Stand: 27.06.2022
Sind Cookie-Banner den meisten Websitebetreibern und auch Websitenutzern ein Dorn im Auge, so führt nach der jetzigen Rechtslage in den allermeisten Fällen doch kein Weg an ihnen vorbei. Zwar wurden die Spielregeln für das Setzen von Cookies durch die Datenschutz-Grundverordnung (DS-GVO) nicht verändert, jedoch sind die Strafen für die Nichtbeachtung der Vorschriften mit der DS-GVO deutlich empfindlicher geworden. Dies führte dazu, dass der Gestaltung der sog. Cookie-Banner sichtlich mehr Beachtung geschenkt wird – nicht unbedingt von den Unternehmen selbst, aber vielfach von den zuständigen Aufsichtsbehörden und den Usern der Homepage. Besonders hart zu spüren bekam das eine spanische Billigfluglinie, denn gegen sie wurde bereits im Oktober 2019 ein Bußgeld in Höhe von 30.000 Euro verhängt.
Das Wichtigste in Kürze
- Eine spanische Billigfluglinie bot Usern nur die Möglichkeit, in die Setzung aller Cookies durch Nutzung der Homepage oder Betätigen des Buttons „akzeptieren“ einzuwilligen.
- Die spanische Aufsichtsbehörde sanktionierte das Fehlen weiterer Auswahlmöglichkeiten sowie detaillierter Informationen zu den Cookies mit einem Bußgeld in Höhe von 30.000 Euro.
- Auch in einigen weiteren Fällen fehlerhafter Cookie-Banner-Gestaltung verhängte die spanische Behörde Bußgelder zwischen 1800 € und 6000 €.
- Auch wenn die sanktionierten Vorschriften aus nationalen spanischen Gesetzen stammen, sind wegen der DS-GVO vergleichbare Bußgelder in Deutschland möglich.
Was sind Cookies?
Cookies sind kleine Textdateien, die auf dem Endgerät des Seitenbesuchers abgelegt werden. Sie speichern zum einen Informationen, die Websitebesuchern das Benutzen der Homepage erleichtern sollen, zum anderen können sie auch für statistische Analysezwecke oder für bedarfsgerechte Werbung verwendet werden. Um ihre Aufgabe zu erfüllen, müssen viele Cookies mit personenbezogenen Daten von Usern arbeiten, sodass die Spielregeln der DS-GVO beachtet werden müssen.
Notwendigkeit eines Cookie-Banners
Aufgrund der Brisanz der Thematik und dem Bewusstsein bei Homepage-Usern für die Problematik ist ein Cookie-Banner grundsätzlich auf jeder Homepage zu empfehlen. Die Gestaltung des Banners hängt entscheidend davon ab, zu welchem Zweck die gesetzten Cookies persönliche Informationen (zu denen auch die IP-Adresse zählt) verarbeiten. Lässt sich die konkrete Verarbeitung nur auf Grundlage einer Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a) DS-GVO rechtfertigen, muss mit dem Cookie-Banner eine wirksame Einwilligung eingeholt werden, die den Anforderungen von Art. 7 DS-GVO genügt. Gibt es für die Verarbeitung der Daten durch die Cookies auch andere Rechtfertigungsgründe wie das überwiegende berechtigte betriebliche Interesse, eine vorvertragliche Maßnahme oder eine gesetzliche Pflicht, reicht ein rein informatives Cookie-Banner aus.
Bußgeld wegen rechtswidriger Cookie Policy
Auf der Homepage einer spanischen Billigfluglinie waren mehrere Cookies gesetzt, deren Datenverarbeitung nur auf eine wirksame Einwilligung gestützt werden konnte. Die Fluglinie hatte zwar auf ihrer Homepage ein entsprechendes Banner installiert, dessen Gestaltung erfüllte aber nicht die Anforderungen an eine wirksame Einwilligung. Die User der Homepage wurden lediglich darauf hingewiesen, dass sie mit Nutzung der Seite dem Setzen der Cookies zustimmten. Parallel dazu konnten Sie auch einen Button „Akzeptieren“ nutzen. Es gab aber keine Auswahlmöglichkeit für den User, mit dem Klick willigte man lediglich in alle Cookies ein.
