Stand: 14.02.2022

Auch über drei Jahre nach Inkrafttreten der DS-GVO sind die Minderheit der Homepages datenschutzkonform aufgebaut. Dies belegen immer wieder neue Studien, regelmäßige Beschwerden bzw. Kontrollanregungen von Internetusern und regelmäßige Überprüfungen der Aufsichtsbehörden.

Unangefochtene Nummer Eins bei den häufigsten Datenschutzfehler ist und bleibt der Umgang mit Cookies. Zwar sind heute auf fast allen Seiten sogenannte Cookiebanner zu finden, diese entsprechen aber nur in den wenigsten Fällen den Anforderungen der DS-GVO. Rechtlich problematisch und schlichtweg falsch ist häufig bereits die Formulierung des Cookie-Hinweises auf den Bannern, wenn das Nutzen der Website als Einwilligung in die Verarbeitung gewertet werden soll.

Um Cookies datenschutzkonform einzubinden, braucht es weit mehr als ein simples Plugin. Bei der Beachtung einiger Leitlinien und Grundätze ist die Gestaltung des Cookiebanners aber auch kein Hexenwerk. Unser Blogartikel zum Thema Cookies erläutert deshalb die wichtigsten Grundsätze beim Einsatz von Cookies und zeigt anhand einfacher Tipps vermeidbare Stolperfallen auf.

Websites im Fokus von Prüfverfahren und Studien

Die Einhaltung des Datenschutzes wird auf Websites nicht nur immer wieder einzelfallbezogen nach konkreten Beschwerden geprüft, sondern es finden immer wieder spezifische, großangelegte Prüfungen durch Verbände, Institute und die Aufsichtsbehörden statt:

Im August 2020 bestätigte eine Stunde des Fachverbands deutscher Websiten-Betreiber, dass viele Websiten gravierende Datenschutzfehler enthalten. Von 2.500 zufällig ausgewählten Unternehmens-Websiten waren 41 Prozent, also 1023 Seiten, datenschutztechnisch mangelhaft. Fehler bei der Gestaltung von Cookiebannern wie z.B. unvollständige Informationen oder fehlende Widerspruchsmöglichkeiten standen auch hier sehr weit oben auf der Fehlerliste.

Im Rahmen der Studie des Bundesministeriums der Justiz und für den Verbraucherschutz (BMJV) wurden im Zeitraum von Juli bis September 2019 35 Onlinedienste aus sieben Branchen zu verschiedenen verbraucherrelevanten Themenbereichen untersucht. Geprüft wurden fünf Online-Shops, acht soziale Netzwerke bzw. Messengerdienste, vier Buchungs- Vergleichs- und Bewertungsportale, vier Suchmaschinen, fünf Informationsportale und -seiten, vier E-Mail-Dienste sowie fünf Internetpräsenzen großer Wirtschaftsunternehmen. Ergebnis der Untersuchungen war, dass keiner der geprüften Onlinedienste die datenschutzrechtlichen Vorgaben zur Verarbeitung personenbezogener Daten vollständig umgesetzt hat.

Onlineshops sowie die Unternehmenswebsites waren dabei insgesamt besser aufgestellt als soziale Netzwerke und Messengerdienste, deren Webdienste die meisten Mängel aufwiesen. Am wenigsten Defizite wurden bei der Erfüllung des Transparenzgebotes und der Informationspflichten festgestellt. Vielfach nicht datenschutzkonform umgesetzt wurde die Benennung der Rechtsgrundlage, die Gestaltung von Einwilligungen, der Minderjährigenschutz, der Umgang mit besonders sensiblen Daten sowie die nutzerfreundliche Gestaltung technischer Einstellung. Der größte Schwachpunkt war branchenübergreifend die fehlende, wirksame Einwilligung zur Datenverarbeitung im Rahmen personalisierter Werbung, die oftmals aktiv deaktiviert werden musste (Opt-Out).

