• exkulpa
  • /
  • Blog
  • /
  • Datenschutz
  • /
  • Dringender Handlungsbedarf für viele Webseitenbetreiber – Datenschutzbehörden äußern sich zu Cookies

Dringender Handlungsbedarf für viele Webseitenbetreiber – Datenschutzbehörden äußern sich zu Cookies

31. Mai 2019 - Minuten Lesezeit

Inhalt
Hintergründe zur Cookie-Nutzung durch Webseiten
Vorgehen beim rechtssicheren Einsatz von Cookies
Wichtig: Das berechtigte Interesse
Zusammenfassung zur Cookie-Nutzung

Hintergründe zur Cookie-Nutzung durch Webseiten

Bei der Verarbeitung personenbezogener Daten von Webseiten-Besuchern durch den Einsatz von Cookies und Tracking-Tools war bislang umstritten, welches Recht überhaupt anwendbar ist, das Telekommunikationsgesetz (TKG) oder die Datenschutz-Grundverordnung (DS-GVO).

Dies hat zu einer erheblichen Rechtsunsicherheit bei Webseitenbetreibern und einer Anhäufung sogenannter Cookie-Banner (eingeblendeter Hinweis auf den Einsatz von Cookies) auf Webseiten geführt. Die Verwendung solcher Cookie-Banner im Allgemeinen und die Ausgestaltung der durch diese Banner übermittelten Informationen im Speziellen war seither höchst umstritten.

Die Bayerische Datenschutzbehörde hat jüngst 40 Webseiten größerer Firmen geprüft, und festgestellt, dass hinsichtlich der Verwendung von Cookies und Tracking-Tools keine einzige der geprüften Webseiten 100 % rechtskonform ausgestaltet war.

Die Gründe liegen sicherlich in der vorherrschenden Rechtsunsicherheit und weniger in mangelnder Motivation oder Fahrlässigkeit der Webseitenbetreiber. Nach nun gemeinsamer Stellungnahme der deutschen Datenschutzbehörden liegt jetzt zumindest eine aktuelle Orientierungshilfe vor, anhand derer alle Webseitenbetreiber ihre Webseiten dahingehend überprüfen sollten, ob für die konkrete Seite Handlungsbedarf besteht.

Vorgehen beim rechtssicheren Einsatz von Cookies

Holen Sie den Webseiten-Administrator hinzu und lassen sich auflisten, ob und wenn ja, welche Cookies beim Besuch der Webseite gesetzt werden und ob und wenn ja, welche der Cookies personenbezogene Daten verarbeiten. Gleiches gilt für etwaige sonstige Tracking-Tools, die evtl. im Hintergrund der Webseite agieren und personenbezogene Daten verarbeiten.

Lassen Sie sich erklären, für welchen Zweck die einzelnen Cookies oder Tracking-Tools verwendet werden und entscheiden Sie, ob es für Sie wichtig ist, dass von den einzelnen Cookies oder Tracking-Tools personenbezogene Informationen verarbeitet werden, oder ob zur Zweckerfüllung der Personenbezug evtl. gar nicht notwendig ist.

Überall dort, wo für die Zweckerfüllung auf den Personenbezug verzichtet werden kann, sollten die Einstellungen so vorgenommen werden, dass erst gar kein Personenbezug entsteht. Wie genau dies umzusetzen ist, ist bei jedem Cookie bzw. Tracking-Tool anders und abhängig vom Hersteller. Ein Personenbezug lässt sich zu meist auf zweierlei Arten verhindern:

1.Es werden durch den Cookie oder das Tracking-Tool nur Daten verarbeitet, die nicht personenbezogen sind, bspw. statistische Daten o.Ä. (Personenbezug ist deaktiviert)

2.Die durch den Cookie oder das Tracking-Tool zu verarbeitenden personenbezogenen Daten werden vor der Verarbeitung anonymisiert, z.B. indem die IP-Adresse unkenntlich gemacht wird.

Bei manchen Tools (z.B. bei Google Analytics) lässt sich die IP-Adresse (personenbezogenes Datum) anonymisieren, so dass kein Personenbezug besteht. Die dann verarbeiteten Daten sind anonym und können bspw. für statistische Zwecke verwendet werden.  

Nachdem Sie nun wissen, welche Tools im Hintergrund der Webseite personenbezogene Daten verarbeiten und Sie diese Informationen auch weiterhin für die konkreten Zwecke verwenden wollen (z.B. um Kunden oder Interessenten zielgerichtet werblich ansprechen zu können), brauchen Sie zwingend eine Rechtsgrundlage, die die konkrete Datenverarbeitung erlaubt. Bei den meisten Webseiten kommen hier zwei Rechtsgrundlagen in Betracht:

1.Die Einwilligung des Webseiten-Besucher, dass er mit der Verarbeitung seiner personenbezogenen Daten einverstanden ist, oder

2.das Vorliegen eines sogenannten berechtigten Interesses.

Zu 1: Einholen einer Einwilligung

Wollen Sie sich vom Webseiten-Besucher eine Einwilligung geben lassen, sollten Sie einen Cookie-Banner auf Ihrer Webseite installieren, der die Einwilligung unbedingt mittels Opt-In einholt und nachweisbar dokumentiert.

Die Einwilligung sollte sich gemäß den Anforderungen der DSK auf jeden einzelnen Cookie beziehen, durch den personenbezogene Daten verarbeitet werden. Best Practice sieht also so aus, dass der Banner sämtliche Cookies aufführt, durch die personenbezogene Daten verarbeitet werden und der Webseiten-Besucher die Möglichkeit erhält, für jede einzelne Verarbeitung eine Einwilligung zu erteilen.

Nicht ausreichend sind demnach Banner mit solchem oder ähnlichen Texten: „Mit der Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir Cookies verwenden.“

Je nach technischen Voraussetzungen und Ausgestaltung der Webseite können unterschiedliche Cookie-Banner zum Einsatz kommen, die entweder gleich beim Besuch der Webseite oder erst bei bevorstehender Datenverarbeitung durch Inanspruchnahme eines konkreten auf der Webseite eingepflegten Dienstes (z.B. Google Maps auf der Kontaktseite, Social Media Buttons usw.) aufploppen. Welcher Banner für Ihre Webseite am besten geeignet ist, wird Ihnen Ihr Webseiten-Administrator sagen können.

Zu 2.: Datenverarbeitung ohne Einwilligung

Möglich ist auch, dass personenbezogene Daten der Webseitenbesucher verarbeitet werden dürfen, ohne dass hierzu eine Einwilligung des Besuchers eingeholt werden muss; ein Cookie-Banner ist dann für die konkrete Datenverarbeitung entbehrlich. Voraussetzung ist, dass ein sogenanntes berechtigtes Interesse des Webseitenbetreibers an der Verarbeitung der Daten besteht und dieses Interesse schwerer wiegt als die Interessen der betroffenen Person (Interessenabwägung).

Die DSK zählt hierzu einige Beispiele auf, wann u.U. ein berechtigtes Interesse eines Webseitenbetreibers vorliegt, z.B.:

Beispiele

  • Session-Cookies für die Warenkorbfunktion beim Online-Shop,
  • Maßnahmen zur IT-Sicherheit, z.B. Integrität und Sicherheit der Webseite; Erkennung und Abwehr     von Missbrauch; Betrugsprävention; Abwehr von den Dienst überlastenden Angriffen; Botnutzung
  • Optimierung und Personalisierung des Webangebots; Wiedererkennung und Merkmalszuordnung von Nutzern, z.B. bei werbefinanzierten Angeboten (gemäß Erwägungsgrund 47 DS-GVO)
  • Reichenweitenmessung und statistische Analysen
  • Freie Gestaltung der Webseite unter Effizienz- und Kosteneinsparerwägungen, z.B. Einbindung von Inhalten, die auf anderen Servern gehostet werden, Nutzung von Content Delivery Networks, Web Fonts, Kartendiensten, Social-Plaugins

Wichtig: Das berechtigte Interesse

Das Vorliegen eines berechtigten Interesses alleine bedeutet nicht automatisch, dass damit die Rechtsgrundlage „berechtigtes Interesse“ zur Datenverarbeitung vorliegt.

