Cookies?! Ohne sie geht das Internet kaum, aber dem Datenschützer sind die Cookies (und auch alle anderen Tracker wie Pixel, web-beacons etc.) ein Dorn im Auge. Darfst Du nach der DSGVO trotzdem noch Cookies verwenden? Erfahre hier, wie Du einen Cookie Hinweis erteilen und Deinen Cookie Banner auch im Jahr 2023 einstellen musst.
von Dr. jur. Ronald Kandelhard, Rechtsanwalt, Fachanwalt für Handels- und Gesellschaftsrecht
Update 29.11.2023: Ergebnisse der EU task force Cookie Banner eingefügt
Update 2.10.2023: Entscheidung über ein hohes Bußgeld von 5000 Euro für falschen Cookie Banner eingefügt.
Update 29.8.2023: Eingefügt die Verpflichtung, eine Einwilligung nach Analytics 4 im Cookie Banner einzuholen und neuere Entwicklungen, etwa zur Rechtslage in der Schweiz nach dem DSG zum 1.9.2023.
Inzwischen ist die erste Abmahnung eines Cookie Banners vor Gericht (veröffentlicht) bestätigt worden (LG Rostock, K&R 2021, 210). Hier waren die Cookie Arten bereits voreingestellt angehakt. Das Gericht bestätigte daher die Unterlassungsklage.
Inhalt
- I. Was gilt denn jetzt für Cookies?
- II. Cookie Hinweis, Cookie Opt Out oder Cookie Opt In?
- III. Muss ich nach EuGH und BGH Urteil ein Cookie Opt In haben?
- IV. Gibt es noch einen Cookie Opt Out?
- V. Gilt Opt In auch für Pixel, Web-Beacons, Tags oder Browser Fingerprints?
- VI. Ok, Opt In also, aber für welche Cookies gilt das denn jetzt genau?
- VI. Was ist ein notwendiger Cookie?
- VII. Was ist eine Einwilligung in die Datenverarbeitung?
- VIII. Brauche ich einen Cookie Banner?
- IX. Brauche ich eine Cookie Richtlinie?
- X. Wie muss ich auf das Cookie Opt In hinweisen?
- XI. Ist eine generelle Einwilligung in alle Cookies möglich?
- XII. Kann ich die Ablehnung erschweren?
- XIII. Muss ich die Cookie Einwilligung nachweisen?
- XIV. Was passiert, wenn der Nutzer im Cookie Hinweis nicht einwilligt?
- XV. Darf ich Nutzer von der Website ausschließen, wenn sie nicht einwilligen?
- XVI. Wie muss ich den Cookie-Banner platzieren?
- XVII. Was kann passieren, wenn ich keinen Cookie Opt In nutze?
- XVIII. Was muss in meine Datenschutzerklärung zu Cookies?
- XIX. Ergebnis
I. Was gilt denn jetzt für Cookies?
Nach einer am 21.05.2021 durch das neue Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG) in deutsches Recht umgesetzten europäischen Richtlinie (sog. Cookie-Richtline, ABl. 2009/136/EG vom 25.11.2009) sind Cookies weitgehend unzulässig, wenn der Nutzer nicht vorher in Ihre Verwendung eingewilligt hat (Ausnahmen bestehen für notwendige Cookies). Das Gesetz wird zum 01.12.2021 in Kraft treten.
Es bestand auch dringender Handlungsbedarf, denn diesem deutschen Sonderweg bei dem DSGVO Cookie Hinweis hatte der EuGH bereits mit Urteil vom 1.10.2019 eine Absage erteilt. Für nicht notwendige Cookies war danach ein Cookie Opt In erforderlich. Der Bundesgerichtshof hat diese Rechtslage mit kleinen Nuancen am 28.5.2020 bestätigt und vor allem den deutschen § 15 Abs. 3 TMG europarechtskonform ausgelegt.
Für alle nicht notwendigen Cookies brauchst Du danach einen Cookie Opt In. Was das genau heißt, sehen wir uns in der Folge an:
II. Cookie Hinweis, Cookie Opt Out oder Cookie Opt In?
Im Grundsatz geht es letztlich um die Frage, wie und mit welcher Bequemlichkeit ermögliche ich dem Nutzer, sich gegen Cookies zu entscheiden. Dabei gibt es drei verschiedene Lösungen.
1. theoretische Lösung: Problem des Kunden
Brauchst Du nur einen Cookie Hinweis setzen, ist es dem Nutzer überlassen, seinen Browser oder Drittsysteme so einzustellen, dass die Cookies bei ihm nicht gespeichert werden. Die bequemste Lösung für Dich als Websitebetreiber. Das ist eine Art der Einwilligung durch Unterlassen. Der Nutzer kann Cookies nur selbst sperren, für ihn wenig bequem und kaum praktikabel. Das war lange die in Deutschland übliche Praxis. Durchgesetzt hat sie sich nicht.
De facto gilt sie aber in der Schweiz, denn nach dem ab dem 1.9.2923 geltenden DSG ist im Grundsatz eine Einwilligung für die Erfassung bestimmter nicht sensibler Informationen nicht erforderlich.
2. theoretische Lösung: Angebot eines Cookie Opt Out
Weitergehend könnte erforderlich sein, dass Du dem Nutzer in einem Cookie Hinweis einen Opt Out ermöglichen musst. Dann kann der Nutzer schnell und bequem entscheiden, ob und ggf. welche Arten von Cookies er zulassen will. Auch das ist eine Einwilligung durch Unterlassen, nur eben bequemer für den Nutzer. Hier ist es dem Nutzer einfach möglich, den Cookies zu widersprechen. Eine Gestaltung, die immer noch vielfach vorkommt, jetzt aber definitiv nicht mehr zulässig ist.
3. theoretische Lösung: Erfordernis eines Opt In im Cookie Hinweis
Noch weiter geht ein Opt In. Ist das erforderlich, werden die Cookies nur dann gesetzt, wenn der Nutzer aktiv zugestimmt hat. Das ist die einzige Form mit einer echten aktiven Einwilligung des Nutzers.
III. Muss ich nach EuGH und BGH Urteil ein Cookie Opt In haben?
Lange war unklar, was für Cookies gilt. Muss der Nutzer durch Opt-In durch Nicht-Betätigung eines Opt-Out oder durch Nicht-Verhinderung von Cookies durch allgemeine Browsereinstellung einwilligen? Das deutsche Recht erfordert nach der Gesetzesänderung eine ausdrückliche Einwilligung, d.h. es hat sich für das Opt-In entschieden.
IV. Gibt es noch einen Cookie Opt Out?
Eine wichtige Frage, denn die Rechtsänderung zum Cookie Opt In gilt nicht für alle Cookies, sondern nur für nicht notwendige Cookies (§ 25 II Nr. 2 TTDSG). Für alle nicht notwendigen Cookies ist ein Cookie Opt Out aber nicht ausreichend.
V. Gilt Opt In auch für Pixel, Web-Beacons, Tags oder Browser Fingerprints?
Ja, die Regeln für Cookies entsprechend für alle anderen Tracking-Tools, die das Nutzerverhalten erfassen. Diese darfst Du ebenfalls nur verwenden, wenn der Nutzer mit einem Opt in seine Einwilligung erteilt hat. Das ergibt sich aus § 25 Abs. 1 TTDSG sowie der e-privacy Richtlinie.
Das bedeutet auch, dass Du für die Nutzung von Analytics 4 eine Einwilligung im Cookie Banner einholen musst – und zwar grundsätzlich sogar dann, wenn Du Analytics 4 ohne Cookies verwendest.
VI. Ok, Opt In also, aber für welche Cookies gilt das denn jetzt genau?
Eine wichtige Frage, denn die Rechtsgrundsätze zum Cookie Opt In gelten nicht für alle Cookies, sondern nur für nicht notwendige Cookies.