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat sich zum Safer Internet Day 2019 zwei besondere Datenschutzkontrollen überlegt. Zum einen hat sdie Behörde auf mehreren selbst ausgewählten Homepages führender Anbieter überprüft, ob diese ihrer Verantwortung gerecht werden und den Schutz der Nutzer gegen Angriffe von Cyberkriminellen auf das eigene Passwort sicherstellen. Zum anderen hat sie aufgrund der vorangegangenen zahlreichen Beschwerden bayerischer Internetuser bei 40 großen bayerischen Anbietern untersucht, ob die Nutzer transparent über die Einbindung von Drittanbietern, insbesondere von Tracking-Tools, auf der Website informiert werden. Im Fokus standen dabei auch die sogenannten „Cookiebanner“, über die eine Einwilligung der Nutzer eingeholt werden soll. Das Ergebnis beider Prüfungen war ernüchternd. Während im Bereich der Cybersicherheit mehr als nur Verbesserungsmöglichkeiten gefunden wurden, führte der Datenschutzcheck der Websites zur Einleitung etlicher Bußgeldverfahren, weil alle begutachteten Websites Datenschutzverstöße beim Einsatz der Tracking-Werkzeugen begangen haben.

Vorarbeit: Analyse der eingesetzten Cookies

Um sicherzustellen, dass eine Homepage in puncto Cookies und einwilligungsbedürftiger Anwendungen den Anforderungen des Datenschutzes genügt, sind im Vorfeld mehrere Analyseschritte notwendig. Nur dann kann die notwendige Basis geschaffen werden, um das Cookiebanner so zu gestalten, dass dieses den Anforderungen des Datenschutzes genügt.

Schritt 1: Exakte Analyse der eingesetzten Cookies

Als aller erstes muss genau analysiert werden, welche Cookies eingebunden sind, was für Aufgaben die einzelnen Cookies haben und ob diese personenbezogene Daten verarbeiten. Diese exakte Analyse der eingesetzten Anwendungen ist die Basis für einen möglichst datenschutzkonformen Einsatz von Cookies & Co. Es ist daher zunächst zu prüfen, welche Anwendungen überhaupt eingesetzt werden und ob diese personenbezogene Daten verarbeiten, wozu unter anderem auch die IP-Adresse zählt. Verarbeiten Cookies keine personenbezogenen Daten, fällt deren Verwendung nicht in den Anwendungsbereich der DS-GVO. Sie sind nach der derzeitigen Rechtslage noch unproblematisch, da es hierzu in Deutschland aktuell keine gesetzliche Regelung gibt.

Schritt 2: Prüfung der Rechtsgrundlage

Im zweiten Schritt ist bei jedem einzelnen Cookie zu prüfen, auf welcher datenschutzrechtlichen Rechtsgrundlage dieser die persönlichen Informationen verarbeitet. In Betracht kommen nach der DS-GVO die Einwilligung (Art. 6 Abs. 1 S. 1. lit. a) DS-GVO), die Anbahnung eines Vertrags (Art. 6 Abs. 1 S. 1 lit. b) DS-GVO), die Erfüllung einer gesetzlichen Pflicht (Art. 6 Abs. 1 S. 1 lit. c) DS-GVO) und das überwiegende berechtigte Interesse (Art. 6 Abs. 1 S. 1 lit. f) DS-GVO). Nur Cookies die auf Art. 6 Abs. 1 lit. a) DS-GVO – die Einwilligung – gestützt werden, müssen, können und dürfen über ein Cookiebanner auswählbar sein. Über alle anderen Cookies muss nur informiert werden, es ist aber gerade keine datenschutzrechtliche Einwilligung notwendig. Beispiele:

Auf Grundlage von Art. 6 Abs. 1 S.1 lit. a) DS-GVO (der Einwilligung) werden typischerweise Cookies gestützt, die eine umfangreiche Analyse des Nutzerverhaltens erstellen, zielgerichtet Werbung ausspielen sollen oder Nutzungsdaten an andere Dienste wie etwa Google oder Facebook übermitteln.

