Cookies und der Datenschutz

Webmaster Apr. 13, 2020

Viel Unsicherheit gab es in letzter Zeit bei der datenschutzrechtlich korrekten Einbindung von Cookies auf Webseiten.

Ist ein Cookie Pop-up wirklich notwendig? Wenn ja, wie macht man es richtig?

Wichtig: Oft werden im Internet andere Rechtsansichten vertreten, die "lockerer" sind, als die hier beschriebenen. Ich habe mich für die sicherste Variante entschieden, sowohl für Webseitenbetreiber als auch deren Besucher.

EU Normen

flaggen_europa

Bild von rawpixel.com / Freepik

Um Cookies richtig einzubinden, muss man einerseits die Datenschutz-Grundverordnung (DSGVO)[1] beachten, andererseits aber auch die etwas veraltete ePrivacy-Richtlinie (ePR)[2] aus dem Jahr 2002. Letztere wird leider oft übersehen.
Eigentlich hätte die erneuerte ePR gemeinsam mit der DSGVO in Kraft treten sollen, doch dazu ist es nicht gekommen. Laut Fahrplan soll sie dieses Jahr (2020) fertig werden, als Newsletter Abonnent, wirst du darüber informiert.

Das Problem ist, dass die neue ePR den Einsatz von Cookies genauer definieren soll. Bis dahin müssen wir mit Rechtsunsicherheiten und der Judikatur des EuGH leben.

Wichtigstes EuGH Urteil ist das „Planet49“ Urteil von 01.10.2019, welches die deutsche Datenschutzbehörde gegen einen deutschen Webseitenbetreiber eingeleitet hat.[3]
Der EuGH kam zu dem Schluss, dass sich Webseitenbetreiber, die Cookies einfach anlegen und der Benutzer sich dann erst aktiv dagegen aussprechen muss ("Opt-out"), strafbar machen. Daher ist ein "Opt-in" System verpflichtend: Cookies dürfen so lange nicht beim Webseitenbesucher angelegt werden, bis dieser eingewilligt hat.

Als Ausnahme werden "notwendige" Cookies gesehen, ohne denen eine Seite nicht vernünftig funktionieren kann (beispielsweise Session-Cookies).

Die Lage in Österreich

flaggen_oesterreich

Bild von rawpixel.com / Freepik

Die ePrivacy-Richtlinie wurde von jedem Land etwas anders umgesetzt, es ist daher wichtig darauf zu achten, woher man seine Informationen bezieht.
In diesem Artikel fokussiere ich mich speziell auf die Rechtslage in Österreich. Für alle deutschen Besucher gilt: Die österreichische Rechtslage ist strenger, haltet euch an diese Vorgaben und ihr seid auch in Deutschland auf der sicheren seite.

Zusätzlich zur Datenschutz-Grundverordnung, muss in Österreich das Telekommunikationsgesetz (TKG)[4] beachtet werden, da es die Regelungen der alten (aber noch gültigen) ePrivacy Richtlinie enthält.

Hätte sich der deutsche Webseitenbetreiber "Planet49" an das österreichische TKG gehalten, wäre es zu keiner Strafe gekommen. Österreich hat sich nämlich für einen restriktiven Weg entschieden, der, wie sich rückblickend herausstellte, der Ansicht des EuGH entspricht.

Nach den Bestimmungen des TKG (schon seit 2002!) ist bei Cookies immer eine Einwilligung erforderlich. Nur dann, wenn es sich um technisch notwendige Cookies handelt , ist nach dem TKG keine Einwilligung erforderlich.
Das TKG unterscheidet nicht zwischen personenbezogenen und nicht-personenbezogenen Cookies.

Zu beachten ist außerdem, dass die Zustimmung jederzeit widerrufen werden kann und dass über die Widerrufbarkeit auch informiert werden muss („Opt-In“ und Möglichkeit zum „Opt-Out“, siehe am Beispiel von lawyered.at).

Die Einwilligung muss auch von anderen Erklärungen unabhängig erfolgen (Koppelungsverbot) und sollte daher im Idealfall nicht pauschal erfolgen, sondern für jede Art von Cookies gesondert (Notwendig, Analysecookies, Werbecookies, etc).

Außerdem sollte eine Website auch ohne Cookies funktionieren, weil eine Einwilligung sonst nicht das Kriterium der „Freiwilligkeit“ nach der DSGVO erfüllt.

Zuletzt muss umfangreich über die Setzung von Cookies informiert werden (zB durch einen Hinweis im „Cookie-Banner“ mit Link auf die Datenschutzerklärung der Webseite).

Die sicherste Variante

secure_cookies

Bild von stories / Freepik

Zusammenfassend noch einmal die Voraussetzungen, damit man auf der sicheren Seite ist („Best Practice“):

  • Webseitenbesucher mittels Opt-in Cookiebanner zustimmen lassen, egal um welche Cookies es sich handelt
  • Opt-out Möglichkeit Anbieten
  • "Koppelungsverbot" und "Freiwilligkeit" beachten
  • Genaue Beschreibung: welche Cookies / wofür / wie lange gespeichert werden und ob Dritte darauf zugriff haben ("Third-Party-Cookies")
  • Einfache Formulierungen verwenden

  1. DSGVO, eur-lex.europa.eu ↩︎

  2. ePrivacy-Richtlinie, eur-lex.europa.eu ↩︎

  3. EuGH, Urteil vom 01.10.2019, C-673/17 ↩︎

  4. Telekommunikationsgesetz, ris.bka.gv.at ↩︎



Lawyered.at

Recht einfach.

Großartig! Das Abonnement wurde erfolgreich abgeschlossen.
Großartig! Schließe als Nächstes die Kaufabwicklung ab, um vollen Zugriff zu erhalten.
Willkommen zurück! Du hast dich erfolgreich angemeldet.
Erfolg! Dein Konto ist vollständig aktiviert, du hast jetzt Zugang zu allen Inhalten.