Das Wichtigste zur DSGVO und Cookies in Kürze
Kommt es bei ihrer Nutzung zur Verarbeitung personenbezogener Daten, sind Cookies durch die Datenschutz-Grundverordnung nur unter bestimmten Bedingungen erlaubt. Gemäß der DSGVO darf eine Website Cookies, die technisch nicht notwendig sind, erst dann einsetzen, wenn der Nutzer hierin eingewilligt hat.
Grundsätzlich muss auf alle Cookies hingewiesen werden, die technisch nicht notwendig sind, um den Betrieb einer Seite zu gewährleisten. Ein bloßer Hinweis auf deren Verwendung ist nicht ausreichend, denn der Nutzer muss ihrer Verwendung zunächst ausdrücklich zustimmen. Wie Cookie-Einstellungen DSGVO-gerecht gestaltet werden können, wird an dieser Stelle genauer erklärt.
Es bedarf keiner Zustimmung zu Cookies, die technisch notwendig sind, um die Grundfunktionen einer Seite bereitstellen zu können. Ein DSGVO-konformes Cookie-Consent-Tool oder ein Cookie-Banner muss dem Nutzer aber die Möglichkeit bieten, zwischen notwendigen und nicht-notwendigen Cookies auszuwählen.
Warum müssen Cookies DSGVO-konform eingesetzt werden?
Inhaltsverzeichnis
Die DSGVO bezieht sich auf den Umgang mit personenbezogenen Daten. Cookies dienen vor allem dem Zweck, das Verhalten einzelner Besucher einer Website zu analysieren. Dementsprechend bezieht sich die DSGVO auch auf Cookies, beziehungsweise eine bestimmte Form der Cookie-Nutzung, obwohl Cookies in keinem ihrer Artikel explizit Erwähnung finden: Sie greift in dem Moment, in dem Cookies personenbezogene Daten verarbeiten könnten.
Allgemein gilt demnach eine Einwilligungspflicht nach Art. 6 Abs. 1a) der DSGVO, auch für Cookies. Die betroffene Person muss „ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben“ haben.
Webseiten-Betreiber, die einen Cookie Consent Manager DSGVO-konform auf ihrer Seite nutzen möchten, sollten folgende Punkte beachten:
- Art. 4 Nr. 11 DSGVO: Es muss sich um eine freiwillige, für den bestimmten Zweck, informierte und unmissverständliche Willensbekundung zur Verarbeitung ihrer Daten handeln.
- Art. 4 Nr. 11 DSGVO: Diese Willensbekundung, zum Beispiel das Einverständnis zur Nutzung der Cookies, ist in Form einer Erklärung oder eindeutig bestätigenden Handlung einzuholen.
- Art. 7 Nr. 1 DSGVO: Der Verantwortliche muss nachweisen können, dass die betroffene Person der Datenverarbeitung zugestimmt hat.
- Art. 7 Nr. 3 DSGVO: Die betroffene Person muss ihre Einwilligung zur Datenverarbeitung jederzeit widerrufen können.
- In Erwägungsgrund 32 der DSGVO heißt es: „Die Einwilligung sollte durch eine eindeutige bestätigende Handlung erfolgen […].“ Darunter sei unter anderem das Anklicken eines Kästchens zu verstehen, nicht aber Untätigkeit oder Stillschweigen.
Diese Regelungen schließen sogenannte Cookie-Opt-out-Verfahren beim erstmaligen Besuch einer Website aus. In einem solchen Verfahren wäre auf dem Cookie-Banner bereits eine veränderbare Vorauswahl zur Cookie-Nutzung getroffen. Stattdessen bedarf es einer Cookie-Opt-in-Lösung: Die betroffene Person stimmt der Datenverarbeitung durch Cookies dabei aktiv zu, wobei sie im gleichen Zuge über die Art und Weise der Cookie-Nutzung zu informieren ist.
Auch in der Datenschutzerklärung einer Webseite sollten die eingesetzten Cookies aufgeführt und erläutert werden.
Welches Cookie bedarf einer Einwilligung nach der DSGVO?
Es gibt verschiedene Arten von Cookies, deren Funktionen sich voneinander unterscheiden lassen. Für einige davon sieht die DSGVO keine Einwilligungspflicht vor. Der erste Bereich sind die First-Party-Cookies, also Cookies vom Betreiber der Website. Diese lassen sich in technisch notwendige und technisch nicht notwendige Cookies unterteilen. Technisch notwendige Cookies sind unabdingbar, um essenzielle Websitefunktionen, etwa die Anzeige eines Warenkorbs, zu gewährleisten.
Technisch notwendige/funktionale Cookies sind DSGVO-konforme Cookies, auch wenn der Nutzer ihrem Einsatz nicht ausdrücklich zugestimmt hat.
Es bedarf keiner Einwilligung zur Cookie-Nutzung, wenn:
- die technisch notwendigen Cookies erforderlich sind, um vorvertragliche oder vertragliche Maßnahmen auf Anfrage der betroffenen Person durchführen zu können.
- die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist.
Als ein Beispiel wären hier Cookies zu nennen, die technisch notwendig sind, um einen Bestellprozess in einem Online-Shop reibungslos durchführen zu können. Wenn ein Besucher der Seite Waren zum Warenkorb hinzufügt, handelt es sich schließlich um eine vorvertragliche Maßnahme. Es liegt darüber hinaus ein berechtigtes Interesse des Website-Betreibers vor, da dieser ohne derartige Cookies, keinen funktionierenden Online-Shop betreiben könnte.
Auch zu Session-Cookies, die nicht zur Identifikation eines Nutzers dienen, muss keine Zustimmung gegeben werden. Sie sind zum Beispiel notwendig, um dem Nutzer eine Sitzung auf der Website zuzuordnen. Öffnet dieser ein neues Fenster, bleibt zum Beispiel die Produktauswahl in seinem Warenkorb erhalten. Ein solches Session-Cookie mit begrenzter Laufzeit ist DSGVO-konform, auch ohne Einwilligung.
Die DSGVO sieht für Cookies grundsätzlich eine Einwilligungspflicht vor, wenn diese technisch nicht notwendig sind. Die ausdrückliche, aktive Zustimmung des Nutzers ist einzuholen. Das gilt zum Beispiel für Tracking Cookies. Gleiches gilt für die Third-Party-Cookies. Diese Cookies liefern Drittanbietern Informationen zum Nutzerverhalten und sind ebenfalls einwilligungspflichtig.
Beim Begriff des berechtigten Interesses ist Vorsicht geboten: Cookies, die zum Beispiel lediglich Marketingzwecken dienen, stellen meist kein berechtigtes Interesse nach Art. 6 Abs. 1 f) der DSGVO dar, weil sie zum Betrieb und der Nutzung der Website technisch nicht notwendig sind.
Schreibe einen Kommentar