Auf Grundlage von Art. 6 Abs. 1 lit. b) DS-GVO (Vertragsanbahnung) kann etwa in einem Online-Shop der Warenkorb gestützt werden. In diesen legen User bewusst Waren, die sie beabsichtigen käuflich zu erwerben.

Auf Grundlage von Art. 6 Abs. 1 lit. c) DS-GVO (Erfüllung einer gesetzlichen Pflicht) kann das sog. Consent-Cookie gestützt werden, also das Cookie, dass die Cookie-Einstellungen speichert. Ein entsprechendes Erfordernis ergibt sich aus den Anforderungen von Art. 7 DS-GVO an eine wirksame Einwilligung sowie der datenschutzrechtlichen Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO.

Auf das berechtigte betriebliche Interesse (Art. 6 Abs. 1 S. 1 lit. f) DS-GVO) können alle Cookies gestützt werden, die erforderlich sind, um die richtige Gestaltung und Funktionsweise der Seite zu gewährleisten („betriebsnotwendige Cookies“). Ebenso sind eine einfache Statistik der Homepage-Nutzung oder Cookies zur Betrugsprävention auf dieser Rechtsgrundlage zulässig. Es ist bei dieser Rechtsgrundlage aber für jede Anwendung einzeln abzuwägen, ob diese wirklich zwingend erforderlich ist und ob nicht die Rechte des Betroffenen höher wiegen als das Setzen des betreffenden Cookies. Diese Interessenabwägung muss außerdem genau dokumentiert werden.

Schritt 3: Prüfung der Erforderlichkeit von nicht betriebsnotwendigen Cookies

Für Anwendungen, über die personenbezogene Daten der Nutzer verarbeitet werden, und die nicht betriebsnotwendig sind, ist grundsätzlich die Einwilligung des Websitebesuchers erforderlich. Auf vielen Homepages sind Tracking- und Marketing-Cookies eingebunden, die unter diese Kategorie fallen. Allerdings haben verschiedene Anbieter Alternativen entwickelt, die das Verhalten der Nutzer auswerten, ohne personenbezogene Daten zu erheben, indem sie beispielsweise Statistiken über reine Klickzahlen auf der Website erstellen, ohne dass die Klicks den Besuchern bzw. einer IP-Adresse zugeordnet werden könnten. Zwar liefern diese Anwendungen weniger Informationen, je nachdem wofür die Daten wirklich verwendet werden, sind diese aber absolut ausreichend – und deutlich datenschutzkonformer.

Deshalb sollte bei allen einwilligungsbedürftigen Anwendungen zunächst genau überprüft werden, ob die gesammelten Daten wirklich benötigt und verwendet werden. Nutzt ein Unternehmen die erhobenen Daten gar nicht, sollte die Anwendung deaktiviert werden. Arbeitet der Websitebetreiber tatsächlich mit den gesammelten Informationen, sollten alternative Möglichkeiten geprüft werden, die weniger bzw. gar keine personenbezogenen Daten der Nutzer verarbeiten.

Das kleine 1 Mal 1 der Cookiebanner-Gestaltung

Ein Cookiebanner, über das keine wirksame Einwilligung des Users eingeholt wird, bedeutet gleichzeitig, dass der Einsatz einwilligungsbedürftiger Anwendungen wie Tracking-Cookies, die häufig für Werbezwecke verwendet werden, unzulässig und damit rechtswidrig ist. Werden die Cookies dennoch gesetzt, stellt dies grundsätzlich einen bußgeldbewährten Datenschutzverstoß dar.

