06/2019 – Fachartikel Swiss Infosec AG
Gerne informieren wir Sie im nachfolgenden Artikel darüber ob und wann ein Cookie-Banner (Cookie-Hinweis) auf Ihrer Webseite rechtskonform ist.
Die Cookie-Hinweise auf Webseiten haben in den letzten Monaten verschiedene Formen angenommen. Ein Grund für die Vielfalt ist die immer noch bestehende Rechtsunsicherheit zu diesem Thema.
Was sagt die Cookie-Richtlinie?
Die rechtliche Situation zu den Cookies wird in der EU durch die so genannte «Cookie-Richtlinie» (Richtlinie 2009/136/EG) geregelt. Sie kommt nur für Nutzer in jenen EU-Ländern zur Anwendung, in welchen die Cookie-Richtlinie umgesetzt wurde (z.B. Frankreich, nicht aber Deutschland).
Die Cookie-Richtlinie sieht bei entsprechender Umsetzung im EU-Mitgliedstaat vor, dass Cookies, welche nicht unbedingt erforderlich sind, nur noch verwendet werden dürfen, wenn der Nutzer der Webseite nach vorgängiger Aufklärung seine Einwilligung erteilt hat (sog. Opt-In-Prinzip). Dies erfolgt mittels Cookie-Banner, mit welchem auf die Verwendung von Cookies hingewiesen wird. Wurde die Cookie-Richtlinie nicht umgesetzt, gelten entsprechend nationale Regelungen.
Cookie-Banner und die EU-Datenschutz-Grundverordnung (DSGVO)
Die Verarbeitung von personenbezogenen Daten, worunter auch Cookies fallen, sofern sich ein Personenbezug nachweisen lässt, erfordert nach DSGVO eine Rechtsgrundlage. Als Rechtsgrundlage in Frage kommen die Einwilligung oder die berechtigten Interessen (vgl. Art. 6 DSGVO). Unabhängig von der Rechtsgrundlage sind die betroffenen Personen in jedem Fall über den Einsatz von Cookies angemessen zu informieren (Art. 12 ff DSGVO).
Nach DSGVO werden Cookie-Banner deshalb eingesetzt, um:
- die Einwilligung der Webseitenbesucher (nachfolgend auch Nutzer genannt) zur Verwendung von Cookies einzuholen; oder auch nur,
- um die Nutzer über die Verwendung von Cookies vorschriftsgemäss zu informieren.
Nach allgemeiner Auffassung kann ein normales bzw. niederschwelliges Besuchertracking, d.h. die Verwendung von Cookies zur Aufzeichnung und Verarbeitung pseudonymisierter Daten für rein statistische Zwecke (wie z.B. Google Analytics mit IP-Masking) auf der Rechtsgrundlage der berechtigten Interessen der Unternehmung, welche Cookies einsetzt, gestützt werden. Das berechtigte Interesse besteht darin, dass die Nutzung der Webseite zur Verbesserung des Inhalts und zur Verbesserung der Werbemassnahmen genutzt werden soll (Marketingzwecke). Eine explizite Zustimmung zum Einsatz von Cookies ist bei Verarbeitung zu diesen Zwecken nicht erforderlich. Die Datenschutzkonferenz in Deutschland vertritt dem gegenüber in ihrem Positionspapier die Meinung, dass beim Einsatz von personenbezogenen Cookies explizit die Einwilligung des Webseitenbesuchers einzuholen ist. Die Beschlüsse der Datenschutzkonferenz sind allerdings rechtlich nicht bindend.
Anders sieht es aus, wenn eine über das normale Besuchertracking hinausgehende Verarbeitung personenbezogener Daten erfolgt, wie dies oftmals bei Online Behavioural Advertising oder Retargeting der Fall ist. Nach DSGVO wird in diesen Fällen eine sog. informierte Einwilligung in Form einer Erklärung oder sonstigen eindeutig bestätigenden Handlung des Nutzers gefordert, bevor Cookies platziert werden dürfen. Hier muss deshalb mindestens ein Bestätigungs-Button geklickt werden, bevor das Analyse-Cookie gesetzt werden darf (sog. Soft Opt-In Option). Die Lehre verlangt ausserdem, dass dem Webseitenbesucher genau aufgezeigt wird, welche Cookies verwendet werden sollen und ihm die Möglichkeit gegeben wird, der Verwendung der einzelnen Cookies separat zuzustimmen.
Hat die Cookie-Richtlinie bald ausgedient?
Die E-Privacy-Verordnung soll die bisher geltende «Cookie-Richtlinie» ablösen und wie auch die DSGVO unmittelbar auf die EU-Mitgliedstaaten anwendbar sein. Die Verordnung wird auch für Gesellschaften mit Sitz in der Schweiz relevant sein. Ähnlich wie die Regelung in der DSGVO ist auch der räumliche Anwendungsbereich der vorgeschlagenen E-Privacy-Verordnung weit gefasst.
