Cookies & DSGVO Checklist: Do’s & Don’ts

Seit dem 25. Mai 2018 stellen sich Webseitenbetreiber die Frage, ob Cookies unter die DSGVO fallen oder nicht. Fallen Cookies also unter die DSGVO oder doch unter die kommende ePrivacy-Verordnung? Wie ist die tatsächliche rechtliche Grundlage und welche Mythen rund um Cookies sind wahr?

Wir klären alle offenen Fragen und räumen mit den Mythen und Gerüchten rund um Cookies und DSGVO auf.

"Cookies sind keine personenbezogenen Daten, weshalb die DSGVO nicht greift"

Diese Aussage stimmt nicht ganz. Die Datenschutzgrundverordnung regelt die Verarbeitung personenbezogener Daten. Ein Personenbezug ist dann gegeben, wenn mit der Information die Identifizierung einer Person möglich ist. Eine Identifizierung ist gemäß Erwägungsgrund 30 DSGVO auch über Online-Kennungen wie IP-Adressen oder Cookie-Kennungen möglich. Somit kommt es darauf an, um welche Art von Cookie es sich handelt und ob dieser die Verarbeitung personenbezogener Daten ermöglicht.

Damit ist auch die Annahme, dass Cookies erst unter der zukünftigen ePrivacy-Verordnung geregelt werden, falsch. Das Missverständnis, dass Cookies nur unter der ePrivacy-Verordnung geregelt werden, kommt wohl daher, dass diese die ePrivacy-Richtlinie aus 2002 und die Cookie-Richtlinie aus 2009 ersetzen soll. Tatsächlich umfasst die kommende ePrivacy-Verordnung jedoch die Verarbeitung elektronischer Kommunikationsdaten, auch ohne Personenbezug. Mehr zu ePrivacy weiter unten.

"Ich brauche keinen Cookie-Banner"

Cookies erheben in der Regel unabhängig vom Verwendungszweck personenbezogene Daten, weshalb die Informationspflicht greift. Der Webseitenbetreiber ist also dazu verpflichtet, den Nutzer der Webseite über die Erhebung und Verarbeitung seiner personenbezogenen Daten zu informieren. Die Informationspflicht umfasst dabei nicht nur, welche Daten genau erhoben werden, sondern auch wie diese verarbeitet werden, zu welchem Zweck und auf welcher Rechtsgrundlage. Weiterhin muss der Webseitenbetreiber darüber Auskunft geben, wie lange die Daten aufbewahrt werden und wie der Widerspruch zur Verarbeitung der Daten erfolgt.

Da die meisten Cookies nur mit der vorherigen Zustimmung des Nutzers geladen werden dürfen, sollte ein Cookie-Banner nicht nur informieren, sondern auch die explizite Einwilligung des Nutzers einholen.

“Habe ich einen Cookie-Banner, bin ich auf der sicheren Seite”

Nicht jeder, der einen Cookie-Banner auf seiner Webseite platziert, ist damit auch automatisch DSGVO-konform und bewegt sich im rechtlichen Rahmen, denn der Banner muss gewisse Anforderungen erfüllen. Die DSGVO definiert 7 Kriterien, nach welchen eine Einwilligung erfolgen muss, damit sie gültig im Sinne der Datenschutzgrundverordnung ist. Das heißt, dass der Webseitenbetreiber über seinen Cookie-Banner die Einwilligung des Nutzers nach diesen Kriterien einholen muss, um auf der “sicheren Seite” zu sein.

Welche Kriterien das sind, erläutern wir in unserem Artikel zur gültigen Einwilligung (LINK).

“Die ePrivacy-Verordnung wird sich nicht auf die Verwendung von Cookies auswirken”

Die voraussichtlich im Jahr 2020 inkrafttretende ePrivacy-Verordnung enthält weitere neue Regelungen für die Verwendung von Cookies. Cookies, die nur für den technischen Betrieb einer Webseite verwendet werden, erfordern dann keine Zustimmung des Nutzers. Für Tracking oder Werbezwecke verwendete Cookies erfordern jedoch weiterhin vorab die explizite, aktive und freiwillige Einwilligung des Nutzers. Die ePrivacy-Verordnung soll Tracking-Walls entgegenwirken und diese beseitigen. Demnach müssen alle Webseiten zugänglich gemacht werden, auch wenn der Nutzer der Verwendung der Cookies nicht zugestimmt hat.