Bei der Interessenabwägung muss zusätzlich die Erforderlichkeit der Datenverarbeitung berücksichtigt werden. Erforderlichkeit bedeutet, dass die konkrete Datenverarbeitung zur Wahrung oder Erreichung des Interesses erforderlich, also zur Zweckerreichung geeignet ist und kein milderes Mittel, das denselben Zweck erfüllen würde, zur Verfügung steht. Die Erforderlichkeitsprüfung soll dafür sorgen, dass nur diejenigen personenbezogenen Daten erfasst werden, die für den konkreten Zweck notwendig sind und dass nur er (der Webseitenbetreiber) diese Daten nutzt und nicht etwa an Dritte (z.B. soziale Netzwerke oder externe Analysedienste) weitergibt oder Dritten Zugriff auf diese Daten gewährt. Bei der Erforderlichkeitsprüfung soll der Webseitenbetreiber auch in Betracht ziehen, ob eventuell mildere Mittel ausreichend sind, die denselben Zweck erfüllen. An dieser Stelle muss sich der Webseitenbetreiber beispielsweise fragen, ob die erfassten Daten überhaupt einen Personenbezug aufweisen müssen, oder ob auch anonymisierte Daten ausreichend sind.

Bei der Interessenabwägung sollten nach der DSK insbesondere auch die folgenden Umstände berücksichtigt werden:

Umstände

  • Vernünftige Erwartung der betroffenen Personen und Vorhersehbarkeit/Transparenz (z.B. transparente und leicht zugängliche Information zur konkreten Datenverarbeitung; keine Weitergabe der Daten an Dritte zu anderen oder zusätzlichen Zwecken)
  • Interventionsmöglichkeiten der betroffenen Personen (z.B. einfache Möglichkeit der Datenverarbeitung zu widersprechen)
  • Verkettung von Daten (z.B. ob die Daten mit weiteren Daten zusammengeführt und dadurch Profile erstellt werden oder sich bestimmte Rückschlüsse auf ein Verhalten ziehen lassen)
  • Dauer und Umfang der Datenverarbeitung (z.B. Speicherdauer der Daten; Verarbeitung zu mehreren Zwecken)
  • Kreis der Betroffenen und Art der Daten (zählen die Webseiten-Besucher bspw. zu einer besonders schutzwürdigen Personengruppe oder sind die erfassten Daten eventuell besondere Arten personenbezogener Daten, z.B. bei einer Webseite über Suchterkrankungen)

Kommen Sie zu dem Ergebnis, dass Cookies oder Tracking-Tools zwar personenbezogene Daten verarbeiten, die Datenverarbeitung aber auf Grundlage eines berechtigten Interesses stattfindet, brauchen Sie keine explizite Einwilligung der Webseiten-Besucher über einen Cookie-Banner einzuholen.

Zusammenfassung zur Cookie-Nutzung

Lassen Sie sich von Ihrem Webseiten-Administrator erläutern, ob und welche Cookies/Tracking-Tools im Hintergrund der Webseite arbeiten und ob und welche personenbezogenen Daten diese verarbeiten und zu welchem Zweck.

Prüfen Sie bei jedem Cookie/Tracking-Tool, ob es notwendig ist, dass hierdurch personenbezogene Daten verarbeitet werden müssen, oder ob es mildere Mittel gibt.

Prüfen Sie im Rahmen einer Interessenabwägung, ob Sie für die Datenverarbeitung explizite Einwilligungen der Webseiten-Besucher benötigen, oder ob ein berechtigtes Interesse besteht, so dass Einwilligungen obsolet sind.

Lassen Sie sich anhand der technischen Gegebenheiten der Webseite die unterschiedlichen Möglichkeiten zur Implementierung von Cookie-Banner von Ihrem Webseiten-Administrator aufzeigen und entscheiden sich für eine passende Variante.


Anmerkung

Die Stellungnahme der DSK (genauer Titel: „Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien“) beinhaltet weitere Erläuterungen sowie konkrete Beispiele für eine Interessenabwägung.

Auf der Seite der Datenschutzbehörde Baden-Württemberg finden Sie auch eine übersichtliche FAQ-Liste, die alles Wesentlich zum Thema beinhaltet. 

 

Markus Weuthen

Berater


Mehr zu Herrn Weuthen

Markus Weuthen
Weitere blogartikel

Kryptowährungen und Geldwäscheprävention

Google Consent Mode: Funktion und Auswirkungen auf den Datenschutz

E-Learning im Wandel der Zeit

{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}

Sie haben Beratungsbedarf oder wünschen ein Angebot zum Datenschutz?

Jetzt AnfrageN
>