Der User wurde zwar darauf hingewiesen, dass er den Browser so konfigurieren könne, dass entweder standardmäßig alle Cookies akzeptiert oder abgelehnt werden bzw. dass eine Benachrichtigung über den Empfang jedes einzelnen Cookies auf dem Bildschirm angezeigt wird. Jedoch stellt diese Vorgehensweise nach Ansicht der spanischen Aufsichtsbehörde einen Verstoß gegen das Gebot der Informationspflicht hinsichtlich der Speicherung von Daten dar. Als Begründung wurde angeführt, dass es kein System gibt, durch welches es dem Nutzer ermöglicht wird, einzelne Cookies zu deaktivieren. Um die Auswahl der Cookies zu ermöglichen, müsste das Banner eine Schaltfläche beinhalten, mit der der Nutzer alle Cookies ablehnen oder aktivieren oder nur einzelne Cookies zulassen kann. Das aktuelle Cookie-Banner bietet nur die Möglichkeit, die Cookies generell zuzulassen, um auf der Seite weiterzusurfen.
Diese Vorgehensweise verstößt damit gegen § 22 Abs. 2 des nationalen spanischen E-Commerce-Gesetzes und wurde von der Aufsichtsbehörde entsprechend sanktioniert. Nach dieser gesetzlichen Vorschrift sind die Websitebetreiber in Spanien nämlich verpflichtet, die Nutzer der Website über die Speicherung von Daten zu informieren und ihnen die Möglichkeit bereitzustellen, auf einfache Weise kostenlos die weitere Verarbeitung ihrer Daten zu untersagen. Der Verstoß gegen das nationale Recht könnte mittlerweile zeitgleich auch einen Verstoß gegen die DS-GVO darstellen. Denn bereits am 01.10.2019 verdeutlichte der EuGH, dass für die Speicherung von Cookies eine aktive Einwilligung seitens der betroffenen Personen erfolgen müsse und weiterhin auch die umfassenden allgemeinen Informationspflichten zu erfüllen sind.
Warum ist der Fall auch für Deutschland wichtig?
Zwar erging das Bußgeld im vorliegenden Fall auf Grundlage nationaler spanischer Datenschutzgesetze und damit gerade nicht unter Bezugnahme auf die DS-GVO oder einer Entscheidung des EuGH. Jedoch hat Spanien mit dem hier relevanten § 22 Abs. 2 des nationalen spanischen E-Commerce-Gesetzes die sog. Cookie-Richtlinie (Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation) umgesetzt. Da die ePrivacy-Verordnung noch immer im Gesetzgebungsverfahren feststeckt und damit bis heute nicht gilt, sind diese Vorgaben europaweit zu beachten. Im Gegensatz zu einer Verordnung muss die Richtlinie aber in nationale Gesetzte umgesetzt werden. Eine solche Umsetzung hat in Deutschland bisher nicht stattgefunden.
Dennoch kann ein nicht datenschutzkonformes Cookie-Banner auch in Deutschland mit einem Bußgeld geahndet werden, denn in Deutschland müssen seit 2018 die allgemeinen Vorgaben der DS-GVO bei jeder Verarbeitung von persönlichen Daten beachtet werden. Im Grunde wurde im vorliegenden Fall ein Verhalten sanktioniert, das auch der EuGH in seiner Entscheidung vom 01.10.2019 zum Gegenstand hatte. Dieser verkündete in seiner damaligen Entscheidung, dass
- auf im Endgerät des Nutzers gespeicherte Informationen nur zugegriffen werden darf, wenn der Nutzer auf Grundlage von klaren und umfassenden Informationen seine Einwilligung gegeben hat.
- der Nutzer vor Erteilung seiner Einwilligung umfassend über das gesetzte Cookie, die Funktionsweise, die Funktionsdauer und auch über Zugriffsmöglichkeiten von Dritten aufgeklärt werden muss.
- ohne aktive Zustimmung des Nutzers keine Einwilligung vorliegt.
