Vor Geltungsbeginn der Datenschutz-Grundverordnung (DSGVO) am 25.05.2018 war in Deutschland unklar, ob eine Website einen Cookie-Banner haben muss. Während die europäische Vorgabe aus der sog. Cookie-Richtlinie eine Einwilligung (Opt-in) in die Nutzung von Cookies (weiterhin) vorsieht, hat der deutsche Gesetzgeber sich im Telemediengesetz (TMG) für eine Opt-out-Lösung entschieden. Mit Geltung der europäischen Datenschutz-Grundverordnung hat sich die Rechtslage nun verändert.

Worum geht es eigentlich?

Fast jede Website setzt Cookies ein. Das sind kleine Textdateien, die auf dem Gerät des Websitebesuchers gespeichert werden. Hierbei kann man zwischen technisch notwendigen und technisch nicht notwendigen Cookies unterscheiden. Die technisch notwendigen (Session-)Cookies speichern z. B. die Sprachwahl, Login-Daten oder den Warenkorb. Sie werden mit Schließen des Browsers gelöscht. Technisch nicht notwendige Cookies sind z. B. Tracking-, Targeting oder Analyse-Cookies.

Der aktuelle Streit dreht sich um die Frage, ob für das Setzen eines Cookies nach neuem Recht eine vorherige Einwilligung notwendig ist (Opt-in) oder die Möglichkeit eines nachträglichen Widerspruchs (Opt-out) genügt.

Für Eilige: die schnelle Lösung

Wen ein Cookie-Banner auf seiner Homepage nicht stört, der macht mit dem vorsorglichen Schalten eines Cookie-Banners sicherlich nichts falsch. Hierin sollte dann die Einwilligung für den Einsatz von Cookies erbeten werden und natürlich ein Link auf die Datenschutzerklärung enthalten sein. Ein Restrisiko verbleibt hierbei allerdings, da die Einwilligung eigentlich bereits vorliegen muss, wenn der Cookie gesetzt wird. „Durch den weiteren Besuch unserer Website stimmen Sie der Nutzung von Cookies zu“, sieht man vielerorts. Das ist pragmatisch, aber streng genommen nicht ausreichend.

Der elegantere Weg: Cookie-Banner nur dann, wenn sie notwendig sind

Zunächst müssen Sie sich im Klaren darüber sein, ob und welche Art von Cookies Ihre Website einsetzt. Das verrät Ihnen Ihr Webdesigner oder der technisch versierte Rechtsanwalt, welcher Sie im Bereich IT- und Datenschutzrecht berät. Viele kleine Unternehmen und Vereine haben schlichte Homepages, die häufig nur die oben genannten „technisch notwendigen Cookies“ einsetzen.

Dürfen diese Ihre Websites dann ohne Cookie-Banner betreiben?

Hier liegt im Wesentlichen der juristische Streitstand, welcher nur kurz angerissen werden soll:

Es ist aktuell noch nicht geklärt, welche Regelung in Deutschland Anwendung findet. Manche meinen, dass die Regelung des § 15 Abs. 3 TMG (Opt-out) weiterhin gilt. Eine vorherige Einwilligung wäre dann nicht erforderlich. Andere wollen die Cookie-Richtlinie unmittelbar anwenden oder diese zur Auslegung von § 15 Abs. 3 TMG heranziehen, wonach für technisch nicht notwendige Cookies wohl eine vorherige Einwilligung erforderlich wäre. Für die „kleinen Websites“ ließe sich dann u. U. ein Cookie-Banner vermeiden.

Auch das Verhältnis zur Datenschutz-Grundverordnung ist wegen der Formulierung von Art. 95 DSGVO nicht klar. Eigentlich sollte parallel zur DSGVO die sog. ePrivacy-Verordnung in Kraft treten, welche diesbezüglich Klarheit geschaffen hätte. Leider hat der europäische Verordnungsgeber diese Chance verpasst. Zur Datenschutz-Grundverordnung finden sich zudem leider zahlreiche Fehlinformationen im Netz. Deshalb auch dazu in Kürze:

Jede Verarbeitung personenbezogener Daten (so wie das Setzen eines Cookies) bedarf einer Rechtsgrundlage (Art. 6 Abs. 1 DSGVO). Dies muss aber nicht zwingend eine Einwilligung sein (das liest man leider sehr oft!). Vielmehr nennt Art. 6 Abs. 1 lit. f. DSGVO auch „berechtigte Interessen“, welche zur Rechtmäßigkeit einer Verarbeitung von personenbezogenen Daten (z. B. Cookies) führen können. Hierzu zählen in aller Regel z. B. die technisch notwendigen Cookies. Auch der Einsatz von Google Analytics ließe sich hierüber nach überwiegender Auffassung rechtfertigen. Denn der Erwägungsgrund 47 zur DSGVO besagt ausdrücklich: „Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden.“ Im Ergebnis gibt es also durchaus Cookies, für welche die DSGVO keine Einwilligung verlangt.

Wie ist es mit Ihrer Website?

Den obigen, äußert knapp zusammengefassten Ausführungen können Sie entnehmen, dass die Frage der Notwendigkeit von Cookie-Bannern äußerst diffizil ist, vor allem aber vom jeweiligen Einzelfall abhängt. Denn in der Regel ist eine Abwägung der „berechtigten Interessen“ vorzunehmen. Holen Sie sich daher im Zweifel fachkundigen Rat ein.

Ausblick: die ePrivacy-Verordnung

Im Laufe des Jahres 2019 ist mit der ePrivacy-Verordnung zu rechnen, welche hoffentlich etwas Klarheit in das datenschutzrechtliche Durcheinander bringt. Sie sollten bei der Gestaltung Ihrer Website daher künftig auch die diesbezüglichen Entwicklungen im Auge behalten.

Dieser Artikel entspricht inhaltlich der Veröffentlichung von Rechtsanwalt Christopher Schack auf Anwalt.de.

Ihr Ansprechpartner im Datenschutzrecht:

Christopher Schack

Rechtsanwalt
Zertifizierter Datenschutzbeauftragter (TÜV)

04121 - 3030