Im Rahmen der diesjährigen Datenschutzkonferenz (DSK) wurde erneut die Implementierung von Cookie – Bannern thematisiert. Im Jahr 2018 hatte sich die DSK mit einem Positionspapier deutlich provokant positioniert. Laut des Positionspapieres wird erwartet, dass beim Einsatz von Tracking – Mechanismen eine vorherige, informierte Einwilligung der Website – Besucher eingeholt werden muss, um DSGVO und Datenschutzkonform zu arbeiten. Eine Ausnahme gewährten die Datenschützer jedoch, denn Cookie die für die Funktionalität benötigt werden, seien von der Einwilligungspflicht ausgenommen.

Im März diesen Jahres traf die DSK zur ersten Zwischenkonferenz 2019 zusammen und erneut landete das Thema Cookie-Banner auf der Tagesordnung. Nicht gleich zu erkennen unter TOP 10 „Ergänzung zur Positionsbestimmung zur Anwendbarkeit des TMG bei nichtöffentlichen Stellen“. Einstimmig entschloss das Gremium keine Inhaltlichen Änderungen vorzunehmen, sondern lediglich Konkretisierungen und Klarstellungen im Rahmen einer Orientierungshilfe zu veröffentlichen.

Diese Orientierungshilfe ist nun im Web aufgetaucht und stellt einige Fakten klar. Wir haben eine kurze Zusammenfassung für Sie zu diesem Thema:

Was ist ein Opt – In und was ist ein Opt – Out?

Der maßgebliche Unterschied zwischen einem Opt-Out (Wiederspruch) und einem Opt-In (Einwilligung) ist, dass im Falle einer Wiederspruchslösung zunächst eine Datenverarbeitung stattgefunden hat und lediglich die Zustimmung für zukünftige Verarbeitung untersagt wird. Bei einem Opt-In Verfahren darf die Verarbeitung erst dann stattfinden, nachdem der User eine seine wirksame Einwilligung getätigt hat.

Was müssen Verantwortliche bei der Verarbeitung personenbezogener Daten beachten?

Die Informationspflicht ist hier das tragende Argument der DSK und der DSGVO. Nach Artikel 13f. muss der Verantwortliche vorab prüfen und dokumentieren, auf welchen Erlaubnistatbestand die Datenverarbeitung erfolgt. Eine Verarbeitung personenbezogener Daten ohne ausreichende Kenntnis der betroffenen Personen

  1. über die jeweiligen Datenverabreitungsvorgänge,
  2. über die jeweils einbezogenen Dritte sowie
  3. ohne Möglichkeit der gesonderten Zustimmung

führt zur Unwirksamkeit der Einwilligung. Wichtig ist also, dass den betroffenen Personen alle wichtigen Informationen direkt bereitgestellt werden, um von Ihnen eine wirksame Einwilligung einholen zu können. Ein Opt-Out reicht dafür nicht aus. Erwägungsgrund 32 der DSGVO führt aus, dass Verhaltensweisen wie „Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person“ keine Einwilligungen darstellen. führt zur Unwirksamkeit der Einwilligung. Wichtig ist also, dass den betroffenen Personen alle wichtigen Informationen direkt bereitgestellt werden, um von Ihnen eine wirksame Einwilligung einholen zu können. Ein Opt-Out reicht dafür nicht aus. Erwägungsgrund 32 der DSGVO führt aus, dass Verhaltensweisen wie „Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person“ keine Einwilligungen darstellen.

Was muss ich nun bei einem Cookie – Banner beachten?

Wichtig vorab: Setzen Sie einen Cookie Banner nur dann ein, wenn er wirklich notwendig ist. Denken Sie daran, dass dieser nicht per se gefordert ist. Folgende Anforderungen sind zu beachten:

  1. Beim erstmaligen Öffnen der Webseite erscheint der Banner als eigene und eigenständiges HTML Element. Zeigen Sie auf, welche einwilligungsbedürftigen Verabreitungsvorgänge Sie planen und welche die beteiligten Akteure und deren Funktionen sind. Stellen Sie gleichzeitig ein Auswahlmenü zur Verfügung, sodass der User selbstständig entscheiden kann, welche Daten „getrackt“ werden und welche nicht.
  2. Alle Skripte und Webseitenelemente die potenzielle Nutzerdaten erfassen, müssen blockiert bleiben, bis der User seine Zustimmung erteilt.
  3. Der Zugriff auf die Datenschutzerklärung und das Impressum muss gewährleistet bleiben.
  4. Zur Erfüllung der Nachweispflicht ist eine indirekte Identifizierung ausreichend. Wie gestaltet man dies am besten? Das Ergebnis kann auf dem Endgerät des Nutzers ohne Verwendung von User-ID o. ä. Identifikationsmechanismen vom Verantwortlichen gespeichert werden.

Hinweis: Die Implementierung eines Banners mit den Hinweisen und einem einfachen „OK“-Button ist nicht ausreichend! Ebenfalls sollten Sie gewährleisten, dass der Besuch der Webseite auch ohne „Tracking“ möglich ist.