von RA Phil Salewski

Anforderungen an die Gestaltung von Einwilligungslösungen für Cookies

News vom 02.10.2019, 10:53 Uhr | 3 Kommentare 

Nach dem Grundsatzurteil des EuGH vom 01.10.2019 (Az. C-673/17) unterliegen alle technisch nicht notwendigen Cookies einer Einwilligungspflicht. Einwilligungen müssen aktiv und informiert für jedes einzelne Cookie erteilt werden können und auch im Übrigen den datenschutzrechtlichen Wirksamkeitsanforderungen genügen. Wie vor diesem Hintergrund Einwilligungslösungen für Cookies (etwa als „Consent Tool“ oder Banner) ausgestaltet werden müssen, zeigt der folgende Beitrag der IT-Recht Kanzlei.

I. Technische und gestalterische Anforderungen für Cookie-Banner und Cookie-Tools

Für die nunmehr höchstrichterlich vorausgesetzte Einwilligungseinholung bei technisch nicht erforderlichen cookie-basierten Datenverarbeitungen haben sich in der Praxis sogenannte „Cookie-Banner“ und „Cookie Consent Tools“ etabliert.

Als vorgeschaltete Abfrage werden diese beim erstmaligen Aufruf einer Website angezeigt und bieten dem Betroffenen die Möglichkeit einer Einwilligungserteilung.

Damit über derartige Banner und Tools datenschutzkonfomre Einwilligungen eingeholt werden können, sind allerdings besondere technische Einstellungen und Ausgestaltungen unbedingt zu beachten:

1

1.) Informationen und Auswahlmöglichkeiten für alle eingesetzten Cookies

Wird ein Banner oder Tool beim erstmaligen Aufruf einer Website angezeigt, muss für jedes eingesetzte, technisch nicht notwendige Cookie eine sprachlich einfach gefasste Information darüber ergehen,

  • welche Verarbeitungsvorgänge mit dem Cookie vorgenommen werden,
  • welche Akteure an den Verarbeitungsvorgängen des Cookies beteiligt sind und
  • welche Funktionen diese Akteure erfüllen

Es ist zulässig, für die Bereitstellungen dieser Informationen auf die Datenschutzerklärung zu verweisen. Voraussetzung ist freilich, dass in dieser dann die Funktionsweise jedes einwilligungspflichtigen Cookies auch abschließend beschrieben wird. Im Cookie-Banner/-Tool müssen dann nur der Dienst, die von ihm verwendeten Cookies und deren Funktion (etwa "Tracking", "Analyse", "Retargeting" etc.) benannt sein. Es kann etwa formuliert werden:

"Informationen zur Funktionsweise, zur Funktionsdauer und zu den Verarbeitungsvorgängen der Cookies der einzelnen Anbieter erhalten Sie in unserer Datenschutzerklärung."

Hierbei sollte die Datenschutzerklärung verlinkt sein.

Jedes Banner oder Tool muss über ein Auswahlmenü verfügen, bei dem jedes eingesetzte Cookie einen eigenen aktivierbaren Menüpunkt darstellt. Keine Auswahlmöglichkeit darf voraktiviert bzw. „angetickt“ sein.

Nicht ausreichend sind die häufig beobachteten Cookie-Banner, die sich über eine Bestätigungs-Schaltfläche wegklicken lassen. In diesen Fällen fehlt es an der nach Art. 7 DSGVO erforderlichen Freiwilligkeit, weil Betroffene keine Möglichkeit haben, das Setzen von Cookies abzulehnen.

2.) Kein Cookie-Einsatz vor Einwilligung

Beim erstmaligen Aufruf einer Website dürfen keinerlei Cookies voraktiviert sein und im Hintergrund laufen. Alle eingesetzten Cookie-Skripte müssen solange blockiert werden, bis der Nutzer über das Banner oder Tool in deren Einsatz eingewilligt hat. Werden nur für einzelne Cookies Einwilligungen erteilt, muss der Einsatz der anderen unterbunden werden.

Erst, wenn der Nutzer seine Einwilligung durch die Auswahl von Cookies erteilt hat, dürfen die hiermit verbundenen Datenverarbeitungen aktiviert werden.

3.) Protokollierung und Speicherung von Einwilligungen

Weil für die Erfüllung der einwilligungsbezogenen Nachweispflichten eine sog. „indirekte Nutzeridentifizierung“ genügt, sollte die Entscheidung eines Betroffenen für oder gegen alle individuellen Cookie-Einwilligungen auf dessen Endgerät gespeichert werden. Die Verwendung einer User-ID oder einer sonstigen eindeutigen Identifizierung ist hierfür nicht erforderlich.

Die Speicherung der Einwilligungseinstellungen auf dem jeweiligen Endgerät genügt als Nachweis für vorliegende Einwilligungen und hat zudem den Vorteil, dass dem Betroffenen bei einem erneuten Seitenaufruf das Banner oder Tool nicht erneut angezeigt wird.

4.) Widerruflichkeit

Weil jede Einwilligung widerruflich sein und der Widerruf so einfach wie die Einwilligungserteilung sein muss, muss zwingend eine „One-Klick“-Widerrufsmöglichkeit für jedes Cookie implementiert werden.

Dies kann etwa über eine Schaltfläche „Cookie-Einstellungen“ oder in der Datenschutzerklärung erfolgen.

II. Handlungsempfehlung der IT-Recht Kanzlei

Seitenbetreibern, die für technisch nicht notwendige Cookies keine oder keine (nach den obigen Maßstäben) hinreichenden Einwilligungslösungen vorhalten, wird empfohlen, alle betroffenen cookie-basierten Anwendungen bis auf Weiteres abzuschalten. Nur so lassen sich rechtliche Risiken vermeiden.

Die IT-Recht Kanzlei stellt Mandanten in Zusammenarbeit mit einem renommierten deutschen "Cookie-Consent-Tool"- Anbieter voraussichtlich noch im Oktober ein „Cookie-Consent-Tool“ zur Verfügung, mit welchem auf Websites DSGVO-konforme Einwilligungen für jede cookie-basierte Verarbeitung bequem eingeholt und verwaltet werden können. Hierfür werden keine Zusatzkosten für unsere Mandanten anfallen.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.

Autor:
Phil Salewski
Rechtsanwalt

Besucherkommentare

Angekündigtes Consent Management Tool von prive?

17.11.2019, 15:14 Uhr

Kommentar von Friedeman Kühn

Hallo IT-Recht Team, Sie hatten für die 2. Novemberwoche das CMT von prive angekündigt - gibt es hier schon einen Verfügbarkeitstermin? Wir nutzen ePages / Strato Shop, bei dem ein Opt-out beim...

Tracking-Tools

02.10.2019, 15:53 Uhr

Kommentar von IT-Recht Kanzlei

Sehr geehrter Herr Maar, vielen Dank für Ihre Anfrage. Sämtliche Tracking-Tools auf Cookie-Basis setzen technisch nicht notwendige Cookies und sind daher einwilligungspflichtig. Dies gilt auch für...

Wie sieht es mit Google Analytics aus?

02.10.2019, 11:36 Uhr

Kommentar von Walter Maar

Ich las mit großem Interesse Ihren Beitrag. Meine Frage ist, wie sich das neue Urteil auch auf Tracking-Tools wie z. B. Google Analytics auswirkt? Sollte man dies vorerst deaktivieren oder gibt es...

© 2005-2019 ·IT-Recht Kanzlei Keller-Stoltenhoff, Keller