Datenschutzkonferenz macht strenge Vorgaben zu Tracking-Cookies

Auf welche Weise sind Website-Besucher über verwendete Cookies zu informieren und wie sind welche nötige Einwilligungen einzuholen? Eigentlich sollte hierzu die ePrivacy-Verordnung längst verbindliche Regelungen bringen, doch die wird wohl noch auf sich warten lassen. Die Datenschutzkonferenz hat jetzt in einer Orientierungshilfe ihre Sichtweise bekräftigt, nach der recht strenge Vorgaben bei der Verwendung von Tracking-Cookies zu erfüllen sind.

Cookies gehören schon seit langem zu den elementaren Techniken auf Webseiten.

Funktionsweise der Cookies 

Bei diesen Daten-Keksen handelt es sich üblicherweise um kleine Textdateien, die auf den Rechnern der Website-Besucher abgelegt werden und die etwa für grundlegende Funktionen der Web-Angebote notwendig sind.

  • So lassen sich hierüber etwa individuelle Anpassungen an den Web-Seiten wie beispielsweise Spracheinstellungen oder eine spezielle Auswahl von Inhalten realisieren,
  • sodass der Nutzer diese nicht bei jedem Besuch neu auswählen muss.
  • Auch die virtuellen Warenkörbe in vielen Online-Shops nutzen beispielsweise derartige Cookies.

Cookies, die solche Grundfunktionen bereitstellen sind auch aus Datenschutzsicht eher unproblematisch und für deren Einsatz muss daher keine explizite Zustimmung eingeholt werden.

Was ist die Funktion von Tracking-Cookies

Anders sieht es dagegen mit solchen Cookies aus, mit denen Web-Surfer über die Grenzen einer Website hinaus identifiziert werden können.

  • Dazu werden diese Tracking-Cookies nicht von den jeweiligen Websites direkt gesetzt, sondern sie kommen von Anbietern, die meiste Werbenetzwerke betreiben.
  • Über solche Tracking-Cookies können diese Werbenetzwerke genaue Profile der jeweiligen Nutzer erstellen,
  • um diese mit personalisierter Werbung zu beliefern.

Für Werbetreibende sind diese Informationen von hohem Wert, können sie ihre Botschaften hierüber doch zielgenau an ihre potentielle Kundschaft bringen und  die sonst üblichen hohen Streuverluste vermeiden.

Welche Nutzer-Infos werden über Tracking-Cookies gesammelt? 

Tracking-Cookies sammeln so einiges an Nutzerdaten ein, oft ohne dass dies dem Surfenden oft klar ist.

  • So können Tracking-Cookies zahlreiche Informationen enthalten,
  • mit denen die Surfer identifiziert werden können,
  • wozu neben der E-Mail-Adressen, auch Klarnamen gehören.

Auch die IP-Adresse des Nutzers, die zu den personenbezogenen Daten gezählt wird, wird bei den meisten dieser Tracking-Cookies erfasst.

DSGVO und Tracking-Cookies: Einwilliguung ist erforderlich

Sofern solche Cookies verwendet werden, mit denen Nutzer identifiziert werden können,

  • handelt es sich nach den Vorgaben der Datenschutzgrundverordnung in Art. 4 DSGVO um personenbezogene Daten
  • und demgemäß gelten hier daher auch die entsprechenden Datenschutzvorgaben.

Nach Art. 6 DSGVO ist die Verarbeitung personenbezogener Daten somit nur erlaubt, wenn entweder eine Einwilligung der Website-Besucher eingeholt wird, oder sich die Website-Betreiber auf berechtigte Interessen berufen können.

Gilt Onlinemarketing als berechtigtes Interesse, dass eine Einwilligung entbehrlich macht?

Als ein solches, die Einwilligung ersetzendes berechtigtes Interesse wurde unter anderem auch die Möglichkeit zum Direktmarketing betrachtet, weshalb viele Website-Betreiber bislang davon ausgingen, dass etwa für Tracking-Cookies von Website-Analysediensten wie Google Analytics keine explizite Einwilligung der Besucher einzuholen sei. Doch dieser Standpunkt wird auf Dauer wohl nicht zu halten sein.

Position der Datenschutzkonferenz zur Einwilligungspflicht für Tracking-Cookies

Schon im letzten Jahr hatte die Datenschutzkonferenz mit einem Positionspapier  jedoch für einiges Aufsehen gesorgt. Dieses Gremium, das sich aus den Datenschutzbeauftragten der 16 Bundesländer und dem Bundesdatenschutzbeauftragten zusammensetzt, erwartet demnach, dass bei der Nutzung von Tracking-Mechanismen in jedem Fall eine vorherige, informierte Einwilligung der Website-Besucher eingeholt wird. Lediglich solche Cookies, die für die Funktionalität der Website unbedingt erforderlich sind, seien von dieser Einwilligungspflicht ausgenommen.

Vor wenigen Wochen veröffentlichte die DSK nun zusätzlich eine Orientierungshilfe für Anbieter von Telemedien, in der diese Auffassung noch einmal bestätigt und näher erläutert wird. Demnach bleibt es bei der Pflicht zur Einholung der informierten Einwilligung für Tracking-Cookies.