1. Welche Cookie Arten gibt es denn?
Generell lassen sich in datenschutzrechtlicher Hinsicht folgende Begriffspaare unterschieden:
a) Was ist: Session Cookie — persistenter Cookie
Ein Session-Cookie wird nach der nach der Sitzung wieder gelöscht. Er ist natürlich eine geringere Herausforderung für den Datenschutz als ein persistenter Cookie, der nach Abschluss der Sitzung noch weiter auf dem Gerät des Nutzers gespeichert bleibt (ggf. für mehr als ein Jahr).
Für die Frage, ob ein Cookie notwendig ist oder nicht, kommt es auf diese Unterscheidung aber nicht an. Generell lässt sich nur sagen, dass Session-Cookies natürlich eher zulässig sind als persistente Cookies. Damit sind Session-Cookies mit höherer Wahrscheinlichkeit notwendige Cookies als persistente Cookies. Doch auch persistente Cookies können notwendig sein und auch Session Cookies können nicht notwendig sein.
b) Was ist: First Party Cookie — Third Party Cookie
Ein First Party Cookie ist ein Cookie, der nur bei Dir gespeichert ist und keine Daten an Dritte sendet. Dieser ist wiederum generell datenschutzrechtlich nicht ganz so problematisch wie ein Third Party Cookie, der eben (personenbezogene) Daten auch an Dritte sendet. Ein Dritter ist dabei auch ein Dienstleister, mit dem Du einen Auftragsverarbeitungsvertrag geschlossen hast (so jedenfalls die Art. 29 Datenschutzgruppe der europäischen Aufsichtsbehörden, s. hier zu 2.3)
Doch auch auf diese Unterscheidung kommt es letztlich nicht an. Man kann nur wieder generell sagen, dass ein Frist Party Cookie mit höherer Wahrscheinlichkeit ein notwendiger Cookie sein kann als ein Third Party Cookie (s. wieder die Art. 29 Datenschutzgruppe, zu 2.3).
Tatsächlich kommt es aber nicht einmal darauf an, ob der Cookie personenbezogene Daten erfasst oder nicht. Es reicht, dass überhaupt ein Cookie gesetzt wird. Die einzige Frage bleibt also, ist es ein notweniger Cookie oder nicht?
VI. Was ist ein notwendiger Cookie?
Antwort: Notwendige Cookies sind alle Cookies, die für die Funktion der Website erforderlich sind. Für solche Cookies brauchst Du keinen Cookie Opt In.
Wenn Du jetzt fragst: Was sind denn nun genau diese notwendigen Cookies? – dann hast Du genau das entscheidende Problem für die Praxis getroffen. Welche Cookies notwendig sind oder nicht, ist rechtlich nicht vorgegeben und (wie sollte es anders sein) unter Experten umstritten. Ich versuche den Stand mal mit einem Ampel System zu erfassen:
1. GRÜN: Notwendige Cookies
Nach Auffassung der Art.-29-Datenschutzgruppe sind für die Funktion der Website notwendige Arten von Cookies ohne weiteres zulässig. Einigermassen gesichert darfst Du das annehmen für:
- User Input Cookies wie Formular- oder Warenkorb-Cookies, ggf. auch über die Session selbst (kurzfristig) hinaus als persistente Cookies
- Login-Cookies (jedenfalls, wenn sie reine Session Cookies sind)
- Anpassungs-Cookies wie Cookies zur Speicherung der gewählten Sprache auf multilingualen Websites oder Cookies für die Darstellung von Suchergebnissen, jedenfalls, wenn die Speicherdauer gering ist,
- Sicherheits-Cookies, z. B. zur Erkennung von Spam oder Angriffen, auch, wenn sie persistent sind
- Multimedia-Player Cookies, sog. Flash Cookies, wenn darin primär die technisch erforderlichen Informationen gespeichert sind
- Lastverteilungs-Session-Cookies
- der Cookie Deines Cookie Banners, der die Einwilligung des Nutzers speichert
Für alle diese Cookies brauchst Du fast sicher keinen Cookie Opt In. Wie Du unschwer erkennen kannst, kann aber die Abgrenzung zur nächsten Kategorie der Komfort-Cookies fließend sein. Wird die Sprache oder der Warenkorb sitzungsübergreifend gespeichert, geraten wir bereits in den Bereich von Komfortfunktionen, für die dann bereits Gelb gilt.
2. GELB: Komfort-Cookies
Dann gibt es noch Cookies, die den Komfort der Website erhöhen. Ein Beispiel wären etwa Cookies, die personalisieren, was auf Deiner Website angezeigt wird, also z.B.
- Cookies, die bei einem Wiederbesuch eine vorhandene Anmeldung erkennen
- Cookies, die dem Nutzer ermöglichen, zuletzt verwendete Orte auf der Website aufzusuchen
- ggf. Warenkorb oder Einstellungs-Cookies, die sitzungsübergreifend speichern (s.o. 1.)
Eine strenge Auffassungen geht hier bereits davon aus, dass derartige Cookies nicht mehr für die Nutzung der Website notwendig sind. In einem rein technischen Sinne stimmt das. Die meisten Experten lassen jedoch auch wirtschaftliche Notwendigkeiten zu, wenn es um die Frage geht, welche Cookies notwendig sind und welche nicht. Deshalb gibt es nicht wenige Experten, die auch für Komfort-Cookies noch von notwendigen Cookies ausgehen. Ihre Verwendung lässt sich nach Art. 6 Abs. 1 lit. b) DSGVO mit einem berechtigten Interesse rechtfertigen, da sie nur gering in die Interessen der Nutzer eingreifen (vor allem, wenn es sich um einen First Party Cookie handelt). Sicherer ist, auch Komfort-Cookies einem Opt In zu unterwerfen. Dennoch, hier das Risiko einer Abmahnung oder eines Bußgeldes noch relativ gering. Selbst wenn die Behörde hier einschreitet, es besteht eine gewisse Wahrscheinlichkeit, dass Du mit einer Verwarnung davon kommst.
3. ORANGE: Statistik-Cookies und (interne) Analyse-Cookies
Cookies können auch der Reichweitenmessung, der internen Analyse des Besucherverhaltens, z.B. für A/B Tests, der Marktforschung sowie primär statistischen Auswertungen dienen. Hier kann man ebenfalls gut argumentieren, dass solche Auswertungen für einen wirtschaftlichen Betrieb einer Website notwendig sind.
Jedoch sind Analyse Cookies für den Datenschutz durchaus problematischer als reine Komfort-Cookies. Immerhin wird der Nutzer beobachtet, sein Verhalten nicht nur gemessen, sondern auch gewertet und ggf. analysiert. Das ist im übrigen auch dann noch der Fall, wenn die Analyse mit pseudonymisierten Daten erfolgt (z.B. gekürzte IP-Adresse). Dann handelt es sich immer noch um Daten, die letztlich einen Rückschluss auf den Nutzer zulassen und damit personenbezogene Daten.
Technisch notwendig sind solche Analysen ebenfalls nicht, weshalb für (interne) Analysen jedenfalls strengere Auffassungen existieren. Die Chance ist recht groß, dass die für Dich zuständige Datenschutzbehörde hier von nicht notwendigen Cookies ausgeht. Wie ein Gericht hier entschieden wird, lässt sich schwer vorhersehen.
Von daher ist hier das Risiko einer Abmahnung oder eines Bußgelds noch etwas höher als bei den reinen Komfort-Cookies. Eindeutig ist eine Inanspruchnahme aber nicht. Die Wahrscheinlichkeit dürfte zudem umso geringer sein, je weniger Daten bei der Analyse erfasst werden, wenn die Erfassung pseudonymisiert erfolgt und nicht an Dritte versendet wird.
