25.09.2023
Leitfaden Tracking und Cookies – Überblick über datenschutzrechtliche Aspekte nach TTDSG und DSGVO
Tracking und die in diesem Kontext zulässigen Tools sind nach wie vor für Werbetreibende von großem Interesse. Nicht nur die EuGH- und BGH-Urteile zu „Planet49“ sowie das EuGH-Urteil zu „Schrems II“ definierten neue Anforderungen und Herausforderungen für den Zugriff auf oder die Speicherung von Informationen im Endgerät wie bei Tracking von Nutzer:innen und dem Einsatz von Cookies.
Inhalt
- Welche Normen sind für Cookies und Co. wichtig?
- Einwilligungspflicht und Ausnahmen nach § 25 TTDSG: Abgrenzung und Rechtsgrundlagen gemäß Art. 6 DSGVO
- Webtools, Datenschutz und EuGH-Entscheidungen: Neuer Angemessenheitsbeschluss, YouTube & Google Analytics im Fokus
- Wann ist ein Cookie-Banner erforderlich?
- Welche Alternativen gibt es zum Cookie-Banner?
- Empfehlungen und Vorgaben für die Gestaltung von Einwilligungsbannern
- Welche aktuellen Urteile weisen die Richtung bei der Gestaltung von Cookie Bannern?
- DSGVO-konforme Cookie-Banner – welche Informationen sollen enthalten sein?
- Technische Voraussetzungen für Banner und Datenschutzeinwilligung
- Wie viele Buttons müssen im Cookie-Banner enthalten sein?
- Wie unauffällig kann der Ablehnen-Button sein und wie unterscheidet man gutes Design von irreführenden „Dark Patterns“?
- Wie gelten DSGVO-Regelungen für Apps?
- Aktueller Entwurf zur ePrivacy-Verordnung – Veränderung für die Nutzung von Cookies und Technologien in der EU?
- Bei Rechtsfragen rund um Cookies und Technologien bleiben Unternehmen mit unserer Beratung auf dem neuesten Stand
Tracking und die in diesem Kontext zulässigen Tools sind nach wie vor für Werbetreibende von großem Interesse. Nicht nur die EuGH- und BGH-Urteile zu „Planet49“ sowie das EuGH-Urteil zu „Schrems II“ definierten neue Anforderungen und Herausforderungen für den Zugriff auf oder die Speicherung von Informationen im Endgerät wie bei Tracking von Nutzer:innen und dem Einsatz von Cookies. Seit Dezember 2021 gilt in Deutschland zudem die Umsetzung des Art. 5 Abs. 3 der ePrivacy-Richtlinie in Form des § 25 TTDSG. Dieser regelt, wann der Zugriff auf oder die Speicherung von Informationen im Endgerät der Nutzer:innen zulässig ist. Die ePrivacy-Verordnung, welche das Thema zukünftig unmittelbar EU-weit regeln soll, befindet sich aktuell noch im Trilog-Verfahren und wird frühestens 2025 Anwendung finden, sodass eine vertiefte Auseinandersetzung mit den aktuellen Rahmenbedingungen, insbesondere durch das TTDSG, weiterhin lohnenswert und unerlässlich ist. Wie können Tracking von Nutzer:innen und der Einsatz von Cookies aktuell datenschutzkonform realisiert werden? Welche Empfehlungen gibt es zu Einwilligungen und Cookie-Banner? Was bedeutet § 25 TTDSG für den Einsatz von Tools auf einer Website?
Welche Normen sind für Cookies und Co. wichtig?
§ 25 TTDSG und ePrivacy-Richtlinie: Einwilligungspflicht und Datenübermittlung in Drittländer
Die relevanteste Norm ist aktuell § 25 TTDSG, welcher Art. 5 Abs. 3 der ePrivacy-Richtlinie (2009) in deutsches Recht umsetzt. Die Norm schreibt in Absatz 1 eine grundsätzliche Einwilligungspflicht in die Speicherung von oder den Zugriff auf Informationen im Endgerät vor. Damit sind nicht nur Cookies gemeint, sondern auch ähnliche Technologien wie der im Endgerät gespeicherte Web Storage (Local / Session Storage) sowie Fingerprints, Tags oder Pixel, soweit sie auf Informationen im Endgerät zugreifen. Eine Ausnahme von dieser Pflicht besteht nach Absatz 2 nur, wenn die Speicherung oder der Zugriff zum alleinigen Zweck der Übertragung eine Nachricht über ein öffentliches Telekommunikationsnetz erfolgt (Nr. 1) oder wenn sie unbedingt erforderlich ist, um einen von Nutzer:innen ausdrücklich gewünschten Telemediendienst zur Verfügung zu stellen (Nr. 2). Besonders die zweite Ausnahme ist praxisrelevant und hinsichtlich der Anforderungen für den ausdrücklich gewünschten Dienst und die unbedingt erforderlichen Speicherungen und Zugriffe umstritten.
