Sie sind Betreiber einer Webseite, haben dort ein Impressum und eine Datenschutzerklärung hinterlegt und weisen bei Aufruf der Webseite auf die Nutzung von Cookies hin? Damit wähnen Sie sich rechtlich in sicheren Gewässern. Diese Annahme ist leider trügerisch, spätestens seit Inkrafttreten der DSGVO im Mai 2018 ist der Einsatz von Cookies auf Webseiten erheblich strenger reglementiert.

Neues Urteil des EuGH zum Einsatz von Cookies

Anfang Oktober 2019 hat der EuGH ein maßgebliches Urteil zum Einsatz von Cookies gesprochen. Ergebnis: Alle Cookies brauchen eine Einwilligung des Webseitennutzers und zwar unabhängig von der Art der Cookies, also auch dann, wenn gar keine personenbezogenen Daten gespeichert werden. Das ist sehr weitreichend und kommt in gewisser Weise einer Vorwegnahme der ab 2020 rechtskräftig werdenden ePrivacy-Verordnung gleich. Auf jeden Fall führt es zu entsprechendem Handlungsbedarf bei den Webseitenbetreibern.

​Jetzt zum Management-Letter für Informationssicherheit anmelden!

​Erhalten Sie von Adiccon regelmäßig aktuelle Beiträge, Angebote und Veranstaltungshinweise rund um die Informationssicherheit.

​Ja, ich möchte den Management-Letter erhalten *

* Mit der Anmeldung zum Management-Letter stellen Sie uns Ihre E-Mail-Adresse zur Verfügung und geben uns Ihre Einwilligung, dass wir Ihnen zukünftig unseren Management-Letter mit aktuellen Beiträgen rund um die Informationssicherheit sowie Hinweise zu aktuellen Angeboten und Veranstaltungen regelmäßig senden dürfen. 

Sie können den Management-Letter jederzeit über den Abmeldelink, der sich am Ende eines jeden Management-Letters befindet, abbestellen und sich damit aus der Verteilerliste austragen. Weitere Informationen finden Sie unter https://datenschutz.adiccon.de.

Die Richtung ist klar vorgegeben, nach Aufruf einer Webseite ist zunächst die Einwilligung des Besuchers für das Setzen von Cookies notwendig, auch wenn nur technisch notwendige Cookies gesetzt werden. Darauf sollte sich jeder Webseitenbetreiber einstellen!

Aktive Einwilligung des Nutzers jetzt ein Muss

Die Rechtslage hat sich also erheblich verschärft, es ist daher jedem Webseitenbetreiber dringend zu raten, die auf der Webseite enthaltenen (oder nicht enthaltenen) Einwilligungen zu überprüfen. Nachfolgend sind die wichtigsten Punkte hierzu aufgelistet.

Anforderungen an die Einwilligung:

Eine Einwilligung muss durch eine „eindeutig bestätigende Handlung, freiwillig und auf Basis verständlicher Informationen über den Zweck der eingesetzten Cookies“ erfolgen. Dies kann durch das aktive Setzen eines Buttons mit erklärendem Text über die Verwendung der Cookies erreicht werden.

Cookie Einwilligungsbanner

Ein gängiges Verfahren für die Einwilligung ist die Verwendung eines Einwilligungsbanners, das unmittelbar nach Aufruf der Webseite erscheint.

Die wesentlichen Anforderungen an ein Cookie Einwilligungsbanner sind:

  • Es darf keine Voreinstellung für das Banner geben (bereits bei Aufruf gesetzte Buttons)
  • Cookies dürfen erst nach erfolgter Einwilligung gesetzt werden (bei der Implementierung zu beachten)
    Achtung: Das Anklicken eines Buttons im Einwilligungsbanner sollte keinen Cookie erfordern, wenn dem so ist, ist dieser ebenfalls zu beschreiben
  • Die Information über das Recht auf Widerruf muss möglichst mit einem Klick erreichbar sein (ohne Cookies zu setzen)
  • Informiert wird über alle verwendeten Cookies (möglichst Einzelauflistung) und deren Verarbeitung, meistens in der Datenschutzerklärung oder schon im Banner.

