Ratgeber

Mythen rund um DSGVO, Cookies, Einwilligung, E-Privacy – aufgelöst

(Bild: Shutterstock)

Nach der DSGVO hat sich gefühlt vor allem eins verändert: Fast jede Website hat ein Cookie-Banner.

Meistens kann man Okay klicken, ab und zu kann man das Banner auch mit einem X verschwinden lassen und in wenigen Fällen hat man tatsächlich die Möglichkeit, Cookies zu widersprechen. Im Hintergrund werden sehr oft bereits Technologien ausgelöst, sodass es sich bei den Bannern eher um „Placebo-Banner“ handelt. Allerdings kursiert trotzdem die Meinung, dass Cookies gar nicht unter die DSGVO fallen und vielmehr erst mit der E-Privacy-Verordnung geregelt werden sollen. Wie passt das zusammen? Wie ist die tatsächliche Gesetzeslage?

„Cookies sind keine personenbezogenen Daten, die DSGVO gilt hierfür nicht“

Die DSGVO reguliert die Erhebung und Verarbeitung von personenbezogenen Daten. Der Begriff personenbezogener Daten ist dabei sehr weit zu verstehen. Grundsätzlich besteht ein Personenbezug, wenn mit der Information die Identifizierung einer Person möglich ist. Eine solche Identifizierung ist laut DSGVO „unter Umständen auch über Online-Kennungen wie IP-Adressen oder Cookie-Kennungen“ möglich (Erwägungsgrund 30 DSGVO). Ein Absatz, der ausführte, dass Online-Kennungen nicht zwingend Personenbezug haben, wurde in späten Verhandlungen extra aus dem Gesetzestext gestrichen.

Dass IP-Adressen personenbezogene Daten sind, galt auch schon vor der DSGVO und wurde vom EuGH bereits 2016 bestätigt.

„Cookies regelt nur die zukünftige E-Privacy-Richtlinie“

Die E-Privacy-Verordnung soll die alte E-Privacy-Richtlinie von 2002 und die Cookie-Richtlinie von 2009 ersetzen. Daher stammt wohl das Missverständnis, dass Cookies auch erst mit der neuen E-Privacy-Verordnung geregelt werden. Der Anwendungsbereich der E-Privacy-VO erfasst sämtliche elektronische Kommunikationsdaten, auch ohne Personenbezug.

Als sogenanntes Lex Specialis der DSGVO soll die E-Privacy-VO gewisse Sachverhalte der DSGVO konkretisieren, wenn es um personenbezogene elektronische Kommunikationsdaten geht – darunter auch Cookie-Daten, die somit zukünftig unter die spezielleren Regelungen der neuen E-Privacy-VO fallen. Da Cookie-Kennungen aber grundsätzlich personenbezogene Daten sind, sind die Vorschriften der DSGVO jetzt schon voll anwendbar.

Es ist somit trügerisch, auf die E-Privacy-Richtlinie zu warten. Diese kann sich deutlich verzögern und damit gegebenenfalls erst 2020 in Kraft treten. In der Lücke zwischen DSGVO und E-Privacy-VO sind Unternehmen möglicherweise dem Risiko einer Abmahnung ausgesetzt.

„Ich brauche kein Cookie-Banner“

Da Cookies unabhängig vom Verwendungszweck Daten erheben, greift die Informationspflicht. Das bedeutet, dass der Verantwortliche, in diesem Fall der Website-Betreiber, den Betroffenen darüber informieren muss, dass hier Daten gesammelt werden.

Außerdem muss darüber informiert werden, welche Daten im Einzelnen erhoben und wie sie verarbeitet werden, zu welchem Zweck, aufgrund welcher Rechtsgrundlage, wie lange die Daten aufbewahrt werden und wie einer Verarbeitung widersprochen werden kann.

Für Cookies braucht man eine Rechtsgrundlage. Da die meisten Cookies, insbesondere Werbecookies, nur mit der vorherigen Zustimmung geladen werden dürfen, sollte das Cookie-Banner gleichzeitig auch die Einwilligung des Website-Besuchers hierzu einholen.

„Ich habe bereits ein Cookie-Banner und bin auf der sicheren Seite“

Viele Banner erfüllen nicht die Anforderungen des Gesetzgebers. Das Banner muss den allgemeinen Anforderungen an eine gültige Einwilligung im Sinne der DSGVO genügen. Das bedeutet, die Einwilligung muss zunächst freiwillig sein. Dies ist der Fall, wenn der Nutzer die Wahl hat, also sowohl einwilligen als auch ablehnen kann.

Außerdem muss die Einwilligung explizit gegeben werden, das heißt der Nutzer muss aktiv zustimmen und erst dann sollten Cookies geladen werden.

„Es wird sich durch die E-Privacy nichts gravierend ändern“

Die E-Privacy enthält weitere neue Regelungen für Cookies. Die E-Privacy-VO sieht unter anderem vor, dass für Cookies, die nur für technische Zwecke verwendet werden (etwa um sich zu merken, was beim Online-Einkauf in den Warenkorb gelegt wurde), keine Zustimmung nötig ist. Wird das Cookie jedoch für Tracking oder Werbung verwendet, bedarf es weiterhin der expliziten, freiwilligen Einwilligung.