§ 25 TTDSG findet nicht nur auf die Verarbeitung personenbezogener Daten Anwendung. Auch wenn lediglich nicht-personenbezogene Informationen verarbeitet werden, muss eine Einwilligung im Sinne des § 25 TTDSG eingeholt werden, sofern der Anwendungsbereich eröffnet ist und keine Ausnahme greift. Werden personenbezogene Daten verarbeitet, ist neben den Vorgaben des § 25 TTDSG ebenso die DSGVO zu beachten. Sie müssen insbesondere auf einer Rechtsgrundlage gemäß Art. 6 DSGVO basieren. Darüber hinaus enthält die DSGVO den Maßstab für die Anforderungen an eine informierte Einwilligung, der auch für die ePrivacy-Richtlinie und somit auch § 25 TTDSG gilt.
DSGVO Art. 44 ff.: Voraussetzungen und Anforderungen für Datenübermittlung in Drittländer und den EU-US Datenschutzrahmen
Werden beim Einsatz eines Tools auch Daten in Länder außerhalb des Europäischen Wirtschaftsraums (sogenannte Drittländer im Sinne der DSGVO) übermittelt, müssen zudem die Anforderungen der Art. 44 ff. DSGVO beachtet werden. Relevant ist hier bei vielen Dienstleistern insbesondere, dass seit dem 10. Juli 2023 für die USA wieder ein Angemessenheitsbeschluss der Europäischen Kommission im Sinne des Art. 45 DSGVO vorliegt. Nach diesem dürfen Daten in die USA übermittelt werden, wenn sich die betreffenden US-Unternehmen für den sogenannten EU-US Datenschutzrahmen (EU-US Data Privacy Framework) zertifiziert haben. Liegt für den Drittstaat, in den personenbezogene Daten übermittelt werden sollen, kein Angemessenheitsbeschluss vor, müssen sonstige geeignete Garantien im Sinne von Art. 46 DSGVO vorliegen. Insbesondere kommt hier etwa der Abschluss von Standardvertragsklauseln oder verbindlichen internen Datenschutzvorschriften in Betracht. Liegen auch solche nicht vor, muss die Datenübermittlung auf sonstige in Art. 49 DSGVO normierte Ausnahmen gestützt werden. Insbesondere sind hier die ausdrückliche Einwilligung nach Art. 49 Abs. 1 lit. a DSGVO sowie die Erforderlichkeit der Verarbeitung für einen Vertrag oder die Durchführung vorvertraglicher Maßnahmen nach Art. 49 Abs. 1 lit. b DSGVO in den Blick zu nehmen.
Einwilligungspflicht und Ausnahmen nach § 25 TTDSG: Abgrenzung und Rechtsgrundlagen gemäß Art. 6 DSGVO
Eine Einwilligung nach § 25 Abs. 1 TTDSG ist immer dann für die Speicherung von oder den Zugriff auf Informationen im Endgerät nötig, wenn die oben dargestellten Ausnahmen des § 25 Abs. 2 TTDSG nicht greifen. Rechtsgrundlage bei einer Einwilligung im Falle einer Datenverarbeitung ist in diesem Fall dann Art. 6 Abs. 1 lit. a DSGVO.
Demgegenüber ist eine Einwilligung nicht nötig, wenn die Speicherung von oder der Zugriff auf Informationen im Endgerät unbedingt zur Verfügungstellung des ausdrücklich gewünschten Dienstes erforderlich ist. Rechtsgrundlage im Falle einer Datenverarbeitung ist in diesem Fall etwa die Erforderlichkeit für den Vertrag oder zur Durchführung vorvertraglicher Maßnahmen nach Art. 6 Abs. 1 lit. b DSGVO oder die berechtigten Interessen nach Art. 6 Abs. 1 lit. f DSGVO.