Ein Grenzfall – auch zu der nächsten Ampelfarbe ist sicher ein intern gehostetes Matomo. Nach wie vor ist hier umstritten, ob dieses einem Opt In unterworfen werden muss. Für die Datenschutzbehörden wird man das annehmen können, dennoch gibt es grade von anwaltlichen Experten auch weitergehende Auffassungen, die Matomo für noch zulässig ansehen. Wie ein Gericht entschieden wird, ist auch hier schwer zu entscheiden. Risikofreudigere Naturen könnten es darauf ankommen lassen.
Die Art. 29 Datenschutzgruppe (zu 4.3) ist hier jedenfalls unter folgenden Umständen recht verständnisvoll, danach
„stellen First-Party-Analysecookies nach Ansicht der Datenschutzgruppe kaum ein Datenschutzrisiko dar, wenn sie ausschließlich für die aggregierten Statistiken des Erstanbieters genutzt und von Websites verwendet werden, die in ihrer Datenschutzrichtlinie bereits unmissverständlich über diese Cookies informieren und ausreichende Datenschutzgarantien bieten. Diese Garantien sollten unter anderem eine benutzerfreundliche Möglichkeit zur Abwahl jedweder Datenerfassung sowie umfassende Anonymisierungsmechanismen für sonstige gesammelte Informationen wie etwa IP- Adressen, anhand derer Personen identifiziert werden können, beinhalten.“
Wenn diese Bedingungen erfüllt sind, sind First Party Analyse Cookies sogar eher nur gelb einzuordnen.
4. ROT: Werbe-Cookies, Tracking Cookies und Profiling
Besonders relevant für den Datenschutz – oder eben dessen Fehlen – sind Cookies, die zur Analyse des Nutzerverhaltens, zu Werbezwecken oder gar zu einem Profiling verwendet werden. Diese erfassen besonders viele Informationen über den Nutzer, verfolgen ihn ggf. über verschiedene Websites hinweg, u. U. sogar geräteübergreifend. Beispiele sind:
- Tracking-Cookies sozialer Plugins
- Third-Party-Cookies zu Werbezwecken
- Third-Party-Analyse-Cookies
Nach der Art. 29 Datenschutzgruppe (zu 4.2) sollen zu den Werbe-Cookies auch folgende Arten von Cookies gehören:
„Cookies zum Zweck des Frequency Capping, der Protokollierung von Finanzdaten, des Affiliate-Marketing, der Erkennung von Klickbetrug, der Marktforschung und Marktanalyse, der Produktverbesserung und der Fehlerbehebung“.
Zumindest was die Produktverbesserung, die Fehlerbehebung und ggf. den Klickbetrug anbetrifft, kann man hier aber auch anderer Auffassung sein. Wenn die Speicherdauer recht kurz und der Dritte durch einen Auftragsverarbeitungsvertrag gebunden ist, würde ich für die Cookies zur Produktverbesserung und für die Fehlerbehebung wenigstens zu einer Einordnung als Analyse Cookies tendieren. Die Verhinderung von Klickbetrug kann man sogar als notwendig ansehen, aber auch hier kommt es sicher darauf an, wie invasiv der Cookie gestaltet ist. Je mehr und je länger Daten gespeichert werden, desto eher kann ein solcher Cookie ggf. als nicht mehr notwendig angesehen werden. Das kann insbesondere angenommen werden, wenn der Cookie zu diesen Zwecken keine eindeutige Kennung des Nutzers verwendet, die die Datenschutzgruppe (zu 5.) besonders stört.
Jedenfalls ist für Werbe-Cookies, Tracking-Cookies und Profiling nach der Entscheidung des EuGH vom 29.7.2019 (näher dazu in unserem Beitrag hier) und dem BGH Urteil vom 28.5.2020 ein Cookie Opt In mit ziemlicher Sicherheit erforderlich.
Zwischenergebnis: Insgesamt zeigt sich, dass mit datensparsamen Einstellungen ein Cookie Opt In oft nicht erforderlich ist, vor allem, wenn Du auf die roten Cookies verzichten kannst, das heißt auf Tracking, Profiling und Werbe-Cookies.
Hier habe ich noch eine kleine Cookie-Ampel zur Übersicht:
Wir informieren Dich unregelmäßig mit rechtlichen Hinweisen für die Gründung, zu unserem Starterpaket und unserem Angebot für Unternehmen. Bitte willige in Deine Eintragung in unseren Newsletter ein, Du kannst Dich jederzeit formlos, z.B. über einen Link in dem Newsletter wieder abmelden.
VII. Was ist eine Einwilligung in die Datenverarbeitung?
Ehe wir genauer auf die Anforderungen für das Cookie Opt In zu sprechen kommen, kurz noch die allgemeinen Voraussetzungen für Einwilligungen, die wir dann auf die Cookie Einwilligung anwenden können.
Eine Einwilligung ist nach Art. 4 Nr. 11 DSGVO:
„jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist“.
VIII. Brauche ich einen Cookie Banner?
Nein, wenn Du nur notwendige Cookies verwendest – und ja, wenn Du mehr als notwendige Cookies verwendest. Einen Cookie Banner musst Du bereits deshalb haben, weil – wie wir soeben gesehen haben – die Einwiligung erklärt werden muss. Das erfolgt in dem Cookie Banner – generell durch Betätigen einer nicht vorangekreuzten Checkbox. Die ist normal in Deinem Cookie Banner enthalten.
Weiter brauchst Du den Cookie Banner aber auch für die Information des Nutzers. Wie grade gesehen, setzt die Einwilligung eines Nutzers immer erst mal voraus, dass er klar und umfassend über die Cookies informiert wurde. Damit muss der Nutzer
- über die in dem Cookie gespeicherte Informationen,
- den Zweck der Speicherung,
- die Speicherdauer,
- die datenverarbeitende Stelle (Verantwortlicher) und
- sein Widerrufsrecht
informiert werden. Diese Informationen müssen aber nicht alle in dem Cookie Banner stehen. Du kannst für Details auf die Datenschutzerklärung oder eine Cookie Richtlinie verweisen.
IX. Brauche ich eine Cookie Richtlinie?
Ob eine Cookie Richtlinie erforderlich ist, ist noch nicht entschieden. In jedem Fall kannst Du damit Deine Informationspflichten hervorragend erfüllen. Je kleiner Dein Unternehmen und Deine Website ist, desto eher nehme ich an, wird eine Cookie Richtlinie nicht erforderlich sein. Empfehlenswert ist sie aber.
X. Wie muss ich auf das Cookie Opt In hinweisen?
Mit der Entscheidung für ein Cookie Opt In allein ist es aber nicht getan. Es muss dann weiter die Frage geklärt werden, wie das Cookie Opt In angeboten werden muss. Nach der Auffassung der Datenschutzbehörden muss jede mögliche Erschwerung des Opt In ausgeschlossen werden. In der strengsten Auffassung ist erforderlich, dass
- die Cookies vor der Bestätigung nicht geladen werden
- das Betreten der Website nicht von der Zustimmung abhängt (also darf bei fehlender Zustimmung nicht versagt werden)
- der Nutzer aufgeklärt werden muss, welche Cookies verwendet werden
- der Nutzer jeder Art von Cookies außer den notwendigen zustimmt
- die Cookie Arten nicht voreingestellt sein dürfen
Inzwischen ist die erste Abmahnung eines Cookie Banners vor Gericht (veröffentlicht) bestätigt worden (LG Rostock, K&R 2021, 210). Hier waren die Cookie Arten bereits voreingestellt angehakt. Das Gericht bestätigte daher die Unterlassungsklage.
XI. Ist eine generelle Einwilligung in alle Cookies möglich?
Ja, zumindest gibt es noch keine anderslautende Entscheidung. Der Betrieb von Websites würde auch praktisch zum Erliegen kommen, wenn jeder Nutzer alle Arten von Cookies einzeln abhaken muss – oder gar alle verwendeten Cookies einzeln. Von daher kann ich mir auch nicht vorstellen, dass das je entschieden wird.
