Cookie-Banner und Einwilligung auf Webseiten: Quatsch oder Pflicht?

Inhaltsverzeichnis Cookie-Hinweis auf Webseiten

  1. Cookies, DSGVO, ePrivacy-VO und EU-Cookie-Richtlinie
  2. Ist eine Cookie Einwilligung Pflicht oder reicht ein Hinweis?
  3. Welche Cookies benötigen eine Einwilligung?
  4. Cookies und Google Ads/ Google Analytics
  5. Der Text für einen Cookie Hinweis
  6. Cookie Consent Tools für Ihre Webseiten
  7. Cookie Hinweis, Cookie Banner, Cookie Warnung: Was ist was?
  8. Praxis Tipps zu Cookie Hinweisen auf Webseiten
  9. FAQ zu Cookie Hinweisen, ePrivacyVO & Co.

1. Cookies: DSGVO, ePrivacy-VO und EU-Cookie-Richtlinie

Fast alle Webseiten verwenden Cookies. Diese sind dazu da, Nutzer wiederzuerkennen und ihnen das Surfen auf einer Website zu erleichtern, etwa dadurch dass der Nutzer seine Zugangsdaten nicht bei jedem Besuch neu eingeben muss oder erkannt wird, was der Nutzer bereits gekauft hat.

Die EU-Cookie Richtlinie

Den rechtlichen Umgang regelt in der EU die so genannte „Cookie-Richtlinie“. Diese EU Cookie-Richtlinie, die eine ausdrückliche Einwilligung des Nutzers in solchen Fällen vorsieht, wurde von Deutschland aber gar nicht umgesetzt. Zur Erklärung: EU-Richtlinien sind nicht automatisch „Gesetz“, sondern müssen von den EU-Ländern umgesetzt werden. Da das in Deutschland nicht geschehen ist, gilt die Richtlinie bei uns eigentlich gar nicht.

Dafür gibt es den § 15 Abs.3 Telemediengesetz (TMG). Der besagt dass es ausreicht, den Nutzer zu unterrichten und auf ein Widerspruchsrecht hinzuweisen. Das kann in einem Cookie-Hinweis in einem Banner mit Link auf die Datenschutzerklärung erfolgen.  

Das deutsche Recht kennt aktuell trotz der EU Cookie Richtline also keine direkte Pflicht, die Nutzer in die Verwendung von Cookies einwilligen zu lassen.  

Um die Sache noch komplizierter zu machen: Die EU-Kommission hat erklärt, dass die Cookie Richtlinie in Deutschland eigentlich gar nicht umgesetzt werden muss, da die heutigen Regelungen in Deutschland die Vorgaben der Cookie-Richtlinie bereits erfüllen. Das klingt komisch, da die deutschen Regeln gerade keine Einwilligung (also den Klick auf „Ja, ich stimme zu“), sondern nur einen Hinweis auf das Widerspruchsrecht vorsehen. Es bleibt also ein gewisses Risiko, wenn Sie keinen Cookie Hinweis auf Ihrer Webseite anbieten.

Die DSGVO

Seit Mai 2018 gilt allerdings die DSGVO. Alle Webseitenbetreiber, die Cookies nutzen, müssen seit 2018 Ihre Datenschutzeklärung neu formulieren. Die DSGVO verlangt nämlich, dass in der Datenschutzerklärung die Rechtsgrundlagen für das Verwenden von Cookies genannt werden.

Die DSGVO regelt aber dasProblem "Cookies" nicht ausdrücklich. Das sollte die ePrivacy-Verordnung tun, diese ist aber weiterhin nicht in Kraft. Webseitenbetreiber können sich aktuell also nur an dem orientieren, was der EuGH dazu aktuell entschieden hat und was die einzelnen Datenschutzbehörden und die Datenschutzkonferenz vorgeben.

Die ePrivacy-VO

Die ePrivacy-Verordnung sollte zeitgleich mit der DSGVO in Kraft treten und die Bereiche "Tracking und Cookies" regeln. Ist sie aber bis heute nicht. Die Einführung der E-Privacy-Verordnung verschiebt sich wahrscheinlich auf Anfang Ende 2019 2020 irgendwann 2021. Vielleicht.

2. Ist ein Cookie Hinweis Pflicht, was können Webseitenbetreiber konkret tun?

Die rechtlich sicherste Antwort: Cookie Einwilligung per Consent Tool

Seitenbetreiber sollten die Einwilligung der Nutzer einholen. Der Einwilligungstext bei einem Cookie-Hinweis sollte beim ersten Aufruf der Seite (Cookie Warnung) eingeblendet werden. Der Text für die Cookie-Nutzung  sollte so konkret wie möglich sagen, um welche Daten es geht, wozu diese genutzt werden und an wen diese Daten gegenfalls weiter gegeben werden.

Der Nutzer muss detailliert über die Dienste informiert werden, die Cookies setzen und Daten übertragen. Es muss ausdrücklich bestätigen, dass er zustimmt.

Und ganz wichtig:  Vor der Zustimmung des Nutzers dürfen noch keine Daten übertragen werden.

Risiko: Keins

Cookie Consent mit Usercentrics

Das Consent Tool von Usercentrics ist eine individuelle Profi-Lösung, die im Normalfall oft mehrere hunderte Euro im Monat kosten kann. Das Consent Tool funktioniert für die meisten Webseiten-Typen unabhängig vom verwendeten CMS.

Wir können alle eRecht24 Premium Nutzern eine Lösung von Usercentrics anbieten, die ohne Zusatzkosten exklusiv in eRecht24 Premium enthalten ist und aktuell die 50 wichtigsten Tools wie Google Analytics, Facebook Pixel, GoogleMaps, YouTube, Xing, Twitter und Google TagManager umsetzt.

Durch diese Lösung sparen eRecht24 Premium Nutzer viel Geld:
https://www.e-recht24.de/mitglieder/

Praxis-Tipp:
Als Agentur-Mitglied bei Recht24 Premium können Sie das Consent Tool auch für die Webseiten Ihrer Kunden nutzen.

Sören SiebertRechtsanwalt

Da das Tool unabhängig von einem CMS auf möglichst vielen Webseiten funktioniert, benötigen Sie für die korrekte Einbindung allerdings etwas Programmierer-Know How.

Cookie Consent mit Borlabs Cookie: PlugIn für Wordpress

Wenn Sie mit WordPress arbeiten und ein PlugIn nutzen wollen, empfehlen wir Borlabs Cookie. Wir haben mit Benjamin Bornschein, dem CEO und Entwickler von Borlabs Cookies, einen Rabatt von bis zu 45% für eRecht24 Premium Nutzer vereinbart:
https://www.e-recht24.de/mitglieder/

Als Agentur-Mitglied können Sie das Rabatt-Angebot auch für die Webseiten Ihrer Kunden nutzen.

Consent Management Provider (CMP)

Auch das Tool „Consent Management Provider“ funktioniert unabhängig von einem bestimmten CMS, ist also z.B. nicht auf Wordpress beschränkt.

Es gibt eine kostenlose Variante mit einigen Einschränkungen und bis zu 10.000 Page Views/ Monat. Für die kostenpflichtige Variante erhalten eRecht24 Premium Nutzer 25% Rabatt.

Was mache ich, wenn mir keine dieser Lösungen zusagt?

Es gibt natürlich noch zahlreiche andere Anbieter, die alle bestimmte Vor- und Nachteile haben. Egal ob aus technischen, wirtschaftlichen oder rechtlichen Überlegungen:

Wenn Sie keine Lösung auf dem Markt finden, die ihren Ansprüchen gerecht wird bleibt nur, eine Lösung für Ihre Webseiten und Dienste selbst entwickeln zu lassen.

Der Mittelweg: Info per Cookie Banner

Sie informieren den Nutzer beim ersten Seitenaufruf über das Verwenden von Cookies und sein Widerspruchsrecht (Cookie Banner), verzichten aber auf eine Einwilligung. Der Nutzer muss hier also nicht klicken und bestätigen.

Risiko: Hoch

Der risikoreiche Weg: Info nur in der Datenschutzerklärung

Als Seitenbetreiber informieren Sie die Nutzer lediglich in Ihrer Datenschutzerklärung. Damit verstoßen Sie aber gegen die aktuellen Aussagen des EuGH, und gegen die Vorgaben der Datenschutzbehörden. Und auch immer mehr Unternehmen wie Google verlangen, dass für bestimmte Dienste eine Einwilligung der Nutzer eingeholt wird.

Risiko: Sehr hoch

Wichtig: In ALLEN Varianten sollten Sie einen entsprechenden Passus zu Cookies und Hinweise für den Nutzer, wie er das Setzen von Cookies verhindern kann, in Ihre Datenschutzerklärung aufnehmen. Sie können dazu unseren kostenlosen Datenschutz-Generator verwenden:
https://www.e-recht24.de/muster-datenschutzerklaerung.html

Praxis-Tipp: Einen DSGVO-konformen Datenschutz-Generator finden Sie bei eRecht24 Premium.

Sören SiebertRechtsanwalt

3. Benötigen alle Cookies eine Einwilligung?

Leider kann man diese Frage nicht so einfach beantworten:

  1. Die ePrivac-Verordnung, die das Thema „Cookies“ regeln sollte, ist noch nicht in Kraft.
  2. Die DSGVO macht keine Aussagen zur Frage Tracking und Cookies.
  3. Urteile speziell zur Frage, welche Cookies konkret eine Einwilligung benötigen, gibt es noch nicht.

Als Webseitenbetreiber kann man sich aktuell nur an dem orientieren, was der EuGH dazu entscheiden hat und was die einzelnen Datenschutzbehörden und die Datenschutzkonferenz (DSK) vorgeben. Deren Auffassung ist aktuell:

  1. Nicht für alle Cookies benötigt man eine Einwilligung.
    Session-Cookies, Cookies für LogIns oder Warenkörbe, die keine Daten weiter geben, können vom berechtigten Interesse des Webseitenbetreibers abgedeckt sein.
  2. Tracking und Werbe-Cookies von Drittanbietern benötigen eine Einwilligung.
    Das sind also vor allem Cookies, die für die eigentlichen Funktionen der Webseite nicht zwingend notwendig sind und die Daten dann ggf. mit anderen Daten und Diensten verknüpfen oder teilen.

4. Cookies und Google Ads/ Google Analytics

Google Ads

Google hatte schon seit 2015 für AdSense verlangt, den Nutzern einen Hinweis  auf die Google-Cookies anzuzeigen. Dazu hat Google "Richtlinie zur Einwilligung der Nutzer in der EU“ online gestellt.
http://www.google.com/about/company/user-consent-policy.html

Dort heisst es, Seitenbetreiber müssen

  1.  „wirtschaftlich vertretbare Maßnahmen ergreifen“ um den Nutzer über das Speichern und Weitergeben der Daten zu informieren und
  2.  müssen eine entsprechende Einwilligung der Nutzer einholen.

Damit ging Google sogar weiter als viele EU-Datenschutzbehörden es forderten. Allerdings schreibt Google die Einwilligung nur für AdSense und Double Klick vor, nicht hingegen für andere Dienste wie Google Analytics.

Mit der DSGVO und der Bündelung der Dienste als Google Ads hat Google dann seit 2017 geregelt, dass Werbetreibende eine Einwilligung der Nutzer einholen müssen:

https://support.google.com/google-ads/answer/9028179?hl=de

Seitenbetreiber, die Google Ads nutzen, sollten den Vorgaben von Google folgen und eine Einwilligung der Nutzer einholen. 

Benötigt Google Analytics eine Einwilligung?

Auf diese Frage gibt es leider im Moment keine 100%ig sichere Antwort. Hier muss man leider etwas ausholen:

  1. Ursprünglich hatte sich Google für Analytics ja auf eine datenschutzkonforme Lösung verständigt. IP-Anonymisierung, AV-Vertrag, Austragelink für die Nutzer, alte Daten löschen, Darstellung von Analytics in der Datenschutzerklärung. Mehr Infos dazu finden Sie hier:
    https://www.e-recht24.de/mitglieder/tools/google-analytics/
  2. Die DSGVO regelt Fragen zu Cookies und Tracking nicht direkt.
  3. Fragen zu Cookies und Tracking sollte die ePrivacy-VO regeln. Diese ist leider immer noch nicht in Kraft. Wann diese kommt weiß leider auch niemand.

Nun sind die Datenschutzbehörden mit einem Positionspapier an die Öffentlichkeit gegangen, in dem die Auffassung geäußert wird, dass auch für Dienste wie Google Analytics eine Einwilligung nötig ist:

https://www.datenschutzkonferenz-online.de/media/oh/20190405_oh_tmg.pdf

Das gilt nicht für alle Tracking Lösungen, aber – zumindest lesen wir das Positionspapier der DSK so - für Google Analytics. Die Begründung ist, dass Google diese Daten eben nicht nur dem einen Seitenbetreiber für das Tracking seiner Seitenbesucher zur Verfügung stellt, sondern dass verschiedene Daten auf nicht mehr nachvollziehbare Weise verknüpft und diese Daten dann quasi weltweit und für andere Dienste aus dem Google Ads Universum zur Verfügung stehen.

Das geht nach Ansicht der Datenschützer aber nur mit einer echten Einwilligung der Nutzer.  

5. Diese Seite verwendet Cookies: Der Text für einen Cookie Hinweis

Für die Formulierung des Textes in einem Cookie Banner gibt es keine gesetzlichen Vorgaben. Auf den meisten Webseiten und Datenschutzerklärungen lautet der Text wie folgt:

Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu.

Weitere Informationen zu Cookies erhalten Sie in unserer Datenschutzerklärung

Wichtig für Tracking und Retargeting:

Nach aktueller Auffassung der Datenschützer reicht so ein bloßer Hinweis zumindest für viele Tracking-Cookies aber eben nicht aus. Hier sollten Seitenbetreiber eine echte Einwilligung der Seitenbesucher  einholen. 

6. Consent Tools für Cookie-Einwilligungen auf Ihrer Website

Auf der sicheren Seite sind Sie, wenn Sie für Cookies und Tracking Tools auf Ihrer Webseite eine echte Einwilligung einholen. Dafür gibt es die sogenannten Cookie Consent bzw. Consent Management Tools.

Was ist ein Consent Tool?

Mit einem Consent Tool können Webseitenbetreiber mit einem Klick die Einwilligung der Nutzer zur Verwendung ihrer persönlichen Daten einholen. Mit einem Consent Tool legen Sie fest, welche Nutzerdaten gespeichert und verarbeitet werden und gibt den Nutzern die Möglichkeit, die erteilten Einwilligungen zu verwalten und zu widerrufen.

Es gibt unzählige Anbieter von Cookie Consent Tools, um eine Einwilligung der Nutzer auf Webseiten einholen. Am wir wollen Ihnen hier eine Auswahl der am Markt erhältlichen Tools präsentieren:

Usercentrics

Usercentrics ist die größte und wahrscheinlich bekannteste Consent Lösung auf dem Markt. Das Tool funktioniert unabhängig vom verwendeten CMS, läuft also auf allen Webseiten.Das Tool kann hunderte Dienste, Cookies udn PlugIns verwalten.

eRecht24 Premium Nutzer können die Consent-Lösung von Usercentrics kostenlos nutzen. Die Lösung ist unter “Cookie Einwilligung” bereits im eRecht24-Projekt-Manager integriert und kann dort direkt genutzt werden.

Usercentrics jetzt für Ihre Webseiten nutzen!

Borlabs Cookie

Mit Borlabs Cookie bietet ein leicht zu bedienendes Cookie Consent Tool für WordPress, das Ihnen erlaubt Cookies und Dienste  mit DSGVOkonformer Nutzereinwilligung zu integrieren. Dazu ist keine Programmierung notwendig. Erst wenn Ihre Besucher ihre Zustimmung geben, werden die Dienste aktiviert und der Cookie gesetzt.

eRecht24 Premium Nutzer erhalten Boorlabs Cookies mit 45% Rabatt.

Jetzt Webseiten mit eRecht24 Premium absichern

Consent Management Provider

Das Tool Consent Management Provider funktioniert ebenfalls unabhängig von einem bestimmten CMS, ist DSGVO-konform und dank Cookie Crawler leicht integrierbar. Zudem können Sie das Design selbst gestalten und an Ihre CI anpassen oder per Optimizer automatisch auf maximale Einwilligung optimieren lassen.

eRecht24 Premium Nutzer erhalten das Tool Consent Management Provider mit 20% Rabatt!

Jetzt Webseiten mit eRecht24 Premium absichern

Weitere Anbieter

Wordpress:

https://de.wordpress.org/plugins/cookie-notice/

WIX:
https://support.wix.com/en/article/adding-and-setting-up-a-cookie-alert-popup

Cookie Consent Kit von Silktide:
https://silktide.com/tools/cookie-consent/

Cookie Consent Kit der Europäischen Kommission:
http://ec.europa.eu/ipg/basics/legal/cookies/index_en.htm#section_5

Cookie Control:
http://www.civicuk.com/cookie-control/index

7. Cookie Hinweis, Cookie Banner, Cookie Warnung: Wo ist da der Unterschied?

Es existieren sehr viele verschiedene Bezeichnungen zur Problematik "Cookie Hinweis", gesetzliche Grundlagen und Darstellung in der Datenschutzerklärung. Zeit für eine kurze Klarstellung der Rechtslage und Begrifflichkeiten:

Cookie Hinweis:

Alternative Bezeichnungen: Cookie Banner, Cookie Warnung, Cookie Pop Up, Cookie Meldung

Damit ist der Text gemeint, den Nutzer bei erstmaligen Aufruf einer Seite entweder oben oder unten auf der Seite angezeigt können. Also genau der Text, den 99% aller Internetnutzer sofort „bestätigen“ bzw. besser wegklicken.

Datenschutzerklärung (mit Cookie Hinweis):

Alternative Bezeichnungen: Cookie Policy, Cookie Datenschutzerklärung, Cookie Hinweistext, Cookie Hinweis für Webseiten

Damit ist die eigentliche Datenschutzerklärung einer Webseite gemeint. Unabhängig davon ab Sie auf Ihrer Seite einen Cookie Hinweis einbinden oder nicht sollte jede Datenschutzerklärung einen Passus zu Cookies enthalten, der erklärt, welche Cookies Sie einsetzen und was diese tun.

Praxis-Tipp: Nutzen Sie für den DSGVO-konformen Cookies-Text unseren neuen Datenschutz-Generator bei eRecht24 Premium.

Sören SiebertRechtsanwalt

 

8. Praxis-Tipps zu Cookie Hinweisen

Auf Nummer sicher gehen

Wenn Sie auf Nummer sicher gehen wollen, binden Sie ein Consent Tool mit Einwilligung auf Ihrer Webseite ein.

Neue gesetzliche Regelungen

Es ist weiterhin nicht klar, für welche Cookies eine Einwilligungspflicht gilt. Zumindest für Cookies von Drittanbietern, die zu Werbe- und Trackingzwecken eingesetzt werden, sollte eine Einwilligung eingeholt werden.

Datenschutzerklärung nicht vergessen

Fügen Sie auf jeden Fall immer einen aktuellen DSGVO-konformen Passus zu Cookies in Ihrer Datenschutzerklärung ein.

Die korrekte Umsetzung

Nutzen Sie für die rechtssichere Umsetzung einfach die ohne zusätzliche Kosten in eRecht24 Premium enthaltene Lösung von Usercentrics. Bei eRecht24 Premium beantwortet das Team der Kanzlei Siebert Ihre Fragen und Sie können alle Profi-Datenschutzgeneratoren nutzen.

9. FAQ zu Cookies, ePrivacy-Verordnung & Co.

Was ist die ePrivacy-Verordnung und was hat das mit Cookies zu tun?

Die ePrivacy-Verordnung regelt spezielle Bereiche zum Thema Datenschutz im Internet. Unter anderen sollen dort auch die Themen Cookies und Tracking geregelt werden. 

Wann tritt die ePrivacyVO in Kraft?

2018. 2019. Man weiß es leider nicht. Die ePrivacy-VO sollte eigentlich 2018 zeitgleich mit der DSGVO in Kraft treten. Im Moment sieht es eher nach Ende 2019 / Anfang 2020 aus. 

Hängen die ePrivacyVO und die DSGVO zusammen?

Die DSGVO regelt die Grundzüge des Datenschutzrechts. Die DSGVO ist so etwas wie der große Rahmen und gilt für alle personenbezogenen Daten nicht nur im Internet. Die ePrivacy-VO regelt spezielle Bereiche wie den Schutz personenbezogener Daten in der "elektronischen Kommunikation", wie es im Juristendeutsch heißt.

