Cookie-Policy

Seit Cookie-Banner auf jeder Webseite Pflicht sind, dauert ein Besuch im Internet gefühlt doppelt so lange. Ständig müssen Einwilligungen gegeben und Banner weggeklickt werden.

Und jetzt verrate ich Ihnen mal was: Viele dieser sogenannten Consent-Banner sind eigentlich gar nicht notwendig! Ein Missverständnis der DSGVO bezüglich Cookies führt dazu, dass so einige Webseiten die Cookie-Box völlig überflüssig verwenden – oder falsch.

Grundlagen verstehen: Das sagt die DSGVO zur Datenerhebung durch Cookies

Wenn wir uns mit datenschutzrelevanten Fragen beschäftigen, hilft immer erst einmal ein Blick in den zugehörigen Rechtstext. Artikel 6, Absatz 1 der DSGVO erklärt Datenverarbeitung als rechtmäßig, wenn eine der folgenden Bedingungen erfüllt ist:

a) Einwilligung: Der User ist mit dem Erheben seiner Daten einverstanden.

b) Vertrag: Das Erheben der Daten ist notwendig, um (vor)vertragliche Maßnahmen durchzuführen.

c) Rechtliche Pflichten: Daten dürfen gesammelt werden, wenn der Verantwortliche damit rechtlichen Pflichten nachkommt – ein aktuelles Beispiel ist hier zum Beispiel das Ausfüllen der Zettelchen zur Kontaktverfolgung.

d) Interessen: Die Daten werden benötigt, wenn damit lebenswichtige Interessen der betroffenen Person geschützt werden sollen.

e) Öffentliche Aufgaben: Um ihre Aufgaben zu erfüllen, dürfen Behörden Daten natürlich erheben und verarbeiten.

f) Berechtigtes Interesse: Daten dürfen außerdem erhoben werden, wenn damit ein berechtigtes Interesse des Verantwortlichen verfolgt werden kann – zum Beispiel, um die Sicherheit einer Webseite oder deren Performance zu steigern.

Überlegen Sie jetzt kurz: Welche dieser sechs Punkte sind für Webseitenbetreiber eigentlich relevant? Richtig – solange kein Online-Shop verknüpft ist, dürfte es mit a und f getan sein. Laut DSGVO sind Hinweise auf Cookies (oder Consent Banner, wie es tatsächlich heißt) damit nicht immer notwendig. Warum? Das erfahren Sie gleich. Zunächst klären wir jedoch, woher dieses Missverständnis überhaupt kommt, man brauche immer die Einwilligungsbox.

Das „Cookie-Urteil“ hat so einige Webseiten-Betreiber gründlich verwirrt

Grund dafür ist das sogenannte „Cookie-Urteil“ des Europäischen Gerichtshofs vom Oktober 2019. Darin hatte der EuGH entschieden, dass dem Einsatz von Cookies zugestimmt werden muss – wenn sie einer Einwilligung bedürfen. Und genau da liegt der Hase im Pfeffer.

Das Urteil (und auch das darauffolgende Urteil des Bundesgerichtshofs) bezieht sich nämlich nur auf Cookies, die gemäß DSGVO einer Einwilligung nach Buchstabe a bedürfen. Somit fallen alle Dienste raus, die allein durch berechtigtes Interesse gerechtfertigt werden. Zum besseren Verständnis:

  • Technisch notwendig betrifft Cookies, die notwendig sind, um einen Dienst überhaupt anbieten zu können. Das wäre beispielsweise der Warenkorb-Cookie beim Online-Shopping. Der merkt sich, welche Produkte Sie in den Warenkorb gelegt haben. Ohne solche Dienste funktioniert Ihre Webseite nicht, weshalb zum Beispiel technisch notwendige Cookies auch nie ablehnbar sind.
  • Berechtigtes Interesse umfasst Dienste, die zwar nicht technisch notwendig sind, aber dennoch mit der Rechtsgrundlage des berechtigten Interesses verarbeitet werden. Dies betrifft  laut DSGVO Cookies, die für Performance/Sicherheit notwendig sind oder dem Nutzer einen Vorteil bieten, zum Beispiel die Einbindung von Google Maps oder YouTube-Videos im sicheren Modus.
  • Einwilligung benötigen Sie für Dienste, die die Aktivitäten auf Ihrer Webseite tracken – also zum Beispiel Google Analytics oder das Facebook Pixel. Ihre Webseite würde natürlich auch ohne diese Dienste funktionieren.

Oft hilft es also, sich einmal näher zu informieren, anstatt sicherheitshalber alle Maßnahmen zu fahren.

Umgekehrt sehe ich häufig, dass auf Webseiten in den Datenschutzhinweisen für einen Dienst die Rechtsgrundlage 6-f genannt ist, aber über den Consent-Banner die Einwilligung nach 6-a eingeholt wird. Aus meiner Sicht ein Verstoß gegen den Grundsatz einer transparenten Verarbeitung nach Treu und Glauben. Sie können als Grund Einwilligung oder berechtigtes Interesse nennen – nicht jedoch beides!

Wir tracken nicht? Dann ist laut DSGVO kein Cookie-Banner notwendig!

Wer auf seiner Webseite keine Tracking-Tools einsetzt, braucht daher auch keinen Consent Manager. Alles, was allein auf Buchstabe f des Artikel 6 basiert, muss lediglich in der Datenschutzerklärung aufgeführt werden. Und die ist Pflicht auf jeder Webseite! Technisch müssen Sie nur dafür sorgen, dass ein Webseitenbesucher dieser Verarbeitung widersprechen kann.