Ein Cookie Einwilligungsbanner sollte mindestens enthalten:

  • Zweck der Cookies
  • Hinweis auf das Widerrufsrecht gem. Art. 7 DSGVO
  • Hinweis auf die Datenschutzerklärung, die möglichst mit einem Klick aufrufbar sein sollte und bei deren Aufruf noch KEINE Cookies gesetzt werden (gem. Art. 13 DSGVO)
  • Jeweils ein Button zum Erteilen der Einwilligung bzw. Verweigern der Einwilligung

Technisch zwingend erforderliche Cookies

Auch für diese Cookies ist die Einwilligung nötig, sie bezieht sich dann nicht auf die Nutzung, sondern auf das Setzen von Cookies auf dem Endgerät. Die Nutzung technisch notwendiger Cookies ist aber weiterhin zulässig und bedarf keiner expliziten Einwilligung in die Nutzung gem. Art. 5 Abs. 3 Satz 2 Richtlinie 2002/58/EG.

Aber Vorsicht!

Was technisch zwingend notwendige Cookies sind, ist bisher eher allgemein beschrieben. So können Speicherungen erfolgen, soweit der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies für die Bereitstellung der Web-Seite nötig ist. Was also technisch zwingend erforderliche Cookies sind, muss sich im Rahmen der Rechtsprechung noch herausstellen.

Quick-Check für die nächsten Schritte

Allein die oben beschriebenen Aspekte für die Einwilligung in die Cookie-Nutzung zeigen, wie vielfältig die Anforderungen sind. Es ist daher ratsam, die nächsten Schritte in mehreren Phasen anzugehen. Hier ein Vorschlag für mögliche kurz- und mittelfristige Maßnahmen:

Kurzfristige Maßnahmen

  • Wird mit Aufruf der Webseite über die Verwendung technisch notwendiger Cookies informiert? Wenn nein, sollte das als erstes angegangen werden.
  • Kennen sie alle Cookies, die auf Ihrer Webseite verwendet werden? Prüfen Sie bei dieser Gelegenheit, welche Cookies auf Ihrer Webseite verwendet werden, insbesondere bei Nutzung von Social Media Plug-Ins, die Informationen über den Nutzer weitergeben. Prüfen Sie auch, wann die ersten Cookies nach Seitenaufruf gesetzt werden, um später zu wissen, an welcher Stelle ein Einwilligungsbanner eingefügt werden kann.
  • Ist Ihre Datenschutzerklärung aktuell? Werden dort alle Cookies benannt und beschrieben?

Mittelfristige Maßnahmen

  • Erscheint bei Aufruf Ihrer Webseite kein Einwilligungsbanner? Vermutlich nicht, das sollte aber in Angriff genommen werden, denn spätestens mit wirksam werden der ePrivacy-Verordnung wird das notwendig sein. Als erster Schritt würde es z.B. reichen, ein Banner zu schalten, das zwei Möglichkeiten einer Einwilligung abfragt z.B.
    • notwendige Cookies verwenden
    • Cookies zulassen

Möglicherweise sind weitere Einwilligungen für verschiedene Verarbeitungsvorgänge mit personenbezogenen Daten notwendig wie z.B. Newsletter-Anmeldung, Nutzung des Kontaktformulars oder die Bewerbungsseite?

Prüfen Sie das und gehen Sie das – wenn erforderlich – als nächste weitere Schritte an.

Fazit

Sie sehen, die Thematik ist durchaus komplex und die rechtlichen Anforderungen steigen weiter. Es lohnt sich daher, hier am Ball zu bleiben. Prüfen Sie daher mittels unseres Quick-Checks Ihre Webseite, ob ein Cookie-Banner vor dem Setzen von Cookies erscheint und ob alle Cookies darin beschrieben werden.

Vielleicht fragen Sie sich jetzt, ob alle Anforderungen hierzu von Ihnen erfüllt werden, oder Ihr Web-Auftritt ggf. ein Datenschutz-rechtliches Risiko für Sie darstellt. Gerne unterstützen wir Sie hierbei mit unserem Expertenteam.

Dabei profitieren Sie von unserer Erfahrung aus zahlreichen Projekten und dem umfassenden technischen sowie branchenspezifischen Praxis-Know-how. Vereinbaren Sie einfach einen unverbindlichen Termin.