Welche Tools „unbedingt erforderlich“ sind, um einen ausdrücklich gewünschten Dienst zur Verfügung zu stellen, ist nicht genau abgegrenzt. Deshalb müssen Tools einzeln bewertet und eingeordnet werden. Es handelt sich um eine Abwägungsfrage und eine Risikobeurteilung. Insgesamt kann man jedoch sagen, dass eine Nutzung ohne Einwilligung insgesamt nur in engem Rahmen möglich ist. Dies zeigt sich insbesondere an der engen Auslegung der Ausnahmen durch die Aufsichtsbehörden in ihren Stellungnahmen und Orientierungshilfen.
Welche Tools können ohne Einwilligung eingesetzt werden?
Manche Tools oder Funktionen auf einer Website oder App benötigen zwingend den Einsatz von Cookies und ähnlichen Technologien. Eine Einwilligung ist somit etwa in den meisten Fällen nicht erforderlich für die grundlegenden Funktionen eines Webshops, für die Speicherung des Warenkorbs, für Bestell- und Zahlungsabwicklungen, für Login, Registrierung und Authentifizierung, für die Bereitstellung einer Plattform, den Lastenausgleich und das Anlegen von Logfiles beim Websitebesuch sowie für die Speicherung einer Spracheinstellung.
Einwilligungspflicht, Ausnahmen und Bußgeldrisiken im Lichte des EuGH-Urteils
Auch die Gewährleistung von Sicherheit und die Verhinderung von Missbrauch kann unbedingt erforderlich sein, hier muss jedoch das jeweilige Tool genau betrachtet werden. Aus datenschutzrechtlicher Sicht ist hier auch ein Urteil des EuGH im Vorabentscheidungsverfahren eines Streits zwischen dem Bundeskartellamt und Meta zu beachten (EuGH, Urt. v. 4. Juli 2023 – C-252/21). Das Urteil betont, dass im Falle des berechtigten Interesses i.S.d. Art. 6 Abs. 1 lit. f DSGVO die Netzwerksicherheit des Verantwortlichen ein solches Interesse nur dann darstellt, wenn die betreffende Verarbeitung erforderlich ist, „um zu gewährleisten, dass die innere Sicherheit [des] Netzwerks nicht beeinträchtigt wird“ (Rn. 120). Auch bei Chatbots ist die Annahme einer unbedingten Erforderlichkeit umstritten, insbesondere dann, wenn andere Kommunikationsmöglichkeiten offenstehen oder die Chatbots etwa Nutzungsanalyse betreiben.
Eine Einwilligung ist grundsätzlich erforderlich für eine Nutzungsanalyse durch Drittanbieter, seiten- und geräteübergreifende Analysen, personalisierte Werbung, Tracking mit Profilbildung oder zur Erstellung von Bewegungsprofilen. Wer Tools für solche Zwecke ohne Einwilligung einsetzt, geht ein Bußgeldrisiko seitens der Aufsichtsbehörden ein.
Webtools, Datenschutz und EuGH-Entscheidungen: Neuer Angemessenheitsbeschluss, YouTube & Google Analytics im Fokus
Besonders die Tools US-amerikanischer Dienstleister wie Google Analytics, Google Maps oder YouTube sind und waren jahrelang besonders im Fokus der Aufsichtsbehörden und Gerichte. Dies war insbesondere relevant, nachdem der EuGH in der Schrems II-Entscheidung den ehemals geltenden Angemessenheitsbeschluss für die Datenübermittlung zwischen der EU und den USA auf Grundlage des EU-US Privacy Shield gekippt hatte. Seit dem 10. Juli 2023 ist nun aber, wie bereits oben erwähnt, ein neuer durch die Europäische Kommission erlassener Angemessenheitsbeschluss in Kraft. Somit können Übermittlungen in die USA nun wieder auf Art. 45 DSGVO gestützt werden, solange sich die betreffenden US-Unternehmen für das EU-US Data Privacy Framework zertifiziert haben. In diesem Fall braucht die Übermittlung auch nicht mehr im Falle mangelnder Garantien nach Art. 45 und 46 DSGVO auf eine ausdrückliche Einwilligung nach Art. 49 Abs. 1 lit. a DSGVO gestützt werden, die von den Aufsichtsbehörden in der Vergangenheit kritisch gesehen wurde.
Unabhängig davon gilt ein etwaiges Einwilligungserfordernis, welches sich aus § 25 TTDSG oder mangels sonstiger Rechtsgrundlagen auch aus Art. 6 DSGVO ergeben kann. Während der Einsatz etwa von Google Analytics trotz der vielfältigen Einstellungsmöglichkeiten ohne Einholung einer Einwilligung wohl weiterhin ein großes Risiko mit sich bringt, können Kartendienste wie Google Maps etwa durch einwilligungsfreie Alternativen wie statische Karten (Bilder) oder gegebenenfalls bei richtiger Konfiguration durch OpenStreetMap ersetzt werden.