Die Verordnung zielt auch darauf ab, Tracking-Walls zu beseitigen. Der Begriff Tracking Wall bezieht sich auf Websites, die den Zugriff auf die Inhalte der Seite verhindern, es sei denn, der Nutzer stimmt Cookies zu. Websites dürfen Nutzern den Zugriff nicht mehr verwehren, wenn sie Cookies nicht zustimmen.

„Ich warte, bis die E-Privacy-Verordnung kommt“

Ursprünglich sollte die E-Privacy-VO gleichzeitig mit der DSGVO in Kraft treten. Diese verzögert sich aber aufgrund von politischen Spannungen bis womöglich 2020. Es empfiehlt sich nicht, mit Maßnahmen auf diese Verordnung zu warten, da bereits die DSGVO den Umgang mit Identifiern regelt.

To-dos für Website-Betreiber unter DSGVO:

  • Cookie-Banner oder Popup einbauen, um die Informationspflicht zu erfüllen. Der Text sollte dabei unbedingt den Namen des Verantwortlichen (also etwa „xyz GmbH“) enthalten und, je nachdem welche Cookies im Einsatz sind, sollte auch darauf hingewiesen werden, dass mit den Daten Profile über das Verhalten des Nutzers gebildet werden, sowie dass diese Daten unter Umständen in Drittstaaten wie die USA übermittelt werden.
  • Die freiwillige, explizite Einwilligung abfragen. Das heißt, der Nutzer muss die Möglichkeit haben, Cookies anzunehmen UND abzulehnen.
  • Cookies sollten erst geladen werden, wenn die Einwilligung vorliegt, es muss also eine technische Verknüpfung des Banners und der Technologien auf der Seite bestehen. Sonst werden Daten ohne gültige Rechtsgrundlage gesammelt und verarbeitet, was einen Verstoß nach Art. 83 Abs. 5 lit. a) DSGVO darstellt. Willigt der Nutzer nicht ein, muss technisch sichergestellt werden, dass weiterhin keine Cookies ausgespielt werden.
  • Die Einwilligung rechtssicher dokumentieren, um diese im Falle einer Abmahnung oder eines Audits der Datenschutzbehörde vorlegen zu können. Website-Betreiber unterliegen nach DSGVO einer Beweispflicht. Damit die Einwilligung einer Prüfung standhält, sollten diverse Datenpunkte mitgeschrieben werden, zum Beispiel Timestamp, User-Agent oder die Version der Einwilligungstexte. Auch abgesetzte URL-Calls sollten geloggt werden, um nachzuweisen, dass keine Cookies ausgespielt wurden, bevor die Einwilligung nicht vorlag.
  • Den direkten Optout auf granularer Cookie-Ebene auf der Website ermöglichen. Die DSGVO schreibt vor, dass es genauso einfach sein soll, die Einwilligung zu widerrufen, wie es war sie zu geben. Ein externer Link auf eine Datenschutzerklärungsseite eines Drittanbieters genügt dem zumindest nicht. Außerdem muss der Website-Betreiber sicherstellen, dass im Moment des Widerrufs keine weiteren Daten gesammelt und weitergegeben werden. Somit sollte auch die Optout-Schaltfläche technisch mit den Cookies verknüpft werden.
Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

8 Kommentare
einSelbst
einSelbst

Die im Artikel wiedergegeben Meinung kann man sicher so vertreten, sie ist aber nicht alternativlos und insgesamt als restriktiv einzuordnen. Ich bin kein Experte auf dem Gebiet, habe mich aber recht viel damit befasst und mMn. ist eine Einwilligung nicht die einzige Möglichkeit, mit der man hier arbeiten kann. Man kann z.B. auch das Bereitstellen der Informationen auf einer Webseite als Vertragsleistung in den AGB deklarieren und die für die Funktion der Seite notwendigen Cookies wären dann darüber legitimiert.
Auch denke ich, dass man grundsätzlich unterscheiden sollte zw. Cookies die technisch notwendig für eine korrekten Betrieb einer Seite sind und welchen, die zusätzlich sind, z.B. Tracking.

Antworten
Hans
Hans

„Da Cookies unabhängig vom Verwendungszweck Daten erheben, greift die Informationspflicht.“
Die Adressaten sind wohl eher Menschen die Marketing- oder Tracking-Cookies einsetzen. Dort werden „Daten erhoben“, beim einfachen Speichern von Zugangstoken wird der Verwendungszweck / die Vertragsleistung erfüllt. Daten werden nicht erhoben.

Antworten
Niels Dettenbach

So ein Murks. Dieser ganze Regulierungsquark seitens Staat und EU HST lediglich ein Ziel: die sukzessive Verstaatlichung des Internet, indem es sachlich falscherweise von privatem zu „öffentlichen Raum“ umdeklariert werden soll – und damit staatlicher Raum.

