Wie gestalte ich EUGH sichere Cookie-Banner?
Im Rahmen der Bloo:con Konferenz 2020 durften wir an einer ausführlichen Podiumsdiskussion zum Thema “Was darf 2020 noch getrackt werden?” teilhaben. Der Rechtsanwalt und Datenschutzexperte Martin Hahn von der ITB Rechtsanwaltsgesellschaft mbH ist dabei sehr ausführlich auf die Rechtslage beim Cookie Tracking eingegangen. Diese Informationen möchten wir gerne mit Ihnen teilen und Ihnen eine unverbindliche Handlungsempfehlung für die Erstellung von rechtssicheren Cookie-Bannern geben.
Die Rechtsgrundlage in Deutschland und Europa
Die Rechtslage für deutsche Unternehmer ist stark durch die europäische Gesetzgebung geprägt. Ein Umsetzung von Gesetzen und Urteilen auf europäischer Ebene in deutsches Gesetz steht noch aus. Bestehende deutsche Gesetze sind größtenteils so veraltet, dass sie auf die aktuelle technische und juristische Lage zum Thema Cookie Tracking kaum noch anwendbar sind.
Wir haben für Sie die wichtigsten Gesetze, Richtlinien und Urteile zusammengefasst, die beim Thema Cookies in Deutschland relevant sind.
Das deutsche Telemediengesetz (TMG)
- Ist 2007 in Kraft getreten.
- Wurde bis heute nicht an den technischen Stand oder die neue Gesetzgebung bezüglich der Verwendung von Cookies angepasst.
- Gilt für alle elektronischen Informations- und Kommunikationsdienste außer Telekommunikation.
→ Voraussetzung für die Verwendung von Cookies:
“Für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien dürfen pseudonymisierte Nutzungsprofile erstellt werden, sofern der Nutzer nicht widerspricht.”
Datenschutzrichtlinie für elektronische Kommunikation in Europa (ePrivacy-Richtlinie)
- Ist ausschlaggebend für die erstmalige Verarbeitung personenbezogener Daten im Bereich der elektronischen Kommunikation in der EU.
- Wurde 2009 das letzte mal aktualisiert: “Cookie-Richtlinie” (Richtlinie 2009/136/EG).
→ Voraussetzung für die Verwendung von Cookies:
- Der Nutzer muss aktiv die Einwilligung für die Datensammlung geben.
- Keine Einwilligung für technisch zwingend notwendige Dienste.
Datenschutz-Grundverordnung DSGVO (Deutschland)
- Ist 2018 in Kraft getreten.
- Regelt die Verarbeitung von allen personenbezogenen Daten on- und offline.
- Beinhaltet keine besonderen Pflichten zusätzlich zur ePrivacy-Richtlinie.
- Keine besonderen Regelungen für elektronische Kommunikation oder Cookies.
→ Voraussetzung für die Verwendung von Cookies:
- Es muss ein berechtigtes Interesse an der Datensammlung existieren.
- Der Nutzer muss die Einwilligung für die Datensammlung geben.
EUGH Urteil vom 1.10.2019 (Europa)
Der Rechtsspruch beantwortet die Frage: “Wie muss die Zustimmung zur Speicherung von Tracking-Cookies gestaltet werden, um wirksam zu sein?”
- Eine Opt-Out-Möglichkeit ist nicht ausreichend um Nutzerdaten zu speichern.
- Cookies setzen eine vorherige Einwilligung voraus. Und zwar unabhängig davon, ob es um personenbezogene Daten geht.
- Die Nutzer müssen die Funktionsweise der Cookies verstehen können (Informationen zur Funktionsdauer und einem möglichen Zugriff durch Dritte sind erforderlich).
Wie muss nun ein rechtssicheres Cookie-Banner gestaltet werden?
Die Antwort auf diese Frage ist aktuell leider nicht absolut eindeutig zu beantworten. Die Gründe dafür sind die nicht eindeutigen Formulierungen im EUGH Urteil und das Fehlen zeitgemäßer deutscher Gesetzgebung. Wir beschreiben für Sie an dieser Stelle die aktuell wichtigsten Anforderungen an ein rechtssicheres Cookie Banner. Wenn Sie diese berücksichtigen, sind sie mit größter Wahrscheinlichkeit auf der sicheren Seite.
Die Einwilligung des Nutzers geschieht:
- freiwillig, informiert, konkret und durch eine eindeutige bestätigende Handlung.
- bevor die Cookies gesetzt werden.
- nicht wenn der Nutzer das Cookie Banner ignoriert und keine aktive Einwilligung erteilt wird.
- mit der ständigen Möglichkeit zum Widerruf der Einwilligung.
- zusammen mit einer Protokollierung.
- während der Zugriff auf Impressum und Datenschutzerklärung weiterhin möglich ist.
- ohne Zwang und die Webseite kann daher auch ohne Einwilligung genutzt werden.
- unter vollster Kontrolle. Der Nutzer muss entscheiden können, welche Dienste Daten speichern dürfen.
Es ist aktuell nur eine Frage der Zeit bis konkrete und verbindliche Regulationen auch in deutsches Recht übersetzt werden. Die Änderung des Telemediengesetzes war bereits für Ende 2019 angekündigt, ist aber bis heute (Stand März 2020) nicht erfolgt.
Die Empfehlung von Rechtsanwalt und Datenschutzexperte Martin Hahn lautet, trotz unklarer Rechtslage, das EuGH-Urteil bereits jetzt umzusetzen und aktiv die Einwilligung des Nutzers einholen. Nur so lassen sich Abmahnungen sicher vermeiden.
Das technische Umfeld von Cookies verändert sich ebenfalls
Google hat seinerseits im letzten Chrome Update den Umgang mit Drittanbieter-Cookies begrenzt. Andere Browser, wie etwa Mozilla Firefox, haben dies schon vor einiger Zeit getan. Außerdem hat Google angekündigt, innerhalb der nächsten 2 Jahre die Verwendung von Cookies allgemein stärker zu begrenzen.
Das heißt die Gesetzeslage wird sich ändern – das technische Umfeld allerdings ebenfalls. Möglicherweise verlieren Cookies bald insgesamt an Bedeutung und Webseitenbetreiber müssen sich nach anderen Datenquellen für die Optimierung ihrer Dienste umsehen.
