Aktuelles & Veranstaltungen

FAQs zu Cookies und Tracking

Am 04.03.2022 hat der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württembergs, Dr. Stefan Brink, eine aktualisierte Hilfestellung für Betreiber von Webseiten und Hersteller von Smartphone-Apps herausgegeben. Mit diesen FAQs werden nicht nur umfassende Informationen im Frage-Antwort-Stil vermittelt, darüber hinaus gibt es einen weitreichenden Abschnitt mit Negativbeispielen und „Standardfehlern“. Abschließend werden Praxisbeispiele für Cookie-Banner vorgestellt und auf mögliche Verstöße anhand der zuvor bereitgestellten Informationen verwiesen.

Neue Herausforderungen durch das TTDSG

Die Hinweise umfassen nun auch die Erfordernisse des im Dezember 2021 in Kraft getretenen Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG). Vor allem auf § 25 TTDSG, dem Schutz der Privatsphäre bei Endeinrichtungen[1], wird eingegangen. Hier wird der Einsatz von Cookies und ähnlichen Technologien, mittels derer Informationen auf Endeinrichtungen gespeichert oder aus diesen ausgelesen werden, geregelt. Das TTDSG schützt demnach vor allem die Integrität von Endeinrichtungen bzw. schützt sie vor Fremdzugriff. Das neue TTDSG gilt insoweit neben der DSGVO und unabhängig davon, ob personenbezogene Daten verarbeitet werden. Dennoch weisen die FAQ darauf hin, dass notwendige Einwilligungen unter Berücksichtigung bestimmter Bedingungen (vgl. Seite 9 ff. Orientierungshilfe Telemedien 2021 der DSK) grundsätzlich gleichzeitig eingeholt werden können[2].

Was wird den Webseitenanbietern empfohlen?

Der Landesbeauftragte für Datenschutz und Informationsfreiheit empfiehlt mehrmals ausdrücklich, den eigenen Aufwand zu begrenzen und so weit möglich auf Cookies und einwilligungsbedürftige Verarbeitungen zu verzichten. Damit würden Betreiber von Internetangeboten und anderen Telemediendiensten die umfangreichen Anforderungen an die korrekte Einholung von Einwilligungen und die damit einhergehenden typischen Fehler vermeiden und damit verbundene Risiken minimieren. Die Fülle an Fehlerquellen zeigt die Größe der Herausforderung, vollständig rechtskonforme Einwilligungen einzuholen. Eine empfohlene Lösung ist die Auswertung lokaler Logfiles der eigenen Webseitenserver zur Reichweitenanalyse. Dabei darf der Umfang der Logfiles jedoch nicht so stark ausgedehnt werden, dass es zum sog. aktiven Fingerprinting kommt. Auch hier zählt Datensparsamkeit.

Was müssen Webseitenanbieter beachten?

Webseiten sollten nicht sicherheitshalber Einwilligungen per Cookie-Banner einholen, wenn diese möglicherweise gar nicht notwendig sind. Das würden den Nutzern suggerieren, dass die jeweilige Verarbeitung freiwillig ist und jederzeit frei widerrufbar wäre. Konsequenterweise müssten Verantwortliche einen Widerruf dann auch ausnahmslos umsetzen – trotz eventueller technischer sowie rechtlicher Hürden. Unabhängig davon wäre eine Verletzung des Transparenzgrundsatzes aufgrund der nicht zutreffenden Betroffeneninformationen durch die Angabe einer falschen Rechtsgrundlage sehr wahrscheinlich gegeben und grundsätzlich sanktionsfähig.

Cookie-Banner bzw. die Einwilligung sind nur dann verzichtbar, wenn lediglich (technisch) notwendige Cookies eingesetzt werden, um den Nutzenden einen nachgefragten Dienst zu erbringen. Als Beispiel werden Login oder Warenkorb-Cookies angeführt, sobald der Nutzende sich anmeldet bzw. ein Produkt in den virtuellen Einkaufswagen legt.

