Eine Website ohne Cookies ist möglich – aber oftmals nicht sehr nutzerfreundlich. Allein der Warenkorb im Online-Shopping ist ohne den Einsatz von Cookies schlichtweg nicht denkbar. Bei der Nutzung von Cookies gibt es jedoch allerhand zu beachten, um den Datenschutz zu wahren. Die rechtliche Situation ist nicht völlig eindeutig, es fehlt die ePrivacy-Verordnung. Deshalb sollten Unternehmen wissen, wie sie möglichst rechtssicher vorgehen und wie sich eigene Interessen mit dem Datenschutz möglichst gut vereinbaren lassen.

Aktuelle Rechtsprechung: „Planet49-Urteil“

Im Oktober 2019 ging vorerst ein wichtiger Prozess zu Ende, den sowohl Marketing-Profis wie auch Juristen mit größter Spannung erwarteten.

Zuvor hatte der Bundesverband der Verbraucherzentralen die Planet49 GmbH verklagt. Dabei handelt es sich um ein Unternehmen, das vor allem Online-Gewinnspiele anbietet, oftmals über Pop-Up-Fenster. Wer auf die Website des jeweiligen Gewinnspiels gelangt, musste der Nutzung von Cookies nicht mehr zustimmen: Das Kästchen war bereits mit einem Häkchen versehen, die Nutzerinnen und Nutzer stimmten der Nutzung also automatisch zu, wenn sie das Häkchen nicht manuell entfernten.

Im Urteil vom 01.10.2019 hat der Europäische Gerichtshof (EuGH) in der Rechtssache Planet49 (Az.: C-673/17) viele rechtliche Hinweise und Vorgaben zur Nutzung von Cookies gemacht, die alle in diese Richtung weisen: Nutzerinnen und Nutzer müssen der Nutzung von Cookies aktiv, also als Opt-in, zustimmen dürfen. Aktuell liegt der Planet49-Fall wieder beim BGH, ein Urteil ist für den 28. Mai 2020 angekündigt (UPDATE).

 

Für wen gilt die Cookie-Banner-Pflicht?

Es ist auch mit dem Urteil weiterhin unklar, ob wirklich jede Cookie-Nutzung die aktive Einwilligung der Nutzerin bzw. des Nutzers benötigt.

Der IT-Verband Bitkom geht davon aus, dass alle Cookies von der Rechtsprechung betroffen sind – also nicht nur Werbe-Cookies, sondern auch technische Cookies, die für das Funktionieren der Website benötigt werden. Der Bundesverband Digitale Wirtschaft (BVDW) sieht wiederum nicht, dass mit dem Urteil alle Cookies eine aktive Einwilligung benötigen. Unternehmen sind damit aktuell in der schwierigen Situation, den datenschutzkonformen Einsatz von Cookies zu gewährleisten und dabei trotzdem ein Auge auf die Machbarkeit und User Experience zu haben.

Rechtsgrundlage für Cookie-Nutzung

Die rechtliche Grundlage für die Nutzung von Cookies ist der Art. 6 der DSGVO. Hier werden Angaben dazu gemacht, unter welchen Voraussetzungen Daten erhoben werden dürfen. Dabei wird jedoch nicht auf die spezifische Nutzung von Cookies eingegangen, weshalb es Aufgabe von Expertinnen und Experten sowie den betroffenen Unternehmen ist, die richtigen Schlüsse aus den Angaben zu ziehen. Grundsätzlich wird aktuell zwischen drei verschiedenen Einsatzbereichen von Cookies unterschieden.

Technisch relevante Cookies

Wer die Cookie-Nutzung damit rechtfertigt, dass die jeweilige Technologie für das Anbahnen oder das Erfüllen des Vertrages notwendig ist, muss dies beweisen können. Sehr oft wird dieser Zweck von Online-Shops angegeben, die Cookies für die Warenkorb-Funktion und den Bestellvorgang benötigen.

Es gilt immer: Sobald der Cookie-Zweck 1) auch ohne Cookie oder 2) mittels einer Methode, die weniger personenbezogene Daten erfasst, erreichbar ist, ist die Cookie-Nutzung nicht mehr zwingend erforderlich.

Dokumentierte Interessenabwägung

Grundsätzlich ist es gemäß Art. 6 Abs. 1 lit. f DSGVO auch möglich, ein berechtigte Interessen für die Cookie-Nutzung anzugeben. Dabei ist aber immer zwischen den Interessen der Nutzerinnen und Nutzer sowie den Interessen des Unternehmens abzuwägen.