Im echten, klassischen Internet ist jeder Teilnehmer des Internet selbst primär für seine Clients verantwortlich. So gab es denn damals such per Default Abfragen in den meisten Browserclients an seinen Anwender, ob und welche Cookies er annehmen will. Das war den meisten Anwendern zu lästig, weshalb dieses Default geändert wurde. Dennoch kann jeder Anwender technisch bis heute problemlos darüber selbst bestimmen.

Die gleichberechtigte Teilnahme und Verantwortung am Netz war immer ein aesenicher Eckpfeiler des Erfolges des Internets -näher such seines Auto-Immun-Systems. Wer glaubt, staatliche Regulierung schaffe hier mehr Teilnehmer-/Anwenderrecht, ist mehr als naiv / kurzsichtig, denn die negativen Folgen für alle, die Vielfalt im Netz die die Zuverlässigkeit des Internet werden absehbar hintanstehen, um offenbar nicht geschäftsfähigen Personen ein lebenslang zwangsbekindergärtnertes „Internet“ zu verschaffen, welches denen – bei echtem Bedarf – längst kommerzielle Anbieter angeboten hätten und bereits anbieten. Wer mit der Teilnahme am Internet über fordert ist, kann sich gern Betreuer dazu holen…

Antworten
Mainschleife
Mainschleife

Liebes t3n Team,
jetzt bin doch ein wenig überrascht. Rein Interesse halber habe ich geschaut wie ihr das Cookie-Thema auf eurer Website behandelt.
Ich habe allerdings nichts gefunden, kann es sein, dass ihr gar keinen Cookie-Banner habt?

Würde mich ja schon ein wenig wundern ;-)

Antworten
Mainschleife
Mainschleife

Wenn ich jetzt richtig recherchiert habe, holt ihr als „t3n“ gar keine Cookie Einwilligung beim Betroffenen ein, sondern erklärt in eurer Datenschutzerklärung, dass es sich hier um „berechtigtes Interesse“ des Unternehmens handelt.


Die durch Cookies verarbeiteten Daten sind für die genannten Zwecke zur Wahrung unserer berechtigten Interessen sowie der Dritter nach Art. 6 Abs. 1 S. 1 lit. f DS-GVO erforderlich.

Ganz schön dünnes Eis, oder nicht?

Antworten
bs
bs

Jein, Cookies kann man durchaus auch ohne explizite Einwilligung verwenden, wenn ein berechtigtes Interesse besteht. Fraglich ist eher, ob der Informationspflicht gem. DSGVO Art. 13 Abs. 1 nachgekommen wird.
Soll heißen, reicht als Information ein entsprechender Hinweis in der Datenschutzerklärung aus, oder muss der Benutzer schon beim ersten Seitenaufruf darüber informiert werden (=Cookiebar)?

Renate Hermanns

Nette Übersicht, leider bringt sie mich nicht weiter. Seit April 2018 habe ich so viele unterschiedliche Rechtsauffassungen im Netz gefunden, dass ich einer einzelnen Meinung nicht mehr folge – auch keiner juristisch fundierten.

Dem Punkt 1 auf der o.g. ToDo-Liste möchte ich widersprechen. Da es bereits Pflicht ist, den Link zur Datenschutzerklärung gut sichtbar auf jeder Seite vorzuhalten, ist ein sog. Cookie-Banner unnötig – und das ist nicht nur meine Auffassung. Dieser zusätzliche Hinweis macht nichts anderes, als den Usern den Link zur DSE quasi vor den Kopf zu hauen, als könnte diese nicht lesen. Und es ist oft sogar kontraproduktiv eingebaut, wenn es den Link zu Impressum und DSE verdeckt und erst auf Klick des OK-Buttons freigibt.

Bei Punkt 4 – rechtssicher dokumentieren – frage ich mich dann noch, wie das zur Empfehlung passt, beim Provider das Logging abzuschalten und auch z.B. bei WordPress keine Einträge mitzuloggen (z.B. bei Kommentaren) bzw. sie nach 60 Tagen zu löschen.

Im übrigen kann man für Cookies von Drittanbietern (z.B. Google-Map, YouTube) jeweils eine Info vorschalten, die auf die mögliche Verwendung der erhobenen Daten hinweist und dem Nutzer/der Nutzerin selbst überlässt, ob er oder sie den Service nutzen will. Ohne Nutzung werden dann auch keine Cookies gesetzt.

Antworten
Bianka
Bianka

Ja, na klar, ich dokumentiere rechtssicher unter Erfassung von Daten wie dem User Agent, dass ich keine Daten gespeichert habe… Erkennt jemand die Ironie?

Antworten
Abbrechen

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!

Hey du! Schön, dass du hier bist. 😊

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team bestehend aus 65 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Danke für deine Unterstützung.

Digitales High Five,
Stephan Dörner (Chefredakteur t3n.de) & das gesamte t3n-Team

Anleitung zur Deaktivierung