Zur Einbindung externer Inhalte oder Social-Media-Buttons sollte im Vorfeld überprüft werden, wann Informationen an Dritte übermittelt werden. Nutzende müssen nämlich vor Übermittlungen umfassend über diese informiert und um Zustimmung gebeten werden. Empfohlen werden in diesen Fällen beispielsweise die lokale Verarbeitung, die Verwendung von Proxy-Skripten (z.B. Embetty) oder eine Zwei-Klick-Lösung (Nutzung von Vorschaltdialogen, die Inhalte erst nach Bestätigung laden). In diesem Zusammenhang wird auch auf die Einbindung von externen Schriftarten/Fonts (lokale Einbindung der Schriftarten z.B. über den Google Web Fonts Helper) oder Kartendiensten eingegangen.

Eine Reichweitenanalyse, ohne dass nach dem TTDSG eine Einwilligung erforderlich wäre, kann nur unter bestimmten Voraussetzungen[3] erfolgen. Sofern die Reichweitenanalyse aber mit der Speicherung von Cookies oder dem Auslesen von Informationen des Endgeräts einhergehen, so wird eine ausdrückliche, informierte, freiwillige, aktive und vorherige Einwilligung der Nutzenden erforderlich. Diese Einwilligungspflicht gilt unabhängig davon, ob die auf den Endgeräten gespeicherten oder aus diesen ausgelesenen Informationen personenbezogen sind oder nicht.

Wie kann ich einen rechtskonformen Einwilligungsbanner gestalten?

Der Banner muss folgende Kriterien[4] erfüllen:

  • Deutlich- und Verständlichkeit
  • Zweck der Verarbeitung nachvollziehbar benennen
  • datenschutzfreundliche Voreinstellungen
  • keine vorherigen (Dritt-)Verbindungen
  • keine Manipulation (Nudging)[5]
  • einfach zugängliche Ablehnung
  • Erreichbarkeit der Datenschutzerklärung/ des Impressums
  • Freiwilligkeit der Einwilligung
  • Widerrufsmöglichkeit (jederzeit leicht zugänglich)

Zusammenfassung

Aufgrund der Fülle an Negativbeispielen und Fehlern, die in den FAQ aufgezeigt werden, kann davon ausgegangen werden, dass ein nicht zu unterschätzender Teil der Webseiten nicht rechtskonforme Cookie-Banner bzw. Einwilligungen verwenden. Die FAQ bieten umfangreiche Informationen und Praxisbeispiele, wie diese Fehler vermieden werden können. Nichtsdestotrotz wird seitens des Landesbeauftragten für Datenschutz und Informationsfreiheit mehrmals empfohlen, auf einwilligungsbedürftige Verarbeitungen gänzlich zu verzichten.

Gerne Überprüfen wir Ihre Webseite auf einwilligungsbedürftige Verarbeitungen und unterstützen Sie bei der Umsetzung des TTDSG und einem rechtskonformen Cookie-Banner.

Leon Bäßler
Volljurist
Berater für Datenschutz

[1] Zur Definition des Begriffs „Endeinrichtung“ siehe § 2 Absatz 2 Nr. 6 TTDSG.

[2] Punkt 4.2. FAQ „Cookies und Tracking durch Betreiber von Webseiten und Hersteller von Smartphone-Apps“

[3] Punkt 3.1. FAQ „Cookies und Tracking durch Betreiber von Webseiten und Hersteller von Smartphone-Apps“

[4] Punkt 4.3. FAQ „Cookies und Tracking durch Betreiber von Webseiten und Hersteller von Smartphone-Apps“

[5] Nudging bedeutet in diesen Fällen, den Besuchenden der Webseite durch Gestaltung des Cookie-Banners dazu zu bewegen, seine vorbehaltslose Einwilligung abzugeben statt auf „Alle ablehnen“ zu klicken. Dies wird in der Regel durch farbliche Hervorhebung oder Skalierung des „Alle akzeptieren“-Buttons versucht.

Back To Top