XII. Kann ich die Ablehnung erschweren?
Gerne werden Cookie Banner auf Websites so gestaltet, dass der Nutzer zwar schnell zustimmen kann, aber für die Abwahl eine weitere Seite mit Detaileinstellungen aufrufen muss. Das verbessert die „Conversion“ deutlich.
Datenschützern ist diese Gestaltung des Cookie Hinweises aber natürlich ein Dorn im Auge. So hat die dänische Datenschutzbehörde grade sehr weitgehend Cookie Banner für rechtswidrig erklärt, die nicht die verschiedenen Cookie Arten deutlich trennen oder den Nutzer nicht über den Anbieter der Cookies aufklären. Noch weitergehend – und das würde viele Cookie Banner betreffen – verlangte die dänische Behörde auch, dass die Ablehnung ebenso leicht sein muss wie die Zustimmung. Das bedeutet, dass die Dualität auf dem Cookie Banner nicht mehr „Zustimmen“ oder „Einstellen“, sondern „Zustimmen“ oder „Ablehnen“ sein muss. Die dänische Entscheidung gilt natürlich in Deutschland nicht, aber es ist fast anzunehmen, dass sich eine deutsche Behörde oder ein deutsches Gericht dieser Auffassung anschließt. Die Gefahr dafür ist mit der dänischen Entscheidung ein wenig größer geworden.
Die oben angegebene Entscheidung des LG Rostock (K&R 2021, 210), hat auch noch eine Fortsetzung. Die Beklagte hatte dort nach der Abmahnung nämlich den Cookie Banner angepasst und versucht, ihn rechtssicher auszugestalten. Das gelang aber leider nicht. Es war zwar keine Voreinstellung mehr vorhanden, aber es gab nur einen erkennbaren „alle akzeptieren“ Button. Nutzer, die den nicht verwendenden wollten, wären gezwungen gewesen, die Einstellungen aufzurufen. Das LG Rostock geht davon aus, dass dies von dem Normalnutzer nicht unternommen wird und stufte deshalb auch den zweiten Cookie Banner der Beklagten als unzulässig ein. Ebenso wenig vermochte es die Beklagte zu retten, dass auch eine Auswahl von „nur notwendige Cookies“ möglich war. Denn jedenfalls war diese Einstellung nicht als anklickbare Schaltfläche erkennbar.
Wenn man dieser strengsten Ansicht folgt, braucht es für Cookies also künftig Nutzer, die willentlich mehrere Cookie Arten anhaken und dann auch noch die Zustimmung erteilen. Sie dürften ähnlich selten sein wie Einhörner.
Jedenfalls ist es nach den Ergebnissen der EU taskforce Cookie Banner erforderlich, dass auf der ersten Ebene eine Ablehnung der Cookies möglich ist. Jedoch halten es nicht alle Datenschutzerbehörden für erforderlich, dass ein “alles ablehnen” Button vorhanden ist. Seine Nutzung ist aber in jedem Fall empfehlenswert.
Eine genaue Anleitung mit Mustergestaltungen und -texten, die Du für Deinen Cookie Hinweis verwenden kannst, erhältst Du bei easyRechtssicher. In unserem Komplett-Schutz sind eben nicht nur Generatoren und automatisierte Plugins, sondern auch viele Muster und Anleitungen enthalten. Insbesondere haben wir da jetzt ein Beispiel eines Cookie Banners eingestellt, der auch nach strengster Auffassung zulässig sein sollte.
XIII. Muss ich die Cookie Einwilligung nachweisen?
Eine Einwilligung muss für den Abmahnfall von dem Website Betreiber nachgewiesen werden (wie etwa beim double Opt In für den Newsletter). Wer einen Opt In verwendet, hat aber seine Website bereits so programmiert, dass ohne Einwilligung die Cookies gar nicht geladen werden. Hier solltest Du dokumentieren und durch Zeugen (etwa den Webdesigner) beweisen können, dass der entsprechende Code für Hinweis und Opt Out installiert war. Weiter sollte die Einwilligung des Nutzers jeweils gespeichert werden. Gängige Cookie Banner haben dies im Funktionsumfang.
XIV. Was passiert, wenn der Nutzer im Cookie Hinweis nicht einwilligt?
Willigt der Nutzer in das Cookie Opt In nicht ein, muss auf der Website technisch sicher gestellt werden, dass keine technisch nicht notwendigen Cookies bei dem Nutzer gespeichert werden. Weiter surfen bedeutet keine Einwilligung. Erst wenn der Nutzer das Opt In betätigt, dürfen für die entsprechende Cookie Art Cookies geladen werden.
XV. Darf ich Nutzer von der Website ausschließen, wenn sie nicht einwilligen?
Nach Ansicht niederländischer Datenschutzbehörden darfst Du dem Nutzer nicht das weitersurfen auf der Website untersagen, wenn er nicht in die Cookies einwilligt. Nach deren Ansicht zwingst Du sonst den Nutzer praktisch, die Cookies zu akzeptieren.
Darüber kann man zumindest bei sehr marktstarken Websites von Großunternehmen nach denken. Es kann kaum sein, das etwa jemand nicht mehr Bahn fahren kann, wenn er die Cookies der DB nicht akzeptiert. Bei kleineren Websites wird man zwar kaum von einem Zwang ausgehen können. Dennoch solltest Du nicht die Option nutzen, den Zugang zu der Website zu verweigern, wenn der Nutzer keine Cookies akzeptiert.
XVI. Wie muss ich den Cookie-Banner platzieren?
Hinweise auf Cookies sieht man inzwischen auf vielen Startseiten. Oft verdecken die Cookie Banner aber wesentliche Menüs wie etwa zu Impressum oder AGB. Das kann dann wiederum zu einer Abmahnung oder sonstigen Rechtsnachteilen führen, weil dann diese Elemente nicht rechtskonform verwendet werden. Impressum und Datenschutzerklärung müssen immer leicht auffindbar sein.
XVII. Was kann passieren, wenn ich keinen Cookie Opt In nutze?
Nutzt Du keinen oder einen nicht zulässigen Cookie Banner, also insbesondere kein Cookie Opt In, obwohl Du mehr als notwendige Cookies, Tags, Pixel oder Java Skripte nutzt, kann dies erhebliche Konsequenzen haben. Nach der DSGVO bist Du zunächst ggf. jedem Deiner Nutzer zum Schadensersatz verpflichtet. Zudem kann die Behörde Dich auf eine Änderung in Anspruch nehmen und ein Bußgeld gegen Dich verhängen. Soeben hat die spanische Datenschutzbehörde wegen eines fehlenden Cookie Opt In ein Bußgeld von 30.000 Euro verhängt.
Das ein falscher Cookie Banner teuer werden kann, musste auch der Modehersteller Massimo Dutti erfahren. Deren Cookie Banner gewährte grade nicht die Möglichkeit, bereits auf der ersten Stufe alle nicht notwendigen Cookies abzulehnen. Ebenso gab es keine Widerrufsmöglicheit nach einmal erteilter Einwilligung. Die spanische Aufsichtsbehörde La Agencia Española de Protección de Datos (AEPD) verhängte deshalb ein Bußgeld von 5.000 Euro.
Weiter können Dich eventuell auch Konkurrenten und Abmahnvereine auf Unterlassung und Erstattung von Abmahnkosten in Anspruch nehmen. Hier ist zwar noch nicht abschließend geklärt, ob der Cookie Hinweis sog. wettbewerbliche Relevanz hat. Eine Abmahngefahr ist aber jedenfalls gegeben.