Dementsprechend ist es essenziell, das Cookiebanner so zu gestalten, dass der User ausreichend informiert ist und eine wirksame Einwilligung eingeholt wird. Zusätzlich müssen alle Anwendungen, über die personenbezogene Daten verarbeitet werden, in der Datenschutzerklärung umfassend erläutert werden, um den Informationspflichten der DS-GVO gerecht zu werden. Folgende goldene Regeln sind bei der Gestaltung des Cookie-Banners unbedingt zu berücksichtigen

Das Banner muss beim erstmaligen Öffnen der Website erscheinen und alle Informationen über einwilligungsbedürftige Verarbeitungsvorgänge inklusive der beteiligten Akteure und deren Funktion enthalten. Wichtig ist, dass dem User verständlich erklärt wird, in welche Datenverarbeitung er einwilligt. Hierzu ist der genaue Cookie-Name nicht zwingend nötig. Vielmehr kommt es auf die Information an „was wird mit welchen Informationen wozu gemacht“.
Beispiele: Werbefinanzierung, Social-Media-Marketing, Reichweitenanalyse, Zurverfügungstellung bestimmter Google-Dienst für eine erleichterte Anfahrtsplanung etc.
Das Cookiebanner muss deshalb in klarer, verständlicher Weise die wichtigsten Kerninformationen zur Datenverarbeitung über Cookies bereitstellen. Daneben muss gewährleistet werden, dass der User einfachen Zugang zu weiteren Detailinformationen erhält.

Eine rechtswirksame Einwilligung setzt eine umfassende Information voraus. Der Informationstext muss User darüber aufklären,

  • welche seiner Daten
  • zu welchem Zweck
  • wie
  • von wem
  • wie lange verarbeitet werden.

Hinzu kommt die Aufklärung über die seine Datenschutzrechte sowie die Nennung der Kontaktdaten der Verantwortlichen Stelle und des Datenschutzbeauftragten (sofern vorhanden). Würden alle diese Informationen zu jedem einzelnen Cookie im Cookiebanner eingebaut, würde dieses unübersichtlich, lang und abschreckend werden. Abhängig vom gewählten Tool können die Detailinformationen zum jeweiligen Cookie als Drop-Down-Menü angelegt werden oder sie werden in der Datenschutzerklärung und einer Cookierichtlinie eingebunden.
Unabhängig von dem gewählten Weg der Informationsbereitstellung ist ein Link auf die Datenschutzerklärung immer nötig, denn die Informationen zur Verantwortlichen Stelle, dem Datenschutzbeauftragten und den Rechten der betroffenen Person sind in der Regel nur hier hinterlegt.

Alle eingesetzten Cookies müssen einzeln auswählbar sein. Wichtig ist, dass der User das Häkchen für die Zustimmung stets selbst setzen muss. Erst dann ist die Datenverarbeitung zulässig. Voreingestellte Kästchen erfüllen diese Voraussetzung nicht, da das fehlende Abwählen rechtlich als Schweigen gewertet wird, das keinerlei Rechtswirkung entfaltet und somit keine Einwilligung darstellt.

Um die Rechenschaftspflicht der DS-GVO zu erfüllen, muss der gesamte Prozess inklusive der erteilten Einwilligung gespeichert werden. Für die Speicherung der Einwilligung sollte aber eine bestimmte Gültigkeitsdauer definiert werden. Eine jahrelange Zustimmung ist nur schwer mit dem Grundsatz der Speicherbegrenzung vereinbar.

Zum Kern der Einwilligung gehört, dass sie jederzeit widerrufbar, sprich zurücknehmbar ist. Hierüber muss der User nicht nur in der Datenschutzerklärung aufgeklärt werden, sondern die Ausübung dieses Widerrufsrechts muss einfach möglich sein. Es muss deshalb dafür gesorgt werden, dass der User jederzeit die Möglichkeit hat, die Cookieeinstellungen wieder aufzurufen und zu verändern. Ein Verweis auf die Löschmöglichkeit in den Browsereinstellungen ist nicht ausreichend.

