die Interessen und Möglichkeiten des Marketings und der IT angemessen zu berücksichtigen.

Bis zum BGH-Urteil oder einer gesetzlichen Neuregelung bleibt es erstmal aus rechtlicher Sicht bei den Maßstäben der DSGVO. Danach wird man aller Voraussicht nach mit einer Einwilligung als Rechtsgrundlage zur Nutzung von nicht notwendigen Cookies rechnen müssen. Deshalb ist es sinnvoll, bereits jetzt die eigene Cookie-Nutzung zu überprüfen und entsprechende Maßnahmen zu ergreifen, um sich auf die kommende Rechtslage bestmöglich vorzubereiten und Verfahren durch die Datenschutzbehörden zu vermeiden.

MEHR ZUM THEMA:


Der Nutzer offenbart hier nicht nur seine sensiblen Zahlungsinformationen, sondern zudem aussagekräftige Metadaten.
© Monkey Business Images - shutterstock.com
Expertenrat – Kathrin Schürmann

Mobile Payment: Neue Technologien zwischen rechtlichen Fallstricken?!


NikePlus-Mitglieder können Artikel per App reservieren und an der Sneaker Bar und an Pick-up-Schließfächern abholen.
© Nike
Marketing

Wie sich neue Ladenkonzepte in die digitale Zukunft retten


Umweltschutz und Nachhaltigkeit: dm wirbt jetzt offensiv damit.
© Rawpixels.com/Shutterstock
Werbung

So will dm das Klima retten