XVIII. Was muss in meine Datenschutzerklärung zu Cookies?
Für welche Lösung auch immer Du Dich entscheidest, wichtig ist, dass die Datenschutzerklärung die von Dir gewählten Einstellungen abbildet. Diese kannst Du mit unserem Datenschutz-Generator und unseren Datenschutz-Plugins für WordPress, Joomla und andere CMS-Systeme schnell und automatisiert umsetzen.
Zu unserem Datenschutz-Generator und dem Komplett-Schutz.
XIX. Ergebnis
Mit der Einführung des § 25 TTDSG ist die bisherige durch den EuGH geschaffene Rechtslage nun endlich auch in ein nationales Gesetz umgesetzt worden. Es ist immer eine Einwilligung erforderlich, es sei denn, der Cookie ist notwendig oder dient der Übertragung von Nachrichten über ein Telekommunikationsnetz (letzteres kann hier wohl vernachlässigt werden). Bei Verstößen gegen das Einwilligungserfordernis drohen nach dem neuen TTDSG Bußgelder bis 300.000 €. Damit Du die Anforderungen komfortabel und ohne viel Aufwand einhalten kannst, bieten wir in Kooperation mit ClicksKeks einen Cookie–Banner an, der sie automatisiert erfüllt.
Nach § 25 I, II Nr. 2 TTDSG ist für nicht notwendige Cookies ein Opt In erforderlich. Notwendig sind etwa Login-, Warenkorb- oder Sicherheits-Cookies. Nutzt Du also mehr als nur diese Cookies, insbesondere Marketing- und Tracking-Cookie, musst Du Cookie Opt In auswählen und einen Cookie Banner verwenden – detaillierte Infos dazu hier im Blog.
XX. Wie geht es weiter
Soeben (August 2020) ist der „Entwurf eines Gesetzes über den Datenschutz und den Schutz der Privatsphäre in der elektronischen Kommunikation und bei Telemedien sowie zur Änderung des Telekommunikationsgesetzes, des Telemediengesetzes und weiterer Gesetze“ (TTDSG-E) öffentlich geworden. Darin wird für Cookies folgende Regelung vorgeschlagen:
§9
Einwilligung bei Endeinrichtungen
(1) Das Speichern von Informationen auf Endeinrichtungen des Endnutzers oder der Zugriff auf Informationen, die bereits in seinen Endeinrichtungen des Endnutzers gespeichert sind, ist nur erlaubt, wenn der Endnutzer darüber gemäß der Verordnung (EU) 2016/679 informiert wurde und er eingewilligt hat.
(2) Absatz 1 gilt nicht, wenn die Speicherung von Informationen auf Endeinrichtungen oder der Zugriff auf Informationen, die bereits in Endeinrichtungen gespeichert sind,
1. technisch erforderlich ist, um eine Kommunikation über ein elektronisches Kommunikationsnetz zu übermitteln oder um Telemedien bereitzustellen, deren Inanspruchnahme vom Endnutzer gewünscht wird,
2. vertraglich ausdrücklich mit dem Endnutzer vereinbart wurde, um bestimmte Dienstleistungen zu erbringen, oder
3. zur Erfüllung gesetzlicher Verpflichtungen erforderlich ist.
(3) Im Falle der Inanspruchnahme von Telemedien liegt eine wirksame Einwilligung in die Speicherung von Informationen auf Endeinrichtungen oder in den Zugriff auf Informationen, die bereits in Endeinrichtungen gespeichert sind, vor,
1. wenn der Diensteanbieter den Endnutzer darüber informiert hat, welche Informationen zu welchem Zweck und wie lange auf Endeinrichtungen gespeichert bleiben und ob Dritte Zugriff auf diese Informationen erhalten, und
2. der Endnutzer mittels einer Funktion diese Information aktiv bestätigt und die Telemedien in Anspruch nimmt.
(4) Der Endnutzer kann die Einwilligung auch erklären, in dem er eine dafür vorgesehene Einstellung seines Browsers oder eine andere Anwendung auswählt.
Das entspricht im Grundsatz dem jetzigen Rechtszustand (nicht weiter überraschend, da das Europarecht die Messlatte bleibt). Es ist immer eine Einwilligung erforderlich, es sei denn, der Cookie ist notwendig. Wie genau das Gesetz ausgestaltet wird, bleibt abzuwarten, halte Dich gern über unseren Newsletter auf dem Laufenden. Wir werden weiter berichten.
Mehr über die DSGVO erfährst du hier.
Hier die Aufzeichnung von dem Webinar über das neue Cookie-Urteil vom 28.5.20 des BGHs:
Dr. Ronald Kandelhard, Rechtsanwalt und Mediator, Fachanwalt für Handels- und Gesellschaftsrecht. Ronald war lange Zeit an der Universität, in der Rechtsberatung von Staaten und als Rechtsanwalt tätig. Jetzt entwickelt er mit seinem Startup Paragraf7 automatisierte Lösungen für rechtliche Probleme von Unternehmen.
Und warum wird auf dieser Seite ein Facebook Cookie platziert obwohl ich keine Cookies erlaubt habe?
PS. Als ich beim betreten der Seite gesehen habe, dass hier mit Borlabs-Cookie gearbeitet wird fühlte ich mich sofort heimisch 😀
Charlott B. – Wiederholung wegen falscher @-Adresse … Sorry …
2. Juli 2019
Komme ich ohne Cookie-Hinweis aus?
Meine (kommende) vollkommen private Website beherbergt in ihrem Inhalt allen Ernstes nichts, was als Cookie-nutzend (oder -setzend) angesehen werden kann. Sie ist im Vorlauf auch anwaltlich als nicht impressumspflichtig eingestuft worden. Inwieweit ich dem nachkomme, weiß ich noch nicht.
Der Webseitendesigner hat mir (auch im Bezug auf die SEO-Nutzung) schriftlich versichert, keine entsprechenden Tools, die als Cookies zum Erkennen, Behandeln, Verfolgen oder Speichern und Weitergeben irgendwelcher Besucherdaten betrachtet werden können, eingesetzt zu haben.
Lediglich der Provider bestätigte den Einsatz der … „Server-Files“ (hab den Namen vergessen), die nach 7 Tagen gelöscht werden (Sessions-Cookies wohl?). Beide Texte stehen bereits im „Datenschutz“.
Die Frage steht oben schon, oder (auch im Hinblick DSGVO) anders gestellt:
Wäre folgender Text in einem Cookie-Hinweis rechtlich falsch und somit ungültig:
„Unsere Website setzt in Ihrem Gerät keinerlei Tools, Cookies, techn. Vorrichtungen, um es wieder zu erkennen oder um Sie irgendwo/-wie zuzuordnen.“
Dankeschön
Charlott
Hallo Charlott, da kann ich mich kurz fassen: Nein, keine Cookies, keine Hinweise 🙂
Aber der Text wäre dann nicht „keine“, sondern nur die notwendigen Cookies (zB eben die
Session Cookies), die sind aber erlaubt und sind ja auch bereits erwähnt, wie Du geschrieben hast.
Ansonsten findest Du passende Texte natürlich auch mit unserem Komplett-Schutz: https://easyrechtssicher.de/datenschutz-generator/
Viel Erfolg mit Deiner Website.
Wie kommt Ihr darauf, dass hier keine Cookies verwendet werden?
Die Dev-Tools des Chrome Browsers unter Application > Cookies zeigen sehr klar, dass sowohl facebook.com als auch prism.app-us1.com Cookies auf dieser Webseite setzt. Insofern wäre hier ein Cookie-Hinweis schon angebracht.
Viele Grüße,
Claus
Also ich wüsste nicht, dass das hier behauptet wird. Cookie Opt In ist an, soweit ich erkennen kann.