Hohe Anforderungen an Umsetzung der Cookie-Hinweise

Damit eine informierte Einwilligung erfolgt, reichen nach Ansicht der DSK einfache Einblendungen mit entsprechenden Hinweisen nicht aus. In jedem Fall muss der Besucher tatsächlich eine Wahl haben, ob der die Nutzung dieser Cookies bzw. Tracking-Instrumente zulassen will oder nicht. Dazu gehört auch, dass er die Verwendung von Cookies, die nicht zwingend für die Website notwendig sind, gezielt deaktivieren kann.

  • Als nicht geeignet bzw. unwirksam werden daher solche Cookie-Hinweise eingestuft, bei denen der Zugang zur eigentlichen Webseite zunächst über ein großes Browser-Fenster blockiert wird, das lediglich ein pauschales Akzeptieren aller Cookies durch Anklicken eines Buttons ermöglicht.
  • Eine solche Einwilligung werde nicht freiwillig erteilt und sei daher unwirksam, begründen die Datenschützer ihre Auffassung.
  • Als nicht ausreichend stuft die DSK auch einfache bzw. pauschale Formulierungen in Cookie-Hinweistexten ein. Der Hinweis, dass der Nutzer sich durch den Zugriff auf die Webseiten mit dem Setzen von Cookies einverstanden erklärt, erfüllt daher ebenfalls nicht den Anforderungen, die immer ausreichende Erklärungen zu den Cookies und eindeutige, bestätigende Handlungen wie etwa das Anklicken eines Kästchens voraussetzen.

Was erfüllt bezüglich der Tracking-Cookies die DSGVO-Voraussetzung?

Um die ausführlicheren Erläuterungen zu den Cookies nicht gleich auf der Startseite des Internetangebots geben zu müssen, kann dort auch ein Link zur Datenschutzerklärung oder einer separaten Cookie-Policy eingefügt werden, wo diese ausführlichen Informationen dann zu finden sein müssen.

  • Werden auf den Webseiten mehrere Tracking-Cookies eingesetzt, müssen diese einzeln aufgelistet und entsprechende Informationen (z.B. die jeweiligen Betreiber und Funktionen) darüber gegeben werden. Zudem muss es den Nutzern möglich sein, bei jedem dieser Cookies einzeln zuzustimmen oder eben ihre Zustimmung zu verweigern. Erst nach der Zustimmung dürfen die Cookies gesetzt werden und die Datenverarbeitung somit erfolgen.
  • Um zu verhindern, dass Nutzer bei jedem Aufruf der Website diese Entscheidung erneut treffen müssen, kann das Ergebnis dieser Cookie-Abfrage auf dem Endgerät des Nutzers gespeichert werden. Allerdings darf dazu keine User-ID verwendet werden, durch die der Nutzer eindeutig identifizierbar ist.

Die Einwilligung zur Nutzung von Tracking-Cookies kann jederzeit widerrufen werden. Die Website-Betreiber müssen daher in jedem Fall zusätzlich auch eine solche Widerrufsmöglichkeit implementieren. Der Widerruf muss dabei ebenso einfach durchzuführen sein wie die Zustimmung.

Kaum eine Website erfüllt die DSK-Anforderungen zu Tracking-Cookies

Angesichts der Komplexität der Vorgaben zu den Cookie-Hinweisen und Zustimmungsmöglichkeiten verwundert es nicht, dass bislang kaum eine Website allen diesen Anforderungen, wie sie die DSK formuliert, in vollem Umfang entspricht.

Anfang 2019 hatte die bayerische Datenschutzbehörde beispielsweise 40 große Websites auf diesen Aspekt hin untersucht und kein einziges dieser Angebote erfüllte diese Anforderungen vollständig.

Wenngleich mit dem Positionspapier und der Orientierungshilfe die Auffassung der Datenschutzbehörde deutlich geworden ist und damit auch vorgegeben ist, wie diese Behörden die aktuelle Rechtslage interpretieren, handelt es sich nicht um rechtlich bindende Vorgaben.

Mehr Rechtssicherheit wird es erst mit der lang angekündigten europäischen ePrivacy-Verordnung geben, die ursprünglich zusammen mit der DSGVO in Kraft treten sollte →Europäischer Datenschutzausschuss macht Druck bei E-Privacy-Verordnung.

Momentan ist jedoch immer noch nicht abzusehen, wann diese Verordnung nun verabschiedet und in Kraft treten kann. Selbst wenn dies schon im nächsten Jahr geschieht, wird es danach noch die obligatorische zweijährige Übergangsfrist geben, sodass man frühestens 2022 mit einer eindeutigen Regelung rechnen kann.

Weitere News zum Thema:

Geplante e-Privacy-Verordnung - Auswirkungen für Unternehmen

Einsatz des Marketing-Werkzeugs Facebook Custom Audience setzt Einwilligung voraus

Datenschutzbehörde beanstandet bei 40 Unternehmen Einsatz von Marketing-Tool

Hintergrund:

Die Datenschutzkonferenz (DSK) ist eine feste Institution, bestehend aus dem Bundesdatenschutzbeauftragten, den Landesdatenschutzbeauftragten der Bundesländer und dem Präsidenten des Bayerischen Landesamtes für Datenschutzaufsicht. Sie hat die Aufgaben,

  • die Datenschutzgrundrechte zu wahren,
  • eine einheitliche Anwendung des europäischen und nationalen Datenschutzrechts zu erreichen
  • und gemeinsam für seine Fortentwicklung einzutreten.