YouTube hat einen sogenannten „erweiterten Datenschutzmodus“. Dieser verhindert zwar das Setzen von Cookies, reduziert die Nutzungsanalyse und verhindert die Personalisierung etwa der Videoempfehlungen. Es werden jedoch weiterhin Informationen im Web Storage des Endgeräts gespeichert, Verbindungsdaten und Videoeinstellungen an Google übermittelt und eine Datenverarbeitung zu Werbezwecken kann nicht ausgeschlossen werden. Sowohl mit Blick auf § 25 TTDSG als auch auf die Vorschriften der DSGVO ist hier sodann wohl eine Einwilligung nötig. Als einwilligungsfreie Alternative kommen etwa selbst gehostete Videos in Betracht, die im Rahmen von HTML5 einfach einzubinden sind. Zudem könnte man schlicht auf das Video auf YouTube verlinken, ohne es direkt einzubinden.
Auch das Urteil des Europäischen Gerichtshofs (EuGH) vom Juli 2023 im Rechtsstreit zwischen Meta Platforms und dem Bundeskartellamt hat Auswirkungen auf das Webtracking, insbesondere durch große Online-Plattformen (EuGH, Urt. v. 04.07.2023 – C-252/21). Das Gericht stellte klar, dass die mittels Webtracking erfassten und kombinierten Daten in der Regel nicht auf Art. 6 Abs. 1 S. 1 lit. b DSGVO gestützt werden können, wenn sie für die Personalisierung von Inhalten und Werbung verwendet werden sollen. Das Gericht betonte, dass eine Verarbeitung i.R.d. Art. 6 Abs. 1 S. 1 lit. b DSGVO „objektiv unverzichtbar“ und ein „notwendiger Bestandteil“ der Vertragserfüllung sein müsse, ohne den der Hauptzweck des Vertrags nicht erreicht werden könne. Gleichzeitig unterstrich der EuGH die strengen Anforderungen, die mit den berechtigten Interessen gemäß Art. 6 Abs. 1 S. 1 lit. f DSGVO verbunden sind. Diese Anforderungen umfassen insbesondere die Prüfung zumutbarer anderer Mittel, die den Schutz personenbezogener Daten weniger stark beeinträchtigen, sowie eine konkrete Abwägung im Einzelfall mit den Interessen der betroffenen Person.
Wann ist ein Cookie-Banner erforderlich?
Ein Cookie-Banner bzw. Einwilligungsbanner ist aufgrund der Notwendigkeit zur Einholung einer informierten Einwilligung nach Art. 6 Abs. 1 lit. a, Art. 7 DSGVO und § 25 TTDSG erforderlich. Das bedeutet im Umkehrschluss, dass ein Banner nicht notwendig ist, sofern nur unbedingt für den Website- oder Appbetrieb notwendige Tools verwendet werden. In diesem Fall würde eine Information in der Datenschutzerklärung ausreichen.
Welche Alternativen gibt es zum Cookie-Banner?
Statt eines Banners, welches sich vor allem für permanent aktive Tools etwa zur Analyse, zum Tracking oder für Marketing eignet, kann etwa für die Einbindung von Videos und Karten externer Anbieter, für Social- und Login-Plugins oder für Chatbots ein sogenanntes Overlay verwendet werden. Dies ist ein Banner nur über den betreffenden Bereich, der freigeschaltet/aktiviert werden soll. Dort wird darüber informiert, welches Tool an dieser Stelle eingebunden werden soll, und es werden alle nach der DSGVO notwendigen Informationen im Rahmen einer Einwilligung gegeben. Ein Overlay ist deshalb praktisch, weil es Nutzer:innen ermöglicht, gezielt in bestimmte Tools einzuwilligen, wenn sie diese gerade brauchen.
Newsletter
Alle wichtigen Neuigkeiten zu Themen wie Datenschutz, Künstliche Intelligenz, IT-Recht und vielen mehr – einmal monatlich in Ihr Postfach.
