Wie muss der Cookie-Banner aufgebaut sein?
Die Cookie-Warnung muss beim ersten Aufrufen der Seite erscheinen, vor der Zustimmung dürfen noch keine Daten übertragen werden. Dabei müssen folgende gestalterischen Vorgaben beachtet werden:
- Die Gewichtung von „Zustimmen“ und „Ablehnen“ muss gleich gewichtet sein
- Die Bezeichnung muss eindeutig sein, zum Beispiel „Ich lehne ab“ und „Alle akzeptieren“
- Es dürfen keine zusätzlichen Klicks nötig werden, um abzulehnen
- Die Datenschutzerklärung muss verlinkt sein
- Beim weiteren Surfen auf der Seite muss ein schneller Zugriff auf die Privatsphäre-Einstellungen möglich sein
- Im Einwilligungstext sollte konkret beschrieben werden, um welche Daten es geht und wofür die Daten genutzt werden
Lehnt der Nutzer das Setzen von Cookies ab, dürfen keine Daten übertragen werden.
Welche Maßnahmen müssen Webseitenbetreiber ergreifen?
Zunächst einmal müssen der bislang eingesetzte Cookie-Banner und die Datenschutzerklärung überprüft werden. Idealerweise werden sogenannte Cookie-Consent-Tools eingesetzt, die bestimmte Cookies konkret blockieren, solange die Einwilligung durch den Nutzer nicht gegeben wurde. Wer seine Nutzer nur noch informiert, aber kein konkrete Zustimmung verlangt, verstößt gegen die Rechtssprechung von BGH und EuGH und TTDSG und muss mit empfindlichen Geldstrafen rechnen. Auch der alleinige Hinweis in der Datenschutzerklärung ist nicht ausreichend.
Welche Bußgelder drohen bei einem Verstoß gegen die Cookie-Richtlinie?
Ein Verstoß gegen die Cookie-Banner Richtlinie gilt als Ordnungswidrigkeit. Wenn zunächst eine Abmahnung in geringer dreistelliger Höhe im Briefkasten landet, sollte umgehend gehandelt werden. Wird die Abmahnung ignoriert, können auch sechstellige Bußgelder fällig werden.
Was hat sich an der rechtlichen Situation am 1. Dezember 2021 geändert?
Wenn am 1. Dezember das TTDSG in Kraft tritt, soll der Einsatz von Cookie-Bannern an einer Stelle geregelt werden und die Verwirrung aufgrund unterschiedlicher Aussagen in DSGVO, Cookie-Richtlinie und Telemediengesetz beenden. Ab dann ist es gesetzlich vorgeschrieben, dass beim Einsatz von Cookies eine echte und informierte Einwilligung verpflichtend ist. Die Information muss dabei nach den Vorgaben der DSGVO erfolgen. Ausnahmen bilden lediglich technisch unabdingbare Cookies und solche, die ausschließlich der Übertragung von Nachrichten über ein öffentliches Telekommunikationsnetz dienen. Der Cookie-Banner mit konkreter Einwilligung durch den Nutzer ist also ab dem 1. Dezember Pflicht!
Wie wurde der datenschutzkonforme Einsatz bis zum Dezember 2021 geregelt?
Cookie Banner erlauben das Tracking der Nutzer und somit die Anpassung der dargestellten Inhalte, zum Teil auch über die eigene Webseite hinaus. Gesetzlich regeln soll dies in der EU die „Cookie-Richtlinie“. Die von der EU beschlossenen Richtlinien müssen dann in nationales Recht umgesetzt werden. In Deutschland ist dies nicht geschehen, es wurde auf das Telemediengesetz und seit Mai 2018 auf die DSGVO verwiesen. Die wiederum behandeln zwar einzelne Aspekte des Einsatzes von Cookie-Bannern, greifen die Thematik jedoch weder vollständig noch umfassend auf. Während § 15 Abs.3 des TMG so zu interpretieren ist, dass eine gezielte Einwilligung, also ein Opt-in nötig ist, beschränkt sich die DSGVO auf eine entsprechende Umformulierung der Datenschutzerklärung. In selbiger müssen die rechtlichen Grundlagen für das Einsetzen der Cookies benannt werden. Theoretisch hätte gemeinsam mit der DSGVO im Mai 2018 die ePrivacy-Verordnung in Kraft treten sollen, was nach mehreren Verschiebungen (zuletzt im März 2021) immer noch nicht geschehen ist. Konkrete Orientierungspunkte ergaben sich eher aus den Beschlüssen der Datenschutzbehörden und aktuellen Urteilen, wie zum Beispiel 2020, als der Webseitenbetreiber von Planet 49 abgemahnt wurde, weil er durch eine vorab angekreuzte Checkbox die Einwilligung der Nutzer einholen wollte. Sowohl EuGH als auch BGH haben entschieden, das bereits vorgegebene Entscheidungen nicht ausreichend sind und der Nutzer aktiv einen Haken setzen oder über einen Button entscheiden muss. Außerdem wurde im Mai 2020 durch den BGH über das sogenannte Cookie II Urteil entschieden, dass der Einwilligungsvorbehalt für deutsche Betriebe unmittelbar geltendes Recht ist und dass die europarechtliche Erfordernis einer Einwilligung durch die in ihrem Wortlaut nicht eindeutige Regelung des § 15 Abs. 3 TMG in Deutschland umgesetzt wurde. Insbesondere die Ausnahmemöglichkeiten des Art. 5 Abs. 3 S. 2 ePrivacy-Richtlinie werden dort jedoch unzureichend ausgenutzt.
Personal Information Management Systems als Lösung?
Da die Vielzahl der täglich zu bestätigenden Cookie-Banner die Benutzerfreundlichkeit einschränkt, bietet das TTDSG eine Möglichkeit, selbige zu umgehen. Mit einer zentralen Einwilligungsverwaltung soll Cookie-Banner von Webseiten und Apps verschwinden lassen. Mit Hilfe der PIMS (Personal Information Management Systems) sollen persönliche Informationen verwaltet werden können, so dass nur einmal angegeben werden muss, ob und an welcher Stelle das Setzen von Cookies genehmigt oder verboten werden soll. Das System kann diese Einstellungen dann automatisch webseitenübergreifend umsetzen. Um diese Einwilligungsverwaltung zu ermöglichen, muss von der Bundesregierung eine Verordnung geschaffen werden, in der die Anforderungen an solche Dienste festgelegt werden. Die Datenschutzbehörden sollen für die Prüfung und Zulassung zuständig sein, wirtschaftliche Eigeninteressen von einer Einwilligung in Cookies sind den Betreibern der PIMS untersagt. Es ist jedoch davon auszugehen, dass eine entsprechende Rechtsverordnung nicht innerhalb der nächsten Monate zu erwarten ist. Der Einsatz rechtskonformer Cookie-Banner ist also unerlässlich
Was wird noch im Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) geregelt?
Das TTDSG übernimmt alle den Datenschutz betreffenden Regelungen aus dem Telemedien- und dem Telekommunikationsgesetz. Zusätzlich werden neue Vorschriften aufgenommen, wie zum Beispiel das Verschärfen der Strafen für ungenehmigte Bild- und Tonaufnahmen oder das Unterdrücken der Rufnummer bei Werbeanrufen.
