Das Wichtigste in Kürze: Cookie Consent
„Consent“ bedeutet Zustimmung zu etwas. In diesem Fall handelt es sich um die Einwilligung für die Nutzung persönlicher Daten beim Besuch von Webseiten. Um diese legal mittels Cookie-Dateien und Trackern verarbeiten zu können, müssen Webseiten- oder App-Betreiber die Zustimmung der Nutzer einholen. Dieser Hinweis wird als „Cookie Consent“ bezeichnet. Mehr dazu erfahren Sie hier.
Sofern personenbezogene Daten erhoben und genutzt werden, müssen Webseitenbetreiber einen Consent Banner für Cookies schalten. Cookies sind solange zu blockieren, bis der Nutzer eine klare Zustimmung zur Aktivierung gibt. Ausgenommen sind technisch notwendige Cookies, die zum Betrieb der Seite unerlässlich sind.
DSGVO-konform wird der Cookie Consent erteilt, wenn Nutzer Cookies auswählen und einzeln aktivieren oder deaktivieren können. Erfolgt ein solches Einholen nicht und werden Daten ohne Zustimmung des Nutzers verwendet, drohen neben einer Abmahnung auch hohe Bußgelder. Wie hoch diese ausfallen können und welche Urteile diesbezüglich von Bedeutung sind, lesen Sie hier.
Cookie Consent als Pflicht: Was gilt in Deutschland?
Inhaltsverzeichnis
Bei Cookies handelt es sich um Textdateien, welche die Aktionen und das Verhalten von Benutzern auf einer Webseite erfassen. Diese werden auf dem Gerät des Benutzers gespeichert und beim erneuten Aufruf der Seite abgerufen. Cookies ermöglichen es dadurch, das Nutzerverhalten nachzuvollziehen, Aktionen im Internet zu erleichtern und können so das Surferlebnis verbessern.
Zu den über Cookies gespeicherten Daten können auch personenbezogene Informationen wie IP-Adressen oder andere Abgaben, die Rückschlüsse auf den jeweiligen Nutzer geben, gehören. Durch Weitergabe dieser an andere Anbieter oder Webseiten ist beispielsweise das Schalten personalisierter Werbung möglich. Um diese Informationen nutzen zu dürfen, muss die Einwilligung des Nutzers eingeholt werden. Diese Zustimmung wird im Allgemeinen als Cookie Consent bezeichnet. Denn Consent heißt übersetzt eben Einwilligung oder Zustimmung.
Wann muss der Cookie Consent als Banner oder Pop-Up vorhanden sein?
Die rechtliche Grundlage für den notwendigen Cookie Consent bildet die Datenschutz-Grundverordnung (DSGVO). In Artikel 6 ist Folgendes definiert:
Die Verarbeitung ist nur rechtmäßig, wenn […] :
Die betroffene Person […] ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben [hat];
Die Einwilligung muss so formuliert sein, dass Nutzer eine informierte Entscheidung treffen können.
Zudem ist im benannten Artikel auch bestimmt, wann keine Zustimmung erfolgen muss, aber die Verarbeitung der Daten dennoch zulässig ist. Das ist unter anderem der Fall, wenn:
- diese für die Erfüllung eines Vertrages oder
- von rechtlichen Pflichten notwendig ist,
- dies zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erfolgt,
- die Verarbeitung im öffentlichen Interesse liegt oder
- zur Wahrung eines berechtigen Interesses eines Verantwortlichen oder eines Dritten erfolgt (sofern hiervon keine Grundrechte oder Grundfreiheiten überwiegen).
Beispiele für notwendige und nicht notwendige Cookies
Grundsätzlich gilt, dass alle Cookies, die aus wirtschaftlichen Gründen genutzt werden und die oben genannten Anforderungen nicht erfüllen, nicht notwendig sind und einen Cookie Consent verlangen. Sind Cookies technisch für den Betrieb der Webseite und deren Funktionen erforderlich, sind sie von den Consent-Regelungen der DSGVO ausgenommen.
Cookie Consent ist beispielweise bei folgenden Cookies in der Regel immer verpflichtend einzuholen:
- bei Trackingtools
- bei Analysetools
- Marketing- oder Affiliate-Diensten
- Social Media Plugins
- Video-Einbettungen
- Kartendienste mit Standortbestimmung bzw. Geotagging
Werden also die Informationen der Cookies wie IP-Adresse oder Standort gezielt verwendet, um Werbung zu platzieren, handelt es sich in der Regel um nicht notwendige Cookies. Sind gespeicherte Informationen jedoch dazu gedacht, die Webseite auf dem Gerät oder im Browser richtig anzeigen zu können, sind dies technisch notwendige Cookies. Gleiches gilt beispielsweise auch, wenn der Warenkorb im Online-Shop gespeichert wird. Ein solcher Cookie benötigt keinen Consent und kann auch ohne Zustimmung des Nutzers die notwendigen Daten verarbeiten.