Empfehlungen und Vorgaben für die Gestaltung von Einwilligungsbannern
Die Aufsichtsbehörden aktualisieren fortlaufend ihre konkretisierten Vorstellungen zur Gestaltung von Einwilligungsbannern. Dazu zählen die Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien der Datenschutzkonferenz (DSK), der Bericht über die aktuellen Standpunkte der verschiedenen Aufsichtsbehörden in den EU-Mitgliedstaaten der Task Force des Europäischen Datenschutzausschusses (EDSA) und die Bewertung von Pur-Abo-Modellen auf Websites der DSK. Aktuelle Neuerungen zu den Anforderungen an datenschutzkonforme Einwilligungsabfragen, insbesondere Cookie-Banner, im Überblick:
DSK – OH Telemedien
Nachdem die Datenschutzkonferenz (DSK) im Dezember 2021 ihre „Orientierungshilfe Telemedien“ erstmalig veröffentlicht hatte, erschien ein Jahr später eine aktualisierte Version. Die Aktualisierungen beinhalten u.A. Ratschläge zur rechtskonformen Gestaltung von Einwilligungsbannern, die nachfolgend teilweise dargestellt werden. Zunächst sei gemäß der DSK der sogenannte „layered approach“ bei der Gestaltung von Einwilligungsbannern grundsätzlich akzeptabel. Dies bedeutet, dass nicht alle Informationen zur Datenverarbeitung auf der ersten Ebene des Einwilligungsbanners sichtbar sind. Einige grundlegende Einwilligungsinformationen müssten jedoch weiterhin auf der ersten Ebene des Banners angezeigt werden. Dazu gehören laut DSK vor allem die Beschreibung der Vorgänge gemäß § 25 TTDSG und DSGVO, die Zwecke der Datenverarbeitungen, der erforderliche Hinweis auf das Widerrufsrecht sowie die Möglichkeit der Datenübermittlung an Dritte oder Drittländer. Die DSK führt auch aus, dass zur Beurteilung der Einschlägigkeit der Ausnahme vom grundsätzlichen Einwilligungserfordernis nach § 25 Abs. 2 Nr. 2 TTDSG auch die fehlerfreie Bereitstellung der Website zur Bewertung des „ausdrücklichen Wunsches“ der Nutzer:innen herangezogen werden könne. Zudem müsse die Verweigerung der Einwilligung gleichwertig zur Zustimmung gestaltet sein. Hierbei spielen wichtige Kriterien wie Anzahl der Klicks, Aufwand, Aufmerksamkeit der Nutzer:innen und der Kommunikationseffekt, den die Gestaltung erzeugt, eine Rolle. Die neueste Version der „Orientierungshilfe Telemedien“ betont zudem explizit, dass es nicht ausreichend sei, eine Schaltfläche mit der Aufschrift „Einstellungen oder Ablehnen“ auf der ersten Ebene vorzuhalten, sofern die eigentliche Ablehnungsoption erst auf der zweiten Ebene verfügbar ist.
Bericht der Cookie Banner Taskforce (EDSA)
Im Januar 2023 veröffentlichte die Cookie Banner Taskforce des Europäischen Datenschutzausschusses (EDSA) einen Bericht über die aktuellen Standpunkte der verschiedenen Aufsichtsbehörden in den EU-Mitgliedstaaten. Die Mehrheit der europäischen Aufsichtsbehörden spricht sich in diesem Dokument dafür aus, dass die Ablehnung der Einwilligung in Cookie-Bannern bereits auf der ersten Ebene ermöglicht werden sollte. Ablehnen-Links sollten zudem besonders hervorgehoben werden. Der Zulässigkeitsumfang von „Nudging“ müsse jeweils individuell bewertet werden. Beim Nudging wird die Anordnung von Bedienelementen wie Einwilligungsbannern so gestaltet, dass Website-Nutzer:innen subtil dazu beeinflusst werden, die Option zu wählen, die durch Anbieter:innen bevorzugt oder für sie vorteilhafter ist. Schließlich stellten die Aufsichtsbehörden auch fest, dass Anbieter:innen die verwendeten Tools häufig falsch kategorisieren oder nicht ausreichend über die gespeicherten Informationen aufklären würden.
