Anforderungen an die Gestaltung von Einwilligungslösungen für Cookies
Nach dem Grundsatzurteil des EuGH vom 01.10.2019 (Az. C-673/17) unterliegen alle technisch nicht notwendigen Cookies einer Einwilligungspflicht. Einwilligungen müssen aktiv und informiert für jedes einzelne Cookie erteilt werden können und auch im Übrigen den datenschutzrechtlichen Wirksamkeitsanforderungen genügen. Wie vor diesem Hintergrund Einwilligungslösungen für Cookies (etwa als „Consent Tool“ oder Banner) ausgestaltet werden müssen, zeigt der folgende Beitrag der IT-Recht Kanzlei.
I. Technische und gestalterische Anforderungen für Cookie-Banner und Cookie-Tools
Für die nunmehr höchstrichterlich vorausgesetzte Einwilligungseinholung bei technisch nicht erforderlichen cookie-basierten Datenverarbeitungen haben sich in der Praxis sogenannte „Cookie-Banner“ und „Cookie Consent Tools“ etabliert.
Als vorgeschaltete Abfrage werden diese beim erstmaligen Aufruf einer Website angezeigt und bieten dem Betroffenen die Möglichkeit einer Einwilligungserteilung.
Damit über derartige Banner und Tools datenschutzkonfomre Einwilligungen eingeholt werden können, sind allerdings besondere technische Einstellungen und Ausgestaltungen unbedingt zu beachten:
1.) Informationen und Auswahlmöglichkeiten für alle eingesetzten Cookies
Wird ein Banner oder Tool beim erstmaligen Aufruf einer Website angezeigt, muss für jedes eingesetzte, technisch nicht notwendige Cookie eine sprachlich einfach gefasste Information darüber ergehen,
- welche Verarbeitungsvorgänge mit dem Cookie vorgenommen werden,
- welche Akteure an den Verarbeitungsvorgängen des Cookies beteiligt sind und
- welche Funktionen diese Akteure erfüllen
Es ist zulässig, für die Bereitstellungen dieser Informationen auf die Datenschutzerklärung zu verweisen. Voraussetzung ist freilich, dass in dieser dann die Funktionsweise jedes einwilligungspflichtigen Cookies auch abschließend beschrieben wird. Im Cookie-Banner/-Tool müssen dann nur der Dienst, die von ihm verwendeten Cookies und deren Funktion (etwa "Tracking", "Analyse", "Retargeting" etc.) benannt sein. Es kann etwa formuliert werden:
"Informationen zur Funktionsweise, zur Funktionsdauer und zu den Verarbeitungsvorgängen der Cookies der einzelnen Anbieter erhalten Sie in unserer Datenschutzerklärung."
Hierbei sollte die Datenschutzerklärung verlinkt sein.
Jedes Banner oder Tool muss über ein Auswahlmenü verfügen, bei dem jedes eingesetzte Cookie einen eigenen aktivierbaren Menüpunkt darstellt. Keine Auswahlmöglichkeit darf voraktiviert bzw. „angetickt“ sein.
Nicht ausreichend sind die häufig beobachteten Cookie-Banner, die sich über eine Bestätigungs-Schaltfläche wegklicken lassen. In diesen Fällen fehlt es an der nach Art. 7 DSGVO erforderlichen Freiwilligkeit, weil Betroffene keine Möglichkeit haben, das Setzen von Cookies abzulehnen.
2.) Kein Cookie-Einsatz vor Einwilligung
Beim erstmaligen Aufruf einer Website dürfen keinerlei Cookies voraktiviert sein und im Hintergrund laufen. Alle eingesetzten Cookie-Skripte müssen solange blockiert werden, bis der Nutzer über das Banner oder Tool in deren Einsatz eingewilligt hat. Werden nur für einzelne Cookies Einwilligungen erteilt, muss der Einsatz der anderen unterbunden werden.
Erst, wenn der Nutzer seine Einwilligung durch die Auswahl von Cookies erteilt hat, dürfen die hiermit verbundenen Datenverarbeitungen aktiviert werden.
3.) Protokollierung und Speicherung von Einwilligungen
Weil für die Erfüllung der einwilligungsbezogenen Nachweispflichten eine sog. „indirekte Nutzeridentifizierung“ genügt, sollte die Entscheidung eines Betroffenen für oder gegen alle individuellen Cookie-Einwilligungen auf dessen Endgerät gespeichert werden. Die Verwendung einer User-ID oder einer sonstigen eindeutigen Identifizierung ist hierfür nicht erforderlich.
Die Speicherung der Einwilligungseinstellungen auf dem jeweiligen Endgerät genügt als Nachweis für vorliegende Einwilligungen und hat zudem den Vorteil, dass dem Betroffenen bei einem erneuten Seitenaufruf das Banner oder Tool nicht erneut angezeigt wird.
4.) Widerruflichkeit
Weil jede Einwilligung widerruflich sein und der Widerruf so einfach wie die Einwilligungserteilung sein muss, muss zwingend eine „One-Klick“-Widerrufsmöglichkeit für jedes Cookie implementiert werden.
Dies kann etwa über eine Schaltfläche „Cookie-Einstellungen“ oder in der Datenschutzerklärung erfolgen.
II. Handlungsempfehlung der IT-Recht Kanzlei
Seitenbetreibern, die für technisch nicht notwendige Cookies keine oder keine (nach den obigen Maßstäben) hinreichenden Einwilligungslösungen vorhalten, wird empfohlen, alle betroffenen cookie-basierten Anwendungen bis auf Weiteres abzuschalten. Nur so lassen sich rechtliche Risiken vermeiden.
Tipp: Kostenloses und unbeschränktes Cookie-Consent-Tool: für Mandanten
Die IT-Recht Kanzlei stellt ihren Mandanten hier im Mandantenportal ein kostenloses Cookie-Consent-Tool zur Einbindung in Shops und auf Webseiten zur Verfügung - dies in Kooperation mit dem Datenschutz-Komplettdienst PRIVE.
Dieses Cookie-Consent-Tool bringt folgende Vorteile mit sich:
- Bis zu 20.000 Seitenaufrufe pro Monat kostenfrei.
- Vollständig datenschutzkonformes Cookie-Einwilligungsmanagement nach dem aktuellen Stand der Technik
- Basierend auf der Technologie von Usercentrics, einem Marktführer im Bereich der Consent-Tools
- Einfache Konfiguration und Integrierbarkeit auch für Laien
- Plattformunabhängige Nutzbarkeit
- Unterstützung der deutschen und englischen Sprache (wird noch erweitert)
- Unterstützung aller gängigen Tacking- und Analysedienste
- Laufende Pflege und steter Ausbau des Tools
- Kostenfreie Nutzung für Update-Service-Mandanten der IT-Recht Kanzlei
Tipp: Fragen zum Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .
Link kopieren
Als PDF exportieren
Per E-Mail verschicken
Zum Facebook-Account der Kanzlei
Zum Instagram-Account der Kanzlei
3 Kommentare
vielen Dank für Ihre Anfrage. Sämtliche Tracking-Tools auf Cookie-Basis setzen technisch nicht notwendige Cookies und sind daher einwilligungspflichtig. Dies gilt auch für Google Analytics.
Wir empfehlen Seitenbetreibern, die für technisch nicht notwendige Cookies keine oder keine hinreichenden Einwilligungslösungen vorhalten, wird empfohlen, alle betroffenen cookie-basierten Anwendungen bis auf Weiteres abzuschalten. Nur so lassen sich rechtliche Risiken vermeiden.