Hallo 🙂 Danke für den ausführlichen Beitrag. Ich kann jedoch Claus Mühr nur zustimmen. Opt-In ist zwar implementiert., jedoch werden trotzdem beim ersten Besuch Ihrer Seite nicht essenzielle Cookies bereits geladen. Nach Speicherung der Cookie Einstellungen mit Abwahl der Marketing und Werbecookies werden trotzdem alle anderen Cookies nachgeladen, als hätte man auf „alle Cookies akzeptieren“ gedrückt. Ich denke da liegt noch ein Fehler in der Opt-In Implementierung vor 🙂
LG Keno
Jetzt funktioniert soweit ich erkennen kann alles ?
Pingback: DSGVO: Website als Unternehmen richtig betreiben - easyRechtssicher
Pingback: 29.7.2019, EuGH: Like Button unzulässig und Cookie Opt In erforderlich - easyRechtssicher
Der Kunde blockt Werbecookies und dann, sollen alle Webseiten aussterben? Der Kunde muss um die Seite zu besuchen cookies entweder Zustimmen oder ablehnen, wenn er die Cookies ablehnt kann er ja auf anderen Seiten seine Informationen suchen, mir egal wie da geurteilt wird. Ich habe nicht umsonst auch eine paywall für Kunden mit Adblockern. Das heißt wer keine Werbung sehen will, sieht den Content nicht, mein Hausrecht!
Na ja, juristisch nicht ganz astrein, aber so oder so droht jedenfalls ein Cookie Hinweis zur Formalie zu werden, er kommt immer, jeder drückt ja, wie man eine lästige Fliege beiseite wischt, der Datenschutz gewinnt dann auch nicht.
Du schreibst unter Punkt IV/3, dass für die Tracking-Cookies sozialer Medien, ein OptIn erforderlich ist.
Nachdem ich ja auch für das Verhalten von FB zuständig bin, wenn ich dort eine Fanpage betreibe, (was eine gesonderte Datenschutzerklärung zur Folge hat) stellt sich mir folgende Frage:
FB hat kein OptIn für die Cookies auf FB. Bin ich dann auch dafür verantwortlich und damit abmahnbar?
Markus
Hallo Markus, ganz streng genommen bist Du immer abmahnbar, wenn Du auf FB bist, weil FB keinen
wirksamen Vertrag für die gemeinsame Verantwortung hat. Aber nach dem neuesten EuGH Urteil zum Like Button vom 29.07.19
bist Du nur für die Datenverarbeitung Deiner Daten dort mit FB verantwortlich, nicht für das, was FB später damit macht oder wie FB insgesamt die Plattform handhabt. Daher würde ich zu „Nein“ tendieren, gesichert ist das aber nicht.
Hallo Roland,
wie verhält es sich mit dem VG Wort Pixel? Dieser zählt ja „nur“ die Seitenbesuche. Was würdest du empfehlen?
Ist sicher ein Grenzfall, Du kannst Deine gesetzliche Vergütung ohne nicht bekommen, von daher kann man sicher argumentieren, der ist notwendig, sollte also zulässig sein. Das ist aber ungesichert.
Und jetzt kommt man zur technischen Umsetzung dessen. Besonders die Kunden, die ihre Webseiten weitestgehend selber pflegen, stehen hier mal wieder vor einem großen Problem. Aber auch kleine und mittlere Freelancer oder Agenturen. „Automatische“ Plugins, die sich die Cookies selber raus ziehen und diese in den OPT-IN mit einsetzen (blockieren gibt es – aber alle nur gegen ordentlich Bares.) Aber auch diese Einrichtung ist nicht kinderleicht. Ich darf meinen kleinen Kunden nun erklären, dass sie wieder einmal zur Kasse gebeten werden – und das nur, weil ein YouTube Video laufen soll oder irgendein Plugin vielleicht irgendwo ein Cookie setzt. Haben deshalb auf fast allen Seiten bereits Kontaktformulare, Social Media und Statistiktool einfach entfernt, weil es schlicht einfacher und risikoärmer ist. SCHADE!!
Wer also ein kostenfreies Tool/Plugin kennt, dass die Cookies automatisch heraus findet und im Backend ein Hinweis rechtsfonform im Frontent generiert (also die Cookies tatsächlich blockiert bis die Zustimmung erfolgt) bitte her damit!
Das würde mich auch interessieren 🙂
Hallo Ronald,
Anbieter wie usercentrics, Cookiebot, iubenda, Quantcast, TrustArc & Co. bieten professionelle Lösungen für Cookie Banner an, laden dieses aber über ein JavaScript extern von deren Server. Ist das rechtlich okay?
Eigtl. werden doch bei der Einbindung externer Services immer mindestens auch die IP-Adressen, also personenbezogene Daten übermittelt. Zumindestens gilt diese Argumentation ja für die externe Einbindung von Google Fonts oder YouTube Videos.
Sind deshalb auch von extern geladene Cookie Banner illegal oder reicht hier der Abschluss eines AVV?
AVV plus Erwähnung in der DSE… eigentlich widerspricht das aber dem Opt In, weil das tool ja dann doch vor dem Opt In sendet. Aber da laut EuGH Opt In notwendig ist, sind das vielleicht notwendige Cookies, für die Opt In eben nicht gilt.
Im Zuge diverser Kunden-Webseiten beschäftige ich mich mit den Folgen und Auswirkungen des EuGH Urteils (vom 1.10.19) ebenfalls intensiv und akribisch.
Einige unserer Agenturkunden haben bereits externe Datenschutzbeauftrage. Die Mehrzahl dieser Fachleute halten dazu an: a) Opt-in Cookie Banner SOFORT zu implementieren; b) Datenschutzerklärungen SOFORT anzupassen; c) auf third-party Tools, Plugins & Co – welche vor allem Tracking-Zwecken dienen, vorerst (gänzlich) zu verzichten; d) die vorhandenen AV-Verträge zu listen und wirklich genau zu prüfen; e) falls die Möglichkeit besteht, Berufs- und/oder Betriebshaftpflichtversicherungen abzuschließen oder (nach Möglichkeit) hochzurüsten, die (dann) auch bei DSGVO-Verstößen eintreten.
Um ehrlich zu sein wundert mich, dass in der Agenturwelt zwar ein verstärktest „EuGH / DSGVO Grundrauschen“ zu spüren ist. Eine echte Mobilisierung bleibt momentan aber noch aus, wie ich meine.
Vielleicht wissen viele noch nicht (oder ignorieren es), dass sie als Dienstleister (z. B. Webdesign, Programmierung, etc.) genauso in Verantwortung stehen bzw. haftbar gemacht werden können, wie ihre Kunden / die Webseiten-Betreiber selbst.
Dennoch gestaltet sich die Umsetzung der Opt-in Thematik in vielen Fällen leider nicht so einfach, wie der eine oder andere glaubt bzw. sich erhofft.
Oben sind bereits einige Tools genannt worden, die „es könn(t)en“. Analysiert man nach deren Integration in eine Webseite die Funktionen (über rechte Maustaste: Untersuchen > Applikationen > Cookies), stellt man manchmal fest: oh, bei dem einer Webseite funktioniert es wirklich astrein. Bei einer anderen hingegen nicht.
Jedenfalls Roland, bist du ebenfalls der Auffassung, man sollte das Opt-in Verfahren als in Deutschland ansässiger, gewerblicher Dienstleister (der ja auch dem Eu-Recht unterliegt) sofort umsetzen?
Ja, wenn man nicht auf nur notwendige Cookies runter kommt, sollte man Opt In nutzen.
Und – GANZ WICHTIG – sollte man als Dienstleister sehr genau darauf hinweisen, weil man sich sonst haftbar macht!
Der Kunde kann dann selbst entscheiden, ob und was er macht. Aber ohne Hinweis kann er immer sagen, hätte sie (die Agentur)
doch was gesagt, dann hätte ich es umgesetzt, auch wenn es 2.000 Euro gekostet hätte. Dann lieber anbieten es zu machen, wenn
der Kunde dann ablehnt, ist man aus der Haftung raus.