Zudem muss nachgewiesen werden, dass das jeweilige Ziel nicht ohne Cookie-Nutzung zu erreichen ist. Datenschutz-Experten und Juristen haben unterschiedliche Ansichten dazu, ob im Online Marketing ein berechtigtes Interesse die Grundlage für die Cookie-Nutzung ohne Opt-In sein kann. Deshalb ist es die bessere Alternative, sich die Einwilligung der Nutzerin bzw. des Nutzers geben zu lassen, bis es womöglich in der ePrivacy-Verordnung nähere Informationen geben wird.

 

 

Einwilligung in Cookie-Nutzung

Wer auf Nummer sicher gehen möchte, der holt sich für die Nutzung von Cookies immer per Opt-in die Einwilligung der Nutzerin bzw. des Nutzers ein.

Voraussetzungen für die Cookie-Nutzung

Wer mit einem Cookie-Banner arbeitet, der sollte die folgenden gestalterischen und inhaltlichen Voraussetzungen erfüllen:

  • Cookies entfernen und erlauben: Nutzerinnen und Nutzer müssen die Wahl zwischen dem Entfernen und Erlauben von Cookies haben
  • Erst nach Zustimmung aktiv: Die durch Cookies gesteuerten Prozesse dürfen erst nach der Zustimmung zur Cookie-Nutzung aktiviert werden
  • Link auf weiterführende datenschutzrelevante Hinweise (Datenschutzerklärung, AGB etc.) in Cookie-Banner
  • Informationen zum Grund der Cookie-Nutzung
  • Es muss im Banner deutlich werden, dass die Einwilligung freiwillig und widerrufbar ist
  • Design muss alle Optionen gut lesbar und verständlich darstellen (Verbot von Dark Patterns)
  • optimale Darstellung auf allen Endgeräten: Der Text im Cookie-Banner sollte auf alle Endgeräten gut lesbar sein, aber nicht mehr als 50 Prozent des Bildschirms einnehmen. Es können auch verschiedene Texte für die jeweiligen Endgeräte entworfen werden, die aber immer alle datenschutzrechtlichen Voraussetzungen erfüllen

Cookies in der Datenschutzerklärung

Die Nutzung von Cookies muss immer in der Datenschutzerklärung angegeben werden.

Folgende Angaben sollten dort zu finden sein:

  • Rechtsgrundlage für Cookie-Nutzung
  • Zwecke der Datenverarbeitung
  • Wer Daten in das Nicht-EU-Ausland – wo die DSGVO nicht greift – übermittelt, weil beispielsweise Analyse-Tools wie Google Analytics genutzt werden, muss dies in der Datenschutzerklärung angeben.
  • Angaben zu Weitergabe der Daten an Dritte, den Empfängern und der Speicherdauer der Cookies

2020 wurde das Privacy Shield-Abkommen gekippt. Das hat auch Auswirkungen auf die Datenschutzerklärung, da viele Datenverbindungen in Drittländer nun als potenziell unsicher gelten. Hier müssen Unternehmen recherchieren, inwiefern sie Daten aus Ländern, die vom gekippten Privacy-Abkommen betroffen sind, verarbeiten und speichern. Nutzerinnen und Nutzer müssen darüber in der Datenschutzerklärung aufgeklärt werden.

Hoffnung auf ePrivacy-Verordnung in 2021

Die ePrivacy-Verordnung sollte ursprünglich zeitgleich mit der DSGVO in Kraft treten und den speziellen Bereich des Datenschutzes in der Privatsphäre und der elektronischen Kommunikation behandeln. Bisher konnten sich die Länder in der EU jedoch noch auf keinen gemeinsamen Entwurf einigen, zu unterschiedlich sind die Vorstellungen von der inhaltlichen Ausrichtung der ePrivacy-Verordnung. Die Digitalbranche beobachtet den Prozess argwöhnisch, denn bei einer strengen Ausrichtung, die vor allem den Datenschutz von Privatpersonen im Auge hat, können die bisherigen Strukturen und Methoden des Online Marketings schlichtweg unmöglich machbar werden.
Andererseits erwarten sich Expertinnen und Experten von der Verordnung auch mehr Rechtssicherheit im Umgang mit Cookies. Ein neuer Entwurf für die ePrivacy-Verordnung wird für 2021 erwartet.

 

Benötigen Sie Unterstützung oder Beratung bei der Umsetzung einer datenschutzkonformen Online Marketing-Strategie? Dann unterstützen Sie unsere Datenschutzexpertinnen und Datenschutzexperten sehr gern.
Kontaktieren Sie uns!
Hat Ihnen dieser Beitrag gefallen? Dann teilen Sie ihn!

Tags: