You are currently viewing Benötigt jede Website ein Cookie-Consent-Banner?

Benötigt jede Website ein Cookie-Consent-Banner?

Jeder von uns kennt die lästig aufpoppenden Cookie-Consent-Banner – die Aufforderung zur Cookie-Einwilligung – und klickt sie meist genervt weg ohne weiter darüber nachzudenken. Doch braucht man solch ein Banner überhaupt auf jeder Website?

Vor nicht allzu langer Zeit stellte mir ein Kunde diese Frage und da ich ihm nicht gleich eine eindeutige Antwort geben konnte, tauchte ich erstmal tief in das Thema ein. Davor hatte ich darüber nie so genau nachgedacht, denn in Schulungen und einschlägigen Artikeln wird eigentlich (fast) immer zu einem Banner geraten – sicherheitshalber.

Auf der Website der Datenschutzbehörde war dazu leider nichts zu finden, dafür aber ein anderer interessanter Hinweis, zu dem wir später kommen. In der Welt der Cookie-Banner hat sich in den letzten Jahren viel getan. Zunächst waren sie ja so angelegt, dass man mehr oder weniger allen Cookies zustimmen „musste“ bzw. keine andere Wahl hatte. Ausschlaggebend dafür war das sogenannte „Cookie-Urteil“ des EUGh aus dem Jahr 2019, in dem die grundsätzliche Zustimmung zu Cookies eingefordert wurde. Doch sind Cookies gleich Cookies?

Welchen Cookies muss man zustimmen?

Um diese Frage zu beantworten, müssen wir im entsprechenden Gesetzestext nachsehen – der Datenschutzgrundverordnung der EU (in Kraft seit 25. Mai 2018). Diese Verordnung hat für viel Wirbel in den Unternehmen gesorgt. Datenschutzbeauftragte mussten ernannt und geschult werden, Verzeichnisse für die Verarbeitung von Daten müssen seither angelegt und Betroffene über die Rechte bezüglich ihrer Daten aufgeklärt werden, um hier nur die wichtigsten Punkte aufzugreifen. Doch schon vor dieser Verordnung galt in Österreich das Datenschutzgesetz, das nun durch die DSGVO erweitert und durch nationale Gesetzeserweiterungen angepasst wurde. Vor allem die hohen angedrohten Strafen bei Verletzung der DSGVO machten den Unternehmen Angst. Geldbußen von bis zu 20 Mio EUR oder im Fall eines Unternehmens von bis zu 4% seines weltweiten(!) Jahresumsatzes des vorangegangenen Geschäftsjahres. Das bedeutet für international tätige Großkonzerne, dass sich die Buße aus dem weltweiten Jahresumsatz errechnet, obwohl die Verordnung „nur“ für Europa gilt. Als ich damals für die voestalpine tätig war, hatte das Thema im Konzern für jede Menge Aufruhr gesorgt.

Rechtsgrundlage Cookie-Consent-Banner, DSGVO

Die Verarbeitung von personenbezogenen Daten gilt als rechtmäßig, wenn einer dieser Bedingungen erfüllt ist

Auszug aus dem Artikel 6, Absatz 1 der DSGVO zur Rechtmäßigkeit der Datenverarbeitung

Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

a)Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
b)die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
c)die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
d)die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
e)die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
f)die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Für Inhaber einer Website ohne Onlineshop sind nur die Buchstaben a und f relevant, andere treffen bspw. lediglich zu, wenn ein Vertrag geschlossen wird, also bei einem Rechtsgeschäft. Gemäß dieser Verordnung ist es also nicht immer zwingend erforderlich, die Einwilligung zu Cookies einzuholen.

Das sogenannte Cookie-Urteil bezieht sich lediglich auf den Buchstaben a des o.g. Artikels. Wenn also „berechtigtes Interesse“ vorliegt, ist gar keine Einwilligung einzuholen, oder?

Was bedeutet „berechtigtes Interesse“ und „technisch notwendig“?

Sind Cookies technisch notwendig oder besteht berechtigtes Interesse, ist keine Einwilligung notwendig. Im Klartext bedeutet das:

  • Technisch notwendige Cookies sorgen dafür, dass ein Dienst überhaupt angeboten werden kann. Daher kann man diese Cookies auch nicht deaktivieren.
  • Berechtigtes Interesse: Datenverarbeitungen, die unbedingt erforderlich sind, damit z.B. ein Webshopbetreiber seinen Dienst (Webshop), der vom Nutzer ausdrücklich gewünscht wird, anbieten kann, können nach § 165 Abs 3 TKG als berechtigtes Interesse gelten. Für den sog. Warenkorb-Cookie wird die IP-Adresse gespeichert, um den Warenkorb korrekt anzeigen zu können. D.h. nun, dass diesem Cookie nicht zugestimmt werden muss, im Rahmen der Informationspflichten (Datenschutzerklärung) muss aber das berechtigte Interesse sehr wohl angeführt werden..

Vorsicht ist immer bei der Verwendung von Drittanwender-Cookies geboten. Und die werden auf beinah jeder Website verwendet. Das trifft schon zu, wenn eine Google Schriftart, der Dienst Google Maps verwendet oder ein YouTube Video angezeigt wird. Auch die Verlinkung zu Social Media Kanälen führt zu Übertragung der Sitzungsdaten an Server in den USA. Dies kann man umgehen, indem man Schriften einbettet oder Videos im sicheren Modus einbindet.

Warum man Google Analytics von seiner Website verbannen sollte

Vorsicht – Tracking!

Besonders problematisch ist die Verwendung von Google Analytics wie eine aktuelle Entscheidung zu einem Beschwerdeverfahren der Datenschutzbehörde zeigt:

Die Datenschutzbehörde hat sich im Rahmen eines Beschwerdeverfahrens mit der Vereinbarkeit von Google Analytics und der Datenschutz-Grundverordnung (DSGVO) befasst. Bei Google Analytics handelt es sich um ein Google-Tool, mit dem Betreiber einer Website detaillierte Berichte über das Nutzerverhalten von Website-Besuchern erstellen können. 
Beim Aufruf einer Website, die Google Analytics verwendet, wird dem Browser des Besuchers eine Google Analytics Kennnummer zugeordnet. Besucher können anhand dieser Kennnummer individualisiert und unterschiedlich behandelt werden. Zusätzlich besteht die Möglichkeit, diese Kennnummer mit weiteren Informationen zu kombinieren, wie etwa mit der IP-Adresse oder gewissen Browserdaten. Durch diese Kombination entsteht ein einzigartiger digitaler Fußabdruck, der dem Benutzer des Browsers zugeordnet werden kann. Wenn ein Besucher während des Aufrufs einer solchen Website in sein Google Konto eingeloggt ist, kann die Information über den Websitebesuch auch dem jeweiligen Google Konto zugeordnet werden. 
Im Beschwerdeverfahren wurde festgestellt, dass dieser digitale Fußabdruck auch an die Server von Google LLC mit Sitz in den USA übermittelt wurde. Der Betreiber der Website und Google LLC haben Standarddatenschutzklauseln (in der Fassung des Durchführungsbeschlusses der Europäischen Kommission 2010/87/EU vom 5. Februar 2010) abgeschlossen. Ausgehend von der Rechtsprechung des Gerichtshofs der Europäischen Union in C‑311/18 („Schrems II“) wurde diese Datenübermittlung als unzulässig beurteilt, weil kein angemessenes Schutzniveau für die übermittelten personenbezogenen Daten, wie gemäß Artikel 44 DSGVO gefordert, gegeben war. Die zusätzlich zu den Standarddatenschutzklauseln implementierten Maßnahmen waren aus Sicht der Datenschutzbehörde nicht effektiv, da diese die seitens des EuGH aufgezeigten Überwachungs- und Zugriffsmöglichkeiten durch US-Nachrichtendienste nicht beseitigt haben. 
Die Datenschutzbehörde hat daher mit Bescheid festgestellt, dass Website-Betreiber das Tool Google Analytics (jedenfalls auf Grundlage des im Bescheid festgestellten Sachverhalts) nicht in Einklang mit der DSGVO einsetzen können. Dieser Bescheid ist nicht rechtskräftig. 
Bescheid: D155.027 GA (PDF, 907 KB)

Information der Datenschutzbehörde zur Entscheidung über die Verwendung von Google Analytics

Darf ich also keine statistischen und marketingrelevanten Daten auf meiner Website erfassen?

Nana, so heiß wird nicht gegessen wie gekocht! Natürlich darf man die Besucherzahl analysieren. Aber das geht auch ohne Google und die damit einhergehende problematische Datenübertragung nach Übersee. Es gibt aussagekräftige Statistik-Tools, die die Besucher nicht bis in ihre Schlafzimmer tracken. Darauf legt Visual Vision bei der Gestaltung von Websites besonderes Augenmerk.

Auch die Formulierung einer rechtskonformen Datenschutzerklärung und damit einhergehendem Cookie-Consent-Banner können durch Visual Vision mit entsprechenden Plugins rechtssicher ausgestaltet werden.

Was genau auf den Banner gehört, hängt natürlich stark davon ab, welche Inhalte angeboten werden. Rechtskonform ist der Banner nur dann, wenn er technisch einwandfrei funktioniert. D.h. dass abgewählte Dienste auch tatsächlich deaktiviert werden müssen. Ist das nicht der Fall, wird man rechtsbrüchig. Hier ein Textbeispiel, das wohl für die meisten Websites zutrifft:

Wir setzen Cookies und verwenden Analyse-Tools sowie andere Dienste von Drittanbietern. Wenn Sie auf „ALLE AKZEPTIEREN“ klicken, können wir die gesammelten Daten zu Analyse-, Optimierungs- und/oder Marketingzwecken nutzen, um unser Angebot zu verbessern und die vollumfängliche Funktionalität unserer Website zu gewährleisten. Ein Widerruf oder eine Änderung ist jederzeit möglich.

Visual Vision

Entsprechende Cookie-Einstellungen sollten im Banner wählbar sein:
NOTWENDIGE (=immer aktiviert) – MARKETING – STATISTIK – ALLE AKZEPTIEREN

Wichtig ist hier noch: Alle Wahlmöglichkeiten müssen gleichberechtigt dargestellt werden. Namhafte Anbieter von Cookie-Consent-Managern haben hier bereits nachgebessert. Bis vor kurzem war es noch üblich, dass „Alle akzeptieren“ wesentlich schreiender dargestellt werden durfte, als die restlichen Wahlmöglichkeiten, wenn es sie denn überhaupt gab.

Kein Tracking – kein Banner

Liegen auf Ihrer Website lediglich Inhalte vor, für die der Buchstabe f des Artikels 6 der DSGVO gilt, dann ist auch kein Cookie-Consent-Manager notwendig. Diese müssen lediglich in der Datenschutzerklärung aufgeführt werden – und die ist auf jeder Website ein Muss!

Sind Sie unsicher, ob Ihre Website die rechtlichen Anforderungen erfüllt? Wenden Sie sich an Visual Vision oder informieren Sie sich unter den angeführten Links.

Datenschutzbehörde

Artikel zum Thema auf der Website der WKO

Hinweis: Dieser Artikel erhebt keinen Anspruch auf Vollständigkeit und ersetzt keineswegs die Analyse durch einen Rechtsexperten auf dem Gebiet des Datenschutzes für Ihre Website. Wer es ganz genau wissen will, erkundige sich bitte beim zuständigen Fachverband der WKO oder einem Anwaltsbüro, das sich auf Datenschutz und Onlinepräsenz spezialisiert hat.