So würde ich es jedenfalls bei allen Kunden machen, mit denen ich einen Wartungsvertrag habe.
Nachtrag zu meinem ersten Kommentar.
Noch „abenteuerlicher“ wird es, wenn Sparfüchse kommen und von einem Marketing- / Werbedienstleister oder einer Agentur abverlangen:
Ich brauche zwar eine eigene Webseite aber macht das doch bitte „quick and dirty“ mit einer Google Business Site.
Das „Ding“ zu bauen / eher „zu bestücken“ geht sicherlich rasend schnell.
Dort dann ein Impressum und eine DSGVO-konforme Datenschutzerklärung einzubauen – hmm, geht sicherlich auch noch (über Texteingabe).
Tricky wird es dann aber beim „Kontaktformular“, denn da müsste ja eigentlich ein Opt-in Feld zur Bestätigung der Datenschutzerklärung und zur Freigabe der Datenverarbeitung (übermittelte Daten) rein.
Wie das genau geht … ist irgendwie noch offen.
Witzige Geschichte: Schreibt mir jemand diesbezüglich … „wieso brauche ich bei so einer Webseite (google business.site) überhaupt ein Impressum und eine Datenschutzerklärung?! Dachte, das läuft über google und über US Server. Die unterliegen doch gar nicht unserer DSGVO? …
Roland, was hättest du darauf geantwortet (als Jurist)?
Ich war so frei – als Nicht-Jurist – und habe eine Juristin darauf antworten lassen.
Die nette Antwort wäre gewesen, darauf zu verweisen, dass es auf den Betreiber der Website ankommt und nicht darauf, wo sie gehostet ist. Dazu gibt es hier auch einen ausführlichen Blogpost ;).
Bei dem Problem mit Datenschutzerklärung und Impressum bin ich immer dafür, den Leuten klar zu machen, dass Sie das brauchen und Ihnen eine Option zu nennen, die etwas kostet (weil Du sonst als Agentur mit der Haftung allein dastehst). Die einfachste Variante ist, die Kunden mit deutlichen Worten an uns zu verweisen. Dann buchen sie oder buchen nicht, aber so oder so bist Du als Agentur aus der Haftung.
Wenn jemand alles nur billig will, ist er so oder so kein guter Kunde, für niemanden. Wer nicht einsieht, dass Leistung auch kostet, soll halt selber basteln.
Unter „XII. Was passiert, wenn der Nutzer nicht einwilligt? – 2. Achtung, nicht Weitersurfen verhindern!“ schreibst du, „Dennoch solltest Du nicht die Option nutzen, den Zugang zu der Website zu verweigern, wenn der Nutzer keine Cookies akzeptiert.“
Allerdings kann man eure Seiten auch nicht nutzen, wenn man nicht irgendeine Cookie-Einstellung vorab angeklickt hat.
Verstehe ich nicht!
Das liegt daran, hast Du hier die Cookies ablehnen und dann weitersurfen kannst. Du wirst nur zu der Wahl gezwungen, aber
Du kannst die Website ohne Cookies nutzen. Das ist rechtmäßig, (wahrscheinlich) unrechtmäßig ist, den Nutzer praktisch
zur Einwilligung zu zwingen.
Hallo Ronald,
danke für die – wie immer – ausführliche und aufschlussreiche Darstellung der aktuellen Situation. Wie in den Kommentaren hier schon erwähnt wurde, bin auch ich verwundert, wie wenig Website-Betreiber mit dem neuen Cookie Opt in arbeiten. Bei meinen Recherchen bin ich u.a. auf folgende Aussagen gestoßen:
1. Die Anwendung der Auslegung des EuGH ist von einem noch anhängigen Ausgang des Urteils vor dem BGH bzw. einer Gesetzesänderung des TMG abhängig.
oder
2. Das OLG Düsseldorf muss noch sein Endurteil und seine Entscheidung bekannt geben und dort könnte – theoretisch – eine andere Meinung vertreten werden.
Ich vermute 1. und 2. sind Gründe für das zögern der Website-Betreiber. Mich jedoch würde Deine Einschätzung zu Punkt 1. und 2. interessieren.
Vielen Dank. Also weder zu 1. noch zu 2. kann oder wird sich viel ändern. Theoretisch kann noch die Privacy Verordnung kommen, auf die alle warten. Aber die wird inhaltlich auch keine geringeren Anforderungen stellen.
Wieder einmal eine großartige Zusammenfassung, vielen Dank dafür!
Was ist aber, wenn ich außer den essentiellen Cookies keine weiteren Cookies verwende, wohl aber das Cookie-lose Tracking via Google Analytics (storage:none) und / oder Matomo, das selbst gehostet wird?
In diesem Fall bräuchte ich eigentlich gar keinen Cookie-Banner mehr, oder? Denn da kann nichts abgelehnt und nichts akzeptiert werden, da keine der Entscheidungen irgendeinen Cookie setzt.
Oder muss ich dann trotzdem den (alten) Banner setzen, indem man auf die Datenschutzerklärung hingewiesen wird, was ich dann mit „OK“ wegklicken oder mittels Weitersurfen ignorieren kann.
Denn in allen Meinungen zum Thema wird fast immer vorausgesetzt, dass man das Cookie-Tracking für z.B. Facebook und Google nutzt. Ich bin aber der Auffassung: Lieber ohne Cookies tracken und bei 100% der getrackten Besucher Informationen wie demografische Merkmale, wiederkehrende Sessions etc. verlieren als 80% der trackbaren Besucher durch Cookie-Banner verlieren, die einen dazu verleiten, die Marketing-Cookies nicht zu erlauben.
Kann ich in dem Fall also auf den Banner komplett verzichten?
Hallo Jens,
nach dem EuGH ist auch für cookieloses Tracking ein Opt In erforderlich. Von daher kommst Du so leider nicht wirklich weiter.
Aber ist es dabei nicht ein Unterschied, ob ich durch GA als externen Dienst nutze, der versucht, die Nutzer zu identifizieren oder ob ich Matomo als selbst gehostete Lösung nutze, die zudem nur das Verhalten auf der Website auswertet?
Und wie hat der EuGH das cookielose Tracking denn formuliert? Meines (laienhaften) Erachtens geht es doch um Cookie-Nutzung und alternative Methoden, Nutzer zu identifizieren, also Methoden wie Fingerprinting etc. Aber wenn man nun auf all die Technologien verzichtet, dann wird ein Banner doch obsolet, oder nicht?
Kleiner Nachtrag: Nach Auffassung eines anderen IT-Recht-Anwaltes geht es ja „nicht nur um „Tracking per Cookies“. Sondern um die ungefragte Übertragung personenbezogener Daten zu Tracking- oder Marketingzwecken. Und diese Frage ist (nach Auffassung der meisten Datenschützer zumindest) technologieneutral, gilt also eben nicht nur für Cookies.“
Wenn ich also Google Analytics ohne Cookies nutze: OK; es werden weiter Daten übertragen, Einwilligung erforderlich.
Wenn ich aber Matomo (selbst gehostet) ohne Cookies nutze, dann verbleiben alle Daten bei mir, ergo: keine Einwilligung erforderlich.
Siehst Du das auch so oder habe ich noch einen Knoten im Kopf?
@ easyrechtssicher.de: Vorab vielen Dank für die Informationen.
Bin jedoch trotz der Infos verunsichert. Nehmen wir Eure eigen HP hier als Beispiel. Um den Artikel lesen zu können, konnte ich den Cookies nur zustimmen. Ohne Zustimmung war ein Weiterlesen nicht möglich. Immer wieder besuche ich HP’s, bei denen das genau so dargestellt wird (also: Ohne Zustimmung ist das weitere Anschauen der HP nicht möglich). Ist das überhaupt so erlaubt?
Lt. Eurem eigenen Hinweis: „…dass nach Ansicht niederländischer Datenschutzbehörden darfst Du dem Nutzer aber nicht das weitersurfen auf der Website untersagen, wenn er nicht in die Cookies einwilligt. Nach deren Ansicht zwingst Du damit den Nutzer praktisch, die Cookies zu akzeptieren.“
Würde mich über Feedback freuen, wie Eure/Ihre Meinung ist.
Der Eindruck täuscht, Du kannst die Cookies alle abwählen (außer den notwendigen, aber die sind eben auch notwendig 😀 ). Dann ist das ok.
Nicht ok ist, wenn man nach Cookie Abwahl nicht weiter kommt – Ausnahme sind wohl kostenpflichtige Angebote (z.B. bezahlte Zeitungsseiten).
Hm, ich sehe die Essenz des Urteils noch ein wenig anders, aber wir kommen in die juristischen Feinheiten. Ich sage nicht, ein internes Matomo ist unzulässig, ich wäre sogar für die Zulässigkeit, aber es bleibt ein deutliches rechtliches Risiko.
Hallo Herr Dr. Kandelhard,
vielen Dank für die ausführlichen Informationen, nach deren aufmerksamen Lesen ich nun doch einigermaßen verunsichert bin.
Muss ein Cookie-Banner nun z. B. auf die Verwendung von WP Statistic hinweisen, auch wenn die Daten anonymisiert sind? Und muss das Banner zusätzlich auf Cookies hinweisen, die Einträge (z.B. Name) bei einer Kommentarfunktion für den erneuten Besuch oder die gewählten Einstellungen des Banners speichern?
Oder gehören diese Cookie-Arten zu den notwendigen Cookies und somit wäre, bei ausschließlicher Nutzung solcher Cookies, ein Cookie-Banner sogar gar nicht nötig?
Bin unterwegs, deshalb kurz: ja, auch WPStatistics, jedenfalls bei vorsichtiger Auslegung des EuGH Urteils, aber es gibt Gegenstimmen, mit denen ich auch sympathisiere, doch ich entscheide einen Rechtsstreit eben nicht. Und zu Cookie Bannern selbst, ja, die sind notwendige Cookies.
Sie schrieben oben bei XI: „Wer einen Opt In verwendet, braucht aber keinen Nachweis, da ohne Einwilligung die Cookies gar nicht geladen werden.“
Und was passiert, wenn er optional weiteren Cookies zustimmt?
Das muss doch grundsätzlich dokumentiert werden, oder wie ist Art. 7.1 DSGVO zu verstehen, in der doch eigentlich steht, das es dokumentiert werden muss?
Ein System zur Consents-Dokumentation (oder vermutlich auch zum Beweis, das ein Besucher nicht zugestimmt hat) scheint ja technisch aufwendig zu sein. Angebotene Lösungen kosten da ja leider ab 100€ im Jahr (mehr als mein Hosting!!!)!
Ja, das frage ich mich auch. Das ganze geht ja auch noch weiter:
Was muss passieren, wenn der Brenutzer erst zustimmt – also Cookies gesetzt werden. Und wenn er die Zustimmung dann entzieht? Müssen dann die bereits gesetzten Cookies entfernt werden? Eigtl. sind es ja nicht die Cookies die tracken, sonder die Applikationen an die die Cookies geschickt werden (also zum Beispiel GA). Wenn ich bei Ablehnung von Cookies dafür sorge, dass GA nicht mehr geladen wird, können die evtl. vorhandenen Cookies doch im Browser des Nutzers verbleiben, oder?
Und was bringt die ganze Cookie OPT-IN Notwendigkeit für die Webanalyse wenn es dann keine/kaum Nutzer gibt die man analysieren kann? Dann kann man doch besser gleich drauf zu verzichten. Das ist doch jetzt nur noch eine Diskussion die sich um sich selbst dreht. Denn es ist egal ob Cookie, IP-Hashes oder Device-Fingerprinting eingesetzt werden.
Es muss die grundsätzliche Frage beantwortet werden. Ist es dem Webseitenbetreiber erlaubt eigene Webanalysen durchzuführen, wo die Daten nicht an Dritte weitergegeben werden?
Das ist doch das was klar sein muss! Gibt es dazu eine rechtlich verbindliche Aussage irgendwo?
Nach derzeitigem Stand der EuGH Rechtsprechung ist das auch nicht ohne Opt In erlaubt. Ob das aber bewußt so entschieden wurde, kann noch nicht genau angegeben werden…
Ich hätte mal kurz eine ganz andere Frage.
Bisher hat der EuGH nur das Urteil gefällt. Demnach ist die Gesetzeslage aktuell in Deutschland immer noch so, als ob es das EuGH-Urteil nie gegeben hätte, richtig?
Deshalb müsste man die cookie opt-in Lösung erst dann verwenden, wenn das neue Gesetz in Deutschland tatsächlich verabschiedet wurde, richtig? So ähnlich läuft es ja auch grade mit der bald kommenden Pflicht zur Zeiterfassung.
Nein, das EuGH Urteil ist hier bindend. Es gibt unterschiedliche Rechtsakte in der EU und unterschiedliche Konsequenzen für die Bindung deutscher Gerichte und Behörden. Hier ist die reine Gesetzeslage zwar unklar, aber der EuGH und einige deutsche Gerichte haben wenig Zweifel daran gelassen, dass das Cookie EU-Recht auch in Deutschland gilt…
Dr. Ronald Kanelhard, danke für die schnelle Antwort!
Wann kann man mit den Details des Urteils rechnen?
Mir ist zum Beispiel noch unklar was passiert, wenn ein Nutzer die Cookie-Abfrage gar nicht beantwortet (also das cookiefenster einfach „links liegen“ lässt).
Zudem wäre es interessant zu wissen ob eine Cookie-Zustimmung für die gesamte Website gilt, also zum Beispiel auch für eine subdomain.
Hallo Lisa, die Begründung des Urteils gibt es bereits und die findest Du in dem Link im Beitrag. Weitere Details wird es erst geben, wenn ein weiteres Urteil kommt.
Bei Cookie Fenster links liegen, darf keiner gesetzt werden, der nicht notwendig ist und grundsätzlich gilt das für die gesamte Domain.
Ich verwende Ihre Software nur gelegentlich. Ihre Informationen sind sicherlich sehr ausführlich und sinnvoll, führen bei mir aber eher zu der Überlegung auf eine Website zu verzichten.
Wo finde ich die Versionsnummer Ihrer Software? Wir die von Ihnen
automatisch aktualisiert oder muss ich da tätig werden?
Die Versionsnummer von easyRechtssicher? im Backend unter „easyRechtssicher“ und dann „Lizenzinformationen“
Pingback: Mit Consent Nutzer langfristig wiedererkennen | Focal Analytics
Pingback: Deine Website ist illegal: Privacy Shield verstößt gegen DSGVO
Danke für das Video.
gern geschehen
Pingback: Jimdo Datenschutz: Rechtssicher in 2021"
Pingback: Cookie-Banner Wahnsinn? - easyRechtssicher
Hey, danke für den Betrag. Ich habe einen Web-shop und möchte einen Blog aufbauen. Jetzt war meine überlegung den Blog auf einer seperaten Domain zu erstellen, damit dafür kein Cookie Banner notwendig ist. Ich erhoffe mir dadurch eine höhere durschnittliche Aufenthaltsdauer der Nutzer auf meinem Blog und dann würde ich bei passenden Themen einfach auf meine Shop-Domain verlinken wo ich bereits einen Plugin für meinen Cookie Hinweis verwende. Denn wenn ich keine Kommentarfunktion anbiete benötige ich doch bei meinem Blog keine zusätzlichen Cookies, oder? Ich bin technisch nicht so versiert…;D
Richtig, wenn keine Cookies Gesetz werden, brauchst Du keinen Banner.
Pingback: Google Analytics 4 DSGVO: Rechtssicher in [2021]"