< Alle Themen

Ist mein Cookie-Banner DSGVO-konform?

Im Internet sind aktuell die Themen Cookies und Cookie-Banner heiß diskutiert. Im Rahmen der Datenschutzerklärung sind alle Cookies anzugeben, die auf der Webseite zum Einsatz kommen. Ein großer Streitpunkt ist immer, wie diese Cookies rechtlich einzuordnen sind.
Dies betrifft insbesondere auch die Frage, ob ein Cookie eine Einwilligung benötigt oder auf eine andere Rechtsgrundlage gestützt werden kann.

Aufgrund der Vielzahl von verschiedenen bestehenden Cookie-Bannern auf dem Markt ist es uns nicht möglich im Einzelfall den verwendeten Cookie-Banner rechtlich einzuschätzen. Dies ist aufgrund der momentan rechtlich ungewissen Lage und der möglichen technischen Komplexität nicht möglich.

Wie Website-Check Ihnen hilft

Falls in Ihrem Paket enthalten, senden wir Ihnen zusammen mit Ihren Rechtstexten eine DSGVO-Analyse zu. Dort sind hilfreiche Informationen enthalten, die eine DSGVO-konforme Implementierung eines Cookie-Banners vereinfachen. In der DSGVO-Analyse sehen Sie auch, ob bzw. welche Cookies gesetzt werden, noch bevor der Seitenbesucher zugestimmt hat.

Sollte Ihr Paket keine DSGVO-Analyse enthalten, melden Sie sich hier um ein unverbindliches Angebot zu erhalten.

Wann benötige ich eine Einwilligung?

Als grobe Faustformel lässt sich festhalten, dass eine Einwilligung immer dann benötigt wird, wenn die Daten zu Analysezwecken oder Werbezwecken erhoben werden und an Dritte diese Daten übermittelt werden.

Sobald personenbezogene Daten (und hierzu zählt z.B. auch die IP-Adresse) an Dritte übertragen werden, ist nach Ansicht der deutschen Datenschutzbehörden eine Einwilligung höchstwahrscheinlich notwendig.

Beispiele für eine zwingende Einwilligung stellen die Dienste Google Analytics, Doubleclick, Google Ads, criteo, Hotjar, etc. dar. Die dort verwendeten Cookies erheben personenbezogene Daten zu Zwecken von Reichweitenanalyse oder Werbung und übermitteln diese an einen Dritten.

Gibt es auch Cookies, für die ich keine Einwilligung brauche?

Nach dem aktuellen Stand gibt es auch weiterhin Cookies, für die ich aus rechtlicher Sicht keine Einwilligung benötige. Dies ist dann der Fall, wenn die Cookies entweder keine personenbezogenen Daten erheben (was nur höchst selten der Fall sein wird), die Cookies technisch notwendig sind oder wenn die Cookies auf ein berechtigtes Interesse gestützt werden können.

  • Technisch notwendig

Cookies, die für den Betrieb der Internetseite oder eines Onlineshops technisch notwendig sind, dürfen auch ohne Einwilligung der Nutzer gesetzt werden, sofern diese nicht gleichzeitig auch zum Analysieren des Nutzerverhaltens oder zur Werbung genutzt werden. Technisch notwendig sind zum Beispiel Cookies, die Eingaben in einen Warenkorb speichern; die Cookies, die benötigt werden, um ein Cookie-Banner ordnungsgemäß zu betreiben, sowie diejenigen Cookies, die vom Content Management System gesetzt werden, um einen ordnungsgemäßen Betrieb der Internetseite zu ermöglichen.

