Cookie (Consent)-Banner – Die aktuelle Rechtslage

Cookie (Consent)-Banner – Die aktuelle Rechtslage

Fachbeitrag Datenschutz Swiss Infosec 07/2020

Cookie-Banner kennt mittlerweile jeder. Sie erscheinen beim ersten Aufruf der Webseite und informieren den Webseitenbesucher über die Nutzung von Cookies und/oder Tracking, holen dessen Zustimmung für die Verwendung von Cookies und/oder Tracking ein oder stellen ihm Wahlmöglichkeiten für die Verwaltung bereit. Brauchen Webseitenbetreiber einen solchen Cookie-Banner überhaupt? Wissen Sie als Webseitenbetreiber, wie Sie Ihr Cookie-Banner rechts- bzw. vor allem DSGVO-konform gestalten? Kennen Sie die (aktuellen) rechtlichen Grundlagen für die Erstellung eines Cookie-Banners?

 

Situation in der Europäischen Union

Die rechtliche Situation zu den Cookies wird in der EU bereits seit 2009 durch die so genannte «Cookie-Richtlinie» (Richtlinie 2009/136/EG) geregelt. Sie kommt nur für Nutzer in jenen EU-Ländern zur Anwendung, in welchen die Cookie-Richtlinie umgesetzt wurde.

Die Cookie-Richtlinie sieht bei entsprechender Umsetzung im EU-Mitgliedstaat vor, dass Cookies, welche nicht unbedingt erforderlich sind, nur noch verwendet werden dürfen, wenn der Nutzer der Webseite nach vorgängiger Aufklärung seine Einwilligung erteilt hat (sog. Opt-In-Prinzip). Dies erfolgt mittels Cookie-Banner, mit welchem auf die Verwendung von Cookies hingewiesen wird.

Wurde die Cookie-Richtlinie nicht umgesetzt, gelten entsprechend nationale Regelungen bzw. die Datenschutz-Grundverordnung (DSGVO). Die DSGVO enthält keine explizite «Cookie-Regelung» - es gelten die allgemeinen Grundsätze. Werden personenbezogene Daten durch Cookies verarbeitet, kommen in der Regel das berechtigte Interesse oder die Einwilligung der betroffenen Person (Opt-in) als Rechtsgrundlagen in Betracht.

Spätestens seit dem «Planet49»-Urteil des Europäischen Gerichtshofs (EuGH) vom 1. Oktober 2019 (Rs. C673/17) besteht nun auch etwas Klarheit darüber, wie eine Einwilligung für das Setzen von «nicht unbedingt erforderlichen» Cookies einzuholen ist.

Der EuGH kam in seinem Urteil zum Schluss, dass ein voreingestelltes Ankreuzkästchen keine wirksame Einwilligung im Sinne der Cookie-Richtlinie als auch der DSGVO darstellt. Daraus folgt, dass die Einwilligung durch eine aktive, gesonderte und ausdrückliche Erklärung der Nutzer erfolgen muss. Cookies, die unbedingt erforderlich sind, bedürfen keiner Einwilligung. Es sind aber ggf. die Anforderungen der DSGVO zu beachten.

Bereits im Februar 2020 hat die dänische Datenschutzbehörde Datatilsynet in einem Beschwerdefall die meisten aktuellen Cookie-Banner auf Webseiten für rechtswidrig und als einen DSGVO-Verstoss eingestuft. Auch deutsche Datenschutzbehörden äusserten vermehrt ihre Unzufriedenheit mit der Mehrheit der Cookie-Banner.

Datenschutzaufsichtsbehörden in Spanien, Italien und Belgien haben bereits im Oktober resp. Dezember 2019 Bussgelder in Höhe von 30.000, 18.000 und 15.000 EUR gegen Unternehmen verhängt, welche keine rechts- bzw. vor allem DSGVO-konformen Cookie Banner auf ihren Webseiten implementiert und keine Einwilligung eingeholt haben.

Am 12. Mai 2020 fasste die deutsche Konferenz der Datenschutzaufsichtsbehörden (DSK) einen Beschluss zum Einsatz von Google Analytics. Die Aufsichtsbehörden beschreiben darin die datenschutzrechtlichen Mindestanforderungen, die beim Einsatz von Google Analytics zwingend eingehalten werden müssen. Der wesentliche Punkt hierbei: Ein rechtmässiger Einsatz von Google Analytics soll in der Regel nur mit einer wirksamen Einwilligung der Webseitenbesuchenden möglich sein. Trotz der aktuellen BGH-Entscheidung zu Cookies, kann eine Nutzung von Google Analytics nach unserem Dafürhalten unter bestimmten Voraussetzungen auch ohne Einwilligung zulässig sein. Wenn Sie hierzu weitere Unterstützung benötigen, kommen Sie gerne auf uns zu.

https://www.infosec.ch/blog/119-kurznachrichten/datenschutz/google-analytics-ohne-einwilligung-geht-das/1196

 

Wie muss ein Cookie Consent-Banner konkret gestaltet sein?

Cookies (und ähnliche Technologien), die keinem berechtigten Interesse unterliegen, dürfen erst gesetzt werden, wenn eine Einwilligung erteilt wurde. Ein rechts- bzw. vor allem DSGVO-konformer Cookie-Banner sollte nach aktuellem Stand der Lage folgende Merkmale enthalten:

  • Alle relevanten Informationen müssen dem Nutzer zur Verfügung stehen:
    • Angaben zu Art und Funktionsweise der Cookies;
    • Angaben dazu, ob Dritte Zugriff auf die Cookies erhalten können;
    • Angaben zur Funktionsdauer der Cookies;
    • weitere Angaben DSGVO.
  • Das Impressum und die Datenschutzhinweise dürfen durch das Banner nicht verdeckt werden.
  • Die Einwilligung muss explizit, d.h. durch einen Klick oder eine andere Aktivität erfolgen (Auswahlmöglichkeiten dürfen nicht voreingestellt sein); ein «Weitersurfen» ist keine ausreichende Einwilligung. Einfache Cookie-Banner (= blosse Informationen, sog. Informations-Banner), die man wegklickt oder stehen lässt, reichen als Einwilligung für das Setzen von Cookies nicht aus.
  • Einwilligung in Cookie-Gruppen ist (noch) ausreichend. Nutzer sollten jedoch zumindest auf zweiter Ebene granularere Auswahlmöglichkeiten haben, wo gezielt «individuelle Einstellungen» vorgenommen werden können.
  • Die Einwilligung muss für den Nutzer jederzeit genauso einfach zu widerrufen sein, wie sie gegeben wurde.
  • Es dürfen keine echten Cookie-Walls verwendet werden, die Webseite muss auch ohne Einwilligung besuchbar sein.
  • Webseitenbetreiber müssen die Einwilligungen dokumentieren und nachweisen können.

 

Situation in der Schweiz

In der Schweiz besteht seit 2007 in Art. 45c lit. b des Fernmeldegesetzes (FMG) eine eigene Cookie-Regelung für Webseitenbetreiber. Sie ist im Vergleich zur Cookie-Richtlinie und der DSGVO deutlich weniger restriktiv.

Eine explizite Einwilligung ist in der Regel nicht erforderlich. Eine solche ist nach schweizerischem Datenschutzgesetz (DSG) allerdings dann notwendig, wenn mit den Cookies besonders schützenswerte Personendaten oder Persönlichkeitsprofile bearbeitet werden (Art. 4 Ziff. 5 DSG).

Rein auf die Schweiz bezogen genügt also in der Regel ein entsprechender Hinweis in der Datenschutzerklärung und die Möglichkeit eines «Opt-Out».

 

Muss ich als Schweizer Unternehmen nun ebenfalls einen «Cookie (Consent)-Banner» implementieren?

Mit grosser Wahrscheinlichkeit, ja. Denn obwohl die DSGVO ein Regelwerk der EU ist und sie somit primär für alle EWR-Länder gilt (EU-Länder plus Liechtenstein, Norwegen und Island) gilt, ist sie aufgrund bestimmter Kriterien auch ausserhalb des EU-Territoriums für viele Schweizer Unternehmen anwendbar (sog. Verhaltensbeobachtung).

Dies ist unter anderem dann der Fall, wenn das Unternehmen das Verhalten einer Person im Europäischen Wirtschaftsraum beobachtet, wie z.B. mit dem Einsatz von Google Analytics bzw. deren Tracking-Cookies.

 

 

Gerne beantworten wir all Ihre spezifischen Fragen zum Cookie-Banner und zu allen weiteren datenschutzrechtlichen Fragen in Ihrem Unternehmen. Wir unterstützen Sie bei der Einhaltung des DSG und der DSGVO nach Best Practice: «Genau so viel, wie Sie brauchen und angemessen ist!»

 

Swiss Infosec AG; 01.07.2020

Kompetenzzentrum Datenschutz, +41 41 984 12 12, infosec@infosec.ch

 

 

datenschutz fingerabdruck

 

Datenschutz

Datenschutz greift auch in unsere Lebensprozesse ein

 

Datenschutz ist allgegenwärtig und begleitet uns im Berufsalltag wie auch im Privatleben. Erfahren Sie bei uns alles über Beratung, Ausbildung und Services im Fachbereich Datenschutz und wie wir Sie als erfahrene Datenschutzspezialisten unterstützen können.

 

Kontaktieren Sie uns, denn wir wissen, welche Daten wie zu schützen sind! Wir beraten Sie gerne. +41 41 984 12 12, infosec@infosec.ch

 

Mehr
Hinweis zur Verwendung von Cookies
Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Sie können die Verwendung von Cookies annehmen oder ablehnen. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung