EuGH Urteil zu Cookies
Home Ressourcen Blog DSGVO Checkliste – Do’s im Überblick

DSGVO Checkliste – Do’s im Überblick

Seit dem 25. Mai 2018 stellen sich Webseitenbetreiber die Frage, ob Cookies unter die DSGVO fallen oder nicht. Fallen Cookies also unter die DSGVO oder doch unter die kommende ePrivacy-Verordnung? Wie ist die tatsächliche rechtliche Grundlage und welche Mythen rund um Cookies sind wahr?
von Usercentrics
31. Mai 2019
EuGH Urteil zu Cookies
Inhaltsverzeichnis
Mehr anzeigen Weniger anzeigen

Seit dem 25. Mai 2018 stellen sich Webseitenbetreiber die Frage, ob Cookies unter die DSGVO fallen oder nicht. Fallen Cookies also unter die DSGVO oder doch unter die kommende ePrivacy-Verordnung? Wie ist die tatsächliche rechtliche Grundlage und welche Mythen rund um Cookies sind wahr?

Wir klären alle offenen Fragen und räumen mit den Mythen und Gerüchten rund um Cookies und DSGVO auf.

„Cookies sind keine personenbezogenen Daten, weshalb die DSGVO nicht greift“

Diese Aussage stimmt nicht ganz. Die Datenschutzgrundverordnung regelt die Verarbeitung personenbezogener Daten. Ein Personenbezug ist dann gegeben, wenn mit der Information die Identifizierung einer Person möglich ist. Eine Identifizierung ist gemäß Erwägungsgrund 30 DSGVO auch über Online-Kennungen wie IP-Adressen oder Cookie-Kennungen möglich. Somit kommt es darauf an, um welche Art von Cookie es sich handelt und ob dieser die Verarbeitung personenbezogener Daten ermöglicht.

Damit ist auch die Annahme, dass Cookies erst unter der zukünftigen ePrivacy-Verordnung geregelt werden, falsch. Das Missverständnis, dass Cookies nur unter der ePrivacy-Verordnung geregelt werden, kommt wohl daher, dass diese die ePrivacy-Richtlinie aus 2002 und die Cookie-Richtlinie aus 2009 ersetzen soll. Tatsächlich umfasst die kommende ePrivacy-Verordnung jedoch die Verarbeitung elektronischer Kommunikationsdaten, auch ohne Personenbezug. Mehr zu ePrivacy weiter unten.

Cookies erheben in der Regel unabhängig vom Verwendungszweck personenbezogene Daten, weshalb die Informationspflicht greift. Der Webseitenbetreiber ist also dazu verpflichtet, den Nutzer der Webseite über die Erhebung und Verarbeitung seiner personenbezogenen Daten zu informieren. Die Informationspflicht umfasst dabei nicht nur, welche Daten genau erhoben werden, sondern auch wie diese verarbeitet werden, zu welchem Zweck und auf welcher Rechtsgrundlage. Weiterhin muss der Webseitenbetreiber darüber Auskunft geben, wie lange die Daten aufbewahrt werden und wie der Widerspruch zur Verarbeitung der Daten erfolgt.

Da die meisten Cookies nur mit der vorherigen Zustimmung des Nutzers geladen werden dürfen, sollte ein Cookie-Banner nicht nur informieren, sondern auch die explizite Einwilligung des Nutzers einholen.

Nicht jeder, der einen Cookie-Banner auf seiner Webseite platziert, ist damit auch automatisch DSGVO-konform und bewegt sich im rechtlichen Rahmen, denn der Banner muss gewisse Anforderungen erfüllen. Die DSGVO definiert 7 Kriterien, nach welchen eine Einwilligung erfolgen muss, damit sie gültig im Sinne der Datenschutzgrundverordnung ist. Das heißt, dass der Webseitenbetreiber über seinen Cookie-Banner die Einwilligung des Nutzers nach diesen Kriterien einholen muss, um auf der “sicheren Seite” zu sein.

Welche Kriterien das sind, erläutern wir in unserem Artikel „7 Kriterien einer DSGVO-konformen Einwilligung„.