DSK-Beschluss zu PUR-Abo-Modellen
Zuletzt veröffentlichte die DSK am 22.03.2023 einen kurzen Beschluss zum Einsatz von PUR-Abo-Modellen, welcher spezifisch die Zulässigkeit dieser diskutiert. Danach könne die Nutzung einer Website vom Einsatz von Webtracking abhängig gemacht werden, sofern eine gleichwertige kostenfreie Alternative zur Verfügung stehe. Dennoch sollte die Erteilung der Einwilligung granular gestaltet sein, sprich die Möglichkeit bieten, verschiedenen Zwecken unabhängig voneinander zuzustimmen. Dies wird teilweise dahingehend interpretiert, dass nur solche Dienstleister und Tools zwingender Bestandteil der Einwilligung sein sollten, die der Finanzierung des Dienstes dienen. Auch bei Ablehnen von Zwecken wie externen Medien oder einfacher Nutzungsanalyse sollte damit die Nutzung der Website weiterhin möglich sein. Trotz des Beschlusses der DSK bleibt die Gestaltung von PUR-Abo-Modellen allerdings insgesamt mit offenen Fragen und einer gewissen Rechtsunsicherheit verbunden.
Welche aktuellen Urteile weisen die Richtung bei der Gestaltung von Cookie Bannern?
Insbesondere zwei deutsche Urteile der LG München und LG Köln zeigten in der jüngsten Vergangenheit, dass die Ausgestaltung der Verweigerungsmöglichkeit im Einwilligungsbanner stets einer individuellen Bewertung bedarf. Dabei müssen sowohl die Informationen zur Verweigerung der Einwilligung als auch das Design des Banners angemessen berücksichtigt werden.
LG München – 29.11.2022
Das Landgericht München hat sich in einem Urteil vom November 2022 intensiv mit der rechtlichen Zulässigkeit des sogenannten Nudging in Einwilligungsbannern auseinandergesetzt (LG München, Urt. v. 29.11.2022 – 33 O 14776/19). Diese Beeinflussung erfolgt oft durch sprachliche Nuancen, aber auch durch visuelle Anreize wie das Hervorheben des Zustimmungsbuttons durch eine abweichende Farbgebung. In dem konkreten, vor dem Gericht verhandelten Fall hatte die Beklagte die Option zur Verweigerung der Einwilligung lediglich auf der zweiten Ebene des Banners platziert. Der Ablehnen-Link war kleiner und anders platziert als die anderen Schaltflächen und war daher insgesamt „unauffälliger“. Das Entscheidungsrecht der Nutzer:innen sei dadurch laut dem LG München unzulässig beeinflusst worden. Obwohl der Aufwand, zur Verweigerung der Einwilligung auf die zweite Ebene zu gelangen, vergleichsweise gering sei, wurde dieser Umstand aufgrund der „üblichen Geschwindigkeit und begrenzten Aufmerksamkeit“ der Nutzer:innen dennoch als relevant erachtet.
LG Köln – 23.03.2023
Auch das Landgericht Köln beschäftigte sich im März dieses Jahres mit der Zulässigkeit des Nudgings (LG Köln, Urt. v. 23.03.2023 – 33 O 376/22). In dem verhandelten Fall wurde festgestellt, dass ein Verweigerungslink auf der ersten Ebene unzulässig sei, wenn er „im Fließtext versteckt“ und „in Bezug auf Größe, Form und Gestaltung nicht ausreichend“ hervorgehoben werde: unter diesen Umständen könne der Link nicht als gleichwertige Alternative zum Zustimmungsbutton betrachtet werden. Wird auch nicht auf die Verweigerungsmöglichkeit auf zweiter Ebene hingewiesen, genüge auch ein Button mit der Beschriftung „Einstellungen ändern“ neben der Option „Alle akzeptieren“ nicht den Anforderungen. Dennoch sah das Gericht aufgrund mangelnder Formanforderungen an die Freiwilligkeit der Einwilligung die Möglichkeit von gewissen Spielräumen für die Gestaltung der Banner.
DSGVO-konforme Cookie-Banner – welche Informationen sollen enthalten sein?
Im Banner auf erster Ebene oder im Overlay sollten folgende Informationen enthalten sein:
- Vorgänge nach § 25 TTDSG und DSGVO (= Zugriff auf und Speicherung von Informationen auf dem Endgerät sowie Datenverarbeitung)
- Zwecke der Datenverarbeitung der verwendeten Tools (Beschreibung der einzelnen Kategorien)
- Möglichkeit der Ablehnung der Tools
- Nennung der Weitergabe an Dritte
- ggf. Informationen über Drittlandübermittlung und Risiken im Drittland
- Klarstellung der Freiwilligkeit und Widerrufbarkeit der Einwilligung
- Links zu weiteren Informationen, insbesondere zur Speicherdauer (z.B. Datenschutzerklärung oder Cookie-Richtlinie)
Technische Voraussetzungen für Banner und Datenschutzeinwilligung
Das Banner darf nicht die Links zum Impressum und zur Datenschutzerklärung überdecken. Außerdem dürfen nicht notwendige Tools erst aktiviert bzw. Cookies gesetzt oder Informationen im Web Storage ausgelesen/geschrieben werden, nachdem die Nutzer:innen eingewilligt haben. Diese Einwilligung sollte grundsätzlich mindestens 1 Jahr gespeichert werden. Idealerweise befindet sich im Footer und in der Datenschutzerklärung ein Button bzw. Link, mit dem das Banner erneut aufgerufen bzw. der Widerruf erteilt werden kann.