Ebenfalls keinen Cookie Consent nach DSGVO benötigen Cookies, die nur dazu dienen, Nachrichten über ein öffentliches Telekommunikationsnetz zu übertragen.
Consent Banner für Cookies: Was muss enthalten sein?
Ein einfacher Hinweis auf die Nutzung von Cookies ist seit 2018 nicht mehr ausreichend. Nutzer müssen über den Zweck und die Art der Cookies sowie über die Speicherdauer der Daten informierten werden. Zudem muss im Banner eine Möglichkeit vorhanden sein, Cookies einzeln anzunehmen oder abzulehnen. Wichtig ist, dass die Einwilligung des Nutzers vor jeder Aktivierung von Cookies eingeholt wird. Eine erzwungene Zustimmung ist nicht zulässig und die Rücknahme oder Änderung der Zustimmung muss leicht möglich sein.
Neben dem Banner oder Pop-Up sind Informationen zum Cookie Consent in der Datenschutzerklärung der jeweiligen Webseite oder Anwendung ebenfalls festzuhalten. Zudem sollte auf deutschen Webseiten der Cookie Consent auf Deutsch eingeholt bzw. die Informationen auf Deutsch vorhanden sein.
Cookie Consent Management Tools können helfen
Sind Webseitenbetreiber nicht sicher, für welche Cookies Consent einzuholen ist, sollten sie sich unbedingt von einem Datenschutzexperten beraten lassen. Meist kann die Gestaltung der Banner für einen Cookie per Consent-Management-Tool erfolgen. So lassen sich die Einblendungen, Inhalte und Funktionen der Consent Banner in der Regel gut steuern.
Je nachdem, welche Cookies verwendet werden und welche Informationen im Consent Banner enthalten sein sollen, können verschiedene Management-Tools eine Option darstellen. Nachfolgend finden Sie einige der gängigsten Cookie Consent Tools im Überblick:
- GDPR Cookie Consent (WordPress Plugin)
- Cookie Consent Manager
- Consent Management Provider
- Borlabs Cookie
- Onetrust
- Usercentrics / Cookiebot
EuGH zum Cookie Consent
Seit dem Inkrafttreten der DSGVO gibt es immer wieder Urteile, die sich mit dem Cookie Consent und der Gestaltung der Zustimmung befassen. Mit einem Urteil vom 01.01.2019 hat der Europäische Gerichtshof (EuGH) deutlich klargestellt, dass ein Cookie Consent nur dann vorliegt, wenn die Einwilligung explizit und aktiv durch den Nutzer erteilt wird (EuGH, 01.01.2019, Az.: C-673/17).
Dies geschieht durch das Setzen von Haken oder das Klicken von entsprechenden Buttons, die gut sichtbar im Cookie Consent Banner vorhanden sein müssen. Gemäß diesem Urteil ist also eine generelle Zustimmung ohne aktives Handeln nicht vorhanden und auch nicht zulässig.
Der Bundesgerichtshof (BGH) hat das Urteil im Mai 2020 seinerseits für Deutschland bestätigt und folgt somit dieser Rechtsprechung (BGH, 28.05.2020. Az.: I ZR 7/16). Das Missachten der DSGVO und der gängigen Rechtsprechung bezüglich personenbezogener Daten bei Cookies kann durchaus recht teure Folgen haben. Wird ein Cookie Consent nicht eingeholt oder ist das entsprechende Banner nicht DSGVO-konform, droht eine Abmahnung.
Des Weiteren sind Bußgelder von bis zu 20 Millionen Euro möglich. Die rechtliche Grundlage hierfür bildet Artikel 83 DSGVO, indem es wie folgt heißt:
(4) Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbußen von bis zu 10 000 000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt […]
(5) Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt […]
Auch das seit 2021 gültige neue Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) sieht zusätzlich Bußgelder von bis zu 30.000 Euro vor, wenn der Cookie Consent bzw. der Cookie Banner fehlerhaft ist.
danke für die Infos
dann ist folgende Website eigentlich abzustrafen?:
[von Redaktion entfernt]
wo meldet man derartige Verstöße?