Gibt es unterschiedliche Cookies oder Cookie-Arten?

Ja. So genannte First Party Cookies, die ein Seitenbetreiber selbst setzt, etwa für LogIn Einstellungen oder Warenkörbe. Diese Cookies werden nicht an andere Unternehmen übertragen. Dann gibt es noch Third Party Cookies. Diese Cookies werden von externen Anbietern gesetzt und für Marketing- und Tracking-Zwecke übertragen und ausgewertet.

Was sind „notwendige“ Cookies?

Cookies, die zum technischen Funktionieren einer Seite nötig sind. Zum Beispiel Cookies für Logins auf Webseiten oder für Warenkörbe.

Wie ist mit Affiliate Cookies umzugehen?

Das kommt auf die Daten an, die übertragen werden. man wird aber davon ausgehen müsen, dass die Diskussion um die Einwilligung bei Trackking Cookies auch Affiliate Cookies betrifft, wenn diee personenbezogenen Nutzerdaten beinhalten.

Wie ist mit Session Cookies umzugehen?

Eigene Session Cookies auf Ihrer Seite sind von dem Urteil nicht betroffen. Das gleiche gilt für Cookies, die der reinen Funktionsweise der Webseite dienen. 

Reichen Cookie Banner weiterhin aus oder muss ich ein Consent-Banner/Consent Tool verwenden?

Ein bloßes Cookie-Hinweis Banner reicht nicht aus. Seitenbetreiber, die Cookies zu Werbe- und Trackingzwecken einsetzen, müssen eine Einwilligungslösung über ein Consent Tool einbinden.

Auf was sollte ich bei der Gestaltung der Einwilligung achten?

Der Nutzer muss informiert werden, welche Dienste / Tools auf der Webseite laufen. Er muss diese ablehnen können. DIe Tools dürfen vor der Zustimmung des Nutzers noch keine Daten übertragen oder Cookies setzen.

Ist es legitim einen Consent zu erzwingen, indem der User die Cookies akzeptiert oder die Website ansonsten verlassen muss?

Einige europäische Datenschutzbehörden sagen, das dies nicht erlaubt ist. Der Nutzer muss also auch bei Ablehnung weiter surfen können. Ob sich diese Ansicht auch in Deutschland durchsetzt, können wir leider nicht sagen. Fragen Sie im Zweifel bei Ihrer zuständigen Datenschutzbehörde nach.

Muss ich in der Datenschutzerklärung über alle auf meiner Webseite eingesetzten Cookies informieren?

Ja, zusätzlich zu der Einwilligung sollten Sie in Ihrer Datenschutzerklärung auch über den Einsatz der verschiedenen Cookies informieren.

 

Diese Beiträge könnten Sie ebenfalls interessieren:
Weiterlesen...
Neue Muster-Widerrufsbelehrung 2013: Was Shopbetreiber und Händler bei eBay wissen müssen Auch Sie können Ihre Widerrufsbelehrung für Onlineshops, Amazon und eBay & Co einfach und schnell rechtssicher gestalten, wenn Sie richtig vorgehen! Das Th...
Weiterlesen...
Viren, Trojaner, Phishing und Co: 10 Regeln zum Schutz Ihrer Daten Unsere Computer und Daten sind unzähligen Gefahren im Internet ausgesetzt. Schon der Verlust von privaten Dokumenten oder Fotos ist schmerzlich. Der Missbrauch ...
Weiterlesen...
Werkvertragsrecht Das neue Werkvertragsrecht (Herstellen einer Sache, etwa individuelle Software auf Kundenwunsch) ist im Wesentlichen an das Kaufrecht angelehnt. Deshalb werden ...
Weiterlesen...
BGH-Urteil: Handel mit nikotinhaltigen E-Zigaretten ist strafbar Der Handel mit nikotinhaltigen Flüssigkeiten für E-Zigaretten, sogenannte Liquids, ist laut einer aktuellen Grundsatzentscheidung des BGH derzeit in Deutschland...
Weiterlesen...
Aktuelles Urteil zu Cookies: BGH sagt Einwilligung muss sein Erst der EuGH, jetzt auch der BGH: Die Gerichte sind sich einig, dass Webseitenbetreiber eine aktive Einwilligung der Besucher benötigen, wenn sie Cookies setze...