Wir empfehlen, einen Testlauf durchzuführen, um die Funktionalität von Ablehnen und Widerruf zu überprüfen. Dies ist enorm wichtig, um festzustellen, ob alle Anforderungen eingehalten werden.
Wie viele Buttons müssen im Cookie-Banner enthalten sein?
Es ist empfehlenswert, drei Buttons einzusetzen, welche die Zustimmung zu allen optionalen Tools, der individuellen Auswahl von Tools oder die Ablehnung aller optionalen Tools ermöglichen. Dabei kann statt eines Buttons, etwa für die Ablehnung, im Einzelfall auch ein deutlich erkennbarer Link innerhalb des Bannertextes (z.B. dick geschrieben, blau gefärbt und unterstrichen) verwendet werden. Wichtig ist dabei jedoch, dass alle drei Möglichkeiten als gleichwertig erkennbar sind. Diese sogenannte 3-Button-Lösung ist Alternativen ohne Ablehnen-Möglichkeit auf erster Ebene insgesamt vorzuziehen.
Wie unauffällig kann der Ablehnen-Button sein und wie unterscheidet man gutes Design von irreführenden „Dark Patterns“?
Zwar sind Hervorhebungen und Designentscheidungen grundsätzlich möglich, jedoch sollte es nicht zu einem sogenannten „Dark Pattern“ kommen. Das läge beispielsweise vor, wenn weiße Schrift auf hellgrauem Grund verwendet wird, die Einwilligung ständig abgefragt wird oder eine Einwilligung durch den Klick auf X (schließen) erteilt wird. Aus einem objektiven Blickwinkel müssen die Nutzer:innen die Möglichkeit gehabt haben, nach dem Lesen der Einwilligungserklärung und dem Blick auf die Buttons/Links eine informierte Entscheidung für oder gegen den Einsatz von Cookies und ähnlichen Technologien zu treffen, ohne dass dabei das Ablehnen in besonderer Weise erschwert wird.
Wie gelten DSGVO-Regelungen für Apps?
Die zuvor dargestellten Regelungen gelten auch für Apps, beziehen sich dort jedoch insbesondere auf den Zugriff auf Identifikatoren wie Geräte-ID und Werbe-ID oder die Speicherung von Daten im Endgerät. Zu berücksichtigen ist auch, dass die technischen Zugriffsberechtigungen, die während der Installation der App erteilt werden, keine informierte Einwilligung im Sinne der DSGVO darstellen. Deshalb ist beim ersten Start der App die Abfrage nach der Einwilligung für optionale Tools nötig. Manche Consent-Management-Tools bieten bereits entsprechende Implementierungen für Apps hat.
Hinweis: Auch für Apps gelten die datenschutzrechtlichen Informationspflichten der Art. 13 und 14 DSGVO. Aus diesem Grund muss auch im Rahmen einer App eine Datenschutzerklärung bereitgestellt werden.
Aktueller Entwurf zur ePrivacy-Verordnung – Veränderung für die Nutzung von Cookies und Technologien in der EU?
Bereits am 10.02.2021 hat sich der Rat der Europäischen Union auf den portugiesischen Entwurf zur ePrivacy-Verordnung geeinigt, welche die Privatsphäre bei der Nutzung elektronischer Kommunikationsdienste unmittelbar EU-einheitlich regeln soll. Die ePrivacy-Verordnung würde die ePrivacy-Richtlinie und auch Regelungen des TTDSG ablösen und wäre für die künftige Nutzung von Cookies und ähnlichen Technologien sehr relevant.