  • Berechtigte Interessen

Neben den technisch notwendigen Cookies kann es auch Cookies geben, bei denen ein berechtigtes Interesse angenommen werden kann. Entscheidend ist, dass man unter Abwägung der möglichen Beeinflussung des Nutzers und des damit verbundenen Vorteils für den Endbenutzer zum Schluss kommt, dass die Vorteile die Nachteile überwiegen und für den Endbenutzer keine Nachteile durch die Setzung des Cookies entstehen.
Ein berechtigtes Interesse des Anbieters kann etwa das Setzen von sicherheitsrelevanten Cookies sein, die zum Beispiel automatisierte Spambots erkennen und deren Zugriff blockieren. Da diese Cookies einen normalen Nutzer nicht negativ beeinflussen werden und in der Regel nach Ablauf der Session (Schließen des Browsers) gelöscht werden, können diese auf berechtigtes Interesse gestützt werden.
Weitere Cookies für die ein berechtigtes Interesse angenommen werden kann, sind zum Beispiel Cookies die vom Content Management System (also von der Internetseite) gesetzt werden um gewisse Einstellungen wie zum Beispiel Sprache, Seitendesign, Formulareingaben etc. für eine gewisse Zeit zu speichern.

Entscheidend ist ähnlich wie bei den technisch notwendigen Cookies das die eingesetzten Cookies tatsächlich nur dem Zweck dienen, der durch das berechtigte Interesse gedeckt ist und nicht weitere Daten erheben, die zur Reichweitenanalyse oder Werbung genutzt werden können.

Für Cookies, die zum Beispiel dem Schutz von Formularen dienen und gleichzeitig das Nutzerverhalten tracken. ist aus rechtlicher Sicht eine Einwilligung erforderlich. Dies trifft zum Beispiel auf das von Google ReCaptcha gesetzte Cookie zu. Neben dem Schutz des Formulars werden durch dieses Cookie nämlich auch weitere Daten erhoben und an Google übersendet.

Was sagen die Aufsichtsbehörden und die Gerichte?

Es finden sich viele vereinzelte Stellungnahmen von Aufsichtsbehörden, die im Großen und Ganzen jedoch alle in die gleiche Richtung gehen und sich auch inhaltlich mit dem Urteil des europäischen Gerichtshofs und des BGH in der sogenannten Planet 49 Entscheidung decken.
Nach Ansicht des EuGH sind alle Marketing-Cookies betroffen. Das sind alle Cookies, die auf einer Internetseite Webdienste nutzen, die den Nutzer z.B. über mehrere Websites/Domains hinweg analysieren. Von dieser Definition sind insbesondere Social-Media Plugins z.B. von Facebook (siehe Urteil des EuGH vom 29. Juli 2019, C-40/17), Werbenetzwerke oder auch Analysetools wie Google Analytics umfasst. Wir gehen davon aus, dass Cookies, die für die Funktion der Internetseite unerlässlich sind, so z.B. das Speichern der Waren im Warenkorb, weiterhin ohne Einwilligung verwendet werden dürfen.

Nach Inkrafttreten der DSGVO (Datenschutz-Grundverordnung) war lange Zeit umstritten, ob das Telemediengesetz (TMG) und die darin beinhaltete Widerspruchslösung (Opt-Out) als (inoffizielle) Ausprägung der Datenschutzrichtlinie (DSRL) weiterhin bestehen bleibt. Die für Webtracker und Cookies einschlägige E-Privacy-Richtlinie wurde durch Deutschland nie in nationales Recht umgesetzt. Der EuGH hat in seinem Urteil eine klare Stellung bezogen und eine eindeutige Einwilligung gefordert. Eine bloße Widerspruchslösung für Cookies, die nach der DSGVO eine Einwilligung benötigen, ist als deutscher Sonderweg mangels eindeutiger gesetzlicher Regelung somit nicht mehr ausreichend.

Was gilt im Zweifel?

Bei vielen Cookies ist die Einstufung nicht immer eindeutig möglich und auch bei den Aufsichtsbehörden umstritten. So vertritt zum Beispiel eine Aufsichtsbehörde in Deutschland die Ansicht, dass die Nutzung von Matomo (ehemals Piwik) auf einem lokalen Server mit datenschutzfreundlichsten Einstellungen auf berechtigtes Interesse gestützt werden kann.

Im Zweifel sollte man sich jedoch in Randfällen die Einwilligung des Seitenbesuchers mittels eines Cookie-Banners einholen.
Bei den Cookie-Bannern sollte man darauf achten, dass diese auch tatsächlich technisch funktionieren, also personenbezogene Daten erst dann erheben und an Dritte übersenden, wenn der Nutzer aktiv seine Einwilligung erteilt hat.

Inhaltsverzeichnis