Die DSGVO (EU-Datenschutzgrundverordnung) enthält keine ausdrücklichen Regelungen zum Einsatz von Cookies auf Websites und die ePrivacy-Verordnung, die unter anderem den Umgang mit Cookies regeln soll, wird erst noch erscheinen.
Vor der DSGVO galt in Deutschland die sogenannte Widerspruchslösung nach § 15 III TMG. Danach waren Cookies regelmäßig zulässig, bis die betroffene Person diesen widersprochen hat.
Nach der DSGVO benötigt man für die Verarbeitung von personenbezogenen Daten, wozu in der Regel auch Cookies gehören, immer eine Rechtsgrundlage. Funktioniert eine Website nicht ohne bestimmte Cookies, so sind diese durch Art. 6 Abs. 1 S. 1 lit. f DSGVO gedeckt, da dann den berechtigten Interessen des Unternehmers keine dem entgegenstehenden überragenden Interessen des Verbrauchers gegenüberstehen. Soweit aber ein Cookie genutzt wird, um darüber hinaus z.B. das Marketing zu unterstützen oder im „schlimmsten Fall“ den Nutzer auch zukünftig wieder zu identifizieren, dann ist eine ausdrückliche Einwilligung erforderlich, denn hieran hat sicherlich der Unternehmen weiterhin ein berechtigtes Interesse, aber der Verbraucher hat grundsätzlich ein schützenswertes Interesse nicht von dem Unternehmer bei seinen weiteren Aktivitäten außerhalb der Website des Unternehmers „verfolgt“ zu werden.
Wie bekommt man nun eine Einwilligung?
Eine Einwilligung setzt eine eindeutig bestätigende Handlung voraus. Dadurch muss freiwillig, unmissverständlich und in informierter Weise für den konkreten Fall erklärt werden, dass die betroffene Person mit der Verarbeitung ihrer Daten einverstanden ist. Das bedeutet, Sie müssen den Betroffenen belehren, was für Cookies wozu gesetzt werden sollen und wie lange diese auf dem Computer gespeichert werden sollen.
Ein Banner, das bei Betreten der Seite erscheint und lediglich einen Hinweis „Diese Website verwendet Cookies, um bestimmte Funktionen zu ermöglichen und das Angebot zu verbessern. Indem Sie fortfahren stimmen Sie der Nutzung zu“, bei dem der Nutzer nur auf einverstanden bzw. okay klicken kann, genügt dem Informationsanspruch nicht, da dieses lediglich allgemeine Informationen enthält und nicht darüber belehrt, welche Cookies wozu und wie lange gespeichert werden sollen. Dieser Hinweis wäre somit lediglich bei den technisch notwendigen Cookies ausreichend, denn dort besteht lediglich eine Informationspflicht. Ob hierfür aber der Text dann nicht sogar irreführend wäre, sei einmal dahingestellt.
Dennoch hat sich diese Art von Bannern merkwürdigerweise durchgesetzt. Man sollte sich jedoch bewusst sein, dass ein solches Banner nicht die rechtlichen Anforderungen an eine Einwilligung erfüllt.
Außerdem sollte unbedingt beachtet werden, dass ein Cookie-Banner stets so platziert sein muss, dass es keine Informationen, die dem Nutzer zwingend zur Verfügung zu stellen sind, wie Impressum oder Datenschutzerklärung, verdeckt.
Wie können Sie es richtig machen?
Ihr Cookie-Banner können Sie wie folgt formulieren:
Wir verwenden auf unserer Seite Cookies, welche Ihr Nutzungsverhalten analysieren. Dadurch können wir das Angebot auf unserer Website für Sie bedarfsgerecht gestalten und verbessern und Ihnen auch darüber hinaus für Sie passende Marketingangebote im Internet anzeigen. Eingebundene Dritte führen diese Informationen ggf. mit weiteren Daten zusammen. Hinweise zu unserem Datenschutz finden sie hier [Hyperlink].
Ich bin mit der Verarbeitung meiner Daten einverstanden. [ x ]
Technisch sollte dies so umgesetzt werden, dass die Verarbeitung erst anfängt, sobald der Nutzer sein Einverständnis dazu erteilt hat. Hat er sein Einverständnis nicht erteilt, sollte ein solches Cookie auch nicht gesetzt werden.
Das vorstehende gilt übrigens auch dann, wenn Sie statt eines Cookies z.B. ein Facebook-Pixel o.ä. setzen, um den Nutzer in Ihren „Funnel“ aufzunehmen.
ACHTUNG – der EuGH hat die hier von mir geäußerte strenge Betrachtungsweise mit Urteil vom 1.10.2019 bestätigt. Das Urteil, welches nun vorschreibt, dass jedes Cookies, welches nicht zwingend zum Betrieb der Website erforderlich ist, nur mit ausdrücklicher Einwilligung zulässig ist, finden Sie unter https://dsgvo-anwalt.eu/cookie-urteil-eugh/