Newsletter abonnieren

In unserem „Legal Update“ Newsletter informieren wir Sie alle 2 Wochen über aktuelle News rund um die DSGVO und sonstige relevante Datenschutz-Themen. Darüber hinaus erfahren Sie als erstes von Usercentrics Events und neuen Veröffentlichungen.












Checkliste - Do’s im Überblick

Wie man sieht, sind die oben genannten Mythen und Annahmen über Cookies nur stellenweise richtig und stehen meist im falschen Kontext. Das führt bei Betreibern von Webseiten zu Verwirrung.

Folgende Punkte sollten beachtet werden, um als Webseitenbetreiber Cookies DSGVO-konform zu verwenden:

Informationspflicht erfüllen

Cookie-Banner oder Popups sollten auf jeder Webseite auf die Verwendung von Cookies hinweisen. Weiterhin müssen Nutzer darüber informiert werden, falls mit ihren Daten Profile im Sinne des Art. 21 DSGVO gebildet werden und / oder ihre Daten auch in Drittstaaten übermittelt werden können. Dies ist insbesondere der Fall, wenn die Provider hinter den Cookie Technologien ihren Sitz beispielsweise in den USA haben.

Einwilligung

Der Cookie Banner muss gewährleisten, dass der Nutzer seine Einwilligung vorab, freiwillig, explizit, informiert und granular für jede Web-Technologie (oder gebündelt für einzelne Anwendungsbereiche) abgeben kann. Weiterhin muss die einfache Möglichkeit des Widerspruchs gegen die Verarbeitung personenbezogener Daten gegeben sein.

Laden von Cookies

Cookies dürfen ohne Rechtsgrundlage keine Daten verarbeiten oder sammeln. Es muss also eine technische Verknüpfung zwischen dem Cookie-Banner sowie der Web-Technologie bestehen, die dafür sorgt, dass Cookies erst geladen werden, wenn der Nutzer seine Einwilligung dazu erteilt hat. Lehnt der Nutzer die Verarbeitung ab, muss sichergestellt sein, dass keine Cookies gesetzt werden.

Rechtssicher Dokumentieren

Im Falle einer Prüfung durch die Datenschutzbehörde muss der Webseitenbetreiber seiner Dokumentationspflicht nachkommen und die Einwilligungen der Nutzer vorlegen können. Damit bei der Prüfung alle Daten vorhanden sind, sollten diverse Datenpunkte dokumentiert werden, wie zum Beispiel Zeitstempel, User-Agent oder die Version der Einwilligungstexte. Weiterhin wichtig werden die Bedingungen, unter welchen die Einwilligung gegeben wurde, also wie groß war der “Akzeptieren”-Button im Vergleich zum “Ablehnen-Button” und war die Wahl wirklich freiwillig, sprich konnte der Nutzer die Seite auch bei Ablehnen der Cookies ohne Nachteile verwenden.

Opt-out

Der Opt-out muss granular pro Cookie auf der Webseite ermöglicht werden. Laut der DSGVO muss der Widerspruch genauso einfach möglich sein, wie der Opt-in. Damit genügen externe Links auf eine Drittseite zum Opt-out nicht. Zusätzlich muss sichergestellt sein, dass ab dem Moment des Widerspruchs keine weiteren Daten gesammelt und weitergeleitet werden, das heißt auch der Opt-out muss technisch mit dem Cookie gekoppelt werden und bestenfalls dokumentiert werden.
Usercentrics Whitepaper

Whitepaper: DSGVO für Enterprises

Sie möchten mehr über die DSGVO erfahren? In unserem kostenlosen Whitepaper haben wir Ihnen neben allem Wissenswerten rund um die DSGVO auch hilfreiche Checklisten und praktische Tipps festgehalten, wie Sie mit Cookies und User-Identifiern zukünftig umgehen müssen.

Disclaimer

Usercentrics GmbH bietet keine Rechtsberatung an. Der Inhalt dieses Artikels ist nicht rechtsverbindlich. Der Artikel stellt die Meinung von Usercentrics dar.

Usercentrics Newsletter
Legal Update
Immer up-to-date: Mit unserem Legal Update halten wir Sie auf dem Laufenden über aktuelle Trends rund ums Thema Datenschutz.
Usercentrics Whitepaper Cover
Neues Whitepaper
Checklisten und praktische Hinweise zum korrekten Umgang mit Cookies und User-Identifiern nach DSGVO.