Der aktuelle Entwurf enthält ausdrücklich die Möglichkeit ein „Tracking oder Bezahl-Abo“ als Entscheidungsmodell anzubieten. Außerdem enthält der Entwurf vielfältige Ausnahmen für die Verarbeitung von Kommunikationsdaten sowie für den Zugriff auf bzw. die Speicherung von Informationen im Endgerät ohne Einwilligung. Hierzu zählen etwa Tools für Sicherheitszwecke, für Netzwerkoptimierung, zur Erfüllung eines Vertrags, zu statistischen Zwecken, zur Zielgruppen-Messung und – am weitreichendsten – unter Zugrundlegung einer zulässigen Zweckänderung.
Der Entwurf des Rats befindet sich aktuell immer noch im Trilog-Verfahren. Welche Regelungen und Ausnahmen es also am Ende in den finalen Entwurf schaffen, ist noch offen.
Bei Rechtsfragen rund um Cookies und Technologien bleiben Unternehmen mit unserer Beratung auf dem neuesten Stand
Die Rechtslage bei Cookies und Co. ist weiterhin dynamisch, weshalb aktuelle Entwicklungen im Blick behalten werden sollten. Insbesondere § 25 TTDSG und die sich diesbezüglich immer weiter entwickelnden Standpunkte der Behörden sowie die Rechtsprechung der Gerichte haben für alle durch § 25 TTDSG Verpflichteten und datenschutzrechtlich Verantwortlichen hohe Relevanz. Wie lange die Verhandlungen bei der ePrivacy-Verordnung und damit die Einführung einer noch weitergehenden europäischen Harmonisierung noch dauern werden, ist hingegen offen.
Sofern Cookies und ähnliche Technologien auf Websites und in Apps eingesetzt werden, ist eine kooperative Zusammenarbeit aller relevanten Abteilungen/Bereiche eines Unternehmens, also der IT, dem Marketing und Legal, essenziell. Da sich jede Branche, jedes Unternehmen und jede Website unterscheiden, ist dabei vor allem auch eine einzelfallbasierte Prüfung der Tools sowie eine individuelle Risikoabwägung nötig.
Gerne unterstützen Sie unsere erfahrenen Anwält:innen beim rechtskonformen Einsatz von Tools auf Websites und in Apps. Wir beraten Sie individuell und prüfen mit Ihnen gemeinsam die Notwendigkeit einer Einwilligung für bestimmte Tools. Außerdem entwickeln wir mit Ihnen die zugehörige Datenschutzerklärung, die über den Einsatz der Tools aufklärt. Sprechen Sie uns an und profitieren Sie von unserer Expertise bei Tracking von Nutzer:innen und dem Einsatz von Cookies!
Vereinbaren Sie jetzt ein
unverbindliches Erstgespräch!
Lassen Sie uns über Ihre Herausforderungen sprechen und vereinbaren Sie ein unverbindliches Erstgespräch mit unseren spezialisierten Anwält:innen.
Inhalt
- Welche Normen sind für Cookies und Co. wichtig?
- Einwilligungspflicht und Ausnahmen nach § 25 TTDSG: Abgrenzung und Rechtsgrundlagen gemäß Art. 6 DSGVO
- Webtools, Datenschutz und EuGH-Entscheidungen: Neuer Angemessenheitsbeschluss, YouTube & Google Analytics im Fokus
- Wann ist ein Cookie-Banner erforderlich?
- Welche Alternativen gibt es zum Cookie-Banner?
- Empfehlungen und Vorgaben für die Gestaltung von Einwilligungsbannern
- Welche aktuellen Urteile weisen die Richtung bei der Gestaltung von Cookie Bannern?
- DSGVO-konforme Cookie-Banner – welche Informationen sollen enthalten sein?
- Technische Voraussetzungen für Banner und Datenschutzeinwilligung
- Wie viele Buttons müssen im Cookie-Banner enthalten sein?
- Wie unauffällig kann der Ablehnen-Button sein und wie unterscheidet man gutes Design von irreführenden „Dark Patterns“?
- Wie gelten DSGVO-Regelungen für Apps?
- Aktueller Entwurf zur ePrivacy-Verordnung – Veränderung für die Nutzung von Cookies und Technologien in der EU?
- Bei Rechtsfragen rund um Cookies und Technologien bleiben Unternehmen mit unserer Beratung auf dem neuesten Stand
Weitere Experten zum Thema
Weitere Neuigkeiten
28.11.2024
BGH zu Scraping: Was Unternehmen jetzt wissen müssen
18.11.2024
BGH-Urteil zur Haftung von Online-Marktplätzen: Betreiber haften wie Sharehoster
04.11.2024