Der Bundesgerichtshof (BGH) bestätigte diese Ansicht für Deutschland in seinem Urteil vom 28.05.2020. Websitenutzern muss also unbedingt die Möglichkeit gegeben werden, sich für oder gegen die Speicherung von Cookies zu entscheiden. Insbesondere die Option zur Einwilligung in einzelne Cookies und auch die Ablehnung dieser ist essenziell für ein datenschutzkonformes Cookie-Banner. Eine pauschale Einwilligung in alle Cookies verstößt stets gegen die Vorgaben der DS-GVO und kann den Websitebetreiber unnötiges Geld kosten.
Was muss ein datenschutzkonformes Cookie-Banner enthalten?
Die Anforderungen an Cookie-Banner sorgen bei dem ein oder anderen Websitebetreiber für Verwirrung. Doch im Grunde genommen müssen folgende Anforderungen erfüllt sein, damit ein Cookie-Banner datenschutzkonform gestaltet ist:
- Zeitpunkt: Das Banner sollte beim erstmaligen Öffnen der Website erscheinen. Achtung: Einwilligungspflichtige Cookies dürfen beim erstmaligen Aufruf der Website nicht aktiviert sein. Alle Cookies müssen so lange blockiert werden, bis der Nutzer seine Einwilligung erteilt. Das Scrollen oder Navigieren auf der Website oder sonstiges Ignorieren der Einwilligungsaufforderung stellt nie eine rechtskonforme Einwilligung nach DS-GVO dar.
- Informationen: Der Nutzer muss detaillierte und spezifische Informationen zu allen auf der Website verwendeten Tracking Tools und Cookies erhalten. Es sollte hier beschrieben werden, welche Verarbeitungsvorgänge mit dem Cookie vorgenommen werden, wer an den Verarbeitungsvorgängen des Cookies beteiligt ist und welche Funktionen die Beteiligten erfüllen. Auch die Arten der verarbeiteten Daten und die Dauer des Speicherzeitraums des Cookies müssen aufgeführt werden. Damit das Cookie-Banner nicht aus allen Nähten platzt, ist es sinnvoll, auf die Datenschutzerklärung zu verweisen und die gesetzten Cookies dort ausführlich zu beschreiben.
- Optionen: Der Nutzer muss die Möglichkeit erhalten, sich für oder gegen die verschiedenen Cookies zu entscheiden. Dabei ist es wichtig, dass auch einzelne Cookies aktiviert und deaktiviert werden können. Auch eine nachträgliche Änderung der Einstellung muss dem Nutzer möglich sein. Voreingestellte Ankreuzkästchen sind nicht erlaubt.
- Einwilligung: Der Nutzer muss die Möglichkeit erhalten, seine Einwilligung zur Verarbeitung der personenbezogenen Daten abzugeben, bevor die Cookies gesetzt werden. Die Einwilligung muss freiwillig, informiert, aktiv und vor Setzen des Cookies erfolgen.
- Funktionsweise: Die Website sollte auch nach Ablehnung der nicht erforderlichen Cookies noch einwandfrei funktionieren.
- Dokumentation: Die Einwilligung des Nutzers sollte zu Nachweiszwecken sicher aufbewahrt werden. Der Nutzer muss hierüber in der Datenschutzerklärung informiert werden. Wird die Einwilligung auf dem Endgerät des Nutzers gespeichert, hat dies den Vorteil, dass dem Nutzer das Banner beim erneuten Öffnen der Website nicht noch mal angezeigt wird.
- Widerruf: Der Nutzer muss die Möglichkeit erhalten, seine gegebene Einwilligung zu einem späteren Zeitpunkt zu widerrufen.
Weitere Bußgelder für Datenschutzverstöße auf der Homepage
Sowohl die spanische als auch die belgische Aufsichtsbehörde haben auch in anderen Fällen bereits Bußgelder wegen Verletzung der Datenschutzpflichten auf der Homepage verhängt. Da hier elementare Pflichten der DS-GVO verletzt wurden, wären vergleichbare Bußgelder ebenfalls in Deutschland möglich – auch wenn die deutschen Behörden bisher (noch) keine verhängt haben.