“Die ePrivacy-Verordnung wird sich nicht auf die Verwendung von Cookies auswirken”

Die voraussichtlich im Jahr 2020 inkrafttretende ePrivacy-Verordnung enthält weitere neue Regelungen für die Verwendung von Cookies. Cookies, die nur für den technischen Betrieb einer Webseite verwendet werden, erfordern dann keine Zustimmung des Nutzers. Für Tracking oder Werbezwecke verwendete Cookies erfordern jedoch weiterhin vorab die explizite, aktive und freiwillige Einwilligung des Nutzers. Die ePrivacy-Verordnung soll Tracking-Walls entgegenwirken und diese beseitigen. Demnach müssen alle Webseiten zugänglich gemacht werden, auch wenn der Nutzer der Verwendung der Cookies nicht zugestimmt hat.

Checkliste – Do’s im Überblick

Wie man sieht, sind die oben genannten Mythen und Annahmen über Cookies nur stellenweise richtig und stehen meist im falschen Kontext. Das führt bei Betreibern von Webseiten zu Verwirrung.

Folgende Punkte sollten beachtet werden, um als Webseitenbetreiber Cookies DSGVO-konform zu verwenden:

Informationspflicht erfüllen

Cookie-Banner oder Popups sollten auf jeder Webseite auf die Verwendung von Cookies hinweisen. Weiterhin müssen Nutzer darüber informiert werden, falls mit ihren Daten Profile im Sinne des Art. 21 DSGVO gebildet werden und / oder ihre Daten auch in Drittstaaten übermittelt werden können. Dies ist insbesondere der Fall, wenn die Provider hinter den Cookie Technologien ihren Sitz beispielsweise in den USA haben.

Einwilligung

Der Cookie Banner muss gewährleisten, dass der Nutzer seine Einwilligung vorab, freiwillig, explizit, informiert und granular für jede Web-Technologie (oder gebündelt für einzelne Anwendungsbereiche) abgeben kann. Weiterhin muss die einfache Möglichkeit des Widerspruchs gegen die Verarbeitung personenbezogener Daten gegeben sein.

Laden von Cookies

Cookies dürfen ohne Rechtsgrundlage keine Daten verarbeiten oder sammeln. Es muss also eine technische Verknüpfung zwischen dem Cookie-Banner sowie der Web-Technologie bestehen, die dafür sorgt, dass Cookies erst geladen werden, wenn der Nutzer seine Einwilligung dazu erteilt hat. Lehnt der Nutzer die Verarbeitung ab, muss sichergestellt sein, dass keine Cookies gesetzt werden.

Rechtssicher Dokumentieren

Im Falle einer Prüfung durch die Datenschutzbehörde muss der Webseitenbetreiber seiner Dokumentationspflicht nachkommen und die Einwilligungen der Nutzer vorlegen können. Damit bei der Prüfung alle Daten vorhanden sind, sollten diverse Datenpunkte dokumentiert werden, wie zum Beispiel Zeitstempel, User-Agent oder die Version der Einwilligungstexte. Weiterhin wichtig werden die Bedingungen, unter welchen die Einwilligung gegeben wurde, also wie groß war der “Akzeptieren”-Button im Vergleich zum “Ablehnen-Button” und war die Wahl wirklich freiwillig, sprich konnte der Nutzer die Seite auch bei Ablehnen der Cookies ohne Nachteile verwenden.

Opt-out

Der Opt-out muss granular pro Cookie auf der Webseite ermöglicht werden. Laut der DSGVO muss der Widerspruch genauso einfach möglich sein, wie der Opt-in. Damit genügen externe Links auf eine Drittseite zum Opt-out nicht. Zusätzlich muss sichergestellt sein, dass ab dem Moment des Widerspruchs keine weiteren Daten gesammelt und weitergeleitet werden, das heißt auch der Opt-out muss technisch mit dem Cookie gekoppelt werden und bestenfalls dokumentiert werden.

 

Weitere interessante Artikel:

 

 

Disclaimer

Usercentrics GmbH bietet keine Rechtsberatung an. Der Inhalt dieses Artikels ist nicht rechtsverbindlich. Der Artikel stellt die Meinung von Usercentrics dar.

Ähnliche Artikel

Usercentrics Certified CMP partner

Die Usercentrics CMP unterstützt Google Consent Mode V2

Als von Google Consent Mode zertifizierter Partner von Consent Management Platforms (CMPs) teilen wir mit, dass die...

DSGVO: Was ist ein Cookie Hinweis? | Usercentrics

Cookie Hinweis

Beim Besuch einer Webseite erscheint er inzwischen fast immer: Der Cookie Hinweis. Wir erklären Ihnen, warum ein solcher...