Ausführliche Information der Nutzer in der Datenschutzerklärung

Die Gestaltung des Cookiebanners ist aber nur die halbe Miete, um Cookies datenschutzkonform einzubinden. Da das Cookiebanner zwingend auf die Datenschutzerklärung verlinkt sein muss, muss auch die Datenschutzerklärung inhaltlich auf das Cookiebanner abgestimmt sein. Hierzu reicht ein allgemeiner Textbaustein aus einem Generator nicht mehr aus. Die Cookiepassage muss vielmehr erläutern, was Cookies generell sind, welche Arten von Cookies gesetzt werden, welche Cookies von der Einwilligung des Users abhängig sind und wie lange das Consent-Cookie die Einwilligung speichert. Verwendet das Cookiebanner verschiedene Kategorie-Einteilungen, müssen die jeweiligen Kategorien spätestens hier beschrieben werden.

Dem Nutzer muss es ermöglicht werden, die Funktionsweise der eingesetzten Anwendungen zu verstehen und zu wissen, welche Informationen wie lange gespeichert und an wen sie weitergegeben werden. Hierzu gehörten bei dem betroffenen Tracking-Cookie auch genaue Angaben zur Sammlung zahlreicher Informationen über die Nutzungsgewohnheiten und die Häufigkeit etwaiger Besuche des Nutzers auf den Websites der Werbepartner. Die Auswahlmöglichkeit im Cookiebanner muss sich deshalb auch in der Datenschutzerklärung widerspiegeln und dort detailliert aufgeschlüsselt werden. Diese Informationspflichten gelten für betriebsnotwendige Cookies gleichermaßen, insofern diese personenbezogene Daten verarbeiten. Lediglich die Rechtsgrundlage der Verarbeitung ist unterschiedlich.

Dokumentation im Verzeichnis der Verarbeitungstätigkeiten

Wie auch jedes andere Verfahren, bei dem Unternehmen personenbezogene Daten verarbeiten, muss der Betrieb der Website und der Einsatz von Cookies & Co. in das Verzeichnis der Verarbeitungstätigkeiten aufgenommen werden. Abhängig davon, welche Anwendungen auf der Website eingebunden sind bzw. welche Daten sie erheben und wie diese verwendet werden, können sie in nur wenigen Verfahren zusammengefasst werden. Wichtig ist, dass die Kategorien der betroffenen Daten, die Rechtsgrundlage sowie die Abläufe bei der Datenverarbeitung zumindest größtenteils gleich sind.

Fazit

Die datenschutzkonforme Gestaltung des Einsatzes von Cookies auf Websites ist zunächst mit Aufwand verbunden. Die Umsetzung der Anforderungen lohnt sich aber doppelt: Homepages sind das Aushängeschild von Unternehmen nach außen hin und für jedermann sichtbar. Die Abmahnfähigkeit von Datenschutzverstößen nach dem Wettbewerbsrecht ist umstritten, die mittlerweile wohl überwiegende Meinung geht aber davon aus, dass eine Abmahnung je nach Art des Verstoßes durchaus zulässig ist. In jedem Fall bieten Homepages, die nicht den Vorgaben der DS-GVO entsprechen Angriffsfläche.

Darüber hinaus vermitteln die Seiten einen ersten Eindruck, wie ernst der Datenschutz in Unternehmen genommen wird. Potenzielle Kunden und Interessenten wurden seit Inkrafttreten der DS-GVO für den Datenschutz sensibilisiert und erwarten, dass verantwortungsvoll mit ihren Daten umgegangen wird. Häufig ist die erste Anlaufstelle die Homepage, weshalb deren datenschutzkonforme Gestaltung vermittelt, dass Unternehmen sich den Anforderungen des Datenschutzes und ihrer Verantwortung bewusst sind. Ist gar kein Cookiebanner geschaltet oder wird dem Nutzer eine Einwilligung unterstellt, macht dies in der Regel keinen guten Eindruck.