Die Einholung der Einwilligung zur Verwendung von Cookies soll demnach erheblich vereinfacht werden: Künftig sollen Nutzer den Einsatz von Cookies generell über die Privatsphäre-Einstellungen ihres Webbrowsers regeln können. Die Cookie-Banner sollen deshalb nach der Vorstellung der EU-Kommission bald der Vergangenheit angehören.
Wie der genaue Text der E-Privacy-Verordnung aussehen wird, ist derzeit noch nicht klar. Für grössere Umstellungen bei der Handhabung von Cookies könnte es vorteilhaft sein, den finalen Text dieser Verordnung abzuwarten. Ein Inkrafttreten ist nicht vor 2022 geplant.
Die Cookie-Banner, die uns bis dato im Netz begegnen, genügen den Anforderungen an ein wirksames OptIn mit Einwilligung oftmals nicht. Dazu dürften Cookies, wie erwähnt, erst dann bei Nutzern gespeichert werden, nachdem sie über diese aufgeklärt wurden und sich der Nutzer mit ihnen einverstanden erklärt hat. Nach unserer Erfahrung haben Unternehmen oftmals Mühe, dies so in technischer Hinsicht umzusetzen, weshalb regelmässig die Einholung der rechtskonformen Einwilligung verzichtet wird.
Mit den gängigen Cookie-Bannern wird lediglich darauf hingewiesen, dass die Webseite Cookies verwendet. Bei diesen Bannern macht es keinen Unterschied, ob der Nutzer auf «Ich stimme zu/ok» klickt oder einfach weitersurft und sich bei jedem Seitenwechsel aufs Neue von dem Hinweis begrüssen lässt.
Cookies und das Schweizer Datenschutzgesetz (DSG)
In der Schweiz besteht seit 2007 eine eigene Cookie-Regelung für Webseitenbetreiber. Sie ist im Vergleich zur europäischen Cookie-Richtlinie aber auch der DSGVO wesentlich weniger restriktiv.
Die entsprechende schweizerische Cookie-Regelung findet sich in Art. 45c lit. b des Fernmeldegesetzes (FMG). Die Cookie-Regelung in der Schweiz enthält in der Regel keine Formvorschriften. Das «Bearbeiten von Daten auf fremden Geräten durch fernmeldetechnische Übertragung […] ist nur erlaubt, […] wenn die Benutzerinnen und Benutzer über die Bearbeitung und ihren Zweck informiert sowie darauf hingewiesen werden, dass sie die Bearbeitung ablehnen können.» Eine explizite Einwilligung ist demnach nicht erforderlich. Eine solche ist nur dann notwendig, wenn mit den Cookies besonders schützenswerte Personendaten oder Persönlichkeitsprofile bearbeitet werden (Art. 4 Ziff. 5 DSG).
Webseitenbetreiber in der Schweiz müssen den Besucher hingegen über verwendete Cookies informieren und dabei auch den Zweck nennen. Ausserdem muss dem Nutzer erklärt werden, wie Cookies abgelehnt, das heisst, im Browser deaktiviert werden können. Ein Verstoss gegen diese Cookie-Regelung gilt als Ordnungswidrigkeit und kann mit Busse bis zu 5000 Franken bestraft werden (Art. 53 FMG).
Im Minimum das Minimum: Unser Fazit
Nach wie vor ist unsicher, ob nach DSGVO explizit eine Einwilligung zum Einsatz von Cookies auf der Webseite erforderlich ist oder nicht. Was jetzt genau gilt, bleibt vorerst allerdings unklar. Letztendlich werden die EU-Aufsichtsbehörden und die EU-Gerichte diese Frage zu entscheiden haben.
Für den Einsatz von Cookie-Bannern sprechen die Transparenz und das Vertrauen. Fairness gebietet es, Besucher einer Webseite darüber zu informieren, welche Auswirkung der Webseitenbesuch hat und wie die personenbezogenen Daten verwendet werden. Die Verwendung von Cookie-Hinweisen ist so gesehen eine vertrauensbildende Massnahme, die Seriosität ausstrahlt und heute Best Practice ist.
Sofern Sie nicht über ein normales Besuchertracking hinausgehende Verarbeitung tätigen oder schützenswerte Daten verarbeiten, empfehlen wir deshalb einen sogenannten «Informationsbanner» zu implementieren, womit der Nutzer über die Verwendung von Cookies informiert wird.
Fragen Sie sich, ob der Cookie-Banner auf Ihrer Webseite den Anforderungen von DSGVO & Co. entspricht? Wir unterstützen Sie inhaltlich und technisch bei der Einhaltung von Schweizer Datenschutz und DSGVO. www.infosec.ch/dsgvo